trisse
Goto Top

Hotspot im Hotel - Rechtliche Fragen

Guten Tag Zusammen!

Ich bin reiner sysadmin und kein Rechtsverdreher. Wo, wenn nicht hier findet man die Leute, die genau sagen können was ich wissen will? Daher hier die Frage.

Ich betreibe in Zukunft einen Hotspot (Software: pfsense) in einem Hotel. Zur Authentifizierung kommen vouchers zum Einsatz.
Die Beispielausgabe des Logs, wenn ein Gast einen Voucher benutzt, und somit für die Zeit X angemeldet ist, ist die folgende:

Jul 18 22:40:47 VOUCHER LOGIN good for 120 min.: pq6urwZzMS3, 00:05:4e:48:50:40, 10.0.17.250
Jul 18 22:40:51 CONCURRENT LOGIN - REUSING OLD SESSION: pq6urwZzMS3, 00:05:4e:48:50:40, 10.0.17.250
Jul 18 22:40:51 VOUCHER LOGIN good for 119 min.: pq6urwZzMS3, 00:05:4e:48:50:40, 10.0.17.250
Jul 18 22:45:45 LOGOUT: pq6urwZzMS3, 00:05:4e:48:50:40, 10.0.17.250

Was ich habe, zur Identifizierung:
- MAC-Adresse
- IP-Adresse
- Benutztes Voucher

Meine Frage: Was wird gefordert?

Ich habe darüber schon etwas gelesen, allerdings gibt es viele Meinungen dazu, sehr verwirrend.
Auf administrator.de (aus 2008) stammt folgendes Zitat: (in Bezug auf obiges Protokoll)

"
Damit sind alle Forderungen des TKG erfüllt.

Das TKG sieht kein Loging der besuchten Seiten und Inhalte vor. Daher ist es unnötig noch einen Squid einzusetzen. Wenn man das Gesetz so nimmt, wie es geschrieben ist, benötigt man noch nicht mal eine Zuweisung zwischen Käufer des Tickets und des Codes, denn das TKG fordert nur nach einer eindeutigen Kennung des Anschlusses, über welchen das Angebot genutzt wurde, was in diesem Fall die MAC ist.
"

Ist diese Aussage noch aktuell? Ich habe sogar gelesen, dass Einzelverbindungen gar nicht mitprotokolliert werden dürfen.
Was passiert, wenn man mal den Fall durchspielt, dass ein Brief reinflattert der da besagt:
„Es wurden am x um y illegale Filme heruntergeladen! Böse! Zieh deinen Kopf aus der Schlinge!"

Wie geht’s ab da weiter? Reicht das obige log wirklich aus? Ist der zuständige sysadmin (ich) dann berechtigt, das Log vorzuzeigen? Wem eigentlich? Oder müssen die Logs an irgendjemand/irgendetwas übersandt werden, in einem solchen Fall?

Eine letzte Frage: Wie lang darf / muss die Vorhaltezeit sein? Gibt es da ein min. und max.?

Danke!

Content-ID: 248300

Url: https://administrator.de/contentid/248300

Ausgedruckt am: 14.11.2024 um 17:11 Uhr

brammer
brammer 04.09.2014 um 16:31:03 Uhr
Goto Top
Hallo,

eine rechtssichere Auskunft kann / darf dir nur ein Anwalt oder Richter geben.

Ich habe eine "schöne" Zusammenfassung gefunden:

Die Richtlinien in Bezug auf die IT-Compliance leiten sich aus den gesetzlichen Standards, wie zum Beispiel BDSG (Bundesdatenschutzgesetz), TKG (Telekommunikationsgesetz), TMG (Telemediengesetz), UrhG (Urheberrechtsgesetz), StGB (Strafgesetzbuch), BGB (Bürgerliches Gesetzbuch), SOX (Sarbanes-Oxley Act) und EuroSOX ab. Beim Wertpapierhandel sind zusätzlich die Regularien des WpDPV (Wertpapierdienstleistungs-Prüfungsverordnung), sowie des MiFID zu beachten. Alle diese Richtlinien leisten jedoch keine Unterstützung in Bezug auf den Betrieb von IT-Systemen, indem konkrete Forderungen oder Hinweise angegeben werden. In Bezug auf Dokumentationsvorschriften ist dies noch weniger der Fall.

Quelle

brammer
aqui
Lösung aqui 04.09.2014 aktualisiert um 19:33:52 Uhr
Goto Top
Das hiesige Tutorial hast du gelesen: ??
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

Dort stehen auch diverse Anmerkungen zu rechtlichen Fragen die in D televant sind (Störerhaftung).
In der Regel reicht ein entsprechender Hinweis auf der Portal Page der pfSense (Beispiel im Thread) und ein simples Mitloggen der Authentisierung. Mit den Vouchern und der einzigartigen Mac Adresse ist eine Rückverfolgung des Useres leicht machbar für Strafverfolgungsbehörden. Und nur darum geht es.
Die o.a. Aussage ist also noch uneingeschränkt gültig.
trisse
trisse 04.09.2014 aktualisiert um 18:26:38 Uhr
Goto Top

Ja und dort steht so gut wie garnichts neues für mich. Die dort angeprisese Firewall-lösung betreibe ich ebensfalls.
Rechtlich gesehen, stehen dort aber keine Infos. (Vorhaltezeit, ablauf, was genau loggen, etc.)
Unter dem Punkt "Gastlogins zum Nachweis mitprotokollieren" steht hauptsächlich, wohin ich mit meinen logs soll, etc. Aber ich wüsste gern, welchen INHALT die logs haben müssen, um sauber zu bleiben. Anders ausgedrückt: Reicht das, was pfsense (reicht das, was pfsense + squid-proxy wahlweise) logt, um sauber zu bleiben.
Einen RPI als syslog server zu nutzen.. Jein. SD-Karten haben bei ständigen gebrauch (=syslog) eine SEHR begrenzte lebensdauer. Festplatte kann man auch direkt an der FW betreiben und die logs darauf lauslagern. Man will nicht mehr Fehlerquellen aufbauen als ausmerzen.

