![](https://seccdn.libravatar.org/avatar/8c3c40c634277ad02bc114e708b7577d.jpg?s=120&d=mm&r=g)
Hallo Liste, an mich wurde gerade die Frage herangetragen, ob man sich der Überwachung durch SARG/Squid entziehen kann. Da ich selbst mal mit so etwas zu tun hatte (Big Brother ist nix dagegen), möchte ich euch fragen, ob es Möglichkeiten zum Schutz der Privatsphäre gibt, wenn man bloß ein ganz normaler Nutzer seiner Workstation ist. Nützt einer dieser Anonymizer? Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
![](https://seccdn.libravatar.org/avatar/d591d88f237402520d099b06bf0467ad.jpg?s=120&d=mm&r=g)
Hallo, On Sat, 2004-06-05 at 22:56, Helga Fischer wrote:
Hallo Liste,
an mich wurde gerade die Frage herangetragen, ob man sich der Überwachung durch SARG/Squid entziehen kann.
Kommt ganz darauf an.
Da ich selbst mal mit so etwas zu tun hatte (Big Brother ist nix dagegen), möchte ich euch fragen, ob es Möglichkeiten zum Schutz der Privatsphäre gibt, wenn man bloß ein ganz normaler Nutzer seiner Workstation ist.
Nützt einer dieser Anonymizer?
Kommt auch ganz darauf an. Die meisten Anonymizer sind auch nichts anderes als "Proxies", die es unmöglich machen sollen, einzelne Anfragen individuellen IPs zuzuordnen. An einem transparentem Proxy kommst Du schwer vorbei. Dann gehen beispielsweise alle HTTP Verbindungen eines LAN über das Gateway, auf dem ein transparenter Squid läuft, durch. Da kommt keiner dran vorbei. Denn auch alle Anfragen aus einem LAN müssen erst mal am Gateway vorbei, um zu einem der Anonymizer zu kommen. Vorher tauchen die Requests im lokalem Squid auf. Du müsstest schon im LAN einen zweiten Squid aufsetzen und eine so große Menge IP Adressen darüber umleiten, dass man einzelne Anfragen nicht mehr individuell zuordnen kann. Eine andere Möglichkeit ist das Tunneln von Protokollen, so dass Squid für diese Verbindungen nicht mehr zuständig ist. HTTPS reich schon, allerdings benötigt man eben zwei Seiten. Aber wenn man seiner lokaler Netzwerkadministration nicht mehr vertrauen kann, dann hat man schlechte Karten. Gruß, TObias
![](https://seccdn.libravatar.org/avatar/edc0122553a27c096f61eb17106711c7.jpg?s=120&d=mm&r=g)
Tobias Weisserth, Samstag, 5. Juni 2004 23:23:
Hallo,
On Sat, 2004-06-05 at 22:56, Helga Fischer wrote:
Hallo Liste,
an mich wurde gerade die Frage herangetragen, ob man sich der Überwachung durch SARG/Squid entziehen kann.
Kommt ganz darauf an.
In einem halbwegs sicher administrierten Netz nicht.
Da ich selbst mal mit so etwas zu tun hatte (Big Brother ist nix dagegen), möchte ich euch fragen, ob es Möglichkeiten zum Schutz der Privatsphäre gibt, wenn man bloß ein ganz normaler Nutzer seiner Workstation ist.
Nützt einer dieser Anonymizer?
Kommt auch ganz darauf an.
Siehe oben. Und die Anonymizer im Internet nützen gar nichts, denn sie befinden sich hinter dem lokalen Squid. Sie machen einen mehr oder weniger anonym für den Kommunikationspartner im Internet (Rückverfolgung erschweren; deutschen Behörden düfte es schwer fallen, von einem Proxy-Betreiber auf den Falklandinseln die Logdateien der Verbindungen erfolgreich einzufordern *g*).
Die meisten Anonymizer sind auch nichts anderes als "Proxies", die es unmöglich machen sollen, einzelne Anfragen individuellen IPs zuzuordnen.
