# Ip Adressen und Datenschutz-Grundverordnung (DSGVO / GDPR) - Webserver



## etron770 (11. Mai 2018)

Wie habt Ihr denn das gelöst dass die IP Adressen gekürzt  in Awstat oder Webalizer erscheinen, aber von fail2ban komplett ausgewertet werden können?
Viele Grüße Knut


----------



## nowayback (11. Mai 2018)

Zitat von etron770:


> Wie habt Ihr denn das gelöst dass die IP Adressen gekürzt in Awstat oder Webalizer erscheinen, aber von fail2ban komplett ausgewertet werden können?


Gar nicht. Warum sollte ich auch?


----------



## etron770 (12. Mai 2018)

Weil die Adressen in Awstats bei Firmen ab 25. Mai anonymisiert werden müssen? Und weil sie als Webmaster länger ungekürzt halten darf, wenn der Server vielen Angriffen ausgesetzt ist. Wie das definiert wird ist zwar noch unklar, aber ich will schon nachsehen können, wer versucht hat irgendwelche Seiten zu hacken. Zusätzlich  möchte ich, dass Fail22ban beim neustart die aktuellen Logs nochmal auswerten kann. Also brauche man sie ungekürzt und gekürzt.


----------



## nowayback (12. Mai 2018)

Zitat von etron770:


> Weil die Adressen in Awstats bei Firmen ab 25. Mai anonymisiert werden müssen?


Ich frag mich woher solche Aussagen kommen... Meines Wissens nach sorgt das anonymisieren nur dafür dass die weitere Verarbeitung nicht mehr dem Datenschutzrecht unterliegt.


----------



## florian030 (14. Mai 2018)

Wir haben schlichtweg die Statistiken abgeschaltet. Alternativ kannst Du auch den Block mit den IPs aus den Statistiken rauswerfen. Hilft aber nicht so viel, weil die Logs weiter vorhanden sind und die schlicht die IP enthalten müssen (meine Meinung). Ich denke aber, eine rentention_time von 30 braucht man nciht.


----------



## etron770 (14. Mai 2018)

Zitat von nowayback:


> Ich frag mich woher solche Aussagen kommen


Vom Datenschutzbeauftragten eines Mittelständischen Unternehmens. Das ist ein Kunde von mir und der möchte Awstats mit Ip aber den letzten Block mit 0 gefüllt. Wer zahlt schafft an ... 
Also ist das warum kein Diskussionspunkt, und das ob es rechtlich so ist auch nicht, denn wenn es der bestellte Fachanwalt (Datenschutzbeauftragte) so sagt, dann muss es so gemacht werden.

Und ich möchte, wie Till schon schreibt die Logs selber komplett.behalten. Und das scheint auch rechtskonform zu sein.


----------



## Till (14. Mai 2018)

Dann musst Du wohl in den awstats sourcecode schauen und dort die Adressen anonymisieren.


----------



## nowayback (14. Mai 2018)

Zitat von etron770:


> Vom Datenschutzbeauftragten eines Mittelständischen Unternehmens. Das ist ein Kunde von mir und der möchte Awstats mit Ip aber den letzten Block mit 0 gefüllt. Wer zahlt schafft an ...
> Also ist das warum kein Diskussionspunkt, und das ob es rechtlich so ist auch nicht, denn wenn es der bestellte Fachanwalt (Datenschutzbeauftragte) so sagt, dann muss es so gemacht werden.
> 
> Und ich möchte, wie Till schon schreibt die Logs selber komplett.behalten. Und das scheint auch rechtskonform zu sein.


Das ist nicht unmöglich, aber du musst bedenken, dass du dann deine Stats verfälscht weil du alle aus dem /24er IPv4 Netz als einen User siehst. Damit kannst du dir die Statistiken auch schon fast sparen. Das gilt insbesondere für IPv6. Dort müsstest du sogar größere Bereiche rausnehmen.


----------



## wotan2005 (14. Mai 2018)

https://www.google.com/search?q=awstats+anonymizeip&ie=utf-8&oe=utf-8


----------



## florian030 (15. Mai 2018)

Ich würde eher die für den Kunden zugänglichen Logs in /var/log/ispconfig/httpd anonymisieren. Vor dem Rotieren einfach mal kurz die letzten beiden (bei v4) bzw letzten 4 (bei v6) octets der IP ersetzen.


