BGH: Sicherheit vs. Persönlichkeitsrecht

Üblicherweise gibt es strenge Regeln, welche Daten der Besucher einer Website gespeichert werden dürfen. Das muss dann in der sehr oft vernachlässigten Datenschutzerklärung genau beschrieben werden. Gerade die Sammelleidenschaft von Google & Co macht das schwierig, da nur die Suchmaschinen genau wissen, was genau sie speichern – die Webmastertools von Google lassen ahnen, welchen Umfang das hat.

Sicher auch als Folge des jüngsten Cyber-Angriffs (“Wanna Cry”) hat der Bundesgerichtshof nun ein Urteil gefällt, das sogar das sonst so hoch gehaltene Persönlichkeitsrecht an die zweite Stelle rückt. Künftig (ab wann genau?) darf die IP-Adresse des Besuchers gespeichert werden, sofern das die Sicherheit der besuchten Website erhöht. Allerdings ist das eine Eintscheidung im Einzelfall – nicht jeder Betreiber darf also nach Herzenslust IP-Adressen speichern.

Allerdings gibt es ja schon immer die berechtigte Diskussion, ob man durch die IP-Adresse tatsächlich den konkreten Nutzer ermitteln kann. Im privaten Haushalt geht das heutzutage vermutlich, zumal die dynamisch vergebenen Adressen über viele Monate konstant bleiben. zumindest hat man dann schonmal den konkreten Haushalt am Haken. In Firmennetzwerken ist das nach wie vor unmöglich, denn die öffentliche IP-Adresse ist eben die des Anschlusses ungeachtet der Technologie im Inneren – hunderte Nutzer kann man von außen nicht auseinander halten.

Abgesehen davon werden sich “Die Bösen” sicher kaum an Regeln halten und natürlich Techniken wie das Tor-Netzwerk oder andere Zaubertricks nutzen, um ihr Werk zu tarnen. Man wird sehen, in wie weit dieses Urteil Erfolg haben wird. Abgesehen davon, dass die Fehler immer noch “vorm Bildschirm sitzen” – ich erinnere an das gedankenlose Anklicken von Links in Emails – oder von Entscheidern und Administratoren verursacht werden, die zum Teil heute noch Windows XP betreiben und neue Systeme und Updates einfach nicht nutzen wollen.

Quelle: Tagesschau vom 16.5.2017

Das Aktenzeichen des BGH: Az. VI ZR 135/13

Linux: Tails – das Betriebssystem für gemäßigt Paranoide

So gut vertragen sich Sicherheit und Benutzerfreundlichkeit heute: Tails ist ein Betriebssystem to go, vollgestopft mit Software zum Verschlüsseln und Verschleiern. Es gilt als das Lieblingsbetriebssystem von Edward Snowden: Tails, kurz für The amnesic incognito live system, ist eine Linux-Variante für gemäßigt Paranoide. Sie wird nicht fest auf einem Rechner installiert, sondern auf einem bootfähigen USB-Stick. Damit ist Tails eine Art Betriebssystem to go: Man steckt es unterwegs in irgendeinen Rechner, startet und benutzt Tails und zieht den Stick hinterher wieder ab. Auf der Hardware bleibt keine Spur davon zurück.

Quelle: Tails – das Betriebssystem für gemäßigt Paranoide

Und hier gehts zum Download vom Hersteller:
tails.boum.org (Torrent 1,15 GB)

Sicherheitsmythos: Anmeldenamen in WordPress verstecken

Ich habe selbst schon einem meiner Beiträge auf eine Website verwiesen, wo diese Sicherheitslösung besprochen wird. Nun bin ich auf diesen Artikel von Torsten Landsiedel gestoßen, der ebenfalls lesenswert ist:

Immer wieder lese ich den folgenden Sicherheits-Hinweis für WordPress: Verstecke den Anmeldenamen! Oder Nutzer beschweren sich über die Nachlässigkeit der Core-Entwickler, dass der Nutzername preisgegeben wird. Dabei ist das kein Sicherheitsproblem. Und warum das Verschleiern viel schwieriger ist, als viele annehmen versuche ich euch hier mal zu zeigen.

Quelle: Sicherheitsmythos: Anmeldenamen in WordPress verstecken

Basisschutz: WordPress absichern

Leider ist es mir selbst in der nahen Vergangenheit zweimal “gelungen”, dass diese meine WordPress-Installation gehackt wurde. Erkannt habe ich das zunächst daran, dass die im Frontend sichtbaren Plugins nicht mehr gingen (z.B. Formular, OSM-Karte) und dann im Backend daran, dass keine Plugins mehr da waren. Diese waren als Verzeichnisse/Files zwar noch vorhanden, aber beim Blick in beliebige PHP-Files zeigte sich, dass vorn dran zusätzliche per Hex-Schreibweise (\xnn) “verschlüsselte” PHP-Befehle eingefügt worden waren.

Ein dafür mögliches Stichword zum Suchen: “timthumbs” www.exploit-db.com/exploits/17602.

Nun konnte ich unmöglich in tausenden Files diese Einfügung entfernen. Zum Glück funktionierte das vorletzte Backup – das letzte war ebenso kaputt. Der zitierte Artikel gibt viele Hinweise auf Möglichkeiten, seine WP-Installation zu schützen. Unbedingt lesenswert!

Quelle: Basisschutz | WordPress absichern Teil1 | Kuketz IT-Security Blog

Nachtrag: Ich habe eine Sicherung des Verzeichnisses /admin/ mittels .htaccess und .htpasswd eingeführt und seitdem ist anscheinend Ruhe mit den hackerangriffen. Jedenfalls bekomme ich nichts mehr gemeldet.