Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Liest der Provider mit? - Teil 1

xafford / 19 Antworten / Baumansicht Nickles

Heute bekam ich eine Mail meines Providers. Da es aufgrund des Datums nicht die Rechnung sein konnte wollte ich sie eigentlich direkt löschen, da ich dachte es sei Werbung oder eine gefälschte Virenmail. Allerdings machte mich Absender-Adresse und Betreff dann doch neugierig und ich schaute sie mir genauer an, um fest zu stellen, dass sie wirklich von meinem Provider kam: Dwer Absender war abuse@1und1.de und der Betreff "1&1 warnt: Auf Ihrem PC befindet sich ein Virus [Ticket ABXXXXXXXX]".

Die automatisierte Abuse Mail
Der Inhalt der Mail war vom Informationsgehalt sehr übersichtlich, die einzig verwertbaren Informationen darin waren, dass das "Expertenteam" von 1&1 Hinweise auf eine Infektion in meinem Netzwerk mit einem Virus namens "B58-DGA2" hat und ein Datum mit Uhrzeit, wann dies "entdeckt" wurde. Der Rest der Mail war eine "Anleitung" zur Entfernung, die weitgehend aus einem Link auf botfrei.de bestand und Kontaktinformationen für Rücksprache. Jetzt wird sich der ein oder andere, der mich kennt vielleicht heimlich ins Fäustchen lachen, dass es mich erwischt hat - leider muss ich diejenigen enttäusche - hat es nicht - dazu gleich mehr.

In meinem Netzwerk gibt es nun einige Systeme, PCs, ein Server, MediaCenter, Notebooks, Tablet, Smartphones, Virtuelle Maschinen, wirklich infrage kamen aber nur der PC meiner Frau und meine Workstation, da die anderen Systeme (Linux, MacOS, Windows Phone, Android,...) eher von vornherein ausschieden. Da eine kurze Suche anhand des Namens des Virus zuerst nicht wirklich viel zutage förderte machte ich mich erst mal an den heißesten Kandidaten - den PC meiner Frau (jaja, sehr chauvinistisch), aber laut Eventlog war dieser am fraglichen Tag überhaupt nicht eingeschaltet gewesen, trotzdem unterzog ich ihn einer genaueren manuellen Untersuchung und einem Offline-Scan und das System ist mit ziemlicher Sicherheit absolut sauber (zumindest so sauber wie ein System in Zeiten von PRISM und Co. sein kann).

Also untersuchte ich meine Workstation, die neben dem Server das einzige System ist, welches zur fraglichen Zeit online war und auch das System war sauber - ich hatte eigentlich auch nichts anderes erwartet, denn aufgrund meiner Arbeit habe ich mit Computer-Sicherheit häufig zu tun und auch wenn ich aus diesem Grund auch "böse" Seiten aufrufen muss, so habe ich doch entsprechende Sicherheitsvorkehrungen getroffen.

Nachdem ich also eine wirkliche Infektion mit ziemlicher Sicherheit ausschließen konnte bemühte ich noch einmal die Suchmaschinen um mehr über den Virus heraus zu finden und ich fand eine Hand voll Postings von Leuten, die ähnliche Mails von ihrem Provider bekamen und darüber fand ich auch eine Information eines Providers, der dem Kunden erklärt hatte, wie diese "Entdeckung" zustande kam: Über den Aufruf einer URL, hinter der sich ein Downloads dieses Virus versteckte, bevor dieser Server vom Netz genommen wurde.

Da fing ich dann mit dem Grübeln an. Zuerst war ich davon ausgegangen, dass diese Warnung meines Providers aufgrund einer Beschwerde von Extern zustande kam, indem sein(e) System(e) von einer mir zugeordneten IP angegriffen wurde(n). Aber nun stellte sich das Ganze in einem anderen Licht dar, denn wie konnte 1&1 wissen, dass diese URL aufgerufen wurde? Dies lässt eigentlich nur zwei Vermutungen zu:

  1. Der Server hinter dem sich der Viren-Download befand wurde vom Netz genommen und eine zentrale Stelle hat die Domain übernommen und übermittelt den zuständigen Providern, wer darauf zugreift und dementsprechend möglicherweise infiziert ist.
  2. 1&1 loggt und scannt den Traffic seiner Kunden - also welche Domains und URLs sie aufrufen.


