TS: Sicherheitsfragen und Fürsorge des Providers

0 30

Sicherheitsfragen und Fürsorge des Providers

  1. 0
    1. 3
      1. 0
        1. 0
          1. 0
        2. 2
          1. 0
      2. 0
        1. 0
          1. 0
          2. -1

            Ein Blick auf §109a Abs. 4 TKG

  2. 0
  3. 0
  4. 0
    1. 0
  5. 1
    1. 0
      1. 0
        1. 0
          1. 0
            1. 0
              1. 0
                1. 0
            2. 2
              1. 0
                1. 0
      2. 0
    2. 0
      1. 1

Hello,

1&1 versendet Warnungen zu offenen Ports an DSL-Anschlüssen.

Etwas irritiert bekam ich diese eMail (gekürzt). Ich habe erst alle Header nachverfolgt und festgestellt, dass sie plausibel sind. Dann habe ich doch an abuse@oneandone.net passend zur IPv4 eine Verifizierungsanfrage gesandt. Diese wurde mir bestätigt.


Ihre Kundennummer: 00000000
Ihre Vertragsnummer: 00000000
Ihre Ticketnummer: AB00000000
Hinweis: Ihre Kundennummer und Ihr Name zeigen Ihnen, dass diese Nachricht von der 1&1 Telecom GmbH verschickt wurde.

Sehr geehrte/r Herr ********,

an Ihrem 1&1 DSL-Anschluss wurde ein Sicherheitsrisiko festgestellt.

Es liegen uns Meldungen über einen offenen Dienst aus Ihrem lokalen Netzwerk vor, welcher ungeschützt aus dem Internet erreichbar ist. Dies stellt ein Sicherheitsrisiko dar, da der erreichbare Dienst beispielsweise missbraucht werden kann, um an sensible Daten zu gelangen oder einen Angriff gegen Dritte durchzuführen. 

Details des Risikos:

Zeitpunkt der Erkennung: 28.10.2019 18:52:14 +0100
Bezeichnung des Dienstes:
Http
Verwendeter Port: 8080/tcp

[... diverse Tipps zu Abwehrmaßnahmen]  

Link zum BSI

Grundsätzlich finde ich es gut, wenn ein Provider sich um seine Kunden sorgt. Allerdings frage ich mich, was es deX NormalanwendeX nützen soll? Wenn X sich ein Loch in X Router eingefangen hat (was bei Verwendung von IPv6 sehr schnell geht), wird X kaum selber etwas dagegen tun können.

Ich nun wiederum habe das Portforwarding bewusst freigegeben damit meine Temperaturdaten direkt zugänglich sind.

Obwohl ich mich sicher fühle und nicht glaube, dabei einen Fehler gemacht zu haben, frage ich doch mal nach:

Welches Sicherheitsrisiko

handele ich mir durch einen RaspberryPi mit Raspbian an einem offenen HTTP-Port (hier 8080 auf 80) meines DSL-Modem-Router-Switches (kurz "Fritz!Box") ein?

Chineische Webcams

Ich vermute, dass jede chinesische Webcam mehr Loch ins LAN (hinter dem DSL) reißt. Bei denen weiß ich sowieso bis heute nicht, wie die das machen, dass man ihnen nur Zugang zum eigenen WLAN geben muss (ohne Portforwarding am Router) und schon sind sie per APP aus dem globalen Netz mit dem Smartphpne erreichbar?

Glück Auf
Tom vom Berg

--
Es gibt nichts Gutes, außer man tut es!
Das Leben selbst ist der Sinn.
  1. n'Abend Tom,

    1&1 versendet Warnungen zu offenen Ports an DSL-Anschlüssen.

    das finde ich ziemlich unverschämt.

    Etwas irritiert bekam ich diese eMail (gekürzt). Ich habe erst alle Header nachverfolgt und festgestellt, dass sie plausibel sind. Dann habe ich doch an abuse@oneandone.net passend zur IPv4 eine Verifizierungsanfrage gesandt. Diese wurde mir bestätigt.

    Gesunde Paranoia. ;-)

    Grundsätzlich finde ich es gut, wenn ein Provider sich um seine Kunden sorgt. Allerdings frage ich mich, was es deX NormalanwendeX nützen soll? Wenn X sich ein Loch in X Router eingefangen hat (was bei Verwendung von IPv6 sehr schnell geht), wird X kaum selber etwas dagegen tun können.

    Das ist die eine Sache. Damit macht man IMO unnötig Panik.

    Die andere ist: Wenn der Provider den hinter dem Port werkelnden Dienst schon als HTTP identifiziert, also etwas weitgehend Harmloses und vielleicht sogar Gewolltes, dann sehe ich keinen Grund für eine solche Warnung. Wenn es Ports bzw. Dienste sind, die für irgendwelche Viren, Würmer, Trojaner und so'n Sauzeug berüchtigt sind, sieht das anders aus.

    Welches Sicherheitsrisiko

    handele ich mir durch einen RaspberryPi mit Raspbian an einem offenen HTTP-Port (hier 8080 auf 80) meines DSL-Modem-Router-Switches (kurz "Fritz!Box") ein?

    Der auf dem Pi laufende Webserver könnte "kaputte" Scripte ausführen und so Daten aus deinem LAN für Außenstehende zugänglich machen.

    Chineische Webcams

    Ich vermute, dass jede chinesische Webcam mehr Loch ins LAN (hinter dem DSL) reißt. Bei denen weiß ich sowieso bis heute nicht, wie die das machen, dass man ihnen nur Zugang zum eigenen WLAN geben muss (ohne Portforwarding am Router) und schon sind sie per APP aus dem globalen Netz mit dem Smartphpne erreichbar?

    Ich vermute mal, die verbinden sich sofort mit einem Server des Anbieters, mit dem sich auch die zugehörige App verbindet. Dieser Server vermittelt dann zwischen den beiden.
    Ungefähr so wie SIP.

    So long,
     Martin

    --
    "Wenn man ein Proton aufmacht, sind drei Quarks drin."
    - Joachim Bublath in der Knoff-Hoff-Show
    1. Hallo Martin,

      1&1 versendet Warnungen zu offenen Ports an DSL-Anschlüssen.

      das finde ich ziemlich unverschämt.

      Das ist nicht unverschämt sondern von Gesetzgeber so vorgeschrieben. §109a Abs. 4 TKG schreibt das vor, ist zum 25.07.2015 in Kraft getreten. Die Information habe ich von einem Unitymedia-Mitarbeiter, den ich aufgrund einer ähnlichen Mail mal angerufen hatte.

      Die andere ist: Wenn der Provider den hinter dem Port werkelnden Dienst schon als HTTP identifiziert, also etwas weitgehend Harmloses und vielleicht sogar Gewolltes, dann sehe ich keinen Grund für eine solche Warnung.

      HTTP-Server auf ungewöhnlichen Ports (also abseits von 80 und 443) sind Indizien für Malware. Die machen oft kleine HTTP-Server auf.

      Abgesehen davon sagt die Warnung ja nicht „mach das zu,“ sondern „vielleicht möchtest du das überprüfen.“

      Freundliche Grüße,
      Christian Kruse

      1. n'Abend Christian,

        1&1 versendet Warnungen zu offenen Ports an DSL-Anschlüssen.

        das finde ich ziemlich unverschämt.

        Das ist nicht unverschämt sondern von Gesetzgeber so vorgeschrieben. §109a Abs. 4 TKG schreibt das vor, ist zum 25.07.2015 in Kraft getreten. Die Information habe ich von einem Unitymedia-Mitarbeiter, den ich aufgrund einer ähnlichen Mail mal angerufen hatte.

        unabhängig davon: Wenn ich von meinem ISP eine solche Nachricht bekäme, würde ich sehr bestimmt darauf antworten, etwa in der Art von "Das geht euch einen Dreck an!"

