1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › BGH-Urteil: Datenschutz gilt auch für…

Aha! Und was machen dann ...

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Aha! Und was machen dann ...

    Autor: AllDayPiano 16.05.17 - 14:57

    ... Forenbetreiber, die durch eine IP zugespammt werden?

    Die dürften dieser Argumentation folgend die Adresse nicht speichern, um die Nachrichten entsprechend zu filtern.

    Herr Breyer: Entweder habe ich hier nicht zu Ende gedacht, oder sie!

    ???

  2. Re: Aha! Und was machen dann ...

    Autor: Anonymer Nutzer 16.05.17 - 15:44

    Du

  3. Re: Aha! Und was machen dann ...

    Autor: AllDayPiano 16.05.17 - 16:06

    Prinzeumel schrieb:
    --------------------------------------------------------------------------------
    > Du

    Ach stimmt. An diesen Aspekt habe ich überhaupt nicht gedacht. Na das leuchtet ein! -.-

  4. Re: Aha! Und was machen dann ...

    Autor: hallomax 16.05.17 - 16:13

    @AllDayPiano So funktionierte die Politik bei den Piraten schon immer. Derne Interessen galten quasi als per se richtig und nicht verhandelbar und die Interessen von anderen wurden ignoriert weil es sich dabei um böse Menschen handelt deren Interessen ebenfalls ziemlich böse sind.

    Was gut uns böse ist entschieden die Piraten stets selbst.

    Ich erinnere nur an die seltsame Schlacht für "WLAN als rechtsfreien Raum" der der Pirat Herr McFadden seine Zeit gewidmet hat. Inhaber von Urheberrechten waren dabei die "bösen" die deswegen keinerlei Schutzinteressen mehr einfordern dürfen weswegen jeder über das WLAN alles machen dürfen sollte ohne dass auch nur irgendwer dafür haften muss. Der EuGH hat das zum Glück sachlich und fair entschieden.

    Kein Wunder, dass die Partei zugrunde ging. In einer Demokratie gibt es nunmal immer viele Interessen - das Ergebnis heißt dann: Kompromiss.



    1 mal bearbeitet, zuletzt am 16.05.17 16:14 durch hallomax.

  5. Re: Aha! Und was machen dann ...

    Autor: Shismar 16.05.17 - 16:38

    AllDayPiano schrieb:
    --------------------------------------------------------------------------------
    > ... Forenbetreiber, die durch eine IP zugespammt werden?
    >
    > Die dürften dieser Argumentation folgend die Adresse nicht speichern, um
    > die Nachrichten entsprechend zu filtern.
    >
    > Herr Breyer: Entweder habe ich hier nicht zu Ende gedacht, oder sie!
    >
    > ???
    Gar nicht nachgedacht eher. Welcher Forenbetreiber ist so bescheuert und sperrt eine dynamische IP?
    A) Der Spammer bekommt beim nächsten Login eine andere IP und wird nicht mehr gefiltert.
    B) Nach einer Weile sind alle Kunden eines Providers gesperrt ...
    Gratulation!

    Forenschreibrechte gibt es nur mit Anmeldung. Konto sperren und er muss erst wieder neu registrieren. Mit einer anderen EMail. Usw.

  6. Re: Aha! Und was machen dann ...

    Autor: p47r1ck 16.05.17 - 16:50

    Shismar schrieb:
    --------------------------------------------------------------------------------
    > AllDayPiano schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ... Forenbetreiber, die durch eine IP zugespammt werden?
    > >
    > > Die dürften dieser Argumentation folgend die Adresse nicht speichern, um
    > > die Nachrichten entsprechend zu filtern.
    > >
    > > Herr Breyer: Entweder habe ich hier nicht zu Ende gedacht, oder sie!
    > >
    > > ???
    > Gar nicht nachgedacht eher. Welcher Forenbetreiber ist so bescheuert und
    > sperrt eine dynamische IP?
    > A) Der Spammer bekommt beim nächsten Login eine andere IP und wird nicht
    > mehr gefiltert.
    > B) Nach einer Weile sind alle Kunden eines Providers gesperrt ...
    > Gratulation!
    >
    > Forenschreibrechte gibt es nur mit Anmeldung. Konto sperren und er muss
    > erst wieder neu registrieren. Mit einer anderen EMail. Usw.