Option 1 wäre okay, aber in diesem Fall sollte 1&1 eigentlich wissen, dass diese URL das erste Mal von diesem Kunden aufgerufen wurde und da bereits kein Virendownload mehr dahinter zu finden sein und dies dann wahrscheinlich ein Fehlalarm wäre - aber da so etwas im Normalfall automatisiert läuft kann das passieren.

Option 2 wäre jedoch ein ziemlich dickes Ding denn dann würde der Provider speichern, wer wann welche Adresse aufgerufen hat und das dürfte dem Datenschutz doch arg entgegen stehen und ich kann mich auch nicht erinnern, dass dies irgendwo in den AGB vereinbart wäre.

Jedenfalls habe ich nun per Mail genauere Informationen von 1&1 angefordert, was da genau an Hinweisen registriert wurde und wo diese Hinweise her kamen - ich bin mal gespannt und wenn eine Reaktion kommt werde ich dies hier ergänzen.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
gelöscht_137978 xafford „Liest der Provider mit? - Teil 1“
Optionen

Würde mich auch interessieren. Also freude auf Teil 2.

Was aber die Auskunftsfreudigkeit von 1und1 angeht, mach dich auf viele nachfragen gefasst.  Würde mich (ich hab meine Erfahrungen bei Datenschutzanfragen) wundern, wenn du aufs erste mal eine sinnvolle Antwort bekommst.

bei Antwort benachrichtigen
xafford gelöscht_137978 „Würde mich auch interessieren. Also freude auf Teil 2. Was ...“
Optionen
Würde mich (ich hab meine Erfahrungen bei Datenschutzanfragen) wundern, wenn du aufs erste mal eine sinnvolle Antwort bekommst.

Tja, wie Du vermutest ist die erste Antwort (die recht schnell kam) absolut nichtssagend. Auf meine Nachfragen bezüglich Herkunft und Art der personenbezogenen Daten wurde nicht eingegangen und mir wurde nahegelegt alle (!) Systeme neu zu installieren, wenn kein Schädling gefunden wird - na ich mach mich dann mal ans Werk die Linux, Android, MacOS und WindowsPhones platt zu machen...

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
gelöscht_137978 xafford „Tja, wie Du vermutest ist die erste Antwort die recht ...“
Optionen

Ich glaube dich zu einem gewissen Teil zu kennen und weiss, das du Geduld hast.

Bedauerlich, das du diese auch brauchen wirst. Wenn sich 1und1 nicht geändert hat (und davon gehe ich aus) wirst du am Ende genauso "dumm" dastehen, wie am Anfang. Denn 1und1 wird ohne Druck nichts aussagen, was sie in die Breduilie bringen könnte!

Ansonsten muss ich jetzt eh schon schmunzeln. Also irgendwo hat was angeschlagen, was irgendwie auf deine IP zurückzuführen sein könnte und der Tip ist, alles flach zu machen. Genial....1und1 halt.

bei Antwort benachrichtigen
xafford gelöscht_137978 „Ich glaube dich zu einem gewissen Teil zu kennen und weiss, ...“
Optionen

Tja, Geduld habe ich schon eingeplant und ich bin jetzt schon bei der dritten Mail - in der zweiten lies ich schon §34 Bundesdatenschutzgesetz anklingen und so wie es aussieht, werde ich wohl wirklich formal ein Auskunftsersuchen einreichen müssen :)

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
gelöscht_137978 xafford „Tja, Geduld habe ich schon eingeplant und ich bin jetzt ...“
Optionen

Also BDSG §34 Auskunftsersuchen mit 1-2 Wochenfrist wäre der Anfang. Solltest aber genau reinschreiben, welcher Art Informationen du besonders erhalten möchtest, also Bezug auf den Vorfall. 1und1 macht es sich sonst leicht und schreibt dir, das im Zuge des Vertragsverhältnis die und die Daten (was du eh schon weisst) gespeichert sind. Also ganz normale Auskunft.
Falls du einen Anwalt hast, den du kontaktieren kannst, würd ich den evtl. anrufen und den Fall kurz schildern. Vielleicht macht er dir für geringes Geld oder Kostenfrei ein Vordruck.

