brammer
Goto Top

Ping? Hackertool? Zugriff auf die Zielmaschine

Hallo,

der Titel ist bewusst etwas provokativ gewählt.....

Wir greifen, im Supportfall, durch einen VPN Tunnel auf Maschinen die bei unseren Kunden in isolierten Netzen stehen , mit verschiedenen Tools zu.
Dazu gibt es einen Support Ticket inklusive einer Datenschutz Vereinbarung und einen Support Vertrag.
Dort heißt das jeder Zugriff auf die Kunden Maschine nur in Absprache mit dem Kunden geschehen darf.
Also rechtlich eigentlich alles in trockenen Tüchern.

Jetzt prüft der ein oder andere Kollege aber vor dem Zugriff auf die Maschine ob die Maschine überhaupt erreichbar ist.

Und hier fängt das Problem an.... Ist ein Ping ein Zugriff auf die Maschine?

Meiner Meinung nach ist das kein Zugriff...
Verschiedene Argumente, mit den einschlägigen Paragraphen und Normen wurden ausgetauscht und diskutiert...

Jetzt hätte ich gerne von euch eine Meinung, ist ein ping schon ein ZUGRIFF auf die ZIelmaschine?

brammer

Content-ID: 397454

Url: https://administrator.de/contentid/397454

Ausgedruckt am: 24.11.2024 um 01:11 Uhr

137846
Lösung 137846 08.01.2019 aktualisiert um 15:48:49 Uhr
Goto Top
Ist ein Ping ein Zugriff auf die Maschine?
Er bringt somit in Erfahrung ob der Rechner läuft (sofern ICMP erlaubt wurde), und könnte daraus halt schließen das User an diesem Rechner aktiv sind. Ist wie wenn du einen Stein gegen ein Fenster wirfst und wartest das jemand ans Fenster geht face-smile nur das der User davon hier nichts mitbekommt, der Supporter bewegt sich also in diesem Moment still und heimlich im Netz sofern er dem User das nicht vorher mitgeteilt hat.
Er sollte also vor dem Herstellen des VPN den jeweiligen User zumindest benachrichtigen, dann wäre er auf der sicheren Seite. Je nachdem wie ihr das halt in eurem Vertrag geregelt habt.

Gruß A.
Lochkartenstanzer
Lösung Lochkartenstanzer 08.01.2019 um 15:43:28 Uhr
Goto Top
Zitat von @brammer:

Jetzt hätte ich gerne von euch eine Meinung, ist ein ping schon ein ZUGRIFF auf die ZIelmaschine?



Nein,

Ein ICMP-Echo-Request in den RFCs definiert und dient nur dazu, die Fehlerfreiheit zu prüfen. Solange man nicht speziell gebaute Ping-Pakete schickt, sogenante Ping of Death, schickt, die Fehler im TCP/IP-Stack ausnutzen, ist da nichts zu beanstanden.

Ansonsten wäre auch jedes Klopfen an einer Haustür schon als Einbruchsversuch zu werten.

lks
Bem0815
Lösung Bem0815 08.01.2019 um 15:49:42 Uhr
Goto Top
Technisch gesehen vielleicht. Schwer zu sagen.
Wäre wohl Auslegungssache. Da könnten sich Juristen sicher Jahre drüber streiten.

Wenn die Prüfung aber ohnehin vor einem geplanten Zugriff stattfindet, sollte dann nicht eh bereits eine Absprache mit dem Kunden sowie eine Erlaubnis für den Zugriff vorhanden sein?

Zur not den Support Vertrag anpassen lassen und gut ist.


PS die Überschrift finde ich weniger Provokant sondern eher irreführend.
Wo soll denn das Thema denn etwas mit Hackertools zu tun haben?
manuel-r
Lösung manuel-r 08.01.2019 um 16:29:53 Uhr
Goto Top
Jetzt prüft der ein oder andere Kollege aber vor dem Zugriff auf die Maschine ob die Maschine überhaupt erreichbar ist. Und hier fängt das Problem an.... Ist ein Ping ein Zugriff auf die Maschine?
Ich persönlich sehe da jetzt kein Problem. Mit einem Ping wird lediglich geprüft, ob die Gegenstelle unter den gegebenen Umständen erreichbar ist oder nicht. Weder wird damit großartig die Netzwerkverbindung belastet noch die Gegenstelle aus dem Gleichgewicht gebracht. Falls doch hat die Gegenstelle oder Strecke ganz andere Probleme.
Vergleichen würde ich ein Ping mit dem Blick aus dem Fenster, ob das Auto vom Chef vor der Tür steht bevor ich mich auf den Weg zu seinem Büro mache.
Um Diskussionen aus dem Weg zu gehen würde ich einfach die Supportvereinbarung mit den Kunden entsprechend anpassen.
Penny.Cilin
Lösung Penny.Cilin 08.01.2019 um 17:36:57 Uhr
Goto Top
Hallo,

@brammer: Du frachst vielleicht Dinge. face-wink
Wie schon geschrieben, wird mit einem PING geprüft, ob der Kundenrechner, welcher Support benötigt, erreichbar ist.
Durch den PING greift man im Prinzip NICHT auf den Rechner zu.
Denn ein PING ist vergleichbar mit der Anfrage:
  • "hörst Du mich?"
  • "Hast Du mich verstanden?"
  • Bist Du erreichbar?
  • Geht es Dir gut?
Ein PING greift nicht auf Daten (Dokumente, Tabellen, Benutzerinformationen) eines Rechner zu.

Im Zweifelsfall frage doch den zuständigen Landes- oder Bundesdatenschutzbeauftragten.
habe ich auch schon öfters gemacht. Die Anfrage dauert unter Umständen etwas, gerade wegen den häufigen Anfrage bzgl. EU-DSGVO.

Zu guter Letzt, ist Deine Frage gar nicht mal so unlogisch.

Gruss Penny
lcer00
Lösung lcer00 08.01.2019 um 17:51:25 Uhr
Goto Top
Hallo,
Zitat von @brammer:

Wir greifen, im Supportfall, durch einen VPN Tunnel auf Maschinen die bei unseren Kunden in isolierten Netzen stehen , mit verschiedenen Tools zu.
Dazu gibt es einen Support Ticket inklusive einer Datenschutz Vereinbarung und einen Support Vertrag.
Ihr habe also einen Zugang zum lokalen Datennetz des Kunden, den ihr nach Eingang des Supporttickets zum Zweck: Support nutzen dürft.

Dort heißt das jeder Zugriff auf die Kunden Maschine nur in Absprache mit dem Kunden geschehen darf.
Also rechtlich eigentlich alles in trockenen Tüchern.

Jetzt prüft der ein oder andere Kollege aber vor dem Zugriff auf die Maschine ob die Maschine überhaupt erreichbar ist.
Abgesehen von der unsauberen Definition des Wortes "Zugriff" ist die Frage aus meiner Sicht anders zu stellen:

Denk es nicht von der Blechmaschine her, sondern vom Netzwerk. Ihr habt zunächst Zugriff auf das LAN. Das besteht aus Datenkabeln (hier irrelevant) und darauf laufenden Protokollen ( siehe https://de.wikipedia.org/wiki/OSI-Modell). Das Netz mach ohne Knoten keinen Sinn, also habe ihr mit dem Zugang zum LAN auch automatisch Zugriff auf bestimmte Protokolle des LAN: fangen wir mal an und bleiben wir bei OSI:

OSI 1-2: eher unkritisch, ist mit dem Zugriff aufs LAN direkt abgedeckt. Achtung: MAC-Adressen in OSI-2/Ethernet - an die kommt man aber nicht, wenn man in einem anderen Netzwerksegment ist.

OSI 3: Vermittlungsschicht: IP und ICPM - darum geht's also: gehört zur Vermittlungsschicht: ohne die kein Netzwerk.

OSI 4-7: habt ihr im Grunde keinen Zugriff drauf, solange ihr nicht Zugriff auf eine aktive LAN-Komponente habt. Den eigene Traffic wird natürlich "hineingeschmissen" das ist aber eher ein Müllproblem, da ihr auf Anwendungen auf Netzwerkknoten (jedes Gerät mit einer MAC) erst zugreifen könnt, wenn ihr Euch dort angemeldet habe.