    Man darf nicht immer von technikaffinen Foren auf andere schließen. So dynamisch ist eine IP nicht, wenn man von der durch den ISP zugewiesenen spricht. Ich behalte meine trotz Reconnects teilweise über mehrere Wochen. Und in vielen Foren reicht das Verständnis der Nutzer dann gerade bis zum "Neuverbinden" der Fritz!Box. Und "alle Kunden eines Providers" soll wohl eher heißen ein kompletter IP-Range eines Service-Anbieters und dies kann eben auch einen Proxy- oder VPN-Service meinen. Schon effektiv, einfach mal VPNs und Proxies auszusperren, damit lassen sich jede Menge Trolle erschlagen.

  7. Re: Aha! Und was machen dann ...

    Autor: Piyo 16.05.17 - 19:52

    Shismar schrieb:
    --------------------------------------------------------------------------------
    > Gar nicht nachgedacht eher. Welcher Forenbetreiber ist so bescheuert und
    > sperrt eine dynamische IP?

    Ich.

    Wenn ein Dienstanbieter erkennt, dass eine Quelle z.B. Spam versendet, Brute Force anwendet o.ä., sollte es für ihn selbstverständlich sein, dies zum Schutz der eigenen User zu unterbinden.

    IP-Sperren sind nicht der Weißheit letzter Schluss. Sie sind aber - richtig angewendet - ein probates Mittel, um den Aufwand und die Kosten von Spammern und anderen Verbrechern in die Höhe zu treiben.

    > A) Der Spammer bekommt beim nächsten Login eine andere IP und wird nicht
    > mehr gefiltert.

    Zwischen 2 Logins vergeht bei DSL und Mobilfunk wertvolle Zeit, die nicht mehr zum Spamversand verwendet werden kann. Außerdem stellen die pausenlosen Reconnects ein auffälliges Verhalten dar, was den Netzbetreiber zu einer Untersuchung und Sperrung veranlassen sollte.

    > B) Nach einer Weile sind alle Kunden eines Providers gesperrt ...
    > Gratulation!

    Vermutlich nicht.
    Entscheident ist, eine IP-Adresse __kurzzeitig__ zu sperren. Da Netzbetreiber in der Regel freigewordene IPs nicht sofort wieder vergeben, ist der Schaden für unbeteiligte User außerdem ziemlich gering.

    Sollten allerdings einige wenige Kunden durch ständige IP-Wechsel den gesamten IP-Pool eines Netzbetreibers verwenden, und der Netzbetreiber nichts dagegen unternehmen, wäre meine Empfehlung eher, sich einen anderen Provider zu suchen.

    Probleme gibt es, wenn mehrere Kunden sich dieselben IPv4-Adressen teilen. Hier kann man selbstverständlich einfach weitere Parameter für die Sperre einfließen lassen- Fingerprinting lässt grüßen. Oder solche Netze explizit von der Sperre ausnehmen.

    > Forenschreibrechte gibt es nur mit Anmeldung. Konto sperren und er muss
    > erst wieder neu registrieren. Mit einer anderen EMail. Usw.

    Wobei man sich bei Gmail und Co massenweise E-Mail-Adressen gratis registrieren kann. Dadurch wird nur mein Forensystem mit Fake-Accounts zugemüllt.

    Kommt Spam aus dem Subnetz eines bestimmten Betreibers, ist dieser dafür verantwortlich, dies zu unterbinden - nicht ich als Leidtragender. Und da seine Kunden dann schon heute viele Webdienste nicht mehr nutzen kann - nahezu alle größeren CDNs setzen u.a. auf IP-Sperren - liegt auch der Druck etwas zu ändern beim Netzbetreiber.

