Datenschutz und Datensicherheit

Bei Ihrer Nutzung dieser Internetseite erhebe ich grundsätzlich keine personenbezogenen Daten! Lediglich fehlgeschlagene Login-Versuche im geschlossenen Bereich dieser Seite werden protokolliert, damit ich meine Internetseite vor Brute Force Angriffen schützen kann. Im Folgenden wird dies näher erläutert.

Grundsätzlich: Keine Erhebung personenbezogener Daten

Ich habe meinen Webserver so konfiguriert, dass er keine personenbezogenen Daten in seine Log-Dateien schreibt. Dies betrifft vor allem Ihre IP-Adresse, jedoch auch die sog. „Referrer URL“, also der Internetseite, von der aus Sie ggf. meine Internetseite aufgerufen haben. Denn auch diese ermöglicht unter bestimmten Umständen Rück­schlüsse auf Ihre Identität. Da ich diese Daten von Ihnen nicht benötige, verzichte ich auf ihre Erhebung.

Ausnahme: IP-Adresse bei erfolglosen Login-Versuchen

Wenn Sie allerdings das Login-Formular absenden (POST Request) und sich herausstellt, dass Sie ungültige Login-Daten eingegeben haben, zeiche ich Ihre IP-Adresse mitsamt Zeitpunkt des fehlgeschlagenen Login-Versuchs auf! In diesem Fall kann ich nicht auf die Erfassung der IP-Adresse verzichten, da ich Angriffe auf diese Internetseite erkennen und abwehren möchte. Registriere ich innerhalb eines kurzen Zeitraums mehrere Login-Versuche, die von der selben IP-Adresse herrühren, so muss ich von einem Brute Force Angriff auf meine Internetseite ausgehen. Um derartige Angriffe zu unterbinden, blockiere ich die IP-Adresse des Angreifers für eine gewisse Zeit, damit der Angreifer nicht weiter versuchen kann, Zugriff auf vertrauliche Inhalte zu erhalten, indem weiter Benutzername-Passwort-Kombinationen ausprobiert werden (Brute Force Angriff). Ohne die Erfassung der IP-Adresse bei jedem Absenden des Login-Formulars mit ungültigen Login-Daten wäre es mir nicht möglich, meine Internetseite auf diese Weise abzusichern.

Für die Erhebung der IP-Adresse habe ich daher ein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 Buchstabe f DSGVO, so dass die Verarbeitung nach dieser Norm zulässig ist.

Natürlich bewahre ich die aufgezeichneten IP-Adressen nur so lange auf, wie dies für den Zweck der Abwehr von Brute Force Angriffen erforderlich ist; spätestens nach 24 Stunden werden die IP-Adressen aus meinen Log-Dateien wieder entfernt. Die IP-Adressen werden ausschließlich für den genannten Zweck genutzt und nicht an Dritte weitergegeben.

Cookies

Meine Internetseite verwendet ausdrücklich keine „Tracking Cookies“. Dies sind kleine Textdateien, die in Ihrem Browser gespeichert werden, und die dazu dienen können, Ihre Besuche einer Internetseite unabhängig von Ihrer IP-Adresse über längere Zeit hinweg zu verfolgen.

Beim Aufruf der Login-Seite wird allerdings ein sog. CSRF Token als Cookie in Ihrem Webbrowser gesetzt. Dieser Cookie wird verwendet, um das Login vor Angriffen zu schützen, die Cross-Site Request Forgery (CSRF) genannt werden. CSRF-Angriffe ermöglichen es unberechtigten Benutzern, Aktionen im Namen eines anderen Benutzers unter Ausnutzung seiner Nutzerdaten durchzuführen. Nähere Informationen finden sich beim Open Web Application Security Project. Die Abwehr von CSRF-Angriffen funktioniert auf meiner Internetseite, indem jeder POST Request auf die Existenz eines Geheimnisses geprüft wird. Dies stellt sicher, dass ein Angreifer nicht einfach ein Formular, welches von einem Nutzer abgesendet wurde, einem anderen Benutzer unterschieben kann. Denn der Angreifer müsste das benutzerspezifische Geheimnis kennen. Dieses Geheimnis ist der genannte CSRF Token, der in Form eines Cookies gespeichert wird. Der Token ist daher benutzer- und sitzungsspezifisch.

Datensicherheit

Diese Seite wird auf einer virtuellen GNU/Linux-Maschine betrieben, die ausschließlich ich selbst verwalte; Dritte haben keinen Zugriff. Alle Datenübertragungen werden zwischen Ihrem Webbrowser und meinem Webserver verschlüsselt. Verwendet wird ein TLS/SSL-Zertifikat, welches von der Certification Authority Let's Encrypt ausgestellt wurde. Sollte Ihnen kein solches Zertifikat in Ihrem Browser angezeigt werden, befinden Sie sich möglicherweise hinter einem Webproxy, der HTTPS Interception praktiziert.

Weitere grundlegende Informationen zu Sicherheitsaspekten bei der Nutzung des von mir eingesetzten Webframeworks Django finden sich in der Django-Dokumentation unter Security in Django.

Kontakt

Sollten Sie Fragen oder Anregungen zum Thema Datenschutz oder Datensicherheit auf meiner Internetseite haben, kontaktieren Sie mich bitte per E-Mail an mailbox@suenkler.info. Ver­schlüsseln Sie Ihre Nach­richt gerne mit meinem OpenPGP Public Key (pubkey.asc); der Fingerprint des Schlüssels lautet:

Key fingerprint = 78E4 6FB0 4398 0968 4720 73C8 3056 1382 EE7A D42F