On Wed, Oct 10, 2007 at 11:39:06AM +0200, Gert Doering wrote: > On Wed, Oct 10, 2007 at 10:58:19AM +0200, Martin Uecker wrote: > > > Wie man aus dieser Signature und der atypischen Aussage sehen kann, stammt > > > obige Mail natuerlich NICHT von Martin Uecker. Den echten Urheber zu > > > finden ist aber dank IP-Adress-Informationen in Logs und Headern relativ > > > einfach... viel Spass dabei, o.G. Aussage *ohne* das zu widerlegen. > > > > Wie beweise ich denn bitte *mit* den Logs, daß ich nicht der echte Urheber > > bin? Nehmen wir mal an, Du hättest die Mail von einem Internet-Cafe > > geschrieben oder von einem offenen WLAN auf einem Flughafen? Muß > > ich dann nachweisen, daß ich dort nicht war? Befürwortest Du dann > > auch die Protokollierung meiner Reisetätigkeit, um mich gegen > > Identitätsdiebstahl zu schützen? > > Identitaetsdiebstahl ist ein zunehmend massives Problem. > > Man kann sich dagegen einerseits durch kryptographische Signaturen > schuetzen. (BTW: Ich habe heute zum ersten mal eine signierte Info-Mail von meiner Bank bekommen.) > Das groesste Problem dabei ist aber: wie kannst Du beweisen, > dass Du die nicht-signierte Mail *nicht* geschrieben hast? Ist das ein Problem? In welchen Szenario muß ich denn beweisen, daß ich etwas nicht geschrieben habe? Und vorallem, auch mit Logs kann ich das nicht unbedingt! > Das funktioniert > also nur, wenn alle (!) Empfaenger eine nicht-signierte Mail, die vorgibt > von Dir zu sein, grundsaetzlich wegwerfen. Das wichtige ist, daß sich Empfänger unsignierter Mails darüber bewußt sind, daß diese gefälscht sein könnten. Aber das ist vor allem wichtig für die Empfänger selbst und eher weniger für mich. > Gleichzeitig muss man aber in der Lage sein, gegen Kriminalitaet - und > darum handelt es sich bei Identitaetsdiebstahl zweifelsohne - vorzugehen, > und *dafuer* brauchst Du rueckverfolgbare Informationen. Ich glaube nicht, daß man unbedingt in der Lage sein muß, jede Untat immer aufklären können zu müssen. Zumindest nicht zu dem Preis der Überwachung aller Webseitenzugriffe. Im RL kann man ja auch nicht jedes Verbrechen aufklären. Klaue ich jemanden nachts den Gartenzwerg, wird er nur durch irgendeinen außer- gewöhnlichen Zufall herausfinden können, daß ich das war. > Einen Richtervorbehalt (und die Notwendigkeit des Korrelierens verschiedener > Datenquellen, an die man ohne Richter nicht alle drankommt) unterstuetze > ich dabei ausdruecklich. > > Das erwaehnte "offene WLAN auf einem Flughafen" ist meist nicht sonderlich > "offen", sondern verlangt eine monetaere Gegenleistung - d.h. wenn jemand > Dir durch eine entsprechende Mail einen Schaden zufuegt, wuerdest Du dann > nicht wollen, dass das (wiederum: mit Richtervorbehalt) ueber die Kette > > Received:-Header -> IP-Adresse + Uhrzeit -> Kreditkarte (o.ae.) -> > Verursacher > > rueckverfolgbar waere? Ich habe auch auf Flughäfen schon WLANs benutzt, die umsonst waren. Ich wüßte jetzt spontan auch nicht, wie man mir durch eine Mail so einen Schaden zufügen könnte, daß ich die Justiz einschalten wollte. > > Darf der WLAN-Betreiber die Zuordnung "welcher zahlende User hatte wann > die IP-Adresse x.x.x.x in Verwendung" nicht speichern, hast Du keine > Moeglichkeit mehr, juristisch vorzugehen. > > [..] > > Aber wir reden wir hier über Webserver. Das entsprechende Beispiel > > wäre also ein Posting in einem Forum. Hier könnte man dem Nutzer > > anbieten, daß er sich mit Email-Adresse registriert und ein Pseudonym > > aussucht. Dann sind sie gegen Identitätsdiebstahl halbwegs geschützt. > > Das ist in vielen Foren ja auch gängige Praxis. Eine IP in den Logs > > braucht man dann auch nicht. > > Nuja, dann registriere ich halt das Pseudonym mit einem "_" am Ende... wenn > das Posting geschickt genug gefaelscht ist, derjenige sich das selbe Bild > als "Avatar" nutzt, usw., merkt das erstmal niemand - der Schaden ist > passiert. Welcher Schaden? Du kannst ein paar Leser täuschen. Wenn es mich wirklich stört, daß jemand denken könnte ich hätte das wirklich geschrieben, dann schreibe ich halt ein Dementi. > Was ist mit anderen Straftaten? Beleidigung, usw., oder mal das beliebte > Totschlag-Argument "jemand postet ein KiPo-Bild in ein Forum". Dinge die > eindeutig strafrechtlich relevant sind - wie ziehst Du denjenigen zur > Verantwortung? > > Die bei der Anmeldung angegebene Mailadresse kann von einem Freemailer sein, > der keine Adresspruefung macht - und keine IP-Adressen in den Logs hat. Wenn ich ihn mangels Daten nicht ausfindig machen kann, dann kann ich es halt nicht. Das ist Pech. Jemanden der ein KiPo-Bild in ein Forum posten wollte, der würde das auch so schon von einem offen WLAN, TOR einen gehackten Rechner, ... machen. In solchen Fällen nützen Dir die Logs dann auch nichts. Mit etwas Pech lenken sie den Verdacht auch noch auf einen Unschuldigen. > Ergo mein Argument: Balance zwischen Datenschutz, und der Moeglichkeit, > Rueckverfolgung der User zu betreiben (zu Diagnosezwecken und zur > Verhinderung unerwuenschten Verhaltens). Beides ist ins Extrem > getrieben nicht sinnvoll. Wir sind uns nur nicht ganz einig, wie denn die richtige Balance aussieht ;-) Martin
Attachment:
signature.asc
Description: Digital signature
_______________________________________________ Debate mailing list Debate@lists.fitug.de http://lists.fitug.de:8080/mailman/listinfo/debate