  8. Re: Aha! Und was machen dann ...

    Autor: divStar 16.05.17 - 20:56

    Kein ISP ist verpflichtet bei zu vielen Reconnects zu handeln. Wäre ja noch schöner. Außerdem ist ein ISP sicher kein Hilfsscheriff; der ISP muss nur auf Behördenanfragen reagieren (manchmal nicht mal das).

    Bei SPAM ist es kompliziert. Man läuft beim Sperren von SPAM immer Gefahr Unschuldige auszusperren. Der Nutzer sollte sich einfach bei einem der Forumadmins melden können. Diese wäre durch Schutzmaßnahmen wie Captcha gesichert. Fertig.

  9. Re: Aha! Und was machen dann ...

    Autor: Iruwen 16.05.17 - 22:03

    Er ist gegen die anlasslose Speicherung von Daten zwecks Tracking, natürlich kann und muss man IP-Adressen für bestimmte Zwecke vorübergehend speichern, aber nicht alle und immer.

  10. Re: Aha! Und was machen dann ...

    Autor: AllDayPiano 17.05.17 - 06:31

    Iruwen schrieb:
    --------------------------------------------------------------------------------
    > Er ist gegen die anlasslose Speicherung von Daten zwecks Tracking,
    > natürlich kann und muss man IP-Adressen für bestimmte Zwecke vorübergehend
    > speichern, aber nicht alle und immer.

    Also so wie ich ihn im Artikel verstanden habe, sagt er, dass man das niemals braucht, weil es ja anders viel besser geht.

  11. Re: Aha! Und was machen dann ...

    Autor: Iruwen 17.05.17 - 11:47

    Der Artikel verkürzt den Sachverhalt stark.

  12. Re: Aha! Und was machen dann ...

    Autor: c3rl 17.05.17 - 11:50

    Der Hash einer IP-Adresse stellt aufgrund der Pseudonymisierung kein personenbezogenes Datum mehr da. Die Antwort auf deine Frage ist also: Sie verwenden zum Blocken von Spam einen Hash der IP-Adresse.

  13. Re: Aha! Und was machen dann ...

    Autor: markab 17.05.17 - 13:40

    c3rl schrieb:
    --------------------------------------------------------------------------------
    > Der Hash einer IP-Adresse stellt aufgrund der Pseudonymisierung kein
    > personenbezogenes Datum mehr da.

    Wenn sich aus dem Hash (z.B. MD5 oder CRC32) ohne Aufwand die IP-Adresse (IPv4) ergibt, dann ist das keine Pseudonymisierung, so wie auch eine Verschleierung mittels ROT13 keine Pseudonymisierung ist. Es müsste schon so etwas wie CRC16 benutzt werden, aber das würde aufgrund der Kollisonen auch wenig Sinn machen.

    tl;dr: Der Vorschlag erscheint mir (ironisch || blödsinnig) && !zielführend

    markab

  14. Re: Aha! Und was machen dann ...

    Autor: crazypsycho 17.05.17 - 18:30

    c3rl schrieb:
    --------------------------------------------------------------------------------
    > Der Hash einer IP-Adresse stellt aufgrund der Pseudonymisierung kein
    > personenbezogenes Datum mehr da. Die Antwort auf deine Frage ist also: Sie
    > verwenden zum Blocken von Spam einen Hash der IP-Adresse.

    Generell ist eine IP nicht personenbezogen. Da liegt bereits der Fehler.
    Schon allein um das Herkunftsland herauszufinden, ist die IP wichtig. Darum kann man die nicht gehasht abspeichern.

  15. Re: Aha! Und was machen dann ...

    Autor: Anonymer Nutzer 17.05.17 - 20:14

    markab schrieb:
    --------------------------------------------------------------------------------
    > c3rl schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Der Hash einer IP-Adresse stellt aufgrund der Pseudonymisierung kein
    > > personenbezogenes Datum mehr da.
    >
    > Wenn sich aus dem Hash (z.B. MD5
    Nimmt man halt sha512?

