Entwurf Betriebsordnung TU Dresden zum

Kann mich mal jemand aufklären, inwieweit Teilnehmer des DFN an die "Vorratsdatenspeicherrung" gebunden sind? Ich hab dazu jetzt nach langen Suchen nichts gefunden. Gelten die selben Richtlinien/Vorschriften?

Da es sich bei Mitarbeitern und Studierenden um eine sog. "geschlossene Benutzergruppe" handelt, ist die TUD als solches nicht zur Installation einer sog. "black box" verpflichtet. Um so erstaunlicher, dass man von selbst solche Sachen einführt...
#a

7. Frühwarnsystem

Der FSR hat von Herrn Syckor vom ZIH auf Nachfrage einen Entwurf uber ein Frühwarnsystem erhalten, welches Sicherheitsprobleme frühzeitig erkennen soll und dessen Einführung für den Sommer 2009 geplant ist. Die Notwendigkeit wird mit der stark ansteigenden Anzahl von sicherheitsrelevanten Vorfällen im Netz der TU begründet. Bisher wird das ZIH nur vom DFN über Probleme informiert. Das DFN setzt zur Erkennung Honeypots ein. Mit Hilfe des neuen Frühwarnsystems sollen Vorfälle zukünftig schneller und effektiver erkannt werden. Das neue System soll alle Pakete analysieren, die das Uninetz verlassen oder betreten. Ver kehrsdaten (TCP-/IP-Header) sollen für 5 Tage gespeichert werden. Nach unserer Auffassung handelt es sich dabei um persönliche Daten, da (insbesondere auf Grund der vielen statisch vergebenen IP-Adressen) eine eindeutige Zuordnung zu den Nutzern besteht. Die gespeicherten Daten (unter anderem Quell- und Ziel-IP-Adressen, MAC-Adressen, Portnummern, Zeitstempel) lassen viele R¨ckschlüsse auf den Nutzer und seine Kommunikationsinhalte zu. Eine Speicherung würde zu einem nicht unerheblichen Missbrauchspotential und weiteren Begehrlichkeiten führen. Uns wurden noch keine genauen Daten uber die Häufigkeit und Art der Sicherheitsprobleme vorgelegt. Wir können uns nur schwer vorstellen, dass die Situation so kritisch ist, dass es einen derart schwerwiegenden Eingriff rechtfertigen könnte. Wir werden versuchen, dazu genauere Informationen (aus möglichst objektiven Quellen) zu bekommen. Weiterhin sind uns keine Überlegungen zu alternativen Maßnahmen bekannt, uber solche sollte aber unbedingt nachgedacht werden. Weiterhin wird bezweifelt, dass für das geplante System eine Speicherung der persönlichen Daten über einen solch langen Zeitraum (5 Tage) nötig ist. Es existieren alternative Systeme, bei denen die Analyse quasi live erfolgt (ohne Speicherung der Mitschnitte), so dass nur Meta-Ereignisse abgerufen werden können. Im Entwurf sind mehrere Fälle für den Zugriff auf die Daten vorgesehen, die sehr unpräzise und zum Teil fragwürdig sind:
        • Strafverfolgung
        • Forschung
        • Verstöße gegen die Rahmennetzordnung
Kritisiert wird insbesondere auch, dass die Betroffenen noch nicht offziell uber die Pläne informiert wurden.

Abstimmung: Der FSR lehnt die im Entwurf der Ordnung zum Betrieb eines Frühwarnsystems (FWS) im Datennetz der TU Dresdenformulierten Maßnahmen zum Aufbau eines Frühwarnsystems des ZIH in seiner jetzigen Form entschieden ab.
Meinungsbild: ja: 19, nein: 0, Enth.: 0
Zu einem konstruktiven Dialog uber mögliche Maßnahmen zur Verbesserung der IT-Sicherheit an der TU Dresden besteht von Seiten des FSR großes Interesse.

Das Problem an diesem Frühwarnsystem (FWS) ist, dass es unverhältnismäßig viele und detaillierte Daten speichert.

Wie der FSR Informatik in seinem Protokoll schon festgehalten hat, überwacht das System den gesamten Datenverkehr aller ein- und ausgehenden Verbindungen.  Zwar speichert das System "nur" die Header, aber aus diesen kann man sehr viel Informationen ableiten. Quell- und Zieladresse, Art des Pakets, die MAC (die Identifikationsnummer der Netzwerkkarte) und so weiter. Die Header sind also nicht der eigentliche Inhalt, sondern eher die Adresse und der Absender auf einer Briefsendung, die wiederum ein Paket, ein Brief (C4, B3, ...) oder eine Postkarte sein kann, die wiederum so und so schwer ist.

Mit den IP-Adressen sind fast alle Nutzer des ZIH Netzes eindeutig identifizierbar!

Dies kann dazu führen, dass z.B. Student X im Wohnheim - der gerne World of Warcraft spielt - vom ZIH eine Abmahnung oder eine Sperre aufgedrückt bekommt, weil er gegen die Nutzungsordnung verstoßen hat. Die Nutzung des Netzes ist nur für Forschung und Lehre zulässig und für private Zwecke nur im "geringfügigen" Maße zu nutzen, wenn es die anderen Dienste nicht beeinträchtig. Was nun geringfügig ist oder nicht (viele WoW Spieler im Netz sind es wahrscheinlich nicht mehr) entscheidet das ZIH. (Vgl. Rahmenordnung für die Nutzung der Rechen- und Kommunikationstechnik an der TU Dresden §3)

Weiteres Beispiel: ein Mitarbeiter surft in der Arbeitszeit an der Uni auf Beratungsseiten für Drogenkranke, und postet dort noch ein wenig in einem Forum mit. Aus der Zeit des Zugriffs könnte dann das ZIH in eben jenem Forum rausfinden, welche Posts von diesem Mitarbeiter verfasst wurden, und auf eventuelle Probleme mit (il)legalen Substanzen Rückschlüsse ziehen (was z.B. bei der Neuverhandlung von Arbeitsverträgen sehr interessant sein kann).