Also ich würde folgende Zugriffsbereiche abgrenzen:
1) Zugriff auf LAN OSI 1-3
2) Zugriff auf Dienste, die von Netzwerkknoten zur Verfügung gestellt werden
2a) Dienste, die anonym von allen verwendet werden (z.B. NTP)
2b) Dienste, die nach Benutzerauthentifizierung verwendet werden.
3) Administrativer Zugriff auf Netzwerkknoten

Die Regelung "Anbindung per VPN" sollte Punkt 1 und Punkt 2a enthalten - sonst ist das schon hacken face-smile
Die Regelung von Punkt 2b) setzt voraus, dass ihr für Euch zulässige Dienste einen Benutzerzugang habt. Habt ihr keinen, dürft ihr sie eben nicht verwenden.
Punkt 3) ist dann das eigentliche Supportticket.

Zum Thema Personenbezogene Daten:
Wenn die IP oder die MAC Rückschlüsse auf die aktiven Person zulassen (Frau Meier in Zimmer 23 mit der MAC 00:ff:ee:dd:00:11:22:cc hat ihren Rechner an) dann müsst ihr das Regeln. Soll heißen, dass der Betrieb, der den Supportvertrag bei Euch abschließt die Einwilligung von Frau Meier zum Speichern der IP, ggf. MAC? hat und Ihr Euch darauf verlassen könnt.

Sinnvoll wäre eine Regelung, wie sichergestellt ist, dass Administrative Arbeiten a) nicht den Betriebsablauf stören und b) durchgeführt werden können, wenn sie erforderlich sind. (Chef beauftragt IT und sagt Frau Meier, dass sie jetzt mal nicht an Ihren PC kann, da die Wartungskosten zwischen 2:00 und 4:00 Uhr zu teuer für den Chef werden).

wie immer: extends Wikipedia.Hinweise_zu_Rechtsthemen

Grüße

lcer
St-Andreas
Lösung St-Andreas 08.01.2019 um 20:29:14 Uhr
Goto Top
Zugriff würde ich das nennen was OSI Layer 5,6 und 7 ist. ICMP ist Layer 3, also ok.
Das ist aber nur meine ganz persönliche Sichtweise.
brammer
brammer 08.01.2019 um 22:34:34 Uhr
Goto Top
Hallo,

Danke an alle... im wesentlichen decken sich die Antworten und Argumente mit meiner eigenen Argumentation.
Egal ob es um das OSI-Modell, die Beispiele oder Vergleiche geht.

@icer00
Das ich hier keine Rechtsberatung bekomme ist mir klar.

Ich lasse den Beitrag noch mal auf... vielleicht hat ja jemand eine Idee oder Ansatz der weiteres Licht ins Dunkel bringt... face-smile

Brammer
brammer
brammer 08.01.2019 um 22:35:33 Uhr
Goto Top
Hallo,

@St-Andreas
Layer 4 aus versehen unterschlagen? face-smile

Brammer
StefanKittel
Lösung StefanKittel 09.01.2019 um 01:21:56 Uhr
Goto Top
Hallo,

was spricht dageben dem Kunden dies in einer Aktennotiz inklusive kurzer Erklärung mitzuteilen?

Stefan
Lochkartenstanzer
Lösung Lochkartenstanzer 09.01.2019 um 07:45:48 Uhr
Goto Top
Moin,

Um es mal mit einen Vergleich darzustellen:


İmho ist ein Ping wie das Schellen der Türklingel oder das Klopfen an die Haustür:

Wenn man das systematisch macht, um einen Einbruch vorzubereiten, z.B. zum prüfen ob jemand da ist oder um einen "Klingelstreich" zu spielen, dürfte das eindeutig nicht erlaubt sein.

Wenn man hingegen einen legitimen Grund hat, wie z.B. Post zustellen, Handwerksarbeiten durchführen, Freund besuchen, Hausieren face-smile, etc., sollte nichts dagegensprechen.

lks