    > oder CRC32)
    Hallo...wir sind in 2017...wer um alles in der welt kommt noch auf die idee crc32 zu verwenden? Oo

    > ohne Aufwand die IP-Adresse
    > (IPv4) ergibt, dann ist das keine Pseudonymisierung, so wie auch eine
    > Verschleierung mittels ROT13 keine Pseudonymisierung ist. Es müsste schon
    > so etwas wie CRC16 benutzt werden, aber das würde aufgrund der Kollisonen
    > auch wenig Sinn machen.
    Aua...

    >
    > tl;dr: Der Vorschlag erscheint mir (ironisch || blödsinnig) &&
    > !zielführend
    >
    > markab

  16. Re: Aha! Und was machen dann ...

    Autor: Anonymer Nutzer 17.05.17 - 20:16

    crazypsycho schrieb:
    --------------------------------------------------------------------------------
    > c3rl schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Der Hash einer IP-Adresse stellt aufgrund der Pseudonymisierung kein
    > > personenbezogenes Datum mehr da. Die Antwort auf deine Frage ist also:
    > Sie
    > > verwenden zum Blocken von Spam einen Hash der IP-Adresse.
    >
    > Generell ist eine IP nicht personenbezogen. Da liegt bereits der Fehler.
    > Schon allein um das Herkunftsland herauszufinden, ist die IP wichtig. Darum
    > kann man die nicht gehasht abspeichern.
    Stimmt. Ist ja auch unmöglich erst das Herkunftland zu bestimmen und das dann mit dem hash zu speichern...

  17. Re: Aha! Und was machen dann ...

    Autor: crazypsycho 17.05.17 - 20:21

    Prinzeumel schrieb:
    --------------------------------------------------------------------------------
    > crazypsycho schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > c3rl schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Der Hash einer IP-Adresse stellt aufgrund der Pseudonymisierung kein
    > > > personenbezogenes Datum mehr da. Die Antwort auf deine Frage ist also:
    > > Sie
    > > > verwenden zum Blocken von Spam einen Hash der IP-Adresse.
    > >
    > > Generell ist eine IP nicht personenbezogen. Da liegt bereits der Fehler.
    > > Schon allein um das Herkunftsland herauszufinden, ist die IP wichtig.
    > Darum
    > > kann man die nicht gehasht abspeichern.
    > Stimmt. Ist ja auch unmöglich erst das Herkunftland zu bestimmen und das
    > dann mit dem hash zu speichern...

    Ja dazu müsste man einiges an der Serversoftware umschreiben, damit sowas geht. Geht dann auch massiv auf die Performance. Also ja, ist im Grunde nicht möglich.

    Zumal: Warum sollte man ein so eindeutig nicht personenbezogenes Datum noch zusätzlich Hashen?

  18. Re: Aha! Und was machen dann ...

    Autor: Anonymer Nutzer 17.05.17 - 20:35

    crazypsycho schrieb:
    --------------------------------------------------------------------------------
    > Prinzeumel schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > crazypsycho schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > c3rl schrieb:
    > > >
    > >
    > ---------------------------------------------------------------------------
    >
    > >
    > > > -----
    > > > > Der Hash einer IP-Adresse stellt aufgrund der Pseudonymisierung kein
    > > > > personenbezogenes Datum mehr da. Die Antwort auf deine Frage ist
    > also:
    > > > Sie
    > > > > verwenden zum Blocken von Spam einen Hash der IP-Adresse.
    > > >
    > > > Generell ist eine IP nicht personenbezogen. Da liegt bereits der
    > Fehler.
    > > > Schon allein um das Herkunftsland herauszufinden, ist die IP wichtig.
    > > Darum
    > > > kann man die nicht gehasht abspeichern.
    > > Stimmt. Ist ja auch unmöglich erst das Herkunftland zu bestimmen und das
    > > dann mit dem hash zu speichern...
    >
    > Ja dazu müsste man einiges an der Serversoftware umschreiben,
    Soso..

    > damit sowas
    > geht. Geht dann auch massiv auf die Performance.
    Keine Ahnung was du für einen gurkenserver hast aber die Lösung ist einfach...

    > Also ja, ist im Grunde
    > nicht möglich.
    Falsch.