        Die andere ist: Wenn der Provider den hinter dem Port werkelnden Dienst schon als HTTP identifiziert, also etwas weitgehend Harmloses und vielleicht sogar Gewolltes, dann sehe ich keinen Grund für eine solche Warnung.

        HTTP-Server auf ungewöhnlichen Ports (also abseits von 80 und 443) sind Indizien für Malware. Die machen oft kleine HTTP-Server auf.

        Ja. Aber 8080 ist durchaus gängig für Webserver, die von Laien für private Zwecke betrieben werden.

        Abgesehen davon sagt die Warnung ja nicht „mach das zu,“ sondern „vielleicht möchtest du das überprüfen.“

        Das stimmt, trotzdem stehe ich auf dem Standpunkt: Not your business.
        Mein Stromanbieter warnt mich schließlich auch nicht, weil er regelmäßig in der Nacht einen erhöhten Stromverbrauch registriert.

        Ciao,
         Martin

        --
        "Wenn man ein Proton aufmacht, sind drei Quarks drin."
        - Joachim Bublath in der Knoff-Hoff-Show
        1. Hallo Martin,

          unabhängig davon: Wenn ich von meinem ISP eine solche Nachricht bekäme, würde ich sehr bestimmt darauf antworten, etwa in der Art von "Das geht euch einen Dreck an!"

          🤷‍♂️ das sieht der Gesetzgeber offensichtlich anders.

          Die andere ist: Wenn der Provider den hinter dem Port werkelnden Dienst schon als HTTP identifiziert, also etwas weitgehend Harmloses und vielleicht sogar Gewolltes, dann sehe ich keinen Grund für eine solche Warnung.

          HTTP-Server auf ungewöhnlichen Ports (also abseits von 80 und 443) sind Indizien für Malware. Die machen oft kleine HTTP-Server auf.

          Ja. Aber 8080 ist durchaus gängig für Webserver, die von Laien für private Zwecke betrieben werden.

          Soll ich die Part in Klammern nochmal für dich hervorheben? 😉 Den hatte ich nicht umsonst dazu geschrieben 😝

          Mein Stromanbieter warnt mich schließlich auch nicht, weil er regelmäßig in der Nacht einen erhöhten Stromverbrauch registriert.

          Noch nicht. Beschäftige dich mal, was mit den Smartmetern passieren soll.

          Freundliche Grüße,
          Christian Kruse

          1. Hello,

            Nur nebenbei: 8080 ist üblich für http über Proxy.

            Vergessen sollten wir da auch nicht die ganzen "Alexas" und Smarthome-Server. Die kann der Provider genauso schwierig durch einfaches Scannen finden, wie die von mir angeklagten Webcams.

            Glück Auf
            Tom vom Berg

            --
            Es gibt nichts Gutes, außer man tut es!
            Das Leben selbst ist der Sinn.
        2. 1&1 versendet Warnungen zu offenen Ports an DSL-Anschlüssen.

          das finde ich ziemlich unverschämt.

          Das ist nicht unverschämt sondern von Gesetzgeber so vorgeschrieben.

          Wenn ich von meinem ISP eine solche Nachricht bekäme, würde ich sehr bestimmt darauf antworten, etwa in der Art von "Das geht euch einen Dreck an!"

          Denkst Du bitte auch an den "(Otto|Lisa)-Normalkund(e|in)", der(die) keine "erweiterten" Kenntnisse in "Netzwerk" hat? Längst nicht jede(r) ist auf einem Wissensstand, der es ih(r|m) ermöglicht, solche Probleme selbst zu erkennen. Die richtige Reaktion wäre also, sich höflich zu bedanken und womöglich mitzuteilen: "Alles gut: Da ist nichts gehackt, das habe ich bewusst so eingerichtet."

          1. Hello,

            1&1 versendet Warnungen zu offenen Ports an DSL-Anschlüssen.

            das finde ich ziemlich unverschämt.

