Ip Adressen und Datenschutz-Grundverordnung (DSGVO / GDPR) - Webserver

etron770

Member
Wie habt Ihr denn das gelöst dass die IP Adressen gekürzt in Awstat oder Webalizer erscheinen, aber von fail2ban komplett ausgewertet werden können?
Viele Grüße Knut
 

etron770

Member
Weil die Adressen in Awstats bei Firmen ab 25. Mai anonymisiert werden müssen? Und weil sie als Webmaster länger ungekürzt halten darf, wenn der Server vielen Angriffen ausgesetzt ist. Wie das definiert wird ist zwar noch unklar, aber ich will schon nachsehen können, wer versucht hat irgendwelche Seiten zu hacken. Zusätzlich möchte ich, dass Fail22ban beim neustart die aktuellen Logs nochmal auswerten kann. Also brauche man sie ungekürzt und gekürzt.
 

florian030

Well-Known Member
Wir haben schlichtweg die Statistiken abgeschaltet. Alternativ kannst Du auch den Block mit den IPs aus den Statistiken rauswerfen. Hilft aber nicht so viel, weil die Logs weiter vorhanden sind und die schlicht die IP enthalten müssen (meine Meinung). Ich denke aber, eine rentention_time von 30 braucht man nciht.
 

etron770

Member
Ich frag mich woher solche Aussagen kommen
Vom Datenschutzbeauftragten eines Mittelständischen Unternehmens. Das ist ein Kunde von mir und der möchte Awstats mit Ip aber den letzten Block mit 0 gefüllt. Wer zahlt schafft an ...
Also ist das warum kein Diskussionspunkt, und das ob es rechtlich so ist auch nicht, denn wenn es der bestellte Fachanwalt (Datenschutzbeauftragte) so sagt, dann muss es so gemacht werden.

Und ich möchte, wie Till schon schreibt die Logs selber komplett.behalten. Und das scheint auch rechtskonform zu sein.
 

Till

Administrator
Dann musst Du wohl in den awstats sourcecode schauen und dort die Adressen anonymisieren.
 

nowayback

Well-Known Member
Vom Datenschutzbeauftragten eines Mittelständischen Unternehmens. Das ist ein Kunde von mir und der möchte Awstats mit Ip aber den letzten Block mit 0 gefüllt. Wer zahlt schafft an ...
Also ist das warum kein Diskussionspunkt, und das ob es rechtlich so ist auch nicht, denn wenn es der bestellte Fachanwalt (Datenschutzbeauftragte) so sagt, dann muss es so gemacht werden.

Und ich möchte, wie Till schon schreibt die Logs selber komplett.behalten. Und das scheint auch rechtskonform zu sein.
Das ist nicht unmöglich, aber du musst bedenken, dass du dann deine Stats verfälscht weil du alle aus dem /24er IPv4 Netz als einen User siehst. Damit kannst du dir die Statistiken auch schon fast sparen. Das gilt insbesondere für IPv6. Dort müsstest du sogar größere Bereiche rausnehmen.
 

florian030

Well-Known Member
Ich würde eher die für den Kunden zugänglichen Logs in /var/log/ispconfig/httpd anonymisieren. Vor dem Rotieren einfach mal kurz die letzten beiden (bei v4) bzw letzten 4 (bei v6) octets der IP ersetzen.
 

alhazred

Member
Die Frage bei den Logs ist auch, ob man die länger als 30 Tage braucht (und auch so lange aufheben darf, AFAIK ist das wohl noch im Rahmen).
Die Logs kannst du mittels anonip, wie von Florian erwähnt, einfach beim rotate anonymisieren.
Zu awstats gibt es hier im Forum die Frage von 2013. Vielleicht kann man da ansetzen (ich glaube der TE hat da die richtigen Stats in die DB geschrieben und die Ausgaben am ende anonymisiert, Kann mich auch irren).
@Till Ist es vielleicht geplant, den Speicherzeitraum für die Dateien der Webs (access und error logs) über die Einrichtung anpassen zu können?
 

Till

Administrator
@Till Ist es vielleicht geplant, den Speicherzeitraum für die Dateien der Webs (access und error logs) über die Einrichtung anpassen zu können?

Speicherzeitraum kannst Du bereits für access.log's konfigurieren und für error.log bauen wir das noch ein.

Wenn Du access.logs beim rotieren anonymisierst, also nach 24h, dann musst Du meines Erachtens nach das Selbe in die Datenschutzbedingungen schreiben als wenn die IP's da für Tage oder 1-2 Wochen drin stehen, bringt Dir also nicht wirklich was. Außerdem ist dasSpeichern der IP auch nicht verboten, Du musst nur darüber informieren und sagen warum Du es machst mit Anspruchsgrundlage, und die Erstellung von Statistiken und die Serversicherheit sind durchaus angemessene Gründe für die Speicherung laut diverser Anwälte soweit ich im Netz gelesen habe.

Hier mal ein Auszug aus der DSGVO Konformen Datenschutzerklärung von e-recht24 wie sie in Kürze auch hier auf Howtoforge zu finden sein wird.

Server-Log-Dateien
Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:

  • Browsertyp und Browserversion
  • verwendetes Betriebssystem
  • Referrer URL
  • Hostname des zugreifenden Rechners
  • Uhrzeit der Serveranfrage
  • IP-Adresse
Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.

Grundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO, der die Verarbeitung von Daten zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen gestattet.
 

alhazred

Member
@Till Klar muss man das reinschreiben. Nur braucht man auch bei IPs im Log einen wirklich triftigen Grund warum man diese länger als 7/14 Tage speichern will.
So ist es auch ein Unterschied wenn ich meinen Kunden sagen kann: Ich habe nix, nach 2 Tagen ist alles anonymisiert (und somit kann ich von meiner Seite aus Antworten). Was der Kunde dann in seinen Tools unter Blogs, Datenbanken usw. speichert, kann ich selber ja wenig beeinflussen.

Das mit dem Accesslog ist gut zu wissen. Ich mach mich dann mal auf die Suche :)

@florian030: Ganz einfach. Ich habe genug Anfragen gehabt. Es reicht hier halt, das die anonymisiert sind. Gerade wenn die Leute, den Neffen/Sohn zum eintragen der neuen Produkte nehmen etc. und es dann nicht funktioniert. Da kann ich dann halt einfach das Log durch den Parser jagen und sagen, hier 404, falscher Pfad usw. Die Shopsysteme sind woanders gehostet (das ist mir auch lieber so) und die haben die Bilddatenbanken usw. bei mir liegen. Mit den Problemen kommen die halt nie sofort an.
Die Liste ist halt lang und es erspart mir viel Arbeit. Solange ich halt noch die "Altlasten" habe, komme ich nicht drum rum.
Angriffe habe ich weniger (bis auf die üblichen Versuche nach nichtvorhandenen WP Installationen). Wenn jemand WP, oder andere gern genommene Ziele für Angriffe, installiert, achte ich schon mehr auf die Systemüberwachung.
 

Werbung

Top