Datenspuren: Protokolle in der EDV - GWDGrgerlin/pdf/erfa_01_2001.pdfProtokolle in der EDV Rainer W. Gerling [email protected] Datenspuren 23.2.01 2 Welche Dienste? Telekommunikation:

Protokollierung

© 2001 Rainer W. Gerling. Alle Rechte vorbehalten. 1

Datenspuren 23.2.01 1

Datenspuren:Datenspuren:Protokolle in der EDVProtokolle in der EDV

Rainer W. Gerling

[email protected]


Welche Dienste?Welche Dienste?

❏ Telekommunikation:technische Infrastruktur zur Kommunikation◆ Kabel, Router, Firewall, E-Mail Server, Einwahl-

Server

❏ Teledienste/MediendiensteInhalte die mittels Telekommunikation verbreitet werden/bereit gehalten werden◆ WWW-Server, News-Server, Proxy-Server

Protokollierung



Gesetzliche RegelungenGesetzliche Regelungenzur Protokollierungzur Protokollierung

❏ Tele- und Mediendienste◆ § 6 TDDSG bzw. § 15 MD-StV

❏ Telekommunikationsdienste◆ Fernmeldegeheimnis

✦ Art. 10 GG, § 206 StGB, §§ 85 und 89 TKG

✦ § 12 FAG (bis 31.12.01), § G10-Gesetz

❏ Allgemein◆ § 31 BDSG

◆ Steuerrecht, Medizin, Banken ...


Rechtliche GrundlagenRechtliche Grundlagen

◆ Ein Firewall ist ein Telekommunikationsdienst◆ Fernmeldegeheimnis

✦ Art. 10 GG✦ § 206 StGB✦ § 85 TKG Fernmeldegeheimnis✦ § 89 TKG Datenschutz

◆ Mitbestimmung (§87 Abs. 1 Nr. 6 BetrVG)◆ TDSV: Verarbeitung der Verbindungsdaten◆ § 12 FAG: Abhören (bis 31.12.01)◆ G10-Gesetz: Abhören durch Dienste

Protokollierung



FernmeldegeheimnisFernmeldegeheimnis

❏ Stammdaten◆ Name, Vorname, Anschrift, Bankverbindung

❏ nähere Umstände der Telekommunikation◆ Rufnummern, Datum, Uhrzeit und Dauer einer

Verbindung, übertragenes Datenvolumen

❏ Kommunikationsinhalte◆ das gesprochene Wort, ausgetauschte Daten.

◆ Steuerdaten (§ 89 Abs. 3 Satz 2 TKG)✦ bei ISDN-Verbindungen zur Signalisierung ob Sprache oder

Daten; ✦ Port-Nummer bei TCP/IP Verbindungen


nähere Umstände der nähere Umstände der TelekommunikationTelekommunikation

❏ betrieblichen Abwicklung seiner geschäftsmäßigen Telekommunikationsdienste

◆ das Herstellen und Aufrechterhalten einer Telekommunikationsverbindung,

◆ das ordnungsgemäße Ermitteln und den Nachweis der Entgelte

◆ das Erkennen und Beseitigen von Störungen an Telekommunikationsanlagen,

◆ das Aufklären sowie das Unterbinden von Leistungserschleichungen und sonstiger rechtswidriger Inanspruchnahme des Telekommunikationsnetzes,

❏ auf schriftlichen Antrag eines Nutzers zum Zwecke ◆ der Darstellung der Leistungsmerkmale (Einzelverbindungsnachweis) und

◆ des Identifizierens von Anschlüssen (Fangschaltung)

Protokollierung



KommunikationsinhalteKommunikationsinhalte

❏ Bei Mißbrauchsbekämpfung Steuerdaten (§ 89 Abs. 3 Satz 2 TKG) mit Meldung an Regulierungsbehörde

❏ bei Störungsbehebung Aufschaltung auf Verbindung bei Signalisierung

❏ Nach § 12 FAG nur durch richterliche Anordnung (am 31.12.01 außer Kraft)


Hardware des InternetsHardware des Internets

❏ Router wird auch als Gateway bezeichnet❏ Alle Daten, die nicht lokal sind werden am Router

abgegeben❏ UNIX, Windows NT können Router sein❏ Typisch ist dedizierte Hardware (z.B. Cisco)

Router Router

Netz A Netz B

Protokollierung



Was schauen wir uns an?Was schauen wir uns an?