Parallel dazu, falls sie diese verweigern kannst du Auskunftsklage einreichen, dessen Kosten dann zu lasten von 1und1 gehen. Dein Anwalt wird dich gerne Beraten :D :D

bei Antwort benachrichtigen
mi~we xafford „Liest der Provider mit? - Teil 1“
Optionen
"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
xafford mi~we „Das schon gelesen ...“
Optionen

Hallo mi~we,

ja das hatte ich gelesen und auch am Telefon und in der ersten Antwort-Mail wurde wiederholt von Honeypots berichtet - deutet dann auf Option 1 hin, aber trotzdem hätte ich gerne die genauen Daten zu diesem Vorgang von 1&1, denn ich kann mir nicht vorstellen, dass sie nicht wissen, welche Daten sie da von welcher Stelle bekommen haben.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
xafford Nachtrag zu: „Liest der Provider mit? - Teil 1“
Optionen

Teil 2: Tja, das ging ja jetzt schneller in eine Sachgasse, als ich befürchtet hatte. 1&1 behauptet jetzt steif und fest, dass sie keinerlei Informationen hätten als diese, die in der ersten Mail standen (oben auf dem Screenshot zu sehen). Die Informationen beinhalten nur das Kürzel eines Virus und ein Zeitstempel.

Dass dies nicht alles sein kann sagt schon die Logik, denn zum einen muss zwingend auch eine IP-Adresse vorhanden sein und 1&1 müsste eigentlich auch wissen, woher diese Informationen stammen. Was nun? Einschreiben mit Berufung auf §34 Bundesdatenschutzgesetz? Datenschutzbeauftragter des Bundeslandes (wenn ja, welches Bundeslandes)? So ganz auf sich beruhen lassen würde ich das eigentlich ungern.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
presla xafford „Teil 2: Tja, das ging ja jetzt schneller in eine Sachgasse, ...“
Optionen
Einschreiben mit Berufung auf §34 Bundesdatenschutzgesetz? Datenschutzbeauftragter des Bundeslandes (wenn ja, welches Bundeslandes)?



http://www.bfdi.bund.de/Vorschaltseite_DE_node.html



Bin gespannt ob da eine Antwort kommt.
Grüße aus NRW von Presla....... Horst Evers: Wer alles weiss, hat keine Ahnung
bei Antwort benachrichtigen
aldebuedel presla „http://www.bfdi.bund.de/Vorschaltseite_DE_node.html Bin ...“
Optionen

Genau. Das wird die Regierung einschüchtern. Und viele Grüße an den Osterhasen.

bei Antwort benachrichtigen
aldebuedel xafford „Liest der Provider mit? - Teil 1“
Optionen
Nachdem ich also eine wirkliche Infektion mit ziemlicher Sicherheit ausschließen konnte

Du bist dir da völlig sicher?

aufgrund meiner Arbeit habe ich mit Computer-Sicherheit häufig zu tun und auch wenn ich aus diesem Grund auch "böse" Seiten aufrufen muss, so habe ich doch entsprechende Sicherheitsvorkehrungen getroffen.

Niemals die Gegenseite für blöd halten.

denn dann würde der Provider speichern, wer wann welche Adresse aufgerufen hat

Das macht doch jeder Provider. Wie soll denn sonst eine Vorratsdatenspeicherung zustande kommen?

bei Antwort benachrichtigen
xafford aldebuedel „Du bist dir da völlig sicher Niemals die Gegenseite für ...“
Optionen
Du bist dir da völlig sicher?

Ja.

Niemals die Gegenseite für blöd halten.


Tu ich nicht, aber ich weiß auch, dass selbst für die Bösen Aufwand und Nutzen in einem sinnvollen Verhältnis stehen müssen.

Das macht doch jeder Provider. Wie soll denn sonst eine Vorratsdatenspeicherung zustande kommen?


Wir haben derzeit keine Vorratsdatenspeicherung dank Frau Leutheuser-Schnarrenberger und Provider dürfen nach Gesetz nur speichern, was sie für Abrechnungszwecke brauchen.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
aldebuedel xafford „Ja. Tu ich nicht, aber ich weiß auch, dass selbst für die ...“
Optionen
Ja.