Das FWS ist ein sehr feinmaschiges Netz, in dem sich potentiell jeder verheddern kann. Und damit mein ich nicht solche Sachen wie Filesharing.

Aus den Unmengen an Daten die da die veranschlagten 5 Tage gespeichert werden könnte man im schlimmsten Fall über alle Nutzer des ZIH ein sehr detailliertes "Bewegungs-" und "Aktivitätsprofil" erstellen. Datenberge wecken immer Begehrlichkeiten, sei es nun seitens des Staates, der Wirtschaft (Telekom, Deutsche Bahn und Lidl als Glanzlichter des freiwilligen Datenschutzes) oder eventuell nun auch bei uns an der Uni. Die Argumentation "das würden wir _nie_ machen" und ähnliches kennt man zur Genüge aus der Politik der jüngsten Zeit. Wo immer Daten gesammelt wurden, wurden nach und nach die Beschränkungen zum Zugriff auf diese gelockert.

Wer jetzt glaubt, "die werden mich schon nicht rauswerfen, nur weil ich im Uninetz auf StudiVZ surfe", der sollte sich jetzt fragen, ob überhaupt das ZIH die Möglichkeit in die Hand bekommen sollte, dies zu beobachten.

Dazu noch ein Szenario, das meiner Meinung nach vollkommen aus der Luft gegriffen ist: Es gibt einen Brandanschlag in einer Kaserne in oder um Dresden, und der Staatsschutz vermutet die Verursacher im studentischen Umfeld. Niemand könnte den Staatsschutz dann daran hindern, einen kompletten Auszug der gespeicherten Verkehrsdaten der letzten 5 Tage zu verlangen (und wahrscheinlich zu bekommen). Damit würden dann alle Studenten im ZIH auf potentielle Verdachtsmomente hin untersucht werden.

Ich finde es sehr beunruhigend, dass eine Behörde mal pauschal fast den gesamten Datenverkehr der Uni auswerten könnte. Da würde bestimmt noch was "hinten runterfallen" was zwar nichts mit dem Thema zu tun hat, aber Beobachtungslisten und Demonstrationsverbote wollen vielleicht zu späteren Zeitpunkten mit "Fakten" belegt werden. (Vgl. Heiligendamm, bspw.)

Das schlimme ist, dass das alles nicht so absurd ist, wie es klingt. In letzter Zeit häuften sich die Hinweise darauf, dass es so und ähnlich gehandhabt wird.

Ein weiteres Problem ist, dass sich ein Unbefugter Zugang zum System verschafft. Kein System ist als sicher anzusehen, es gibt keine absolute Sicherheit, man kann nur versuchen im Rennen mit dem Angreifer Schritt zu halten. Sollte nun ein Angreifer versuchen an die Daten heranzukommen und Erfolg haben, hat eben auch dieser ein komplettes Bild über eure persönlichen Vorlieben und Interessen im Internet. Und wenn man den letzten Studien, die durch die Nachrichten gelaufen sind Glauben schenken darf, so verlagern immer mehr Menschen ihre privaten Interaktionen ins Internet.

Stellt euch einfach vor, jemand (ob nun berechtigt oder unberechtigt) kann für einen Zeitraum von mindestens 5 Tagen nachvollziehen welche Webseiten ihr angesurft habt, wieviele Mails ihr geschrieben und empfangen habt, wieviele ICQ/MSN/.. Nachrichten ihr in der Zeit geschrieben habt (und wenn man es clever anstellt, auch an wen), ob ihr RapidShare oder BitTorrent nutzt und welches ihr bevorzugt, ob ihr viele Daten verschlüsselt übertragt (verdächtig!), ob ihr TOR benutzt (sehr verdächtig!), wieviele Daten in welchem Zeitraum ihr über diese Dienste übertragt (lässt Rückschlüsse auf den Inhalt zu).

Sollte wirklich jemand Zugang zu diesen Informationen haben? Euer 08/15 Internetprovider darf diese Daten zu Recht nicht erheben, sondern muss dies im Rahmen der Vorratsdatenspeicherung tun (von der, wie abadd0n schon erklärte, die TU-Dresden nicht betroffen ist). Und in diesem Fall dürfen die Provider auch nicht darauf zugreifen, sondern nur die Strafverfolgungsbehörden im Falle von schwerwiegenden Straftaten.

Das ZIH schafft sich hier aber eine Möglichkeit dies ohne wirkliche Kontrolle zu tun.

Es ist wichtig, dass sich gegen diesen Entwurf auf breiter Front seitens der Studenten und Mitarbeiter Widerstand regt. Bitte geht nicht leichtfertig mit den Begründungen und Intentionen des ZIH um. Wie ich oben schon geschrieben habe, wecken solche Daten sehr viele Begehrlichkeiten.

Zu guter letzt kann man mit den Problemen, die das ZIH mit Spam, Trojanern etc hat, auch anders umgehen, nur diese Komplettüberwachung scheint erstmal die einfachste Lösung zu sein. Aber im Endeffekt löst es keines dieser Probleme, sondern meldet nur schneller, dass diese Probleme bestehen. Und damit rechtfertigt es in keinem Fall die Einrichtung einer solchen Überwachungsmaschinerie.