mpw1412
Goto Top

WLAN rechtlich absichern

Hallo,

ich möchte in unserem Verein ein WLAN aufbauen. Da unser Geschäftsführer relativ kritisch ist, muss das ganze rechtlich sauber ablaufen, damit man mögliche Abmahnungen leicht abschmettern kann.

Also angenommen ich nutze WPA Enterprise und jeder Benutzer bekommt einen Loginnamen und ein eigenes Passwort. Soweit so gut, dazu gibt es eine Menge Howtos im Netz. Aber ich konnte nirgendwo eine Aussage finden, was ich loggen muss, um die Abmahnung abzuschmettern bzw. weiterreichen zu können.

Ich habe gerade fast eine Stunde gegoogelt und gelesen und nichts sinnvolles gefunden. Ich habe verschiedene Ansätze gefunden:

Variante 1) Mac-Adressen loggen: Meiner Meinung nach völlig unzureichend, da man die total leicht ändern kann, Linux kann das sogar von Haus aus (-> macchanger)
Variante 2) Loggen wann welches "Ticket" bzw. Benutzer eingeloggt war: Ich kann mir nicht vorstellen, dass das dem Anwalt/Gericht reicht. Wenn X Leute zur selben Zeit online waren, muss ich doch sagen können wer die "böse IP/URL" aufgerufen hat, oder?
Variante 3) IP (oder sogar URL) in Zusammenhang mit Benutzername loggen: Hierzu habe ich teilweise gelesen, dass man das wegen Datenschutzes gar nicht darf?

Wie ist denn nun der rechtlich einwandfreie Weg? Im wesentlichen werden nur Benutzer zugelassen, die uns vorher ihren Ausweis gezeigt haben bzw. unsere Mitarbeiter sind und wir sie eh kennen. Gäste werden nur wenige Prozent der Nutzer ausmachen. Trotzdem reicht der Geschäftsführung "Vertrauen" nicht, sondern es soll auch eine Absicherung geben; das halte ich durchaus auch für sinnvoll.

Hat da jemand einen Link oder ein paar Tipps?

Reicht es zu sagen, "ein Benutzer" hat die "böse IP" geöffnet oder muss man konkret den Benutzer identifizieren können, um aus dem Schneider zu sein?

Und noch eine Frage:

Ich lese oft, dass man VPN-Ports sperren soll, da sie ein großes Sicherheitsrisiko darstellen. Das ist meiner bescheidenen Erfahrung nach doch auch Quatsch, denn erstens:

- Wenn sich jemand mit einem VPN verbindet, hat er eine andere globale IP. Das heißt etwaige Abmahnungen flattern nicht uns ins Haus, sondern dem VPN Betreiber. Wer auch immer das dann sein mag. Richtig?
- Selbst ein einziger offener ausgehender Port (und sei es Port 80) reicht doch schon aus, um den gesamten Verkehr darüber zu einem Proxy zu schleusen. Daher ist es ohnehin sinnlos und macht den Benutzern, die mehr als nur Surfen wollen, nur unnötigen Konfigurationsaufwand. Ich bin echt kein Fan von gesperrten Ports.

Ich würde mich über ein paar Gedanken freuen. Ich persönlich sehe das relativ lax, aber unsere Geschäftsführung ist da recht vorsichtig. Und natürlich möchte ich, wenn ich das konfiguriere was vernünftiges abliefern. Und illegale Aktiviäten unterbinden.

Grüße
MPW

Content-ID: 213997

Url: https://administrator.de/contentid/213997

Ausgedruckt am: 14.11.2024 um 17:11 Uhr

certifiedit.net
certifiedit.net 12.08.2013 um 00:43:08 Uhr
Goto Top
Hallo MPW,

ich denke eine wirklich rechtsgültige Aussage dazu (vorallem, wenn es kritisch gesehen wird) bekommst du nur, wenn du einen entsprechenden Rechtsanwalt konsultierst und dieLösung absegnen lässt. Andernfalls: Schau mal, wie die großen Anbieter es in Ihren Hotel/HotSpot-lösungen realisieren.

Schöne Grüße,

Christian
certified IT
MPW1412
MPW1412 12.08.2013 aktualisiert um 00:56:05 Uhr
Goto Top
Hallo Christian,

danke für deine Antwort. Wir haben einen Anwalt, der das ganze am Ende prüfen lassen will.

Aber ich muss ja erstmal zu einem Modell kommen, dass ich prüfen lassen kann.

Einige dieser "professionellen Anbieter" arbeiten tatsächlich nur damit die Tickets zu loggen, aber keine IPs. Das ist doch völlig nutzlos, meiner Meinung nach?

Es ist für mich halt rechtlich ein Unterschied zwischen:

- Nein, ich war's nicht.
- Nein, ich war's nicht, der da war's.

Für allgemeine Straftaten reicht die erste Variante aus, wenn man nachweisen kann, dass man es nicht war. Aber für WLAN Betreiber gilt doch eine erweiterte Auskunftspflicht.

Hast du ein Beispiel von so einem Ticketsystem, wo ich mir das mal ansehen kann?

Ich würde wirklich gerne mal die rechtliche Argumentationsstruktur verstehen.

Grüße
MPW

/edit: Gerade diese Link gefunden:

http://origin-eu.zyxel.com/de/de/products_services/g_4100_v2_n4100_vsg_ ...

Hier werden jeweils Port und IP (in- und extern) geloggt. Also scheint wohl IP legal, aber nicht die URL? (Die URL kann ja Inhalte enthalten etc..)

Wenn ich keine Accounts an Minderjährige ausgebe, brauche ich auch keinen Zensurfilter denke ich mal?
keine-ahnung
keine-ahnung 12.08.2013 um 07:51:13 Uhr
Goto Top
Zitat von @MPW1412:
Moin,
ich möchte in unserem Verein ein WLAN aufbauen. Da unser Geschäftsführer relativ kritisch ist, muss das ganze
rechtlich sauber ablaufen, damit man mögliche Abmahnungen leicht abschmettern kann.
einziger "rechtlich sauberer" Weg: Lass es sein.

Es gibt Stand heute keine Technik, die Dich als privater "ISP" gegen sämtliche Belange deutschen Rechts absichert, zumal diesbezüglich die Rechtssituation gar nicht endgültig definiert ist.

LG, Thomas
Ausserwoeger
Ausserwoeger 12.08.2013 um 08:27:18 Uhr
Goto Top
Hi

Ich würde mir mal Fortinet anschauen. Eine Fortigate 40c bzw ein Fortianalyzer kann alles loggen. Die angemeldeten Benutzer von welcher MAC und welcher IP sie zu welchen seiten gesurft sind zb. zu welchen IP adressen.

Zur Fortigate gibt es auch ein Wlan modul (eigener AP) welchen du dann über die Firewall konfigurieren kannst. Du kannst zb. 2 oder mehr Wlan netze betreiben ein eigenes für Intern und eines für besucher.

Du kannst für jedes Netz eigene Sicherheitsregeln erstellen. Virenschutz, Webfilter, usw. einfach ein UTM Profil anlegen und schon sind auf knopfdruck alle Bösen Seiten gesperrt.

Zitat von @MPW1412:

Ich lese oft, dass man VPN-Ports sperren soll, da sie ein großes Sicherheitsrisiko darstellen. Das ist meiner bescheidenen
Erfahrung nach doch auch Quatsch, denn erstens:

- Wenn sich jemand mit einem VPN verbindet, hat er eine andere globale IP. Das heißt etwaige Abmahnungen flattern nicht uns
ins Haus, sondern dem VPN Betreiber. Wer auch immer das dann sein mag. Richtig?

Ja das ist richtig allerdings wenn die VPN gegenstelle virenverseucht ist hast du möglicherweise ein Problem. Es gibt genug Netzwerkviren die dir bei einer sicherheitslücke im system deine Besucherpcs infizieren.

Meiner Meinung nach muss ein Besucher keine VPN Tunnel irgendwohin aufbauen können. Und für die Internen User hast du ja ein eigenes Wlan netz mit eigenen Regeln bei dem du dann VPN freigeben kannst.

Wenn du eine Trennung auch von externer seite erreichen willst kannst du auch falls du mehrere Externe IPs besitzt dem Wlan eine eigene Externe IP zuweisen.

Ich würde dir empfehlen einfach die möglichkeiten nachzuschalgen bei einem Firewall hersteller deines vertrauens.

LG Andy
aqui
aqui 12.08.2013 aktualisiert um 09:38:04 Uhr
Goto Top
Normalerweise löst man sowas mit einem Captive Portal (Hotspot) und Einmalpasswörtern und einem Logging Server:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
und
Netzwerk Management Server mit Raspberry Pi
wie es auch große Unternehmen machen die einen solchen öffentlichen Zugang betreiben.

Dein Ansatz jedem mit Username und Passwort zu versehen ist unsinnig und falsch da es den Faktor Mensch nicht berücksichtigt. Diese Usernamen werden nach ein paar Tagen fröhlich getauscht und dann kannst du auch gleich alles offen betreiben. Ohne Einmalpasswörter und einer strikten Vergabepolicy wird das nix !
Mit dem Userlogging hast du rein rechtlich allem Genüge getragen, denn du kannst die aktuellen benutzer zum Zeitpunkt einer möglichen Straftat einwandfrei benennen. Den Nachweis wer wo wann war musst du als Betreiber nciht führen.
Wenn du es dennoch machen willst kommst du um einen Proxy Server wie z.B. den kostenlosen Squid nicht drumrum.
Eine Kombination von pfSense mit einem Squid als Plugin Modul plus Logging wäre dann schon recht sicher für dich.
Eine Firewall mit einem Captive Portal für ein solches WLAN ist aber das Minimum um sich rechtlich abzusichern. Wie KA schon bemerkt bleibt aber immer ein Restrisiko in D.
keine-ahnung
keine-ahnung 12.08.2013 aktualisiert um 10:18:06 Uhr
Goto Top
Per se ist es einem nichtkommerziellen Anbieter von öffentlichen WLAN-Zugängen nicht nur nicht angetragen, sondern sogar untersagt, Benutzerdaten in seinem Netz zu identifizieren, zu loggen und zu speichern. Letztes lustiges Urteil. Da beisst sich die Katze rotierend in den ### (hier stand eigentlich das Wort für die verlängerte Wirbelsäule bei Tieren face-wink...

IMHO bleibt das Restrisiko der abzugebenden Unterlassungserklärung und der damit verbundenen Zahlung der Anwaltsgebühren immer bestehen, dies hat weder etwas mit strafrechtlicher noch mit zivilrechtlicher Verantwortlichkeit zu tun, insofern wird man immer diesen Teil der Last tragen müssen, wenn man sich entscheidet, einen Internetzugang öffentlich zu stellen.

Stand heute sind IMHO weiterreichende Konsequenzen i.S. einer strafrechtlichen Verfolgung oder einer zivilrechtlichen Inanspruchnahme ausgeschlossen und auch noch nie geurteilt wurden.

Trotzdem: Da ich keine Lust habe, ständig die Kaffeekassen der Abmahnanwälte zu füllen, habe ich für mich beschlossen, auf dieses Gimmick zu verzichten ...

LG, Thomas
MPW1412
MPW1412 12.08.2013 um 11:35:57 Uhr
Goto Top
Hallo Thomas,

vielen Dank für den Link zu dem Urteil. Das vereinfacht die ganze Sache ungemein und erspart einem den ganzen Logginquatsch.

Ich denke es bleiben zwei Optionen:

a) WPA Enterprise einsetzen und auf den psychologischen Effekt der Realnamen beim Benutzernamen setzen. Und selbst wenn dann mal eine Abmahnung bekommt, muss sich halt der Anwalt darum kümmern. Da es ohnehin eine Rechtsabteilung gibt, entstehen keine bzw. nur geringe zusätzliche Kosten.

Kostenpunkt: Accesspoint für ~20-30 €

b) Ticketsystem kaufen, verschiedene Quellen sagen da 6-700 €. Was mich daran vorallem stört ist die unhandliche handhabe und authentifizierung per Webserver. Das WLAN selbst ist dann meist unverschlüsselt, kann gesnifft werden etc.

Und bei dem Preisunterschied kann man durchaus mal das Risiko einer Abmahnung eingehen. Wenn es ganz übel wird, macht man das WLAN halt wieder dicht.

Ich sehe das so: Die Mitarbeiter können jetzt auch von ihren PCs aus Surfen (per Kabel), da kam meines Wissens noch nie eine Abmahnung. In jedem Kaffee und jedem Hotel gibt es heute WLAN. Also ich denke so schlimm ist das mit den Abmahnungen nicht oder?

Zumal bei uns der Personenkreis bekannt ist und nicht soo groß ist.

Grüße
MPW
Rudbert
Rudbert 12.08.2013 um 13:03:45 Uhr
Goto Top
Hallo,


Möglichkeit 1: Von einem Rechtsanwalt eine verbindliche Aussage abholen und das Szenario umsetzen


Möglichkeit 2: Die rechtlichen Bedenken auf einen Hotspot-Anbieter abwälzen

z.B. Hotsplots - bei denen läuft das so, dass du einen Netgear/...-Router bekommst mit eigener Firmware; dieser baut einen VPN-Tunnel zu Hotsplots auf. Alle deine WLAN-Gäste surfen nun mit einer Hotsplots-IP und im Falle des Falles wird die Haftung auf Hotsplots abgewälzt (siehe auch: http://www.hotsplots.de/fileadmin/media/whitepapers/WP_VPN-Routing.pdf)

Bei Hotsplots kannst du bezahlte oder kostenlose Tickets an deine Vereinsmitglieder vergeben. Die Hardware ist auch nicht teuer, da mit consumer-Geräten gearbeitet wird.


mfg
keine-ahnung
keine-ahnung 12.08.2013 um 13:07:40 Uhr
Goto Top
Wenn man jetzt mal das Rechtsgedöhns aussen vor lässt - das Ticketsystem von Lancom (public spot option) ist IMHO sehr schick gelöst und simpel einzurichten.

LG, Thomas
112778
112778 12.08.2013 aktualisiert um 17:31:37 Uhr
Goto Top
Hi,

Zitat von @MPW1412:
Es ist für mich halt rechtlich ein Unterschied zwischen:

- Nein, ich war's nicht.
- Nein, ich war's nicht, der da war's.

Für allgemeine Straftaten reicht die erste Variante aus, wenn man nachweisen kann, dass man es nicht war.

Um das mal klarzustellen: In Strafsachen gilt erst einmal in Deutschland die Unschuldsvermutung. Nicht du musst nachweisen, dass du es nicht warst, sondern man muss dir nachweisen, dass du es warst! face-wink

Gruß
aqui
aqui 12.08.2013 aktualisiert um 18:19:04 Uhr
Goto Top
..."auf den psychologischen Effekt der Realnamen beim Benutzernamen setzen. "
A.: Kannst du vergessen ! Funktioniert nicht und ist nach 2 Wochen spätestens aufgeweicht, da weiss es die ganze Nachbarschaft eines Users !
Dann kannst du gleich ein großes Schild am Vereinsheim an der Tür anbringen: "Die Passwörter von Meyer = x, von Müller = y " usw. vergiss das also. Da ist der Faktor Mensch dazwischen.

.."Ticketsystem kaufen,"
A.: Bullshit, kaufen musst du das nicht für einen Verein. Nur die Hardware die sowas gleich mit erledigt !
Wie das mit 3 Mausklicks und pfiffiger Hardware geht zeigt dir das obige Tutorial ja im Detail !

Zum Rest: Hast du je mal einen Besitzer eines Cafes, Hotels usw. gefragt wieviel Anfragen er bekommen hat ??
Mach das mal, dann würdest du sowas wie oben nicht schreiben !
Allerdings: Mit einer wasserdichten Whitelist in der Firewall und einem guten Logging Server minimierst du das quasi auf 0. Allerdings....so weitsichtig ist leider nur eine Minderheit die technsich den Überblick hat !!