An einem transparentem Proxy kommst Du schwer vorbei. Dann gehen beispielsweise alle HTTP Verbindungen eines LAN über das Gateway, auf dem ein transparenter Squid läuft, durch. Da kommt keiner dran vorbei. Denn auch alle Anfragen aus einem LAN müssen erst mal am Gateway vorbei, um zu einem der Anonymizer zu kommen. Vorher tauchen die Requests im lokalem Squid auf.
Genau.
Du müsstest schon im LAN einen zweiten Squid aufsetzen und eine so große Menge IP Adressen darüber umleiten, dass man einzelne Anfragen nicht mehr individuell zuordnen kann.
Naja, das wäre so ziehmlich die einzige Möglichkeit, eine userbezogene Überwachung zu umgehen - ein "Abteilungs-Proxy". Dazu müsste ein (zusätzlicher) Rechner im Netz als weiterer Proxy laufen, über den dann möglichst viele User ihre Internetverbindung aufbauen. Dieser muss dann zwar auch wiederum auf den zentralen Firmen-Proxy zugreifen, aber wenn alles nach /dev/null gelogged wird ... Zumindest ist dann der einzelne User kaum noch identifizierbar (man könnte evtl. die Verbindungszeiten am Proxy mit den Verbindungszeiten der User vergleichen, aber ob den Aufwand jemand betreibt?). Allerdings würde dieser (zusätzliche) Rechner schnell entlarvt werden.
Eine andere Möglichkeit ist das Tunneln von Protokollen, so dass Squid für diese Verbindungen nicht mehr zuständig ist. HTTPS reich schon, allerdings benötigt man eben zwei Seiten.
HTTPS wird i.A. auch über durch den Squid geleitet. Außerdem wird wahrscheinlich das Gateway ins Internet eh kein NAT/Masquerading machen, so dass kein weg am Porxy vorbeiführt (außer man etabliert eine eigene Verbindung über einen separaten Zugang (Handy, ..?)).
Aber wenn man seiner lokaler Netzwerkadministration nicht mehr vertrauen kann, dann hat man schlechte Karten.
In einer Firma wär das ein Fall für den Betriebsrat. Oder ggf. den Staatsanwalt (Telekommunikationsgesetz)? Auf der anderen Seite kann man dann sicher seinen Job vergessen. Wenn die Firma clever war, hat sie vorher alle MAs auf die Möglichkeit der Auswertung hingewiesen. Ein berechtigtes Interesse der Firma, zu kontrollieren was die MAs in ihrer Arbeitszeit so machen, ist sicherlich nicht abzustreiten. -- Gruß MaxX 8-) Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
![](https://seccdn.libravatar.org/avatar/f8263c713885428afc11749be1b0557f.jpg?s=120&d=mm&r=g)
Hallo Am Samstag, 5. Juni 2004 22:56 schrieb Helga Fischer:
Hallo Liste,
an mich wurde gerade die Frage herangetragen, ob man sich der Überwachung durch SARG/Squid entziehen kann.
ach an dich auch?
Da ich selbst mal mit so etwas zu tun hatte (Big Brother ist nix dagegen), möchte ich euch fragen, ob es Möglichkeiten zum Schutz der Privatsphäre gibt, wenn man bloß ein ganz normaler Nutzer seiner Workstation ist.
Hat er gesagt, ob er zuhause oder in einer Firma sitzt? In der Standardkonfiguration loggt Squid alles mit, was aufgerufen wird, auch die sogenannten Anonymisierer (Anonymizer). Nur der URL-Path hinter dem ersten ? (Fragezeichen) wird abgeschnitten. Als User einer Workstation im Firmennetzwerk hast du fast keine Chance, außer, und das hat bereits einer hier gepostet, die Verbindung wird über https getunnelt, dazu ist eine Gegenseite nötig, und: auch das wird mitgeloggt. Also keine mir bekannte Chance. Gruß Wolfgang E. P.S.: Rechtliche Fragen seien hier einmal ausgeklammert, da danach nicht gefragt wurde.
Nützt einer dieser Anonymizer?