Die aktuellen OTL-Logfiles akribisch ausgewertet?

Tu ich nicht, aber ich weiß auch, dass selbst für die Bösen Aufwand und Nutzen in einem sinnvollen Verhältnis stehen müssen.

http://www.nickles.de/forum/viren-spyware-datenschutz/2013/neue-variante-des-gvu-trojaner-539007244.html#p539007244

Neue Varianten verblüffen jede Virenklingel.

Wir haben derzeit keine Vorratsdatenspeicherung dank Frau Leutheuser-Schnarrenberger und Provider dürfen nach Gesetz nur speichern, was sie für Abrechnungszwecke brauchen.

Mit Politikern und ihren Aussagen habe ich, naja, Probleme.

bei Antwort benachrichtigen
gelöscht_84526 aldebuedel „Die aktuellen OTL-Logfiles akribisch ausgewertet ...“
Optionen
Mit Politikern und ihren Aussagen habe ich, naja, Probleme.
Nun, genau das ist ja das Problem, welchem Xaff auf den Grund gehen will: Speichern die oder nicht? Nach Recht und Gesetz dürfen die nämlich nicht, da ist es ganz egal, was du (!) von den Aussagen der Politiker hältst.....

Gruß
K.-H.
bei Antwort benachrichtigen
aldebuedel gelöscht_84526 „Nun, genau das ist ja das Problem, welchem Xaff auf den ...“
Optionen

Hallo K.-H.,

wo Rauch ist, ist auch Feuer; in diesem Fall ein Virus/Trojaner-Verdacht. Wieso wird das kategorisch ausgeschlossen? Auch ich bin 1&1 Kunde und wurde nicht angeschrieben.

Und, auf diesem Weg etwas über die Datenspeicherung heraus finden wollen, halte ich für aussichtslos. Man setzt nur die armen Schweine im Callcenter unter Druck, die für Mindestlohn arbeiten müssen. Entschieden wird das ganz weit oben, und die pellen sich ein Ei auf solch eine Anfrage. 

Viele Grüße
aldebuedel

bei Antwort benachrichtigen
DSLfan xafford „Liest der Provider mit? - Teil 1“
Optionen

Es gibt noch möglichkeit 3.
Jemand hat bei eins und eins einen Server gemietet bzw es wurde einer gehackt.
Jemand hat da den Vius drauf gepackt.
Es kommt zu Beschwerden beim Vermieter des Servers in dem Fall eins und eins.
Sie nehmen den Server vom netz und schauen vieleicht mal in die Server logs wer die Seite besucht hat.
Bzw sie haben so im Rechenzentrum loggs der server.
Und warnen freundlicher Weise die Besucher da sie ja deine ip kennen.

bei Antwort benachrichtigen
alex179 xafford „Liest der Provider mit? - Teil 1“
Optionen

Da Botnetze mal abgesehen von den Schäden, die sie anrichten auch bei dem Provider Traffic verursachen, liegt es natürlich in deren Interesse, dies zu unterbinden.
Dass die Provider die erhobenen Daten für die "Abrechnung" gerne auch an Abmahnanwälte bei Nutzung von Tauschbörsen und Bittorrent-Downloads weitergeben ist ja jetzt auch nicht neu. Die Ermittlungs-Behörden kommen so auch problemlos an jeden ran, der seinen Internetzugeng ohne VPN-Dienst oder Proxy nutzt.

Mehr als IP-Adressen Verbindungsdauer/Zeit und Traffic werden (vermutlch) in der Regel nicht geloggt. Wenn deren Abgleich der auigerufenen IP-Adresse Treffer bei dem gesperrten Server lieferte, dann sollten die doch wenigstens die betroffene IP-Adresse oder Domain mitteilen. Oder fällt das dann unter "Datenschutz"?


bei Antwort benachrichtigen
Hibertius89 xafford „Liest der Provider mit? - Teil 1“
Optionen

War mei mir das Selbe, hat sich aber von alleine gelöst- keine weiteren Mails und keine Probleme.

bei Antwort benachrichtigen
xafford Hibertius89 „War mei mir das Selbe, hat sich aber von alleine gelöst- ...“
Optionen

Könntest Du mir sagen, wann das ungefähr war und was Dir mitgeteilt wurde?

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen