Ping? Hackertool? Zugriff auf die Zielmaschine
Hallo,
der Titel ist bewusst etwas provokativ gewählt.....
Wir greifen, im Supportfall, durch einen VPN Tunnel auf Maschinen die bei unseren Kunden in isolierten Netzen stehen , mit verschiedenen Tools zu.
Dazu gibt es einen Support Ticket inklusive einer Datenschutz Vereinbarung und einen Support Vertrag.
Dort heißt das jeder Zugriff auf die Kunden Maschine nur in Absprache mit dem Kunden geschehen darf.
Also rechtlich eigentlich alles in trockenen Tüchern.
Jetzt prüft der ein oder andere Kollege aber vor dem Zugriff auf die Maschine ob die Maschine überhaupt erreichbar ist.
Und hier fängt das Problem an.... Ist ein Ping ein Zugriff auf die Maschine?
Meiner Meinung nach ist das kein Zugriff...
Verschiedene Argumente, mit den einschlägigen Paragraphen und Normen wurden ausgetauscht und diskutiert...
Jetzt hätte ich gerne von euch eine Meinung, ist ein ping schon ein ZUGRIFF auf die ZIelmaschine?
brammer
der Titel ist bewusst etwas provokativ gewählt.....
Wir greifen, im Supportfall, durch einen VPN Tunnel auf Maschinen die bei unseren Kunden in isolierten Netzen stehen , mit verschiedenen Tools zu.
Dazu gibt es einen Support Ticket inklusive einer Datenschutz Vereinbarung und einen Support Vertrag.
Dort heißt das jeder Zugriff auf die Kunden Maschine nur in Absprache mit dem Kunden geschehen darf.
Also rechtlich eigentlich alles in trockenen Tüchern.
Jetzt prüft der ein oder andere Kollege aber vor dem Zugriff auf die Maschine ob die Maschine überhaupt erreichbar ist.
Und hier fängt das Problem an.... Ist ein Ping ein Zugriff auf die Maschine?
Meiner Meinung nach ist das kein Zugriff...
Verschiedene Argumente, mit den einschlägigen Paragraphen und Normen wurden ausgetauscht und diskutiert...
Jetzt hätte ich gerne von euch eine Meinung, ist ein ping schon ein ZUGRIFF auf die ZIelmaschine?
brammer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 397454
Url: https://administrator.de/forum/ping-hackertool-zugriff-auf-die-zielmaschine-397454.html
Ausgedruckt am: 24.12.2024 um 20:12 Uhr
11 Kommentare
Neuester Kommentar
Ist ein Ping ein Zugriff auf die Maschine?
Er bringt somit in Erfahrung ob der Rechner läuft (sofern ICMP erlaubt wurde), und könnte daraus halt schließen das User an diesem Rechner aktiv sind. Ist wie wenn du einen Stein gegen ein Fenster wirfst und wartest das jemand ans Fenster geht nur das der User davon hier nichts mitbekommt, der Supporter bewegt sich also in diesem Moment still und heimlich im Netz sofern er dem User das nicht vorher mitgeteilt hat.Er sollte also vor dem Herstellen des VPN den jeweiligen User zumindest benachrichtigen, dann wäre er auf der sicheren Seite. Je nachdem wie ihr das halt in eurem Vertrag geregelt habt.
Gruß A.
Zitat von @brammer:
Jetzt hätte ich gerne von euch eine Meinung, ist ein ping schon ein ZUGRIFF auf die ZIelmaschine?
Jetzt hätte ich gerne von euch eine Meinung, ist ein ping schon ein ZUGRIFF auf die ZIelmaschine?
Nein,
Ein ICMP-Echo-Request in den RFCs definiert und dient nur dazu, die Fehlerfreiheit zu prüfen. Solange man nicht speziell gebaute Ping-Pakete schickt, sogenante Ping of Death, schickt, die Fehler im TCP/IP-Stack ausnutzen, ist da nichts zu beanstanden.
Ansonsten wäre auch jedes Klopfen an einer Haustür schon als Einbruchsversuch zu werten.
lks
Technisch gesehen vielleicht. Schwer zu sagen.
Wäre wohl Auslegungssache. Da könnten sich Juristen sicher Jahre drüber streiten.
