Was wird hier gelogt und warum?

[BDSG]

Pädophile ist ein Grenzthema.
Immer wieder werden Foren gehackt um darüber Personen zu identifizieren.
Was tut man im GSA um die User zu schützen?

Zu folgenden Fragen hätte ich gerne Antworten seitens der Forentechnik:

• Werden in der SQL-Datenbank die IP-Adressen von jedem Besucher gespeichert?
• Wer kann übers ACP die IP-Adressen der User einsehen und der Gäste?
• Werden die IP-Adressen zu jedem Beitrag gespeichert?
• Nutzt man weitere Statistik-Tools wie Piwik oder GoogleAnalytics?
• Werden User welche sich mit einer Email-Adresse von z.b. Netcologne gewarnt, das man sie über diese Ausfindig machen könnte?
• Werden private Nachrichten manuell oder automatisiert gescannt und gelesen?
• Allgemein was wird hier für den Schutz der User getan?
• Gibt es im Team wirklich fähige Menschen welche wissen was sie tun oder eher Baukastenmenschen die sich ein Forum zusammenklicken?
• Wie sieht die Log-Policy vom Hoster aus?
• Ist der Server so konfiguiert das er nicht in der Lage ist IP-Adressen zu speichern?
• Warum hat man sich ausgerechnet Frankreich für ein Pädo-Forum ausgesucht und nicht kein sicheres Land mit Freedom of Speech?

Ich bitte explizit darum Antworten auf diese Fragen von einer Person zu erhalten, die weiß wovon sie spricht.

Auch vermisse ich ganz klar für ein Projekt wie dieses einen Zugang via Tor-Adresse.

Auch bitte ich um ein Statement seitens des Forenbesitzers Regenbogenwald e.V. zu ihren Absichten, denn der Verdacht liegt nahe das man unter dem Deckmantel der Selbsthilfe für Pädos lediglich einen Honeypot installieren will um dem Feind an die Wäsche zu können.

[Struppi]

Also ich finde ja, jeder ist zunächst mal selbst für seine Sicherheit verantwortlich...

[Sirius]

Hallo BDSG,

Ich gehe mal auf deine Fragen zu der Konfiguration des Forums ein.

Werden in der SQL-Datenbank die IP-Adressen von jedem Besucher gespeichert?
Werden die IP-Adressen zu jedem Beitrag gespeichert?

Aus technischen Gründen werden IP-Adressen kurzzeitig gespeichert. Dies ist z.B. notwendig um es zu erschweren, dass Sitzungen einzelner Nutzer von dritten Parteien übernommen werden können. Die IP-Adressen werden aber regelmäßig automatisiert aus der Datenbank gelöscht, zusammen mit weiteren möglicherweise identifizierenden Daten.

Wer kann übers ACP die IP-Adressen der User einsehen und der Gäste?

IP-Adressen können nur vom Team eingesehen werden. Sobald die Adressen gelöscht werden, gibt es auch für die Admins keinen Weg mehr, diese wiederherzustellen.

Werden User welche sich mit einer Email-Adresse von z.b. Netcologne gewarnt, das man sie über diese Ausfindig machen könnte?

Wir raten im Allgemeinen dazu, dass sich hier jeder mit einer anonymen Mailadresse anmeldet (siehe auch hier). Zu einem gewissen Anteil ist aber jeder Nutzer auch selber verantwortlich, für seine eigene Anonymität zu sorgen. Dazu zählt auch die Erstellung einer anonymen Mail-Adresse.

Werden private Nachrichten manuell oder automatisiert gescannt und gelesen?

Private Nachrichten werden nur manuell gelesen.

Allgemein was wird hier für den Schutz der User getan?

Siehe hier und hier.

Gibt es im Team wirklich fähige Menschen welche wissen was sie tun oder eher Baukastenmenschen die sich ein Forum zusammenklicken?

Wie bereits erklärt haben wir einige Anpassungen vorgenommen, um sicherzustellen, dass nicht mehr Daten gesammelt und gespeichert werden als unbedingt notwendig.

Auch vermisse ich ganz klar für ein Projekt wie dieses einen Zugang via Tor-Adresse.

Du kannst gerne das Forum über das TOR-Netzwerk aufrufen, tatsächlich würde ich dazu sogar raten.

Auch bitte ich um ein Statement seitens des Forenbesitzers Regenbogenwald e.V. zu ihren Absichten, denn der Verdacht liegt nahe das man unter dem Deckmantel der Selbsthilfe für Pädos lediglich einen Honeypot installieren will um dem Feind an die Wäsche zu können.

Wenn du uns nicht vertraust ist es dir freigestellt, Maßnahmen anzuwenden, die deine Identität hier verschleiern. Wir fordern niemanden dazu auf identifizierende Daten preiszugeben (im Gegenteil) und werden diese auch schnellstmöglich entfernen bzw. gar nicht erst freischalten, falls hier welche gepostet werden sollten.

Weitere Details kannst du dir auf den schon verlinkten Seiten index.html und GSA-Sicherheit.html durchlesen.

[Max]

Wie Sirius schon schrieb haben wir unser Sicherheitskonzept hier im Forum und unter GSA-Sicherheit.html bereits zur Genüge erklärt.

Unser Hoster ist deutsch und unterliegt unseren Infos nach der deutschen Gerichtsbarkeit.

Weiter ist unser Server sowie die Forensoftware von Grund auf in langer Kleinarbeit von einem versierten Hacker namens FloZilla aufgesetzt und auf Sicherheit getrimmt worden. Und auch unsere weiteren technischen Admins, Sirius und Naches wissen was sie tun. Bedenke: auch unsere eigene Sicherheit hängt auch davon ab.

Zum Honeypot: Wofür bitte? Da unsere Zielgruppe Leute sind, die eben NICHT straffällig werden wollen, wären die Ermittlungen äußerst, nun ja, langweilig und sinnlos. Und vor allem ein Honeypot ohne Honig? Was soll sowas, ohne dass wir KiPo anbieten oder fördern würden? Sehr sinnlos.

Mehr Infos schreibe ich hier nicht dazu. Jeder Nutzer ist selbst dafür verantwortlich, in einem in seinen Augen vernünftigen Maße für seine eigene Sicherheit sorgen. Dazu rufen wir eh bereits alle hier auf. Und weiterhin halte ich es nicht für sinnvoll den von dir zitierten Hacker noch mehr detaillierte Infos über unser System zu geben, die du hier forderst.

[Frank Denker]

@BDSG:
ich möchte dich bitten, all' Deine Fragen auch hier: https://www.bundestag.de zu stellen.
Mal sehen, wie schnell und ob Du dort Antworten bekommst!

Mit welchem Recht forderst Du Antworten auf Fragen, die auf den entsprechenden verlinkten Seiten schon beantwortet wurden und die z.T. Hintergründe über die Sicherheitsmaßnahmen des Forums in Erfahrung bringen würden.
M.E. hast Du von Sirius mehr Antworten erhalten, als sie Dir - vor allem öffentlich - zustehen!

Gruß
Frank Denker