Bombentrichter
4. ZIH-FrühwarnsystemNico hat zur Stellungnahme des FSR Informatik zum aktuellen Entwurf des ZIH zur Einführungeines Frühwarnsystems eine Zusammenfassung erstellt, welche allgemeinverständlicher ist. Inder Sitzung werden letzte fragliche Passagen im Dokument besprochen und ausgebessert.Anschließend beantragt Nico die von ihm ausgearbeitete Zusammenfassung der Stellungnahmezum FWS im ZIH, im Namen des FSR veröntlichen zu dürfen.Abstimmung: ja: 11, nein: 0, Enth.: 1 ! Antrag angenommenDie Stellungnahme wird demnächst an den StuRa weitergeleitet und bei diesem auf einerWebsite zu nden sein.
5. ZIH-FrühwarnsystemNachdem der FSR von den Plänen des Frühwarnsystems erfahren hat (siehe letztes Protokoll),haben wir in der letzten Woche viele Gespräche mit auf diesem Gebiet sachkundigenPersonen geführt. An dieser Stelle vielen Dank an alle, die sich konstruktiv eingebrachthaben!Wir begrüßen, dass mittlerweile die Meinung der Betroffenen (Administratioren, Mitarbeiter,Studenten) offziell erwünscht ist. Herr Syckor (IT-Sicherheitsbeauftragter des ZIH) und HerrHerber (Datenschutzbeauftragter der TU) haben sich heute die Zeit genommen, mit uns überdie Problematik zu reden.Laut Herrn Herber lässt sich das Vorhaben datenschutzrechtlich durch Telemediengesetz,Sächsisches Hochschulgesetz und IuK-Rahmenordnung rechtfertigen. Allerdings bezieht sichdiese Argumentation nur auf die Bereiche, für die die IuK-Rahmenordnung gilt. In anderenüber das ZIH ans DFN angebundenen Subnetzen (z.B. SLUB, HTW, . . . ) soll das Frühwarnsystemdeshalb nicht genutzt werden. Ein 100%iger Schutz vor Angriffen aus dem Netz kanndurch das System schon deshalb nicht gewährleistet werden. Eine Argumentation, dass einsolch absoluter Schutz notwendig ist (z.B. um nicht wegen Spamversand auf Blacklists zugelangen) und daher das System angeschaft werden muss, ist daher nicht sinnvoll. Lautden Anwesenden wäre es möglich, einzelne Subnetze (z.B. von Gremien oder Instituten) aufWunsch von diesem System auszuschließen. Wir würden eine entsprechende Regelung sehrbegrüßen.Herr Syckor hat in einer Präsentation die Sicherheitsprobleme der letzten Jahren und dasgeplante Frühwarnsystem vorgestellt. Das Hauptproblem war im Jahr 2007 vor allem derSpamversand. Dieser konnte durch Sperren von Port 25 in betroffenen Subnetzen (vor allemStudentenwohnheime) aber effektiv reduziert werden. In diesem Jahr gab es bereits sehr vieleVorfälle, diese waren fast ausschließlich auf den Conficker-Wurm zurückzuführen. Dieser ließesich allerdings auch auf andere Weise (Ports für Win-RPC sperren, aktive Scans oder Traf-ficanalyse) ohne Speicherung der Verkehrsdaten effektiv bekämpfen. Auch für die anderengenannten Probleme (DoS, Portscanning, SSH-Passwort-Raten) gibt es effektive Methoden(QoS), die ohne Speicherung auskommen. Die zwingende Notwendigkeit des Systems, insbesondereder Speicherung der Verkehrsdaten, ging aus der Präsentation nicht hervor.Wir haben deshalb mehrfach bezüglich der Notwendigkeit nachgefragt. Als Hauptargumentwurden die Erhöhung der Dienstqualität und der Schutz von unbedarften Nutzern im Netzgenannt. Als Beispiel wurde angebracht, wie teuer es wäre, wenn durch einen VirenbefallDaten auf einem Institutsrechner verloren gehen würden. Im Gegensatz zu unseren Erwartungenbesteht die Notwendigkeit nicht darin, das ZIH vor Problemen durch Angriffen ausdem Netz zu schützen. Die genannten Ziele können nach unserer Auffassung die Speicherungder persönlichen Daten keinesfalls rechtfertigen. Die Existenz der von uns genannten Risikendes Systems (Missbrauchspotential, Gefahr, dass Fremde an die Daten gelangen können, zuerwartende neue Begehrlichkeiten, spätere Ausweitung der Nutzung durch Umkonfiguration)wurden vom Datenschutzbeauftragten betätigt. Die Brisanz sei ihm vollkommen klar.Die in den Entwürfen genannten Meta-Ereignisse sind viel zu ungenau spezifiziert. Im Gespräch wurde deutlich, dass das ZIH deutlich brisantere Daten in diese relativ frei zugänglichenDatensätze aufnehmen möchte, als wir uns bisher vorgestellt haben. Wir lehnen ab,dass persönliche Daten wie IP-Adressen für Forschungszwecke genutzt werden dürfen. Nachaktuellen Plänen könnte die Menge der übertragenen Daten für jede einzelne IP abgerufenwerden. Dies würde beispielsweise erlauben, recht genau zu überprüfen, welcher Mitarbeiteran welchem Tag in der Uni gearbeitet hat oder wann welcher Student zu Hause im Wohnheimwar. Es muss viel genauer festgeschrieben werden, welche Metadaten in welcher Formberechnet werden dürfen und wie der Zugriff auf diese erfolgen soll. In welcher Form die Kontrolle(z.B. durch den Datenschutzbeauftragten) erfolgen soll, ist auch noch nicht detailliertfestgelegt.Es wurde zugegeben, dass es technische Grenzen des Systems gibt. Das System entdecktnur Anomalien im Datenstrom. Kontinuierliche Angriffe (z.B. langsam steigende Anzahl anConficker-Infektionen) würde das System nicht erkennen. Andererseits ist mit vielen FalsePositives zu rechnen. Diese würden insbesondere in der Lernphase auftreten, könnte aberauch durch sonstige Anomalien wie beispielsweise den starken Traffc-Anstieg nach einemUbuntu-Release geschehen. Es gab keine sichere Antwort, ob das System die Arbeit erleichternwird.Der FSR sieht nach wie vor keine Notwendigkeit für die Einführung der überwachungsinfrastrukturund wird sich dagegen einsetzen.Abstimmung: ja: 13, nein: 0, Enth.: 0 ! Antrag angenommenDa es nicht absehbar ist, ob sich die überwachungsinfrastuktur verhindern lässt, wird sich derFSR auch konstruktiv im Sinne der Studierendenschaft an den Ausarbeitungen beteiligen.Abstimmung: ja: 11, nein: 0, Enth.: 2 ! Antrag angenommen
7. FrühwarnsystemDer FSR hat von Herrn Syckor vom ZIH auf Nachfrage einen Entwurf über ein Frühwarnsystemerhalten, welches Sicherheitsprobleme frühzeitig erkennen soll und dessen Einführungfür den Sommer 2009 geplant ist.Die Notwendigkeit wird mit der stark ansteigenden Anzahl von sicherheitsrelevanten Vorfällenim Netz der TU begründet. Bisher wird das ZIH nur vom DFN über Probleme informiert.Das DFN setzt zur Erkennung Honeypots ein. Mit Hilfe des neuen Frühwarnsystems sollenVorfälle zukünftig schneller und eektiver erkannt werden.Das neue System soll alle Pakete analysieren, die das Uninetz verlassen oder betreten. Verkehrsdaten(TCP-/IP-Header) sollen für 5 Tage gespeichert werden. Nach unserer Auassunghandelt es sich dabei um persönliche Daten, da (insbesondere auf Grund der vielen statischvergebenen IP-Adressen) eine eindeutige Zuordnung zu den Nutzern besteht. Die gespeichertenDaten (unter anderem Quell- und Ziel-IP-Adressen, MAC-Adressen, Portnummern,Zeitstempel) lassen viele Rückschlüsse auf den Nutzer und seine Kommunikationsinhalte zu.Eine Speicherung würde zu einem nicht unerheblichen Missbrauchspotential und weiterenBegehrlichkeiten führen.Uns wurden noch keine genauen Daten über die Häufigkeit und Art der Sicherheitsproblemevorgelegt. Wir können uns nur schwer vorstellen, dass die Situation so kritisch ist, dass eseinen derart schwerwiegenden Eingriff rechtfertigen könnte. Wir werden versuchen, dazu genauereInformationen (aus möglichst objektiven Quellen) zu bekommen. Weiterhin sind unskeine überlegungen zu alternativen Manahmen bekannt, über solche sollte aber unbedingtnachgedacht werden.Weiterhin wird bezweifelt, dass für das geplante System eine Speicherung der persönlichenDaten über einen solch langen Zeitraum (5 Tage) nötig ist. Es existieren alternative Systeme,bei denen die Analyse quasi live erfolgt (ohne Speicherung der Mitschnitte), so dass nurMeta-Ereignisse abgerufen werden können.Im Entwurf sind mehrere Fälle für den Zugriff auf die Daten vorgesehen, die sehr unpräziseund zum Teil fragwürdig sind: Strafverfolgung Forschung Verstöße gegen die RahmennetzordnungKritisiert wird insbesondere auch, dass die Betroenen noch nicht offiziell über die Pläneinformiert wurden.Abstimmung: Der FSR lehnt die im Entwurf der Ordnung zum Betrieb eines Frühwarnssystems(FWS) im Datennetz der TU Dresdenformulierten Manahmen zum Aufbau einesFrühwarnsystems des ZIH in seiner jetzigen Form entschieden ab.Meinungsbild: ja: 19, nein: 0, Enth.: 0Zu einem konstruktiven Dialog über mögliche Maßnahmen zur Verbesserung der IT-Sicherheitan der TU Dresden besteht von Seiten des FSR großes Interesse.
...2.Drei Studierende des FSR Informatik besuchen die GF ummit ihr über ihre Aktion gegen das Frühwarnsystem der Uni zusprechen.Sie wollen die Problematik verstärkt in dieÖffentlichkeit tragen. Sie bitten auf dem StuRa Server eineSubdomain zu diesem Zweck einzurichten, Christian Jakobsbietet aber an eine eigene Seite auf der StuRa Seiteeinzurichten. - dies wird genehmigt Außerdem bieten wirunsere Hilfe bei Pressearbeit u.ä.an....
Jens SyckorSitz: WIL, Raum A 313 Telefon: +49 351 463-32988Fax: +49 351 463-37773E-Mail: jens.syckor@tu-dresden.deBesucheradresse:Technische Universität DresdenWillers-Bau A 313Zellescher Weg 1201069 Dresden
Liebe Studierende,wie ihr vielleicht mitbekommen habt, hat das ZIH eine Ordnung zu einem"Frühwarnsystem" entworfen. Ich wurde gebeten, die Thematik fürNicht-Nerds verständlich zu erklären... (Da sonst die Übersicht komplettverloren geht, hab ich die Erklärungen zu den Fachbegriffen als Fußnotengesetzt.)Also:Mit diesem System soll - um die Sicherheit im Uni-Netz zu erhöhen - derDatenverkehr zwischen Uni-Netz (und jedem Rechner darin, also auchWohnheime) und Internet automatisch auf verdächtiges Verhalten überwachtwerden.Dazu werden die sogenannten IP-Header[1] jedes Daten-Pakets gespeichert,alle 5 Minuten zentral gesammelt und ausgewertet. Darin stehen u.a. dieIP-Addresse [2], die MAC-Addresse [3], der Port [4] - diese drei Sachenauch noch jeweils von Sender UND Empfänger - und natürlich das Datumsowie die genaue Uhrzeit. Da bei uns die IP-Addressen fest vergebenwerden und MAC-Addressen sich normalerweise bei einem Computer nicht sooft ändern, kann man damit (selbst beim WLAN) Verbindungen nach draußeneinzelnen Computern zuordnen - und da man sich an der Uni überallanmelden muss, um PC- und Internet-Zugang zu erlangen, auch einzelnenPersonen. Am Port sieht man zumindest grob, welche (Art) Programme damiteinander reden, bzw. welche Art von Verbindung es ist.Es soll also gespeichert werden, wer mit wem, wie, wann und wie langekommuniziert hat. Das ganze will das ZIH für 5 Tage auf Vorrat halten,ausserdem anonymisiert für 30 Tage.Das System soll für ca. 7 Tage "angelernt" werden, damit es weiß, wasfür Internet-Verkehr bei uns normal ist und dann bei abnormalemVerhalten - hoffendlich binnen weniger Minuten - Alarm schlagen. Dannsoll sich der Admin, der für den Netz-Bereich zuständig ist, daranmachen das Problem zu beheben. So will man frühzeitig erkennen, ob einRechner z.B. Werbemails verschickt oder jemand irgendwelche bösen Dingebei Uni-Rechnern versucht.Die Speicherung ist für die Funktion des FWS nicht nötig, das ZIH möchteaber gerne im Zweifelsfall gucken können, was in den letzten Tagen beieinem Rechner passiert ist. Dabei soll laut dem momenten Entwurf auchder TU-Datenschutzbeauftragte ein Wörtchen mitzureden haben.Was bedeutet das jetzt?Dass der Datenverkehr überwacht werden soll, ist schon prinzipiellsch...lecht, lässt sich jedoch wohl nur noch schwer verhindern. Aber dieSpeicherung persönlicher und personenbeziehbarer Daten ist - zumindestmeiner Meinung nach - jenseits von Gut und Böse. Das Anhäufen solcherDaten birgt immer nicht nur ein großes Missbrauchspotential und dieerhöhte Gefahr, dass durch Fehlkonfigurationen oder einem technischenFehler schwerer Schaden angerichtet werden kann. Sondern es weckt auchBegerlichkeiten bei "Bedarfsträgern" und anderen Interessenten. AlsoPolizei, Musik-Industrie etc.. Denn sind die Daten erstmal DA, kommt manauch relativ leicht per Gerichts-Beschluss dran.Die Speicherung müssen wir also auf jeden Fall verhindern, besser wärenatürlich gleich das ganze System.[1] eine Art elektronischer Paketschein[2] vergleichbar mit einer Telefonnummer[3] eine auf der ganzen Welt einzigartige Kennung der Netzwerkkarte[4] kann man sich als die Kanäle beim Fernsehen vorstellen, z.B.:Webseiten "guckt" man über Port 80 und Mail geht über 25Wenn ihr Fragen habt, immer her damit. Ich komme auch gerne mal vorbei.AljoschaRF Datenschutz
Die fünf Zeilen hinsichtlich der Vorratsdatenspeicherung hier: http://bombentrichter.de/showpost.ph...2&postcount=23hatte ich gar nicht zur Kenntnis genommen.
Das ist dann aber so, dass ich mit der Keule aushole auf jemand Ziele und bewußt trotzdem einen anderen treffe? Mir ist so übel...Welt mir graut vor Dir!
