Eine moderne Webseite braucht Verschlüsselung - und nun hat Bronies.de eine

[FiHaZe]

Ich bin auch dafür, dass es so bleibt wie es ist. Hier, hoch in den Alpen, besitze ich nicht das beste Internet um es noch zusätzlich mit Sicherheitskram, den es meiner Meinung nach hier nicht braucht, zu belasten. Wenn das ein Forum wäre, wo man über irgendwelche Geheimformeln von Krabben Burger schreiben würde, dann wäre so ne Sicherheit passender.

[Blue Sparkle]

Spoiler (Öffnen)

(18.06.2016)mrx1983 schrieb:  

(18.06.2016)CryseTech schrieb:  

(14.06.2016)SaveDerpy schrieb:  Es ist praktisch, es ist ein moderner Webstandard, es sollte eingebaut werden und gut ist

+1   sehe ich einfach auch so, es gibt genug sensible Daten die man nicht free4all durch die Leitung prügeln möchte.

da es mittlerweile umsonst ist, ist das schon nicht verkehrt.
aber ansonsten kamen webseiten auch jahrzehnte ohne gut aus.
und es hat nie wirklich zu sicherheitsproblemen auf fanseiten geführt.
aber wenn es umsonst ist, warum nicht.

Naja, wie viele Fanseiten kennst du die sich um Sachen wie Cloudflare und einen Server von OVH bemühen müssen

Allerdings sind unsere Adminpasswörter relativ langweilig. Wirklich viel kann man damit nicht anstellen, jedenfalls nichts irreversibles.

[elitecat]

(18.06.2016)FiHaZe schrieb:  Ich bin auch dafür, dass es so bleibt wie es ist. Hier, hoch in den Alpen, besitze ich nicht das beste Internet um es noch zusätzlich mit Sicherheitskram, den es meiner Meinung nach hier nicht braucht, zu belasten. Wenn das ein Forum wäre, wo man über irgendwelche Geheimformeln von Krabben Burger schreiben würde, dann wäre so ne Sicherheit passender.

Die paar kb mehr...... Ich bin für den vorschlag mit ssl ^^
Sicher ist sicher finde ich.

[FiHaZe]

(18.06.2016)elitecat schrieb:  

(18.06.2016)FiHaZe schrieb:  Ich bin auch dafür, dass es so bleibt wie es ist. Hier, hoch in den Alpen, besitze ich nicht das beste Internet um es noch zusätzlich mit Sicherheitskram, den es meiner Meinung nach hier nicht braucht, zu belasten. Wenn das ein Forum wäre, wo man über irgendwelche Geheimformeln von Krabben Burger schreiben würde, dann wäre so ne Sicherheit passender.

Die paar kb mehr...... Ich bin für den vorschlag mit ssl ^^
Sicher ist sicher  finde ich.

In Zeiten des Krieges ist jedes kb wichtig. Ich bleibe bei meiner Meinung!

[Nebulous]

(18.06.2016)FiHaZe schrieb:  

(18.06.2016)elitecat schrieb:  

(18.06.2016)FiHaZe schrieb:  Ich bin auch dafür, dass es so bleibt wie es ist. Hier, hoch in den Alpen, besitze ich nicht das beste Internet um es noch zusätzlich mit Sicherheitskram, den es meiner Meinung nach hier nicht braucht, zu belasten. Wenn das ein Forum wäre, wo man über irgendwelche Geheimformeln von Krabben Burger schreiben würde, dann wäre so ne Sicherheit passender.

Die paar kb mehr...... Ich bin für den vorschlag mit ssl ^^
Sicher ist sicher  finde ich.

In Zeiten des Krieges ist jedes kb wichtig. Ich bleibe bei meiner Meinung!

Ich sitze auch in einem breitbandschwachen Ausbaugebiet und habe durch die Verschlüsselung keinerlei Probleme.

[rainbowderpy]

uh, habe mich nun auch hier her verirrt^^
Die Frage ob TLS oder nicht stellt sich doch garnicht, da der Forenbetreiber schon gesetzlich dazu gezwungen ist, ordentlichen Datenschutz umzusetzen. Alles andere wäre nachdem darauf hingewiesen wurde, grob fahrlässig -> strafbar mit Geldstrafe oder mehrjährige Haftstrafe auch ohne dass ein Datendiebstahl vorgefallen ist. Ich verweise hier mal auf das Bundesdatenschutzgesetz, welches hier Anwendung findet, da die Daten nicht nur persönlich oder familiär genutzt werden.

[Chase]

Ist jetzt die Frage. Soweit ich weiß bezieht sich das BDSG in erster Linie auf Verarbeitung und Speicherung der Daten. Ob die Daten zwangsweise verschlüsselt gesendet werden müssen, ist glaube ich noch eine Grauzone.

Edit: Okay nach kurzer Recherche im BDSG findet sich in der Anlage unter Punkt 4 folgendes zu finden:

Zitat:Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,
[...]
zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

Quelle

Damit würde ich als Ottonormalverbraucher sagen. Ja, eine verschlüsselung ist (zumindest bei personenbezogenen Daten) Pflicht.

Hier kommt das nächste Problem: Ein Forumspost ist kein Personenbezogenes Datum. Auf der Webseite sind nur wenige Angaben personenbezogen. Das wären IP, E-Mail und eventuelle Adresse (wer so blöd ist sie in sein Profil zu schreiben) Der Nickname ist nach BDSG kein personenbezogenes Datum. Von daher müsste man erstmal bestimmen ob das BDSG hier überhaupt angewendet werden müss.

[Killbeat]

(11.08.2016)rainbowderpy schrieb:  uh, habe mich nun auch hier her verirrt^^
Die Frage ob TLS oder nicht stellt sich doch garnicht, da der Forenbetreiber schon gesetzlich dazu gezwungen ist, ordentlichen Datenschutz umzusetzen. Alles andere wäre nachdem darauf hingewiesen wurde, grob fahrlässig -> strafbar mit Geldstrafe oder mehrjährige Haftstrafe auch ohne dass ein Datendiebstahl vorgefallen ist. Ich verweise hier mal auf das Bundesdatenschutzgesetz, welches hier Anwendung findet, da die Daten nicht nur persönlich oder familiär genutzt werden.

du willst hier jetzt nicht im ernst Fabrony anzeigen, oder?

[rainbowderpy]

(11.08.2016)Killbeat schrieb:  du willst hier jetzt nicht im ernst Fabrony anzeigen, oder?

omg nein! Ich will dass ich mich z.B. über UMTS mit meinem Handy auf bronies.de anmelden kann ohne dass jeder in 3km Umkreis mein Forenpasswort, meine Nutzungsstatistiken, private Nachrichten bezüglich Zahlungen für Meetups,... lesen kann.
Mit meinem vorherigen Kommentar wollte ich nur die Frage bezüglich ob Verschlüsselung notwendig ist oder nicht abschließen.

PS Chase: du Troll! Hier die Definition vom BDSG §3: "(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)." Damit gelten auch Benutzernamen, persönliche Nachrichten (und besonders der Inhalt dieser Nachrichten - z.B. Adressdaten, Kontonummern),... als personenbezogene Daten.

Bitte brecht jetzt hier nicht in Metadiskussionen aus, sondern gebt dem Forenteam mal ein paar Tage/Wochen Zeit um eine Lösung zu erarbeiten...

[Evenprime]

BDSG schrieb:§ 9
Technische und organisatorische Maßnahmen

[...] Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Basierend auf den personenbezogenen Daten die von uns abgefragt und durch uns gespeichert werden (Mailadresse, optional Geburtsdatum) stehen die derzeitigen Maßnahmen (z.B. Schutz der Daten auf unserem Server vor unerlaubten Zugriffen) für ein privates, nicht kommerzielles Projekt wie bronies.de im Verhältnis zum angestrebten Schutzzweck.

Dies ist die gängige Interpretation dieses Paragraphen. Nur Behörden haben in Deutschland tatsächlich eine Empfehlung/Pflicht, SSL/TLS zu nutzen für z.B. Kontaktformulare. Zudem bezieht sich der Großteil des Gesetzes eigentlich auf die Weitergabe von Daten an Dritte (z.b. wir schicken die Infos an eine Partnerseite) und die dafür nötigen Sicherheitsmaßnahmen.