Helga
-- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
-- PGP/GPG-Fingerprint: EB27 DF15 AEE3 F8ED BE03 00AE 0963 ADD7 9CFC
![](https://seccdn.libravatar.org/avatar/8c3c40c634277ad02bc114e708b7577d.jpg?s=120&d=mm&r=g)
Hallo Wolfgang, Am Sonntag 6 Juni 2004 10:53 schrieb Wolfgang Erlenkötter:
Am Samstag, 5. Juni 2004 22:56 schrieb Helga Fischer:
an mich wurde gerade die Frage herangetragen, ob man sich der Überwachung durch SARG/Squid entziehen kann.
ach an dich auch?
Ahja...
Da ich selbst mal mit so etwas zu tun hatte (Big Brother ist nix dagegen), möchte ich euch fragen, ob es Möglichkeiten zum Schutz der Privatsphäre gibt, wenn man bloß ein ganz normaler Nutzer seiner Workstation ist.
Hat er gesagt, ob er zuhause oder in einer Firma sitzt?
Nein, genau hingeschaut nicht. Ich habe ihn jedoch gebeten, die Liste hier zu lesen.
Als User einer Workstation im Firmennetzwerk hast du fast keine Chance, außer, und das hat bereits einer hier gepostet, die Verbindung wird über https getunnelt, dazu ist eine Gegenseite nötig, und: auch das wird mitgeloggt.
Yo, so bin ich auch dran, obwohl ich das Logging für https noch nicht gesehen habe.
Also keine mir bekannte Chance.
P.S.: Rechtliche Fragen seien hier einmal ausgeklammert, da danach nicht gefragt wurde.
Obwohl ich hier die größeren Chancen sehe, einer Überwachung zu begegnen. Nun denn, beenden wir die Sache hier. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
![](https://seccdn.libravatar.org/avatar/edc0122553a27c096f61eb17106711c7.jpg?s=120&d=mm&r=g)
Helga Fischer, Sonntag, 6. Juni 2004 11:53:
Hallo Wolfgang,
Am Sonntag 6 Juni 2004 10:53 schrieb Wolfgang Erlenkötter:
Am Samstag, 5. Juni 2004 22:56 schrieb Helga Fischer:
an mich wurde gerade die Frage herangetragen, ob man sich der Überwachung durch SARG/Squid entziehen kann. [...]
P.S.: Rechtliche Fragen seien hier einmal ausgeklammert, da danach nicht gefragt wurde.
Obwohl ich hier die größeren Chancen sehe, einer Überwachung zu begegnen.
Da vertrete ich eine etwas andere Meinung. Bei einem privaten Internetzugang (WG, Studentenbude über die Uni, Internet-Cafe, ...) ist eine Überwachung im engeren Sinne nicht erlaubt. Sicherlich ist es erlaubt, bestimmte Inhalte zu sperren und zur Optimierung der Filter auch den Traffic auszuwerten. Eine individuelle Zuordnung der Einzelverbindungen (außer ggf. für Abrechnungsdaten) dürfte hier aber eindeutig zu weit gehen. Bei einem Firmenanschluss sehe ich das anders (leider nicht alle Juristen, so dass es hier immer wieder zu Streits kommt). Eine Firma stellt einen Internetzugang i.A. nicht zur Erbauung der Mitarbeiter zur Verfügung. Außerdem bietet ein Internetzugang weite Spielräume, der Firma zu schaden. Deshalb ist es durchaus ein berechtigtes Interesse der Firma, den Datenverkehr ins Internet zu überwachen (am Betriebstor steht ja auch der Wachschutz). Und bei verdächtigen Aktionen dürfen IMHO diese Daten auch als Beweismittel herangewogen werden. Dafür müssen sie natürlich personifizierbar sein. Auch das ist eine Grundforderung der Datensicherheit (Kontrolle des Datenverkehrs, vgl. die "Zehn Gebote des Datenschutzes", z.B. hier http://www.datenschutz-bayern.de/technik/orient/10geb.htm). Wichtig ist hierbei, die MAs eindeutig über diese Möglichkeit zu informieren und auch auf entsprechende Konsequenzen hinzuweisen (incl. bei dem Versuch, diese Schutzmechanismen zu umgehen). -- Gruß MaxX 8-) Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
![](https://seccdn.libravatar.org/avatar/8c3c40c634277ad02bc114e708b7577d.jpg?s=120&d=mm&r=g)
Am Sonntag 6 Juni 2004 13:25 schrieb Matthias Houdek:
Helga Fischer, Sonntag, 6. Juni 2004 11:53:
Obwohl ich hier die größeren Chancen sehe, einer Überwachung zu begegnen.
Da vertrete ich eine etwas andere Meinung.
Wichtig ist hierbei, die MAs eindeutig über diese Möglichkeit zu informieren und auch auf entsprechende Konsequenzen hinzuweisen (incl. bei dem Versuch, diese Schutzmechanismen zu umgehen).
Das meinte ich aber mit meinem Satz. Das (Privat)Recht regelt, wie, wann und wo überwacht werden darf. Ich weiß, daß beide Extreme im Einsatz sind - den Chef, der hochherrschaftlich alles heimlich überwacht und die arbeitsrechtlich einwandfreie, wo die Mitarbeiter wissen und unterschrieben haben, daß sich die Firma das Recht des Loggings und des Filterns vorbehält. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
![](https://seccdn.libravatar.org/avatar/466df269907f60ba2849c47a9aa3d707.jpg?s=120&d=mm&r=g)
Helga Fischer schrieb am Sonntag, 6. Juni 2004 14:19:
Am Sonntag 6 Juni 2004 13:25 schrieb Matthias Houdek:
Helga Fischer, Sonntag, 6. Juni 2004 11:53:
Obwohl ich hier die größeren Chancen sehe, einer Überwachung zu begegnen.
Da vertrete ich eine etwas andere Meinung.
Wichtig ist hierbei, die MAs eindeutig über diese Möglichkeit zu informieren und auch auf entsprechende Konsequenzen hinzuweisen (incl. bei dem Versuch, diese Schutzmechanismen zu umgehen).
Das meinte ich aber mit meinem Satz. Das (Privat)Recht regelt, wie, wann und wo überwacht werden darf.
Zu diesem Thema gab es einmal in einer "Abendstunde am Kamin" einer besuchten Datenschutzversammlung ein interessantes Gespräch. Tenor war nach einiger Zeit, daß eigentlich auch im privaten Umfeld gewisse Infos aufgezeichnet und archiviert werden müssen. Der Anschlußinhaber sei rein rechtlich dazu verpflichtet, da er der einzige direkte Ansprechpartner bspw. des jeweiligen Providers, und darüber dann auch der Strafverfolgungsbehörden sei. Somit kommt es schon zum Selbstschutz, wenn derjenige, welcher einen Zugang zum Internet anderen Personen ermöglicht, Daten über die Internetnutzung protokolliert & archiviert. Selbstredend muß er dann aber wohl sicherstellen, daß diese Infos ausschließlich ihm zugänglich sind. Ob sich dieser Auffassung allerdings alle Juristen anschließen (würden), kann ich nicht beurteilen ... Im beruflichen Umfeld muß eigentlich jede Firma die MAs auf die Art & Weise, und den Umfang der Protokollierung hinweisen. (Zum Glück haben wir es bei meinem ehemaligen Arbeitgeber gemacht, und als es wirklich ernst wurde, hat der gegnerische Anwalt eingesehen, daß unser Vorgehen in einem Fall absolut korrekt war.) Dies sollte genauso angesehen werden, wie etwa die Vorgaben der BG (welche ja auch von jedem MA unterschrieben werden müssen, und anschließend in der Personalakte abgelegt werden).
Ich weiß, daß beide Extreme im Einsatz sind - den Chef, der hochherrschaftlich alles heimlich überwacht und die arbeitsrechtlich einwandfreie, wo die Mitarbeiter wissen und unterschrieben haben, daß sich die Firma das Recht des Loggings und des Filterns vorbehält.
Naja, da muß man als ITler auch mal unbequem werden - selbstredend ausschließlich fachlich. Aber einer schriftlichen Anweisung des betr. Vorgesetzten sollte man sich nicht verwehren, man kann aber natürlich immer um eine Prüfung durch den zuständigen Datenschutzbeauftragten bitten (im Zweifelsfall verlangen).
Helga
Gruß Torsten
participants (5)
-
Helga Fischer
-
Matthias Houdek
-
Tobias Weisserth
-
Torsten E.
-
Wolfgang Erlenkötter