Wenn die Prüfung aber ohnehin vor einem geplanten Zugriff stattfindet, sollte dann nicht eh bereits eine Absprache mit dem Kunden sowie eine Erlaubnis für den Zugriff vorhanden sein?
Zur not den Support Vertrag anpassen lassen und gut ist.
PS die Überschrift finde ich weniger Provokant sondern eher irreführend.
Wo soll denn das Thema denn etwas mit Hackertools zu tun haben?
Wäre wohl Auslegungssache. Da könnten sich Juristen sicher Jahre drüber streiten.
Wenn die Prüfung aber ohnehin vor einem geplanten Zugriff stattfindet, sollte dann nicht eh bereits eine Absprache mit dem Kunden sowie eine Erlaubnis für den Zugriff vorhanden sein?
Zur not den Support Vertrag anpassen lassen und gut ist.
PS die Überschrift finde ich weniger Provokant sondern eher irreführend.
Wo soll denn das Thema denn etwas mit Hackertools zu tun haben?
Jetzt prüft der ein oder andere Kollege aber vor dem Zugriff auf die Maschine ob die Maschine überhaupt erreichbar ist. Und hier fängt das Problem an.... Ist ein Ping ein Zugriff auf die Maschine?
Ich persönlich sehe da jetzt kein Problem. Mit einem Ping wird lediglich geprüft, ob die Gegenstelle unter den gegebenen Umständen erreichbar ist oder nicht. Weder wird damit großartig die Netzwerkverbindung belastet noch die Gegenstelle aus dem Gleichgewicht gebracht. Falls doch hat die Gegenstelle oder Strecke ganz andere Probleme.Vergleichen würde ich ein Ping mit dem Blick aus dem Fenster, ob das Auto vom Chef vor der Tür steht bevor ich mich auf den Weg zu seinem Büro mache.
Um Diskussionen aus dem Weg zu gehen würde ich einfach die Supportvereinbarung mit den Kunden entsprechend anpassen.
Hallo,
@brammer: Du frachst vielleicht Dinge.
Wie schon geschrieben, wird mit einem PING geprüft, ob der Kundenrechner, welcher Support benötigt, erreichbar ist.
Durch den PING greift man im Prinzip NICHT auf den Rechner zu.
Denn ein PING ist vergleichbar mit der Anfrage:
Im Zweifelsfall frage doch den zuständigen Landes- oder Bundesdatenschutzbeauftragten.
habe ich auch schon öfters gemacht. Die Anfrage dauert unter Umständen etwas, gerade wegen den häufigen Anfrage bzgl. EU-DSGVO.
Zu guter Letzt, ist Deine Frage gar nicht mal so unlogisch.
Gruss Penny
@brammer: Du frachst vielleicht Dinge.
Wie schon geschrieben, wird mit einem PING geprüft, ob der Kundenrechner, welcher Support benötigt, erreichbar ist.
Durch den PING greift man im Prinzip NICHT auf den Rechner zu.
Denn ein PING ist vergleichbar mit der Anfrage:
- "hörst Du mich?"
- "Hast Du mich verstanden?"
- Bist Du erreichbar?
- Geht es Dir gut?
Im Zweifelsfall frage doch den zuständigen Landes- oder Bundesdatenschutzbeauftragten.
habe ich auch schon öfters gemacht. Die Anfrage dauert unter Umständen etwas, gerade wegen den häufigen Anfrage bzgl. EU-DSGVO.
Zu guter Letzt, ist Deine Frage gar nicht mal so unlogisch.
Gruss Penny
Hallo,
Denk es nicht von der Blechmaschine her, sondern vom Netzwerk. Ihr habt zunächst Zugriff auf das LAN. Das besteht aus Datenkabeln (hier irrelevant) und darauf laufenden Protokollen ( siehe https://de.wikipedia.org/wiki/OSI-Modell). Das Netz mach ohne Knoten keinen Sinn, also habe ihr mit dem Zugang zum LAN auch automatisch Zugriff auf bestimmte Protokolle des LAN: fangen wir mal an und bleiben wir bei OSI:
OSI 1-2: eher unkritisch, ist mit dem Zugriff aufs LAN direkt abgedeckt. Achtung: MAC-Adressen in OSI-2/Ethernet - an die kommt man aber nicht, wenn man in einem anderen Netzwerksegment ist.
OSI 3: Vermittlungsschicht: IP und ICPM - darum geht's also: gehört zur Vermittlungsschicht: ohne die kein Netzwerk.
OSI 4-7: habt ihr im Grunde keinen Zugriff drauf, solange ihr nicht Zugriff auf eine aktive LAN-Komponente habt. Den eigene Traffic wird natürlich "hineingeschmissen" das ist aber eher ein Müllproblem, da ihr auf Anwendungen auf Netzwerkknoten (jedes Gerät mit einer MAC) erst zugreifen könnt, wenn ihr Euch dort angemeldet habe.
Also ich würde folgende Zugriffsbereiche abgrenzen:
1) Zugriff auf LAN OSI 1-3
2) Zugriff auf Dienste, die von Netzwerkknoten zur Verfügung gestellt werden
2a) Dienste, die anonym von allen verwendet werden (z.B. NTP)
2b) Dienste, die nach Benutzerauthentifizierung verwendet werden.
3) Administrativer Zugriff auf Netzwerkknoten
Die Regelung "Anbindung per VPN" sollte Punkt 1 und Punkt 2a enthalten - sonst ist das schon hacken
Die Regelung von Punkt 2b) setzt voraus, dass ihr für Euch zulässige Dienste einen Benutzerzugang habt. Habt ihr keinen, dürft ihr sie eben nicht verwenden.
Punkt 3) ist dann das eigentliche Supportticket.
Zum Thema Personenbezogene Daten:
Wenn die IP oder die MAC Rückschlüsse auf die aktiven Person zulassen (Frau Meier in Zimmer 23 mit der MAC 00:ff:ee:dd:00:11:22:cc hat ihren Rechner an) dann müsst ihr das Regeln. Soll heißen, dass der Betrieb, der den Supportvertrag bei Euch abschließt die Einwilligung von Frau Meier zum Speichern der IP, ggf. MAC? hat und Ihr Euch darauf verlassen könnt.
Sinnvoll wäre eine Regelung, wie sichergestellt ist, dass Administrative Arbeiten a) nicht den Betriebsablauf stören und b) durchgeführt werden können, wenn sie erforderlich sind. (Chef beauftragt IT und sagt Frau Meier, dass sie jetzt mal nicht an Ihren PC kann, da die Wartungskosten zwischen 2:00 und 4:00 Uhr zu teuer für den Chef werden).
wie immer: extends Wikipedia.Hinweise_zu_Rechtsthemen
Grüße
lcer
Zitat von @brammer:
Wir greifen, im Supportfall, durch einen VPN Tunnel auf Maschinen die bei unseren Kunden in isolierten Netzen stehen , mit verschiedenen Tools zu.
Dazu gibt es einen Support Ticket inklusive einer Datenschutz Vereinbarung und einen Support Vertrag.
Ihr habe also einen Zugang zum lokalen Datennetz des Kunden, den ihr nach Eingang des Supporttickets zum Zweck: Support nutzen dürft.Wir greifen, im Supportfall, durch einen VPN Tunnel auf Maschinen die bei unseren Kunden in isolierten Netzen stehen , mit verschiedenen Tools zu.
Dazu gibt es einen Support Ticket inklusive einer Datenschutz Vereinbarung und einen Support Vertrag.
Dort heißt das jeder Zugriff auf die Kunden Maschine nur in Absprache mit dem Kunden geschehen darf.
Also rechtlich eigentlich alles in trockenen Tüchern.
Jetzt prüft der ein oder andere Kollege aber vor dem Zugriff auf die Maschine ob die Maschine überhaupt erreichbar ist.
Abgesehen von der unsauberen Definition des Wortes "Zugriff" ist die Frage aus meiner Sicht anders zu stellen:Also rechtlich eigentlich alles in trockenen Tüchern.
Jetzt prüft der ein oder andere Kollege aber vor dem Zugriff auf die Maschine ob die Maschine überhaupt erreichbar ist.
Denk es nicht von der Blechmaschine her, sondern vom Netzwerk. Ihr habt zunächst Zugriff auf das LAN. Das besteht aus Datenkabeln (hier irrelevant) und darauf laufenden Protokollen ( siehe https://de.wikipedia.org/wiki/OSI-Modell). Das Netz mach ohne Knoten keinen Sinn, also habe ihr mit dem Zugang zum LAN auch automatisch Zugriff auf bestimmte Protokolle des LAN: fangen wir mal an und bleiben wir bei OSI:
OSI 1-2: eher unkritisch, ist mit dem Zugriff aufs LAN direkt abgedeckt. Achtung: MAC-Adressen in OSI-2/Ethernet - an die kommt man aber nicht, wenn man in einem anderen Netzwerksegment ist.
OSI 3: Vermittlungsschicht: IP und ICPM - darum geht's also: gehört zur Vermittlungsschicht: ohne die kein Netzwerk.
OSI 4-7: habt ihr im Grunde keinen Zugriff drauf, solange ihr nicht Zugriff auf eine aktive LAN-Komponente habt. Den eigene Traffic wird natürlich "hineingeschmissen" das ist aber eher ein Müllproblem, da ihr auf Anwendungen auf Netzwerkknoten (jedes Gerät mit einer MAC) erst zugreifen könnt, wenn ihr Euch dort angemeldet habe.
Also ich würde folgende Zugriffsbereiche abgrenzen:
1) Zugriff auf LAN OSI 1-3
2) Zugriff auf Dienste, die von Netzwerkknoten zur Verfügung gestellt werden
2a) Dienste, die anonym von allen verwendet werden (z.B. NTP)
2b) Dienste, die nach Benutzerauthentifizierung verwendet werden.
3) Administrativer Zugriff auf Netzwerkknoten
Die Regelung "Anbindung per VPN" sollte Punkt 1 und Punkt 2a enthalten - sonst ist das schon hacken
Die Regelung von Punkt 2b) setzt voraus, dass ihr für Euch zulässige Dienste einen Benutzerzugang habt. Habt ihr keinen, dürft ihr sie eben nicht verwenden.
Punkt 3) ist dann das eigentliche Supportticket.
Zum Thema Personenbezogene Daten:
Wenn die IP oder die MAC Rückschlüsse auf die aktiven Person zulassen (Frau Meier in Zimmer 23 mit der MAC 00:ff:ee:dd:00:11:22:cc hat ihren Rechner an) dann müsst ihr das Regeln. Soll heißen, dass der Betrieb, der den Supportvertrag bei Euch abschließt die Einwilligung von Frau Meier zum Speichern der IP, ggf. MAC? hat und Ihr Euch darauf verlassen könnt.
Sinnvoll wäre eine Regelung, wie sichergestellt ist, dass Administrative Arbeiten a) nicht den Betriebsablauf stören und b) durchgeführt werden können, wenn sie erforderlich sind. (Chef beauftragt IT und sagt Frau Meier, dass sie jetzt mal nicht an Ihren PC kann, da die Wartungskosten zwischen 2:00 und 4:00 Uhr zu teuer für den Chef werden).
wie immer: extends Wikipedia.Hinweise_zu_Rechtsthemen
Grüße
lcer
Moin,
Um es mal mit einen Vergleich darzustellen:
İmho ist ein Ping wie das Schellen der Türklingel oder das Klopfen an die Haustür:
Wenn man das systematisch macht, um einen Einbruch vorzubereiten, z.B. zum prüfen ob jemand da ist oder um einen "Klingelstreich" zu spielen, dürfte das eindeutig nicht erlaubt sein.
Wenn man hingegen einen legitimen Grund hat, wie z.B. Post zustellen, Handwerksarbeiten durchführen, Freund besuchen, Hausieren , etc., sollte nichts dagegensprechen.
lks
Um es mal mit einen Vergleich darzustellen:
İmho ist ein Ping wie das Schellen der Türklingel oder das Klopfen an die Haustür:
Wenn man das systematisch macht, um einen Einbruch vorzubereiten, z.B. zum prüfen ob jemand da ist oder um einen "Klingelstreich" zu spielen, dürfte das eindeutig nicht erlaubt sein.
Wenn man hingegen einen legitimen Grund hat, wie z.B. Post zustellen, Handwerksarbeiten durchführen, Freund besuchen, Hausieren , etc., sollte nichts dagegensprechen.
lks