Sollte jemand eine andere Interpretation diesbezüglich finden, wäre ich sehr daran interessiert diese zu lesen. Man bildet sich ja gerne weiter.

[Blue Sparkle]

Ich liebe es ja besonders, wenn nicht-Juristen mit Paragrafen um sich werfen und dann meinen, dass sie die Weisheit mit Löffeln verspeist haben. Ähnliche Diskussionen haben wir schon zur Löschung von personenbezogenen Daten geführt und uns wurde auch mit Klage gedroht. Wundersamerweise haben wir unser vorgehen bisher nicht ändern müssen und Fabr0ny ist auch nicht im Gefängnis gelandet. Ein Anwalt hat sich auch noch nicht gemeldet. Denkt mal drüber nach.

Zum Thema:
Even hat zwar schon geantwortet, aber von mir bekommst du jetzt mal die ganz ausführliche Variante. Dafür muss ich zwar leider auch Paragrafen werfen, aber geht ja offensichtlich nicht anders.
Erst einmal ...

Zitat:Damit gelten auch Benutzernamen, persönliche Nachrichten (und besonders der Inhalt dieser Nachrichten - z.B. Adressdaten, Kontonummern),... als personenbezogene Daten.

Nein.
Wie auch in der oben genannten Diskussion damals dargelegt ist der Benutzername kein personenbezogenes Datum, da ohne weiteres kein Zusammenhang mit deinem echten Namen hergestellt werden kann. Oder heißt du im RL rainbowderpy? Ich selbst bin wohl einer der wenigen Bronies, dessen RL Namen du tatsächlich herausfinden kannst, da er lange Zeit auf unserer Vereinsseite stand. Für nahezu jeden anderen User hier im Forum trifft das nicht zu. Selbst in Verbindung mit deiner Emailadresse wäre dein Name kaum herauszufinden. Und ein personenbezogenes Datum muss nun einmal auch darauf bezogen werden können.

Was PNs angeht: Da diese Seite nicht verschlüsselt ist, erfolgt das übermitteln von Kontodaten auf deine Verantwortung. Anders gesagt: Die Post ist nicht dafür haftbar, wenn jemand deinen Briefkasten aufbricht und die Briefe daraus klaut.
Zudem spricht das Gesetz hier eindeutig von automatisierter Verarbeitung, was hier nicht der Fall ist. Der Punkt ist damit nicht zutreffend.

Übrigens hilft es auch ungemein nicht nur die Anlagen sondern auch die eigentlichen Gesetze zu lesen. In §9 steht dort zum Beispiel:

Zitat:Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Wobei die drei genannten Dinge in §3 wie folgt definiert sind:

Zitat:(3) Erheben ist das Beschaffen von Daten über den Betroffenen.

Machen wir nicht. Ihr gebt uns die Daten wenn überhaupt samt und sonders freiwillig. Einzig eine Mailadresse ist notwendig um sich zu registrieren und die IP-Adressen können nicht verschlüsselt werden. Wenn jemand an den Datenstrom kommt, hat er die Adresse bereits, wahrscheinlich weil er im selben Netzwerk hängt.

Zitat:(4) Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten.

wobei dies im Einzelnen bedeutet:

Zitat:Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung,

Die Daten werden auf dem Server passwortgeschützt gespeichert. DB Passwort und Serverzugang haben nur 5 Personen im Forum.

Zitat:Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten,

Ist bei uns nicht der Fall.

Zitat:Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass

a)
   die Daten an den Dritten weitergegeben werden oder
b)
   der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft,

Diese Daten können nur von dir selbst abgerufen werden und von dir selbst veröffentlicht und damit an dritte weitergegeben werden.

Zitat:4.
   Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken,
5.
   Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten.

Wiederum nur von dir selbst oder auf Anfrage von uns, wenn der Aufwand nicht unverhältnismäßig hoch ist.

Zitat:(5) Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt.

Personenbezogene Daten finden bei uns keinerlei Verwendung.


