Entwurf Betriebsordnung TU Dresden zum Stealthwatch Frühwarnsystem

Ja man sollte das vllt nur auf subnetze beschränken.., bzw subnetze davon ausnehmen.

jo .. aber wer entscheidet welches subnet muss und welches nicht und auf welchen grundlagen
sollte dann so ein entscheidung getroffen werden? ..

Delegation von Verantwortung. Das heißt zB jeder Admin ist für "sein" Subnetz verantwortlich und muß dann auch im Notfall, wenn er nicht innerhalb einer Frist von 30min das Problemterminal isolieren kann, für das ganze sub den Stecker ziehen. (Ist nur so eine Idee..)

Würde aber wahrscheinlich nicht funktionieren, da dann dieser Mensch hauptberuflich Administrator wäre. Klingt zumindest unvorstellbar.

Man könnte aber einen Dienst einrichten, der bei offensichtlichem Spamming die IP kurzfristig blockiert und den zuständigen IT-Menschen darüber informiert. Dieser sollte natürlich die Möglichkeit haben, dieses (ich nenns jetzt mal) "Softlock" wieder zu entsperren.

Dieser ganze Kram den die vorhaben ist ohnehin Mist mit Mist und Mist, bringt nix, macht sich höchstens gut auf dem Papier und ist bestimmt auch nicht ganz billig, wer weiß...

Dh. Du kleisterst den Port mit nem kurzfristigen Tarpit zu und gibst so dem Admin die Möglichkeit (zeitnah) zu handeln?

Sag mal, es muß doch an der UNI richtig zertifizierte Admins geben? Das kann doch keiner so mal nebenbei machen...mir wird da übel.. was für eine Atmosphäre atmen die auf ihrem Planeten?
Wenn ich bedenke, wie es auf manchen Institutsrechnern aussieht, und welche Sicherheitsklassifikation die Arbeiten haben. Dann sind hier unbedingt VollzeitAdmins notwendig. Denn es gibt bestimmt genügend Interessenten für die Daten. ...

jo .. aber wer entscheidet welches subnet muss und welches nicht und auf welchen grundlagen
sollte dann so ein entscheidung getroffen werden? ..

Überwiegend private Rechner ausnehmen wäre schon mal ein Anfang. Das wären dann alle Wohnheimnetze. Ansonsten ist die Maßnahme natürlich als Ganzes abzulehnen. Allerdings denke ich nicht, dass es hier noch ein zurück gibt, dafür müssten jetzt schon zuviele Leute zugeben, sich geirrt zu haben und das geht erfahrungsgemäß garnicht.

seit das bei uns bekannt ist, laufen die meisten unserer Lehrstuhlrechner über einen gemeinstamen vpn-router richtung backbone... mal sehen, wie lange es dauert, bis sowas verboten wird

Auf der Homepage des FSR Informatik

Die geplante Einführung eines Frühwarnsystems vom ZIH wurde in letzter Zeit rege diskutiert. Der iFSR hat sich bereits in einer früheren Stellungnahme (PDF) zu diesem System geäußert. Weiterführende Diskussionen und Gespräche mit ZIH-Vertretern führten nun zu einer  zweiten Stellungnahme (PDF).

Ausserdem waren am letzten Monatg Prof. Pfitzmann, Herr Herber und Herr Syckor zu Gast auf der Sitzung des FSR Informatik.

Protokoll (PDF)

Dieser Beitrag wurde von aeon: 29 May 2009, 19:06 bearbeitet

Da steht was inner Zeitung....


Quelle: Sächsische Zeitung, 29.05.2009

lustig, dass das das Zurwehrsetzen so als laute Minderheit heruntergeredet wird...

Im Uebrigen handele es sich nicht um eine Ueberwachung, sondern um ein sogenanntes Netz-Monitoring, betont der Professor

monitor, noun

die Abhoereinrichtung, das Aboergeraet, die Abhoerung, die Mithoereinrichtung, die Ueberwachungseinrichtung, das Warn-Geraet

to monitor, verb

abhoeren, beaufsichtigen, beobachten, kontrollieren, mithoeren, ueberwachen

, ich liebe Bullshit-Bingo

Dieser Beitrag wurde von aeon: 29 May 2009, 19:38 bearbeitet

Ich bin eine Minderheit!


Dieser Beitrag wurde von pruefi: 29 May 2009, 21:08 bearbeitet

Danke erstmal an die Sächsische Zeitung für den Artikel, gar nicht mal schlecht.

Wenn ich bedenke, wie es auf manchen Institutsrechnern aussieht, und welche Sicherheitsklassifikation die Arbeiten haben. Dann sind hier unbedingt VollzeitAdmins notwendig. Denn es gibt bestimmt genügend Interessenten für die Daten. ...

Ja nun, das ist sicher einer der Punkte, die bei Prof. Nagel und Hr. Syckor (Sicherheitsbeauftragter der TUD) die Motivation darstellen: Man will sich absichern. Da man das nicht vernünftig kann, wird eben ein Frühwarnsystem eingeführt, sodass man sagen kann "Wir haben ja was gemacht!".

Der Umstand, dass es allein dieses Jahr bereits 400 Vorfälle gab (davon 350 Conficker) und das FWS daran auch künfitig nichts ändern wird, ist da nur das Salz in der Suppe.

Wie geht es weiter?