Zitat von @aqui:
Dort stehen auch diverse Anmerkungen zu rechtlichen Fragen die in D televant sind (Störerhaftung).
Leider nicht..

Zitat von @aqui:
(...)
Mit den Vouchern und der einzigartigen Mac Adresse ist eine Rückverfolgung des Useres leicht machbar
für Strafverfolgungsbehörden. Und nur darum geht es.

Diese Aussage ist sehr erfreulich. Du sagst, es geht um die Strafverfolgungsbehörden, die die MAC interessiert. Hieße das, dass man im Falle des Falles die MAC vorlegen muss und NICHT die zugehörigen Verbindungen nach draußen (mit ref auf die entsprechende MAC)?
Das würde mein Verständniss davon auf den Kopf stellen.

Ich dachte bisher immer:
Die brauchen einen Nachweis, dass jene mac zu einem Zeitpunkt dies und jenes gemacht hat. (Protokoll der Verbindungen)

und richtig scheint folgendes:
Die brauchen nur den Nachweis, dass jene mac zu einem bestimmten Zeitpunkt aktiv war.
.. was die ganze Sache erheblich vereinfachen würde.

Ich frage mal den Anwalt meines vertrauens und lasse mir das mal erzählen.
Ich melde mich nochmals, wenn ich eine gesicherte Aussage habe!

Bis dahin bin ich für weitere mutmaßungen offen!
aqui
Lösung aqui 04.09.2014 aktualisiert um 19:33:42 Uhr
Goto Top
Ja und dort steht so gut wie garnichts neues für mich
Es gibt auch nix Neues dazu im rechtlichen Umfeld. Es ist eher mit einer leichten Lockerung der Störerhaftung zu rechnen in letzter zeit. Aktuelle Rechtsprechungen dazu zeigen das !
Die dort angeprisese Firewall-lösung
Wir sind ein technisches Forum hier und preisen hier nichts an, denn sonst wären wir ja ein Verkaufsforum. Es geht also mitnichten ums Anpreisen sondern um technische Fakten und ToDos !
keine Infos. (Vorhaltezeit, ablauf, was genau loggen, etc.)
Die gibt es auch nicht. Der Gesetzgeber lässt diese auch bewusst offen !
Laut aktueller Rechtsprechung reicht schon eine rechtlich wasserdichte Belehrung auf der Portalseite. Es kann aber niemals schaden ein klein wenig mehr zu machen und die Voucher und Userdaten mitzuloggen.
Der Gesetzgeber schreibt keinerlei Form vor, deshalb gibt es auch keine. Es reicht aber völlig nichtflüchtige Daten wie Mac Adresse Uhrzeit usw. zu loggen !
Einen RPI als syslog server zu nutzen.. Jein.
Das was du zu den SD Karten sagst ist heutzutage falsch. Allerdings ist die Aussage "SEHR begrenzte lebensdauer. " ziemlich diffus und relativ. Auf eine höhere einstellige Jahreszahl gesehen mag das angehen, es kommt aber auch auf die Nutzung an. Die IO Operationen bei ca. 50 geloggten Gästen ist aber so minimal das das irrelevant ist.
So oder so würde man diese Logging Daten auch niemals auf die OS SD schreiben sondern immer auf einen angesteckten USB Stick der nicht betroffen ist. Das hat zudem den Vorteil das du die Daten quasi immer "griffbereit" hast. Außerdem schreibt man über Zeit nicht die OS SD voll.
Realistisch würde man aber für ein etwas verlässlicheres System ein kleines Home NAS System (Synology, QNAP etc.) nehmen. Alle diese Systemem haben einen Syslog Server an Bord der diese Daten wasserdicht sichert.
Oder eben USB Platte direkt.
Leider nicht..
Doch, wenn man alle Folgethreads und Links liest...
Ich dachte bisher immer:
Nein, de facto nicht so. Du musst nur diese Daten zur Verfügung stellen und bist raus. Wie und mit welchen Methoden der Täter festgestellt wird ist nicht deine Aufgabe !
Abgesehen davon darfst du ein vollständiges Bewegungsprofil der User auch gar nicht mitloggen, denn das verstößt dann deinerseits wieder gegen Datenschutzbestimmungen.
ch frage mal den Anwalt meines vertrauens
Das ist das Allerbeste !
weitere mutmaßungen
Keine wirklich gute Idee im juristischen Bereich ! Frag den Anwalt, dann bist du sicher !
trisse
trisse 04.09.2014 um 19:36:32 Uhr
Goto Top
Zitat von @aqui:
Die gibt es auch nicht. Der Gesetzgeber lässt diese auch bewusst offen !
Laut aktueller Rechtsprechung reicht schon eine rechtlich wasserdichte Belehrung auf der Portalseite. Es kann aber niemals schaden
ein klein wenig mehr zu machen und die Voucher und Userdaten mitzuloggen.
Der Gesetzgeber schreibt keinerlei Form vor, deshalb gibt es auch keine. Es reicht aber völlig nichtflüchtige Daten wie
Mac Adresse Uhrzeit usw. zu loggen !
Perfekt, danke!
Ich nahm an, dass es gäbe eben diese strikte Form, die ich so vergeblich suche. Das Thema ist damit erfolgrecih abgeschlossen!