Allerdings ist das ganze oben geschriebene ohnehin nicht von Belang, denn es gibt ja noch das Telemediengesetz.
Dort sind in §13 die Pflichten des Dienstanbieters (also von uns) geregelt und es heißt

Zitat:(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1.
   kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2.
   diese

   a)
       gegen Verletzungen des Schutzes personenbezogener Daten und
   b)
       gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

Dem aufmerksamen Leser werden hier auffallen, dass von geschäftsmäßig angebotenen Medien die Rede ist. Dieses Forum ist aber nicht kommerziell. Und wie Even bereits schrieb trifft das ganze damit nicht auf uns zu.

Ich würde mich freuen, wenn man sich vielleicht erst per PN an uns wendet, wenn man rechtliche Bedenken hat und nicht gleich einen Post à la "Ihr macht euch Strafbar, wenn ihr nicht sofort XYZ macht." loslässt.


zum Thema Verschlüsselung:
Das wird vielleicht in näherer Zukunft in Angriff genommen, wenn ein Techmin Zeit dafür hat.
Soll ja keiner Sagen, dass wir uns mit Händen und Hufen dagegen wehren.


Quellen:
https://www.gesetze-im-internet.de/bdsg_1990/__3.html
https://www.gesetze-im-internet.de/bdsg_1990/__9.html
https://www.gesetze-im-internet.de/bdsg_...nlage.html
https://www.gesetze-im-internet.de/tmg/__13.html

[rainbowderpy]

sorry, auch wenn sich das jetzt nciht so toll anhört, aber du bist da gerade mit aller Wucht ins Fettnäpfchen getreten. Da ist einiges arg falsch in deinem Beitrag, ich habe aber weder Zeit noch Lust dazu, das weiter auszuführen.
Ah warte, ein will ich noch richtig stellen damit ihr da zukünftig nicht irgend welche Probleme durch habt: "geschäftsmäßig" in DIESEN rechtlichen Texten besagt nur dass etwas regelmäßig und über einen längeren zeitraum gemacht wird - das hat nichts mit einer kommerziellen Tätigkeit zu tun.

[Blue Sparkle]

Zunächst einmal sind Posts der Sorte "Du hast Unrecht, ich habe aber keine Lust zu sagen wieso." große Kunst. Echt Respekt für so viel Kreativität und Einsatz.

Dann zum zweiten Teil:
Das stimmt so schonmal überhaupt nicht, da dieser Begriff rechtlich nicht vollumfänglich und einheitlich definiert ist und stets im Zusammenhang mit dem jeweiligen Gesetz mitdefiniert werden muss.

Das TMG ist da leider etwas uneindeutig, was die Definition angeht. Zum Glück gibt es ja Gerichte, die die Gesetze auslegen. Das OLG Hamburg hat in der Entscheidung 3 W 64/07 vom 03.04.2007 erklärt:

Zitat:Das Normelement „geschäftsmäßige, in der Regel gegen Entgelt angebotene Telemedien“ beschränkt  den  Anwendungsbereich  der  Regelung  des  § 5  TMG  jedoch  nicht  auf  kostenpflichtige  Telemediendienste.  Vielmehr  zeigt  die  Entstehungsgeschichte  der  Norm,  dass  mit  diesem  Tatbestandselement lediglich Internetangebote von privaten Anbietern und von Idealvereinen, mithin nicht kommerzielle Angebote,  aus  dem  Anwendungsbereich  der  Impressumspflicht ausgenommen  werden  sollten.

http://medien-internet-und-recht.de/pdf/...08_112.pdf

Hier ist zwar von der Impressumspflicht die Rede, aber wenn du dir das entsprechende Gesetz ansiehst, dann wirst du sehen, dass das eng mit der Frage verbunden ist, was geschäftsmäßig im Zusammenhang mit dem Gesetz meint.

Allgemeiner formuliert findest du es hier:

Zitat:Frage: Wann gelten Telemedien als „geschäftsmäßig“ im Sinne des TMG?

Der Begriff der „Geschäftsmäßigkeit“ ist wesentlich weiter zu verstehen als derjenige der „Gewerbsmäßigkeit“ und wird insofern nicht erst dann erfüllt, wenn der angebotene Teledienst eine direkte Ausprägung der eigenen wirtschaftlichen Betätigung ist. Nach den Gesetzesbegründungen zum TMG und dem OLG Hamburg (Urteil v. 03.04.2007 – Az. 3 W 64/07) liegt eine Geschäftsmäßigkeit vielmehr schon vor, wenn die Internetseiten kommerziell ausgestaltet sind, also unmittelbar auf den Vertrieb von Waren oder Dienstleistung ausgerichtet sind oder bloß mittelbar von eigener oder fremder Werbung gespeist werden.

Die Entgeltlichkeit eines Telemediendienstes ist für dessen Qualifikation als „geschäftsmäßig“ dahingegen nicht zwingend erforderlich, da andernfalls der Anwendungsbereich des § 5 TMG zu weit beschränkt würde. So postuliert schon §5 Abs. 1 TMG die Gebührenpflicht zwar als Indikator, nicht aber als unabdingbare Voraussetzung der Impressumspflicht. Eine Gewinnerzielungsabsicht ist für die Geschäftsmäßigkeit nicht notwendig.

Zur Orientierung kann für die Beurteilung der Geschäftsmäßigkeit ergänzend auch die Definition der geschäftlichen Handlung nach §2 Nr. 1 UWG herangezogen werden. Diese umfasst ebenso wie die Geschäftsmäßigkeit sämtliche Formen der Kommunikation, die der unmittelbaren oder mittelbaren Förderung des Absatzes von Waren und Dienstleistungen oder des Erscheinungsbildes eines Unternehmens, einer Organisation oder einer natürlichen Person dienen, die eine Tätigkeit in Handel, Gewerbe, Handwerk oder einen reglementierten Beruf ausübt (Köhler/Bornkamm-Köhler, Kommentar zum UWG, § 2 Rnr. 14).

https://www.it-recht-kanzlei.de/Thema/im...ml?#sect_2

Im Endeffekt trifft nichts von alledem auf diese Seite zu. Fabr0ny als Inhaber der Domain hat keinerlei wirtschaftliches Interesse an dieser Seite, weder als Werbeplattform noch in sonstiger Weise. Damit trifft der Begriff "Geschäftsmäßig" hier nicht zu.

[Nightshroud]

Bin sehr dafür, Verschlüsselung ist immer gut.
Ich selbst bin schon Opfer eines Datendiebstahls geworden, daher immer her damit.

[Zecora95]

Mir persönlich ist das ja schnurzpieps mit dem SSL. Immerhin kann man den Mist hier so oder so lesen

Ich befürchte aber (war glaube ich mal bei Chrome kurzzeitig Gespräch) das die Browser in Zukunft vor Formularen mit ungesicherten HTTP-Übertragungen warnen könnten.

[Blue Sparkle]

Da es mittlerweile kostenfrei möglich ist arbeiten die techmins an der optimalen Lösung welche für unsere konfig ideal ist. Das ganze soll ja z.b . Auch funktionieren wenn cloudflare mal nicht aktiviert ist.

[Nebulous]

(12.08.2016)Blue Sparkle schrieb:  Da es mittlerweile kostenfrei möglich ist arbeiten die techmins an der optimalen Lösung welche für unsere konfig ideal ist. Das ganze soll ja z.b . Auch funktionieren wenn cloudflare mal nicht aktiviert ist.

Vielen Dank für eure Bemühungen. Wir wissen das sehr zu schätzen.

Wann geht's los?

[Nebulous]

Aktuell wurde wieder eine Sicherheitslücke gefunden, die ungeschützte HTTP-Verbindungen betrifft. Auch hier wieder eine Grund für die Verschlüsselung.
http://www.heise.de/newsticker/meldung/H...00328.html

[404compliant]

Nicht wirklich relevant. Um die Lücke ausnutzen zu können, muss man die Verbindung bereits belauschen können, und könnte durch ein aufwändiges Kapern der Verbindung andere Daten im Namen des Servers schicken, und z.b. eine neue Passwortabfrageseite senden. Aber wenn man eh schon die Leitung abhören kann, hat man eh schon Zugriff auf die Sitzungsdaten, und kann fast alles machen.

[LightningGear]

Eine moderne Website braucht nicht bloß Verschlüssung, sie braucht überhaupt mal Security.

Quelle: Mozilla Observatory