❏ Router

❏ Server◆ WWW, E-Mail, News ....

❏ Einwahl-Equipment

❏ Firewall

❏ allgemeine Rechner◆ alle Server, evtl. Klienten


Firewall (Paketfilter)Firewall (Paketfilter)

❏ Untersucht jedes Datenpaket, das rein oder raus will

❏ Dabei wird Absende-Rechner, Empfangs-Rechner und Dienst betrachtet!

❏ Paketfilter auch als Accesslisten im Router

❏ Ein Paketfilter schaut nicht auf Inhalte!!

FirewallInter-net

Internes Netz

Protokollierung



AnwendungsfilterAnwendungsfilter

❏ Für jede Anwendung ist eine spezielle Software auf dem Firewall (Proxy) erforderlich

❏ Inhaltskontrolle

http

pop3

ftpKlient

ServerFirewall


NT ProtokollierungNT Protokollierung

❏ Umfangreiche Protokolle

❏ Umständlich einstellbar

❏ viele Ereignisse nicht genau genug spezifizierbar

❏ Dateiüberwachung liefert sehr viele Ereignisse

Protokollierung




❏ Protokollgröße und -lebensdauer



Grundlegende Einstellungen(Benutzermanager)

Protokollierung




❏ Konkrete Datei-zugriffe protokollieren

❏ Über Eigenschaften im Explorer zugänglich



❏ Auswertungen nur mit externen Programmen

❏ Direkte Ansicht ist häufig zu kryptisch

❏ Grafische Oberfläche nicht zur Massenauswertung geeignet

Protokollierung



EinwahlEinwahl--ServerServer

❏ Dynamische IP-Adresse, ISDN-Nummer, Benutzername, Zeitpunkt, Dauer◆ ISDN-Nummer nie speichern!

◆ Benutzername wenn erforderlich z.B. Abrechnung

❏ Eventuell Einwahl über kommerzielle Provider besser


MitbestimmungMitbestimmung

❏ Protokollierung und Auswertung von Beschäftigtendaten ist mitbestimmt!◆ § 87 Abs. 1 Nr. 6 BetrVG

◆ Betriebsvereinbarung notwendig

◆ Besonders kritisch:✦ Firewall✦ WWW-Server und http-Proxy-Server✦ Einwahlserver

Protokollierung



Empfehlung IEmpfehlung I

❏ Einen zentralen Log-Server für normale Logs◆ alle Rechner „berichten“ an diesen

◆ gut schützen; kein regulärer Server

◆ kann ein Unix/Linux (oder Windows NT/2000) Rechner sein

◆ Ereignisse von Windows an Log-Server weiterleiten

◆ Zentral Auswerten


Empfehlung IIEmpfehlung II

❏ Alle TK-, Tele-/Mediendienstdaten separat speichern◆ Rechtmäßigkeit prüfen

◆ Datenvermeidung/Datensparsamkeit

◆ Auswertung nur durch wenige Spezialisten✦ Mißbrauchsbekämpfung!!

◆ Auswertung möglichst nur anonym

◆ Auswertungen nur anonymisiert weitergeben

Documents

Datenspuren: Protokolle in der EDV - GWDGrgerlin/pdf/erfa_01_2001.pdfProtokolle in der EDV Rainer W. Gerling [email protected] Datenspuren 23.2.01 2 Welche Dienste? Telekommunikation: