Entschuldigt mal, aber ihr wollt doch nicht im Ernst behaupten, (QIC|Travan|DAT|DTS|CDR)-Medien für ein simples IP-Log von sechs Monaten übersteige die finanziellen Möglichkeiten von kleinen Providern? Und das die Sicherheitskopien irgendwo ungeschützt im Büro rumliegen? Wohl kaum, oder?

Worüber man eher streiten könnte ist, ob die IP-Logs überhaupt irgend jemanden etwas angehen. Da finde ich aber ganz klar: Ja, das tun sie, den wenn jemand übers Internet angegriffen wird, sollte er auch das Recht haben, herauszufinden, von wem der Angriff kam.

Ich kann deine Bedenken zwar verstehen, aber sehen wir uns die Sache doch mal von der anderen Seite her an.

Angenommen, ich besässe ein mittleres Unternehmen, das unter anderem einen Webshop betreibt (ist nicht so, dient nur als Beispiel ;-). Eines Tages stellt der Admin fest, dass sich jemand vom Internet her unberechtigt Zugang zu unserem Firmenserver verschafft hat, auf dem unter anderm die Kundendaten liegen. Wahrscheinlich hat er die Daten auf seinen Rechner runtergeladen. Aus unseren Logs kann der Admin die IP-Adresse des Angreifers und den Zeitpunkt des Angriffs ableiten. Ich stelle also fest, welchem Provider die Adresse gehört, und frage ihn, wer denn zu jener Zeit mit dieser IP Online war.

Wenn ich dann ein "tut uns leid, diese Daten bewahren wir nicht auf" höre, komme ich mir doch ein bisserl vergeiackert vor. Und meine Kunden erst...

Einzelfall? Unwahrscheinlich? An den Haaren herbeigezogen?

Ich glaube nicht...

Der Provider hat uebrigens nicht andere Provider nach IP Nummern zu fragen. Fuer die Ermittlung gibt es ne Polizei.

So wars auch gemeint. Ich habe etwas vereinfacht (sorry).

Stellen wir noch einige Kameras rein und beim halbjaehrlichen Inventar sehen, wir dann das eine Schokoloade fehlt und beginnen nun die letzten 6 Monate in den Kameraaufzeichnungen abzuscannen.

In fast jedem Lagerhaus Europas stehen Kameras. Wegen einer Tafel Schockolade wird noch niemand einen Aufstand machen. Aber ich rede hier ja auch von ärgeren Sachen (geklaute Kundendaten sind für die betroffene Firma lebensbedrohlich). Und wenn dann mal eben so ein paar Palett Schockolade verschwinden, dann werden die Videobänder solange abgesucht, bis man die entsprechende Stelle findet, dass kannst du mir glauben.

Angenommen, ich besässe ein mittleres Unternehmen, das unter anderem einen Webshop betreibt (ist nicht so, dient nur als Beispiel ;-). Eines Tages stellt der Admin fest, dass sich jemand vom Internet her unberechtigt Zugang zu unserem Firmenserver verschafft hat, auf dem unter anderm die Kundendaten liegen.

Sensible Kunden-Daten laesst man auch nicht ueber Internet erreichbar. Ich vertrete hier die Meinung, bei wem eingebrochen werden kann und bei dem Daten gestohlen werden koennen ist selber schuld. Auf lame Admins nimmt man keine Ruecksicht.

Ich stelle also fest, welchem Provider die Adresse gehört, und frage ihn, wer denn zu jener Zeit mit dieser IP Online war.

Und das nuetzt dir konkret was? Die Daten koennen einfach bereits weit gestreut sein... dann nuetzt dir das herzlich wenig.

Wenn ich dann ein "tut uns leid, diese Daten bewahren wir nicht auf" höre, komme ich mir doch ein bisserl vergeiackert vor.

Und ich komme mir vergeiackert vor, wenn ich zum glaesernen Benutzer werde. Du musst dir auch ueberlegen, was schwerer wiegt - die niedrigen, kommerziellen Beduerfnisse deines Webshops oder das Wohl vieler Menschen.
--
Anyone can make an omelet with eggs. The trick is to make one with none.

Sensible Kunden-Daten laesst man auch nicht ueber Internet erreichbar.

Nicht jeder Datenklau geht auf das Konto eines unfähigen SysOps.

Jeder Schutz ist Unterwanderbar. Wenn die Kundendaten nicht physikalisch vom Internet getrennt sind (macht wenig Sinn bei einem Webshop), können sie prinzipiell von jemandem eingesehen werden, der das Sicherheitssystem knackt.

Und das nuetzt dir konkret was?

Klar, den Schaden hab ich so oder so. Aber wenn ich den Schuldigen finde, dann habe ich wenigstens jemanden, der dafür aufkommen muss!

Und ich komme mir vergeiackert vor, wenn ich zum glaesernen Benutzer werde.

Jetzt mach mal 'n Punkt. Es geht hier ja nicht um Rasterfahndung. Ohne Strafanzeige geht erst mal gar nichts. Und mit der Liste allein kann die Polizei nur herausfinden, wer wann Online war. Ob du auf einer bestimmten Webseite warst, wird erst klar, wenn deren Logfiles auch noch angesehen werden. Und das geht ja auch nicht einfach so.

PS: Stell dir mal vor, du wärst Kunde bei eben jenem Webshop, und es währen deine Daten, die da geklaut wurden. Würdest du dann immer noch so denken?

Klar, den Schaden hab ich so oder so. Aber wenn ich den Schuldigen finde, dann habe ich wenigstens jemanden, der dafür aufkommen muss!

Zu bloed, dass Daten und ein Imageverlust nicht als Sachwerte gelten.

Jetzt mach mal 'n Punkt. Es geht hier ja nicht um Rasterfahndung. Ohne Strafanzeige geht erst mal gar nichts.

Entweder kriegt der Staat immer eine richterliche Genehmigung oder der Staat aendert die Gesetze so, dass er immer Zugriff auf die Logfiles haben kann (-> VUePF).

Und viele Leute haben sich noch nie wirklich Gedanken gemacht, was man mit Verbindungs-Eckdaten anstellen kann...

PS: Stell dir mal vor, du wärst Kunde bei eben jenem Webshop, und es währen deine Daten, die da geklaut wurden. Würdest du dann immer noch so denken?

Ja
--
Anyone can make an omelet with eggs. The trick is to make one with none.

Ich sehe schon, hier erübrigt sich jede weitere Diskussion. Anscheinend sind Anonymität und Freiheit für dich die höchsten Güter, vor denen alle anderen Interessen zurücktreten müssen.

Ich akzeptiere diese Einstellung, aber ich teile sie nicht. Nicht das ich diese Güter als unwichtig empfinden würde. Aber ich denke doch, dass es noch andere, gleich wichtige Werte gibt.

Wie Bitte? Hab ich das richtig verstanden? Wenn bei mir eingebrochen wird, bin ich Schuld daran, weil ich ein dickeres Schloss an die Tür hätte machen können?

Gehts dir eigentlich noch gut? Nur mal so zur Information:

1. Jedes Sicherheitssystem kann geknackt werden. Einen guten SysOp zu haben, bringt zwar viel, aber es schützt dich nicht vollständig vor Schaden.
2. Das Internet ist kein rechtsfreier Raum! Das ist nicht der wilde Westen! Da gibt es nationale und internationale Gesetze. Und das war verdammt noch mal immer schon so. Nur hat man früher nicht so drauf geachtet.

Also, wenn du dir eine Anarchie wünschst, wo der stärkere Recht hat, dann bitte sehr, wünsch dir das meinetwegen. Aber verschon mich davon.

Also, wenn du dir eine Anarchie wünschst, wo der stärkere Recht hat, dann bitte sehr, wünsch dir das meinetwegen.

Du weisst aber schon, was Anarchie bedeutet?
--
Anyone can make an omelet with eggs. The trick is to make one with none.

Anarchie: Regierungsloser Zustand, in dem jeder frei ist, zu tun oder zu lassen was er will, solange er mit den Konsequenzen leben kann.

Soweit die Theorie. In der Praxis funktioniert das nur, wenn alle Beteiligten gleich stark sind, was leider fast nie der Fall ist. In der Regel läft das ganze auf Faustrecht hinaus. Ein kurzer Blick in die Geschichtsbücher wird dir das bestätigen.

f'up2me bitte, da OT

Ich kann mich nicht erinnern, geschrieben zu haben, der Server mit den Kundendaten stehe im Internet. Es seie denn, du meinst: "Kundendaten, besonders sensible, gehören halt nicht auf einen Computer, der in irgend einer Art und Weise mit dem Internet verbunden ist."

In dem Fall müsste man alle Kundendaten auf Insel-Systeme setzen. Das ist aber nicht sehr praktisch. Die Kundendaten, und deren Änderungen müssten manuell eingegeben werden. Und auch wieder manuell nachgeschlagen, versteht sich.

Heute macht das kein Mensch mehr so. Amazon nicht, und ThinkGeek nicht. Und Symlink auch nicht, wenn wir schon dabei sind.