Category Archives: Internet

Dürfen IP Adressen gespeichert werden?

Posted on by

Liebe Mitblogger,

der EuGH hat in einer Anfrage zur Speicherung von IP-Adressen durch Webserver vom BGH entschieden, daß das TMG(Telemediengesetz) gegen europäisches Recht verstößt, weil es (stark vereinfacht) keine Abwägung zwischen berechtigten Interessen des Betreibers und den Rechten der Person an Ihren Daten enthält.

Damit ist das generelle Verbot der Speicherung von IP Adressen nicht länger rechtens, aber noch nicht vom Tisch. Der BGH muß diese Entscheidung des EuGH in seiner anstehenden Entscheidung berücksichtigen. Erst wenn der BGH entschieden hat und das Urteil rechtskräftig ist, steht es final fest. Wer jetzt in vorauseillendem Gehorsam die Logfiles wieder aktiviert, könnte noch gegen geltendes Recht verstoßen.

Damit Euch das nicht passiert, hier Euer Schlupfloch:

am 31.01.2013 hat das Landgericht Berlin verkündet:

„Die Beklagte wird verurteilt, es zu unterlassen, die Internetprotokolladresse (IP-Adresse)
des zugreifenden Hostsystems des Klägers, die im Zusammenhang mit der Nutzung
öffentlich zugänglicher Telemedien der Beklagten im Internet – mit Ausnahme des
Internetportals “http://www.XXXXXXXXXXXX.de” – übertragen wird, in Verbindung mit dem Zeitpunkt
des jeweiligen Nutzungsvorganges über das Ende des jeweiligen Nutzungsvorganges
hinaus zu speichern oder durch Dritte speichern zu lassen,
– sofern der Kläger während eines Nutzungsvorganges selbst seine Personalien, auch in
Form einer die Personalien des Klägers ausweisenden E-Mail-Anschrift, angibt und
soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des
Telemediums erforderlich ist.“

Zitat aus: LG Berlin 57 S 87/08  – 2 C 6/08 Amtsgericht Mitte / Tiergarten

Das meint, daß wenn Ihr Schutzmaßnahmen implemtiert haben müßt, um den Webserver vor Angreifern zu schützen,
und das sollte jeder WordPressbenutzer machen, wenn er einen reibungslosen Betrieb gewährleisten will, die Speicherung über den Zeitpunkt der Benutzung hinaus erlaubt ist.

Zu beachten ist, daß dieser Zeitraum nicht unendlich ist und konkret beziffert werden muß. Außerdem seid Ihr auch dafür verantwortlich, wielange der Hoster die Daten speichert. Fragt daher bei Eurem Hoster an, wie lange die Webserverlogs gespeichert bleiben und was der Hoster als Schutzmaßnahme für den Webserver betreibt.

WordPress ist täglich Ziel von vielfältigen Angriffen

wp-login.php per Bruteforceattacke,
auf die xmlrpc.php um Forenspam zu senden
Exploits von Themes und Plugins.

Um diese Angriffe abzuwehren, müssen zwangsweise IP’s gespeichert werden um automatisch zu überprüfen, ob ein BruteForceangriff vorliegt und um konkrete Gegenmaßnahmen, in Form von IP-Sperren, einzuleiten.

Aus der Praxis als Webhoster einiger bekannter WP-Blogs, kann ich Euch versichern, daß einige Angreifer mehr als 500.000 mal am Tag auf ein Blog zugreifen um es zu stören, zu hacken, oder zu missbrauchen. Ohne Serversicherungsmaßnahmen incl. IP Speicherung könnten wir diese Angriffe nicht abwehren.

Darüberhinaus könnte eine Änderung der Speicherpraxis auch damit begründet werden, daß ein Webservicebetreiber mit den IPs nicht direkt einen Besucher namentlich identifizieren kann. Der EuGH sieht zwar den Rechtsweg in Form einer Strafanzeige als möglichen Weg, um an die Personendaten zu gelangen, aber meiner Meinung nach ( die dafür nicht zählt ), ist das für Webseitenbetreiber ohne Juraabteilung nur in echten Strafverfahren möglich, was bedeutet, es gibt einen konkreten Grund, welchen Kriminalbeamte, Staatsanwälte und Richter vorher prüfen. (Arbeitsüberlastungen von kölner Gerichten sei mal nicht das Thema.) Es ist daher eher unrealistisch dies als gangbaren Weg anzuerkennen, zumal das BDSG auch zum Zwecke der Strafverfolgung eine Ausnahme erlaubt. Demnach dürfen auch Daten, die dem Datenschutz unterliegen, den Strafverfolgungsbehörden übermittelt werden. (Damit man das kann, müßte man sie vorher speichern.)

Fazit

Das Urteil des BGH in der Sache steht noch aus, aber es gibt jetzt schon Ausnahmen, die eine Speicherung der IP’s erlauben.
Es dürfte eine Wende in der Rechtssprechung in Deutschland geben.

Die Pressemitteilung des EuGH zu dem anstehenden Urteil könnt Ihr hier selbst lesen:

http://curia.europa.eu/jcms/upload/docs/application/pdf/2016-10/cp160112de.pdf

Alte Entscheidungen:

Landgericht Berlin 2013: http://www.jurpc.de/jurpc/show?id=20130179

LPD BS und doch macht es einen traurig

Posted on by

Im Zuge der Werbung für den Linux Presentation Day am Samstag 22.10. in Braunschweig, habe ich mich bereit erklärt Flyer zuverteilen. Da ich krankheitsbedingt nicht anders konnte, fuhr ich heute noch die letzten Werbepunkte an, um meine Ware auszulegen.

Trotz schönem Wetters, wird dieser Beitrag weder vom LPD, noch von Linux, noch von den Ausreden der Inhaber handeln. Er handelt von John Doe; den ich auf einer Bank in der Stadt getroffen habe. John möchte seinen Namen nicht in diesem Artikel lesen und auch kein Bild von sich auf meinem Blog sehen. Ich habe dafür Verständnis und komme seinem Wunsch nach.

John wirkt, als wenn er Ende 40 ist, aber Haarpracht und Farbe deuten eher auf Ende 30 hin. John wohnt seit drei Wochen an dieser Stelle, im Freien…im Müll. Mit seinem Wollpullover und dem Bart hätte er auch Seemann auf einem Segelschiff sein können. Neben ihm auf der Bank liegen Essensreste und Vorräte für heute, vielleicht morgen, sauber verpackt. Es erinnert mich an die belegten Brötchen in der Mensa. Daneben Tüten mit Anziehsachen und anderen Gegenständen, die möglicherweise mal sein Leben ausgemacht haben, aber auch gegen die Kälte sind. Er ist schon seit einer Weile Obdachlos, mitten in Braunschweig. Job verloren, und den Rest konnte er auch nur mit „halt so passiert“ erklären. Vielleicht wollte er auch nicht. Möglicherweise ist er es satt darüber zu reden. Das ganze Gespräch ist eher einsilbig. Ich frage, er ist schwer zu verstehen. Nach einer Weile verabschiede ich mich. Ich habe zwar noch viele Fragen, aber ich spüre, daß jetzt der falsche Zeitpunkt wäre sie zu stellen.

Auf der meiner weiteren Flyerfahrt frage ich mich, wie es sein kann, daß dieses Land für mehr als 1 Million Flüchtlinge ein Ort zu Leben ist, mit einem Dach über dem Kopf und einem vollen Magen, gleichzeitig aber lassen wir all die Schwächsten unter uns so leben, wie wir es keinem Hund zumuten würden. Wäre John ein Hund, hätte sich schon wer gefunden der für ihn sorgt oder man hätte ihn erschossen. Ich habe keine Antwort gefunden und selbst helfen kann ihm nicht, außer mit Geld und Essen.

Wer helfen möchte, kann mich kontaktieren. Wie lange John an dem Platz sein wird, weiß ich natürlich auch nicht. Es wird aber reichen mit Offenen Augen durch die Innenstadt zu gehen. Sein Lager ist nicht zu übersehen.

Aber den Leuten, die einfach vorbei gegangen sind und blöde Sprüche und Unterstellungen parat hatten, sei gesagt: Auf Euch kann man getrost verzichten!

 

Lets Encrypt: Zertifikatsprobleme auf iOS Geräten

Posted on by

Seit Dezember 2015 stellt Lets Encrypt kostenlose Zertifikate zur Verfügung. Damit kann man Webseiten und Mailserver schützen, wenn da nicht die liebe Realität in Form von iOS wäre.

Bei unserem hausinternen Versuch, die Mailserver von einem kommerziellen Comodozertifikat auf Lets Encrypt umzustellen, was für Webseiten überhaupt kein Problem war, stellte sich raus, das sofort alle iOS Endgeräte, egal ob iPhone 5,6,7 oder iOS 9,10 keine Emails mehr empfangen konnten. Entäuschenderweise war auch Thunderbird betroffen 🙁

Daraufhin haben wir auf ein Comodozertifikat umgestellt und die Lage beruhigte sich, bis einige iOS Geräte anfinden, nur noch Emails zu senden, aber keine mehr zu empfangen. Wohlgemerkt, mit dem gleichen SSL-Zertifikat 😉

Nach derzeitigen Erkenntnissen seitens Comodo und unseren Technikern, liegt das Problem beim iOS Gerät selbst. Mal sehen was Apple dazu meint.

Auflösung: Mail.APP ist buggy, denn jedes andere installierte Emailprogramm auf einem betroffenen IPhone hat das Zertifikat einwandfrei akzeptiert. Aber der Witz kommt jetzt, dem Kunden hat das neue Mailprogramm „My Mail“  viel besser gefallen als die original App 😀