----------



## alhazred (17. Mai 2018)

Die Frage bei den Logs ist auch, ob man die länger als 30 Tage braucht (und auch so lange aufheben darf, AFAIK ist das wohl noch im Rahmen). 
Die Logs kannst du mittels anonip, wie von Florian erwähnt, einfach beim rotate anonymisieren.
Zu awstats gibt es hier im Forum die Frage von 2013. Vielleicht kann man da ansetzen (ich glaube der TE hat da die richtigen Stats in die DB geschrieben und die Ausgaben am ende anonymisiert, Kann mich auch irren). 
@Till Ist es vielleicht geplant, den Speicherzeitraum für die Dateien der Webs (access und error logs) über die Einrichtung anpassen zu können?


----------



## Till (18. Mai 2018)

Zitat von alhazred:


> @Till Ist es vielleicht geplant, den Speicherzeitraum für die Dateien der Webs (access und error logs) über die Einrichtung anpassen zu können?


Speicherzeitraum kannst Du bereits für access.log's konfigurieren und für error.log bauen wir das noch ein.

Wenn Du access.logs beim rotieren anonymisierst, also nach 24h, dann musst Du meines Erachtens nach das Selbe in die Datenschutzbedingungen schreiben als wenn die IP's da für Tage oder 1-2 Wochen drin stehen, bringt Dir also nicht wirklich was. Außerdem ist dasSpeichern der IP auch nicht verboten, Du musst nur darüber informieren und sagen warum Du es machst mit Anspruchsgrundlage, und die Erstellung von Statistiken und die Serversicherheit sind durchaus angemessene Gründe für die Speicherung laut diverser Anwälte soweit ich im Netz gelesen habe.

Hier mal ein Auszug aus der DSGVO Konformen Datenschutzerklärung von e-recht24 wie sie in Kürze auch hier auf Howtoforge zu finden sein wird.



> *Server-Log-Dateien*
> Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:
> 
> 
> ...


----------



## florian030 (18. Mai 2018)

Zitat von alhazred:


> Die Frage bei den Logs ist auch, ob man die länger als 30 Tage braucht (und auch so lange aufheben darf, AFAIK ist das wohl noch im Rahmen).


Wozu in aller Welt brauchst Du die denn 30 Tage? Ich finde 10 Tage schon extrem lang.


----------



## alhazred (18. Mai 2018)

@Till Klar muss man das reinschreiben. Nur braucht man auch bei  IPs im Log einen wirklich triftigen Grund warum man diese länger als 7/14 Tage speichern will. 
So ist es auch  ein Unterschied wenn ich meinen Kunden sagen kann: Ich habe nix, nach 2 Tagen ist alles anonymisiert (und somit kann ich von meiner Seite aus Antworten). Was der Kunde dann in seinen Tools unter Blogs, Datenbanken usw. speichert, kann ich selber ja wenig beeinflussen.

Das mit dem Accesslog ist gut zu wissen. Ich mach mich dann mal auf die Suche  

@florian030: Ganz einfach. Ich habe genug Anfragen gehabt. Es reicht hier halt, das die anonymisiert sind. Gerade wenn die Leute, den Neffen/Sohn  zum eintragen der neuen Produkte nehmen etc. und es dann nicht funktioniert. Da kann ich dann halt einfach das Log durch den Parser jagen und sagen, hier 404, falscher Pfad usw. Die Shopsysteme sind woanders gehostet (das ist mir auch lieber so) und die haben die Bilddatenbanken usw. bei mir liegen. Mit den Problemen kommen die halt nie sofort an.
Die Liste ist halt lang und es erspart mir viel Arbeit. Solange ich halt noch die "Altlasten" habe, komme ich nicht drum rum. 
Angriffe habe ich weniger (bis auf die üblichen Versuche nach nichtvorhandenen WP Installationen). Wenn jemand WP, oder andere gern genommene Ziele für Angriffe, installiert, achte ich schon mehr auf die Systemüberwachung.


----------



## Till (18. Mai 2018)

Hier übrigens ein recht umfangreiches FAQ einer anderen Anwaltskanzlei das auch das Thema IP Adressen streift: https://www.it-recht-kanzlei.de/faq-datenschutz-grundverordnung.html


----------