Das ZIH hat nun schon seit 4 Jahren an diesem System geplant, wie ich aus gut informierten Mitarbeiter-Kreisen erfuhr. Das ist natürlich alles nur Höhrensagen. Die Realisierung soll wohl nun wie folgt aussehen (und wird im übrigen nicht von allen Mitgliedern der zuständigen DV-Kommission getragen): An Wochenenden sowie an zwei Arbeitstagen werden sämtliche Verbindungsdaten geloggt und mehrstufig ausgewertet und gespeichert. Der Zugriff darauf kann nur unter dem 4-Augen-Prinzip stattfinden, wobei ein Beteiligter der Datenschutzbeauftragte ist. Ein Zugriff erfolgt bei Verdacht und eine Weitergabe nur, wenn man juristisch dazu gezwungen ist. So zumindest die Zusicherungen, die mir zugetragen wurden. Ob man sich daran hält bleibt abzuwarten, denn eine Verabschiedung der Betriebsordnung ist nicht mehr notwendig. Dies wurde durch ein geschicktes Verwaltungsmanöver ermöglicht, ein Schelm, der denkt...

Technische Realisierung: Die Cisco-Switches liefern verbindungsbezogene Daten, die dann pro Session in die Auswertung des StealthWatch-Systems geschickt werden. Dort findet dann auch nochmal eine monatliche Aufbereitung statt - übrigens immernoch mit m.E. zu vielen Verbindungsdaten (Granularität 1 Tag), nicht statistisch anonymisiert.

Ich bin gespannt, wie sich das ZIH in dieser diffizilen Angelegenheit schlägt. Die Leute, die ein bisschen Ahnung von der Sache haben und studentische Interessen vertreten sind jedenfalls hellhörig geworden - endlich.

#abd

"Wer Freiheiten der Sicherheit wegen aufgibt, hat beides nicht verdient." Benjamin Franklin

Also was ich so aus diversen mail-Archiven (z.B. sourceforge) entnommen habe, besteht die Wahrscheinlichkeit, dass das ZIH schon seit Oktober (zu Testzwecken) die NetFlow-Daten zumindestens auswertet und analysiert, denn sonst würde man sich nicht für bestimmte Software interessieren, bzw damit Probleme haben. Daraus schlußfolgere ich, dass das Projekt nicht erst noch umgesetzt werden muß, sondern dass die Betriebsordnung nur zur Legalisierung eines bestehenden Systems dient. Solch ein Verhalten ist, zumindest moralisch, zu hinterfragen.

Von der Juristischen Bewertung, ob denn dieser Grundrechteingriff "Verfassungsgemäß" ist, gibt es spätestens bei der Abprüfung der "Verhältnismäßigkeit" im Punkt "Existenz eines milderen Mittels" Schwierigkeiten. Weil meines Erachtens wesentlich mildere Mittel (tarpits, honeypots.., Netz-Topologie) exististieren, die natürlich mehr Aufwand (Administratoren) erfordern. In der Abwägung ob es dem Staat (als Träger der Universität) zuzumuten ist, mehr Geld für die Sicherheit der Bürger aufzuwenden, muss meiner Auffassung nach das Grundrecht höher als mögliche Mehrausgaben bewertet werden. So dass im Endeffekt dieser Grundrechtseingriff mit der Verfassung NICHT konform geht und abzuweisen ist. Mit dem Verweis auf eine bestehende Betriebsordnung "Ihr habt das selbst beschlossen" kann sich der Staat weiterhin nicht der Grundrechtsbindung entziehen.

Ich hätte von den im ZIH arbeitenden Informatikern, im Speziellen solchen, die zumindestens den Grad eines Doktors der Informatik erreicht haben, mehr Sensibilität hinsichtlich des Themas "Datenschutz" und wesentlich mehr "Rückgrat" in der Verteidigung unser allen Rechts auf informationelle Selbstbestimmung erwartet.

Ein wesentlicher Kritikpunkt an der Ausarbeitung ist das Fehlen einer "Negativ-Analyse", die Darstellung darüber, was ist mit dem zu installierenden System in letzter Konsequenz (madOP) an Kontrolle über den Nutzer möglich ist.

Hier muß nocheinmal eindringlich darauf hingewiesen werden, dass mit der IP-Adresse und Zeitstempel (als relationales Element) eine Verknüpfung von Logfiles über das Netz hinweg möglich ist. Aus der Zusammenführung der NetFlow-Meldungen und Server-Logs kann selbst der technische unbedarfte Laie über jeden beliebigen Nutzer zumindestens ein Surf-Profil erstellen, wenn nicht sogar seine publizierende Tätigkeit (Foren, Blog) verfolgen.

Dieser Beitrag wurde von pruefi: 04 Jun 2009, 09:23 bearbeitet

[...]An Wochenenden sowie an zwei Arbeitstagen werden sämtliche Verbindungsdaten geloggt und mehrstufig ausgewertet und gespeichert.[...]

Nice. Dann werde ich verstärkt am Wochenende Netaudio laden. Wollte schon immer mal im Rampenlicht stehen.

Mich würde mal interessieren, ob man sich halbwegs vor Überwachung verstecken kann, wenn man sich nur noch im TOR-Netzwerk rumdrückt.

Zumindest theoretisch würde dem ZIH dann doch immer bloß die IP des TOR-Gates bekannt sein, und natürlich meine Online-Zeiten, welche aber ohnehin 24/7 sind.