            Das ist nicht unverschämt sondern von Gesetzgeber so vorgeschrieben.

            Wenn ich von meinem ISP eine solche Nachricht bekäme, würde ich sehr bestimmt darauf antworten, etwa in der Art von "Das geht euch einen Dreck an!"

            Denkst Du bitte auch an den "(Otto|Lisa)-Normalkund(e|in)", der(die) keine "erweiterten" Kenntnisse in "Netzwerk" hat? Längst nicht jede(r) ist auf einem Wissensstand, der es ih(r|m) ermöglicht, solche Probleme selbst zu erkennen. Die richtige Reaktion wäre also, sich höflich zu bedanken und womöglich mitzuteilen: "Alles gut: Da ist nichts gehackt, das habe ich bewusst so eingerichtet."

            Das stimmt. Man kann sich auch einfach mal bedanken für Hilfestellungen, um die man nicht gebeten hat ;-)

            Hab ich jetzt auch getan.

            Glück Auf
            Tom vom Berg

            --
            Es gibt nichts Gutes, außer man tut es!
            Das Leben selbst ist der Sinn.
      2. Hallo,

        1&1 versendet Warnungen zu offenen Ports an DSL-Anschlüssen.

        das finde ich ziemlich unverschämt.

        Das ist nicht unverschämt sondern von Gesetzgeber so vorgeschrieben. §109a Abs. 4 TKG schreibt das vor, ist zum 25.07.2015 in Kraft getreten.

        daraus folgt aber nicht, dass der Internet-Zugangsprovider sich da einzumischen hat. Wenn überhaupt, müsste dann die BNetzA an mich herantreten.

        Schönen Abend,
         Martin

        --
        "Wenn man ein Proton aufmacht, sind drei Quarks drin."
        - Joachim Bublath in der Knoff-Hoff-Show
        1. Hallo Martin,

          Hallo,

          1&1 versendet Warnungen zu offenen Ports an DSL-Anschlüssen.

          das finde ich ziemlich unverschämt.

          Das ist nicht unverschämt sondern von Gesetzgeber so vorgeschrieben. §109a Abs. 4 TKG schreibt das vor, ist zum 25.07.2015 in Kraft getreten.

          daraus folgt aber nicht, dass der Internet-Zugangsprovider sich da einzumischen hat. Wenn überhaupt, müsste dann die BNetzA an mich herantreten.

          Nein, das ist das, was du daraus schließt. Die allgemeine Rechtsauslegung ist die, dass der ISP in der Verantwortung steht.

          Freundliche Grüße,
          Christian Kruse

          1. Hi,

            daraus folgt aber nicht, dass der Internet-Zugangsprovider sich da einzumischen hat. Wenn überhaupt, müsste dann die BNetzA an mich herantreten.

            Nein, das ist das, was du daraus schließt. Die allgemeine Rechtsauslegung ist die, dass der ISP in der Verantwortung steht.

            soll also demnächst auch der Ford-Konzern dafür verantwortlich sein, mich über mögliche Verstöße gegen die StVO zu informieren, nur weil ich ein Auto von diesem Unternehmen habe?

            Ich finde das absurd.

            Ciao,
             Martin

            --
            "Wenn man ein Proton aufmacht, sind drei Quarks drin."
            - Joachim Bublath in der Knoff-Hoff-Show
          2. Hallo Martin,

            Hallo,

            1&1 versendet Warnungen zu offenen Ports an DSL-Anschlüssen.

            das finde ich ziemlich unverschämt.

            Das ist nicht unverschämt sondern von Gesetzgeber so vorgeschrieben. §109a Abs. 4 TKG schreibt das vor, ist zum 25.07.2015 in Kraft getreten.

            daraus folgt aber nicht, dass der Internet-Zugangsprovider sich da einzumischen hat. Wenn überhaupt, müsste dann die BNetzA an mich herantreten.

            Nein, das ist das, was du daraus schließt. Die allgemeine Rechtsauslegung ist die, dass der ISP in der Verantwortung steht.

            Ein Blick auf §109a Abs. 4 TKG

            (4) Werden dem Diensteanbieter nach Absatz 1 Störungen bekannt, die von Datenverarbeitungssystemen der Nutzer ausgehen, so hat er die Nutzer, soweit ihm diese bereits bekannt sind, unverzüglich darüber zu benachrichtigen. Soweit technisch möglich und zumutbar, hat er die Nutzer auf angemessene, wirksame und zugängliche technische Mittel hinzuweisen, mit denen sie diese Störungen erkennen und beseitigen können. Der Diensteanbieter darf die Teile des Datenverkehrs von und zu einem Nutzer, von denen eine Störung ausgeht, umleiten, soweit dies erforderlich ist, um den Nutzer über die Störungen benachrichtigen zu können.

            "Werden dem Diensteanbieter nach Absatz 1 Störungen bekannt" sieht mir aber nicht nach einer Ermächtigung oder gar Verpflichtung zu Portscans aus. Ich würde da eher an ein "bekannt werden" durch eine Meldung eines Dritten an den Abuse denken.

            Aus den AGB von 1und1:

            5.Besondere Informationen für Telekommunikationsdienste nach telekommunikationsrechtlichen Vorschriften

            5.1.Informationen über die möglicherweise von 1&1 zur Messung und Kontrolle des Datenverkehrs eingerichteten Verfahren, um eine Kapazitätsauslastung oder Überlastung einer Netzwerkverbindung zu vermeiden und Informationen über die möglichen Auswirkungen finden sich, sofern 1&1 solche Verfahren eingerichtet hat, im Internet auf der Webseite von 1&1.

            5.4.Eine Auflistung der Maßnahmen, mit denen 1&1 auf Sicherheits- oder Integritätsverletzungen oder auf Bedrohungen oder Schwachstellen reagieren kann, findet sich im Internet auf der Webseite von 1&1.

            Offen gestanden bin ich eher im Zweifel darüber, ob durch die AGB Portscans umfasst sind, denn "im Internet auf der Webseite von 1&1" ist eine höchst unklare Aussage. Zudem wäre wohl zu klären ob eine solche Auslegung nicht überraschend ist - wofür viel spricht. Allerdings sehe ich ein berechtigtes Intresse des Providers spätestens seit dem Telekom-Hack.

  2. Mir scheint das überhaupt nicht unverschämt. Wenn 1&1 da einen Scanner drüber rauschen lässt, wie sollen die denn einschätzen können, ob der Kunde da weiß, was er tut?

    An Deiner Stelle (Vollprofi mit Temperaturanzeige) hätte ich über die Mail kurz geschmunzelt und gelöscht. Fertig.

    Tante Anne hätte darüber womöglich Ihren Neffen kontaktiert, der dann den verantwortlichten Trojaner vielleicht entsorgt hätte. Ein Problem weniger. Fertig.

  3. Hello,

    als kleinen Nachtrag will ich hier mal die Links sammeln zum Thema

    RasPi im Lan mit Freigaben nach außen:

    Firewall:

    Glück Auf
    Tom vom Berg

    --
    Es gibt nichts Gutes, außer man tut es!
    Das Leben selbst ist der Sinn.
  4. Hallo TS,

    Grundsätzlich finde ich es gut, wenn ein Provider sich um seine Kunden sorgt. Allerdings frage ich mich, was es deX NormalanwendeX nützen soll? Wenn X sich ein Loch in X Router eingefangen hat (was bei Verwendung von IPv6 sehr schnell geht), wird X kaum selber etwas dagegen tun können.

    Dann kann er sich aber an einen Dienstleister wenden, der das für ihn fixed. In meiner Variante der Email stand das sogar drin:

    Helfen Ihnen unsere Tipps und Hinweise weiter? Falls nicht, empfehlen wir eine EDV-Fachfirma hinzuzuziehen.

    Freundliche Grüße,
    Christian Kruse

    1. Hello Christian,

      Grundsätzlich finde ich es gut, wenn ein Provider sich um seine Kunden sorgt. Allerdings frage ich mich, was es deX NormalanwendeX nützen soll? Wenn X sich ein Loch in X Router eingefangen hat (was bei Verwendung von IPv6 sehr schnell geht), wird X kaum selber etwas dagegen tun können.

      Dann kann er sich aber an einen Dienstleister wenden, der das für ihn fixed. In meiner Variante der Email stand das sogar drin:

      Helfen Ihnen unsere Tipps und Hinweise weiter? Falls nicht, empfehlen wir eine EDV-Fachfirma hinzuzuziehen.

      Klar, das sollte X auch tun. Aber erfahrungsgemäß fragt X eher die Tochter oder den Sohn von Kegelbruder/schwester Y, weil die/der doch Informatik studiert ;-)

      Ich sehe das Problem aber eher bei den Millionen von billigen Webcams. Die neue "Ring-Attacke" macht mir da richtig Angst. Ich sollte neulich so ein Ding einbinden ins WLAN eines Freundes. Ich hab's gelassen. Er arbeitet auch von zuhause und speichert Kundendaten auf seinem NAS im LAN.

      Glück Auf
      Tom vom Berg

      --
      Es gibt nichts Gutes, außer man tut es!
      Das Leben selbst ist der Sinn.
  5. Es liegen uns Meldungen über einen offenen Dienst ..

    Unseriös. Dein Provider möchte Dir bitte mitteilen, wer Deinen Anschluss nach offenen Diensten prüft und wer einen diesbezüglichen Auftrag erteilt hat.

    MFG

    1. Hallo Email,

      Unseriös. Dein Provider möchte Dir bitte mitteilen, wer Deinen Anschluss nach offenen Diensten prüft und wer einen diesbezüglichen Auftrag erteilt hat.

      Ich würde davon ausgehen, dass das der Provider aus eigenem Antrieb tut, weil dadurch ggf. auch seine eigene Infrastruktur und Reputation gefährdet sein könnte.

      Bis demnächst
      Matthias

      --
      Pantoffeltierchen haben keine Hobbys.
      ¯\_(ツ)_/¯
      1. Unseriös. Dein Provider möchte Dir bitte mitteilen, wer Deinen Anschluss nach offenen Diensten prüft und wer einen diesbezüglichen Auftrag erteilt hat.

        Ich würde davon ausgehen, dass das der Provider aus eigenem Antrieb tut, weil dadurch ggf. auch seine eigene Infrastruktur und Reputation gefährdet sein könnte.

        Die Mail sagt aber was Anderes. MFG

        1. Hallo Email,

          Ich würde davon ausgehen, dass das der Provider aus eigenem Antrieb tut, weil dadurch ggf. auch seine eigene Infrastruktur und Reputation gefährdet sein könnte.

          Die Mail sagt aber was Anderes. MFG

          "Es liegen uns Meldungen […] vor" sagt nichts über die Herkunft der Meldungen.

          Bis demnächst
          Matthias

          --
          Pantoffeltierchen haben keine Hobbys.
          ¯\_(ツ)_/¯
          1. Hello,

            Hallo Email,

            Ich würde davon ausgehen, dass das der Provider aus eigenem Antrieb tut, weil dadurch ggf. auch seine eigene Infrastruktur und Reputation gefährdet sein könnte.

            Die Mail sagt aber was Anderes. MFG

            "Es liegen uns Meldungen […] vor" sagt nichts über die Herkunft der Meldungen.

            Genau das meint R. doch. Es wird nicht transparent gearbeitet. Fragt sich also, wer da was bezwecken könnte.

            Frage am Rande:

            Müsste diese nicht kommerzielle Seite ohne jegliche Dialogoption (keine Nutzerdaten erforderlich) und ohne jegliche Geschäftsabsicht/möglichkeit irgendwelche Zusatzangaben (Impressun, DSGVO-Gedöns) erhalten?

            Glück Auf
            Tom vom Berg

            --
            Es gibt nichts Gutes, außer man tut es!
            Das Leben selbst ist der Sinn.
            1. Hallo TS,

              Die Mail sagt aber was Anderes. MFG

              "Es liegen uns Meldungen […] vor" sagt nichts über die Herkunft der Meldungen.

              Genau das meint R. doch. Es wird nicht transparent gearbeitet. Fragt sich also, wer da was bezwecken könnte.

              Die Meldungen können aber genauso gut aus dem eigenen Unternehmen stammen. Und das halte ich für am wahrscheinlichsten.

              Ich gehe davon aus, dass dein Provider einen entsprechenden Auftrag nach intern (oder nach extern) vergibt. Artikel 30 DSGVO schreibt vor, dass er ein Verzeichnis aller Verarbeitungstätigkeiten zu führen hat. Nach Artikel 15 DSGVO kannst du Auskunft darüber verlangen, ob in diesem Fall personenbezogene Daten verarbeitet wurden.

              Bis demnächst
              Matthias

              --
              Pantoffeltierchen haben keine Hobbys.
              ¯\_(ツ)_/¯
              1. Hello Matthias,

                Ich gehe davon aus, dass dein Provider einen entsprechenden Auftrag nach intern (oder nach extern) vergibt. Artikel 30 DSGVO schreibt vor, dass er ein Verzeichnis aller Verarbeitungstätigkeiten zu führen hat. Nach Artikel 15 DSGVO kannst du Auskunft darüber verlangen, ob in diesem Fall personenbezogene Daten verarbeitet wurden.

                Das hast Du jetzt verkehrt verstanden.

                Gemeint war, ob ich für die Seite mit der Temperaturanzeige sowas, wie ein Impressum oder eine Datenschutzerklärung brauche.

                Glück Auf
                Tom vom Berg

                --
                Es gibt nichts Gutes, außer man tut es!
                Das Leben selbst ist der Sinn.
                1. Hallo TS,

                  Gemeint war, ob ich für die Seite mit der Temperaturanzeige sowas, wie ein Impressum oder eine Datenschutzerklärung brauche.

                  Ich kenne den aktuellen Stand der Rechtssprechung nicht, aber wenn die Seite über einen Webserver erreichbar wäre, könntest du die IP-Adressen loggen.

                  Bis demnächst
                  Matthias

                  --
                  Pantoffeltierchen haben keine Hobbys.
                  ¯\_(ツ)_/¯
            2. Aloha ;)

              Frage am Rande:

              Müsste diese nicht kommerzielle Seite ohne jegliche Dialogoption (keine Nutzerdaten erforderlich) und ohne jegliche Geschäftsabsicht/möglichkeit irgendwelche Zusatzangaben (Impressun, DSGVO-Gedöns) erhalten?

              Auch nach DSGVO muss nur über das informiert werden, was an personenbezogenen Daten verarbeitet wird. Sofern wirklich keinerlei personenbezogene Daten verwendet und/oder (wenn auch nur temporär) gespeichert sind, braucht es dazu (afaik, IANAL) keine Datenschutzhinweise. Achtung: Bereits bei der IP-Adresse handelt es sich um personenbezogene Daten, und wenn ein Access-Log die speichert, könnte das alleine schon problematisch sein.

              Zum Impressum: Nicht-kommerziell ist nicht immer gleich „nicht geschäftsmäßig“. Eine Impressumspflicht besteht für geschäftsmäßig betriebene Seiten. Ob deine Seite (nicht-kommerziell hin oder her) geschäftsmäßig betrieben wird, kann ich nicht beurteilen. Sollten die dort angebotenen Informationen nur für dich oder Andere, mit denen du den Link privat teilst, gedacht und zugänglich sein, ist das bestimmt zu verneinen. Sobald deiner Seite ein wie auch immer geartetes öffentliches Interesse (und sei es noch so klein) zukommt, musst du davon ausgehen, dass das bereits als geschäftsmäßig gilt.

              TL;DR: Sowohl beim Impressum als auch bei den Datenschutzhinweisen sind die Grenzen, in denen man keines benötigt, sehr schmal. Im Zweifel also besser beides bereitstellen.

              Grüße,

              RIDER

              --
              Camping_RIDER a.k.a. Riders Flame a.k.a. Janosch Zoller
              # Twitter # Steam # YouTube # Self-Wiki # Selfcode: sh:) fo:) ch:| rl:) br:^ n4:? ie:% mo:| va:) js:) de:> zu:} fl:( ss:) ls:[
              1. Hello Rider,

                TL;DR: Sowohl beim Impressum als auch bei den Datenschutzhinweisen sind die Grenzen, in denen man keines benötigt, sehr schmal. Im Zweifel also besser beides bereitstellen.

                Mhh, ja. Besser wird's sein. "Öffentliches interesse" ist das Gummistichwort.

                Und in Wirklichkeit kostet es ja auch nur einmal richtig Mühe. stöhn

                Ich kann das dann ja modular erweitern für alle Domains auf demselben Server. Die benutzen ohnehin alle ein PHP-Grundgerüst (weit weg vom "Framework").

                Glück Auf
                Tom vom Berg

                --
                Es gibt nichts Gutes, außer man tut es!
                Das Leben selbst ist der Sinn.
                1. Aloha ;)

                  Und in Wirklichkeit kostet es ja auch nur einmal richtig Mühe. stöhn

                  Ja, ich kenne diese Phantomschmerzen auch.

                  Ich kann das dann ja modular erweitern für alle Domains auf demselben Server. Die benutzen ohnehin alle ein PHP-Grundgerüst (weit weg vom "Framework").

                  Eben! Besser is es so!

                  Grüße,

                  RIDER

                  --
                  Camping_RIDER a.k.a. Riders Flame a.k.a. Janosch Zoller
                  # Twitter # Steam # YouTube # Self-Wiki # Selfcode: sh:) fo:) ch:| rl:) br:^ n4:? ie:% mo:| va:) js:) de:> zu:} fl:( ss:) ls:[
      2. Hello,

        Hallo Email,

        Unseriös. Dein Provider möchte Dir bitte mitteilen, wer Deinen Anschluss nach offenen Diensten prüft und wer einen diesbezüglichen Auftrag erteilt hat.

        Ich würde davon ausgehen, dass das der Provider aus eigenem Antrieb tut, weil dadurch ggf. auch seine eigene Infrastruktur und Reputation gefährdet sein könnte.

        Auf Mutmaßungen sollte man sich bei der (IT-)Sicherheit besser nicht verlassen.

        Glück Auf
        Tom vom Berg

        --
        Es gibt nichts Gutes, außer man tut es!
        Das Leben selbst ist der Sinn.
    2. Hello,

      Es liegen uns Meldungen über einen offenen Dienst ..

      Unseriös. Dein Provider möchte Dir bitte mitteilen, wer Deinen Anschluss nach offenen Diensten prüft und wer einen diesbezüglichen Auftrag erteilt hat.

      Guter Hinweis.

      Das hat mich auch stutzig gemacht. So reden entweder Leute, die vor anderer Leute Karren gespannt werden, oder Faker. Letzteres ist ja durch meine Rückfrage ausgeschlossen worden.

      Allderdings hatte @Christian Kruse ja auch schon mal eine solche Mail.

      Glück Auf
      Tom vom Berg

      --
      Es gibt nichts Gutes, außer man tut es!
      Das Leben selbst ist der Sinn.
      1. Es gab Zeiten, da wurden ungefragte Portscans als versuchter Einbruch bzw. als Hackerangriff gewertet. MFG