Re: [NRW-Maerkischer-Kreis] Datenspeicherung MK-Website

[Juergen Berg <juergen.berg AT gmail.com>]

Hallo,

schön wenn hier gleich von "Hysterie" und "auf den Tisch hauen" die Rede
ist. Kommt wenigstens mal Leben in die Bude :-)

> Moin
> vorsicht wenn ihr jetzt einfach losgeht und sagt: "Speichert die IP
> nicht" macht ihr euch vor allem eines und zwar ziemlich lächerlich.
> IP Adressen werden IMMER gespeichert das lässt sich im Endeffekt gar
> nicht anders handhaben. Selbst der CCC und auch wir speichern die IP
> Adresse. Das interessante hierbei ist die Dauer.

Gut dass das geklärt ist. Sagst du dem CCC bitte, dass sie ja wohl,
anders als vom CCC behauptet, doch die IP speichern (müssen)

Zitat: "Von allen Besuchern werden gespeichert und auf unbestimmte Zeit
aufbewahrt:

    Datum/Uhrzeit,
    die abgerufene Seite,
    Statuscode des Webservers,
    Browser/Betriebssystem,
    der Referer.

Die IP-Adresse, von der aus die Seite abgerufen wurde, speichern wir
nicht. Somit läßt sich anhand unserer Logdaten kaum ein Zusammenhang zu
einzelnen Besuchern herstellen..."

Muss ja ein lächerlicher Haufen sein, der CCC :-)

> Wenn ihr auf die Website zugreift loggt der Apache das in sein Logfile
> als Access. Sieht dann ungefähr so aus:
> xxx.xxx.xxx.xxx - - [30/Jul/2014:01:19:18 +0200] "GET
> /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 521 "-" "-"
> Denkt euch statt der x einfach ne Ip Adresse. So was haben wir hier:
> 1. Die Ip Adresse
> 2. Den Zeitpunkt des Zugriffs
> 3. Den Request/Fingerprint
> Warum ist das jetzt wichtig? Weil ich als Admin sehen kann um 1:19 hat
> jemand aus Brasilien (Geoip) den Server mit nem Vulnerability Scanner
> gescannt (Fingerprint).
> Diese Daten sind elementar wichtig für die Sicherheit des Servers und
> technisch notwendig wenn Programme wie fail2ban benutzt werden um
> Angriffe abzuwehren.
> Das BDSG erlaubt auch ausdrücklich die Speicherung zu solchen Zwecken
> sie unterliegen dann nur der Zweckbindung §31 BDSG und müssen nach
> gängier Praxis nach maximal 7 Tagen gelöscht werden. Bei uns z.b. fallen
> die durch Logrotate nach ca. 2-3 Tagen raus.
> Man kommt um die Speicherung jedoch nicht herum.

Spätestens mit GeoIP dürfte die Zweckbindung nach §31 BDSG nicht mehr
greifen. Aber darum geht es hier ja auch nicht.

Fail2ban ist ein schönes Tool, ohne Zweifel.
Fail2ban nutzt aber gewöhnlich die Error-Logs nicht die Access-Logs.

Ich rede hier nur vom Access-Log, denn ich nehme an, dass genau das mit
Protokolldatei gemeint ist. Da ist die IP unnötig oder die IP sollte
zumindest teilweise anonymisiert werden.
Und ja, das ist technisch möglich.

Anders sieht es mit dem Error-Log aus: Ja, die IP ist u.U. wichtig und
ich würde da auch nicht auf die IP verzichten, z.B. wg. Fail2ban.
Aber da sind eben Serverfehler drin, ich sehe nicht in warum man da dann
auch z.B. den Browser speichern muß

Tipp zu Vulnerability Scanner und so'n Zeugs: Nutze fail2ban-regex und
eine brauchbare Bad-Bot-Config.
Spart viel Zeit, wenn man die Logs nicht von Hand prüfen muß.


On 30.07.2014 17:11, jjx wrote:
> Was die Gefahrenabwehr angeht ist es halt schon nötig irgendwo eine
> Liste der letzten Zugriffe mit IP vorzuhalten. Dies ist aber nicht das
> Langzeitlog auf dass hinterher ein Webseitenbetreiber schaut um
> Zugriffszahlen anzusehen.

Siehe oben.

> Ich denke Jürgen wollte mit "ein Fall für das Rechenzentrum" auch darauf
> hinaus. Fakt ist dass diese Kurzzeitliste auf jedem Fall auf dem Server
> abgelegt wird, ansonsten könnte man den Server nicht entsprechend absichern.

Ja, das gilt für solche Dinge wie DDos usw.
Jedes grössere Rechenzentrum sichert sich gegen so etwas ab.

Was sie Listen angeht, siehe oben

> Aktuell wissen wir halt nicht was wo und wie lange gespeichert wird, das
> sollte man halt dann erstmal vorsichtig erfragen bevor man da zu laut
> auf den Tisch haut.

Hm, genau um das Erfragen geht es doch.
Es ist ersichtlich was gespeichert, aber nicht wozu und wie lange.
Es geht nicht darum mit der Tür ins Haus zu fallen. Das kann man dann
abhängig von den Antworten dann immer noch machen.

> Es wäre halt peinlich, wenn wir als DIE TECHNIKPARTEI uns da zu weit aus
> dem Fenster lehnen ;)
> 
> LG JJX//Julian
> 

Es wäre halt auch peinlich, als Datenschutzpartei diese Dinge nicht zu
erfragen und einfach zu ignorieren.

> Hallo,
> 
> ich habe nicht gefragt wem gehört die Domain, sondern wem gehört der
> Server.
> So sieht die Kette aus:
> 
> MK nutzt "Allris" --> Wird entwickelt / bereitgestellt von "CC e-gov
> GmbH" Hamburg. Diese beauftragt die " M2Soft GmbH" Bonn mit dem Hosting.
> Die Kauft / Mietet / Stellt unter die Server bei "Equinix Europe"
> Frankfurt.
> 
> Alle Daten Skandale der Vergangenheit haben zwei Parallelen.
> a) es ist Technisch möglich Größere Datenmengen schnell bei Seite zu
> schaffen.
> b) ein "Versuppung" der Struktur. Das heißt, wichtige Aufgaben werden
> von Unternehmen erledigt auf die der Auftraggeber keinen oder nur
> mittelbar marginal Einfluss hat. Ist das hier der Fall?????
> 

Ich denke mal, die "M2Soft GmbH" hat sich auf Allris spezialisiert
(Das Iserlohner RIS hosten die auch)
Das kann durchaus Vorteilhaft sein, wenn es so ist.

Das ist aber nur eine Vermutung, von daher wäre es schon interessant zu
wissen warum der Kreis das macht und welchen Einfluss er hat.

> Was macht die KDVZ-Citkomm wenn hier schon relevante Teile an
> Drittanbieter vergeben werden. Sollten wir am Freitag noch einam
> ausführlich Diskutieren.
> 
> Beste Grüße
> Stefan Handzik

Jürgen