    >
    > Zumal: Warum sollte man ein so eindeutig nicht personenbezogenes Datum noch
    > zusätzlich Hashen?
    Wie es ausschaut scheint die rechtssprechung das anders zu sehen.

  19. Re: Aha! Und was machen dann ...

    Autor: crazypsycho 17.05.17 - 20:40

    Prinzeumel schrieb:
    --------------------------------------------------------------------------------
    > crazypsycho schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Prinzeumel schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > crazypsycho schrieb:
    > > >
    > >
    > ---------------------------------------------------------------------------
    >
    > >
    > > > -----
    > > > > c3rl schrieb:
    > > > >
    > > >
    > >
    > ---------------------------------------------------------------------------
    >
    > >
    > > >
    > > > > -----
    > > > > > Der Hash einer IP-Adresse stellt aufgrund der Pseudonymisierung
    > kein
    > > > > > personenbezogenes Datum mehr da. Die Antwort auf deine Frage ist
    > > also:
    > > > > Sie
    > > > > > verwenden zum Blocken von Spam einen Hash der IP-Adresse.
    > > > >
    > > > > Generell ist eine IP nicht personenbezogen. Da liegt bereits der
    > > Fehler.
    > > > > Schon allein um das Herkunftsland herauszufinden, ist die IP
    > wichtig.
    > > > Darum
    > > > > kann man die nicht gehasht abspeichern.
    > > > Stimmt. Ist ja auch unmöglich erst das Herkunftland zu bestimmen und
    > das
    > > > dann mit dem hash zu speichern...
    > >
    > > Ja dazu müsste man einiges an der Serversoftware umschreiben,
    > Soso..

    Ja denn es gibt keine Serversoftware die sowas macht, einfach weil es sinnfrei wäre.

    > > damit sowas
    > > geht. Geht dann auch massiv auf die Performance.
    > Keine Ahnung was du für einen gurkenserver hast aber die Lösung ist
    > einfach...

    Also bei 10 Zugriffen am Tag, mag das ja noch gehen. Wobei sich auch da der Aufruf der Website verzögert, da immer erst ein Lookup gemacht werden muss.
    Aber wenn man mehrere tausend Zugriffe hat, wird es schon nicht mehr gehen.

    > > Also ja, ist im Grunde
    > > nicht möglich.
    > Falsch.

    Nein richtig. Aber dazu müsste man etwas von der Materie verstehen. Jeder Serveradmin würde über so eine Idee lachen.

    > >
    > > Zumal: Warum sollte man ein so eindeutig nicht personenbezogenes Datum
    > noch
    > > zusätzlich Hashen?
    > Wie es ausschaut scheint die rechtssprechung das anders zu sehen.

    Bisher zum Glück noch nicht. Da streitet man sich ja noch drum.

  20. Re: Aha! Und was machen dann ...

    Autor: Piyo 17.05.17 - 21:41

    crazypsycho schrieb:
    --------------------------------------------------------------------------------
    > Generell ist eine IP nicht personenbezogen. Da liegt bereits der Fehler.
    > Schon allein um das Herkunftsland herauszufinden, ist die IP wichtig. Darum
    > kann man die nicht gehasht abspeichern.

    Ich kann das Herkunftsland auch ermitteln, bevor ich einen Hash bilde. Oder ich speichere statt der vollständigen IP nur die ersten drei Oktetts.

    Ein Hash ist unsicher, erlaubt mit einem geheimen Salt aber, ein Identifikationsmerkmal für Analysezwecke zu haben, während gleichzeitig nur wenige erlauchte Personen daraus die tatsächliche IP ermitteln können.

    IT für Fortgeschrittene: Ich frage den Nutzer einfach, in welchem Land er lebt.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. DATAGROUP Köln GmbH, verschiedene Standorte
  2. IT-POWER4You GmbH, Hamburg
  3. KEB Automation KG, Barntrup
  4. Amprion GmbH, Pulheim-Brauweiler

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 48,99€
  2. (-62%) 18,99€
  3. 39,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de