Datenspuren: Protokolle in der EDV Rainer W. Gerling gerling@mpg-gv.mpg.de Datenspuren 23.2.01 1 Welche Dienste? Telekommunikation: technische Infrastruktur zur Kommunikation Kabel, Router, Firewall, E-Mail Server, Einwahl- Server Teledienste/Mediendienste Inhalte die mittels Telekommunikation verbreitet werden/bereit gehalten werden WWW-Server, News-Server, Proxy-Server Datenspuren 23.2.01 2 2001 Rainer W. Gerling. Alle Rechte vorbehalten. 1
Gesetzliche Regelungen zur Protokollierung Tele- und Mediendienste 6 TDDSG bzw. 15 MD-StV Telekommunikationsdienste Fernmeldegeheimnis Art. 10 GG, 206 StGB, 85 und 89 TKG 12 FAG (bis 31.12.01), G10-Gesetz Allgemein 31 BDSG Steuerrecht, Medizin, Banken... Datenspuren 23.2.01 3 Rechtliche Grundlagen Ein Firewall ist ein Telekommunikationsdienst Fernmeldegeheimnis Art. 10 GG 206 StGB 85 TKG Fernmeldegeheimnis 89 TKG Datenschutz Mitbestimmung ( 87 Abs. 1 Nr. 6 BetrVG) TDSV: Verarbeitung der Verbindungsdaten 12 FAG: Abhören (bis 31.12.01) G10-Gesetz: Abhören durch Dienste Datenspuren 23.2.01 4 2001 Rainer W. Gerling. Alle Rechte vorbehalten. 2
Stammdaten Fernmeldegeheimnis Name, Vorname, Anschrift, Bankverbindung nähere Umstände der Telekommunikation Rufnummern, Datum, Uhrzeit und Dauer einer Verbindung, übertragenes Datenvolumen Kommunikationsinhalte das gesprochene Wort, ausgetauschte Daten. Steuerdaten ( 89 Abs. 3 Satz 2 TKG) bei ISDN-Verbindungen zur Signalisierung ob Sprache oder Daten; Port-Nummer bei TCP/IP Verbindungen Datenspuren 23.2.01 5 nähere Umstände der Telekommunikation betrieblichen Abwicklung seiner geschäftsmäßigen Telekommunikationsdienste das Herstellen und Aufrechterhalten einer Telekommunikationsverbindung, das ordnungsgemäße Ermitteln und den Nachweis der Entgelte das Erkennen und Beseitigen von Störungen an Telekommunikationsanlagen, das Aufklären sowie das Unterbinden von Leistungserschleichungen und sonstiger rechtswidriger Inanspruchnahme des Telekommunikationsnetzes, auf schriftlichen Antrag eines Nutzers zum Zwecke der Darstellung der Leistungsmerkmale (Einzelverbindungsnachweis) und des Identifizierens von Anschlüssen (Fangschaltung) Datenspuren 23.2.01 6 2001 Rainer W. Gerling. Alle Rechte vorbehalten. 3
Kommunikationsinhalte Bei Mißbrauchsbekämpfung Steuerdaten ( 89 Abs. 3 Satz 2 TKG) mit Meldung an Regulierungsbehörde bei Störungsbehebung Aufschaltung auf Verbindung bei Signalisierung Nach 12 FAG nur durch richterliche Anordnung (am 31.12.01 außer Kraft) Datenspuren 23.2.01 7 Hardware des Internets Netz A Router Router Netz B Router wird auch als Gateway bezeichnet Alle Daten, die nicht lokal sind werden am Router abgegeben UNIX, Windows NT können Router sein Typisch ist dedizierte Hardware (z.b. Cisco) Datenspuren 23.2.01 8 2001 Rainer W. Gerling. Alle Rechte vorbehalten. 4
Was schauen wir uns an? Router Server WWW, E-Mail, News... Einwahl-Equipment Firewall allgemeine Rechner alle Server, evtl. Klienten Datenspuren 23.2.01 9 Firewall (Paketfilter) Internet Firewall Internes Netz Untersucht jedes Datenpaket, das rein oder raus will Dabei wird Absende-Rechner, Empfangs-Rechner und Dienst betrachtet! Paketfilter auch als Accesslisten im Router Ein Paketfilter schaut nicht auf Inhalte!! Datenspuren 23.2.01 10 2001 Rainer W. Gerling. Alle Rechte vorbehalten. 5
Anwendungsfilter http Klient pop3 ftp Firewall Server Für jede Anwendung ist eine spezielle Software auf dem Firewall (Proxy) erforderlich Inhaltskontrolle Datenspuren 23.2.01 11 NT Protokollierung Umfangreiche Protokolle Umständlich einstellbar viele Ereignisse nicht genau genug spezifizierbar Dateiüberwachung liefert sehr viele Ereignisse Datenspuren 23.2.01 12 2001 Rainer W. Gerling. Alle Rechte vorbehalten. 6
NT Protokollierung Protokollgröße und -lebensdauer Datenspuren 23.2.01 13 NT Protokollierung Grundlegende Einstellungen (Benutzermanager) Datenspuren 23.2.01 14 2001 Rainer W. Gerling. Alle Rechte vorbehalten. 7
NT Protokollierung Konkrete Dateizugriffe protokollieren Über Eigenschaften im Explorer zugänglich Datenspuren 23.2.01 15 NT Protokollierung Auswertungen nur mit externen Programmen Direkte Ansicht ist häufig zu kryptisch Grafische Oberfläche nicht zur Massenauswertung geeignet Datenspuren 23.2.01 16 2001 Rainer W. Gerling. Alle Rechte vorbehalten. 8
Einwahl-Server Dynamische IP-Adresse, ISDN-Nummer, Benutzername, Zeitpunkt, Dauer ISDN-Nummer nie speichern! Benutzername wenn erforderlich z.b. Abrechnung Eventuell Einwahl über kommerzielle Provider besser Datenspuren 23.2.01 28 Mitbestimmung Protokollierung und Auswertung von Beschäftigtendaten ist mitbestimmt! 87 Abs. 1 Nr. 6 BetrVG Betriebsvereinbarung notwendig Besonders kritisch: Firewall WWW-Server und http-proxy-server Einwahlserver Datenspuren 23.2.01 29 2001 Rainer W. Gerling. Alle Rechte vorbehalten. 9
Empfehlung I Einen zentralen Log-Server für normale Logs alle Rechner berichten an diesen gut schützen; kein regulärer Server kann ein Unix/Linux (oder Windows NT/2000) Rechner sein Ereignisse von Windows an Log-Server weiterleiten Zentral Auswerten Datenspuren 23.2.01 30 Empfehlung II Alle TK-, Tele-/Mediendienstdaten separat speichern Rechtmäßigkeit prüfen Datenvermeidung/Datensparsamkeit Auswertung nur durch wenige Spezialisten Mißbrauchsbekämpfung!! Auswertung möglichst nur anonym Auswertungen nur anonymisiert weitergeben Datenspuren 23.2.01 31 2001 Rainer W. Gerling. Alle Rechte vorbehalten. 10