federation.cloud-foo.de

Marius Friendica

Frage: wenn das OS verdeckte DNS Abfragen gen USA schickt...

Guten Abend @Ulrich Kelber (Herr Kelber),

in der Linux-Welt hat sich ein kleines Problem ergeben, zu dem ich gern Ihre (grobe) Meinung hätte:

Mit dem Update auf die Distribution Fedora 33 wird systemd-resolved als DNS Resolver eingesetzt. Der erledigt die ganzen Fragen "Wie lautet die IP für Domain x.de?"

Das Problem damit ist, daß es einen versteckten Default-Fallbackserver mitbringt, der weder vom System gesetzt wird noch per DHCP Request vom Netzwerkrouter mitgeschickt wird.

Es handelt sich dabei um die US Versionen der CloudFlare und Google DNS Server.

Da für diese Anfrage die IP des PC und der gewünschte Domainname zwangsläufig an die DNS übermittelt wird, und IPs ja Personenbezogene Daten sind laut Kammergericht Berlin 2013,
ergibt sich daraus nicht für Firmen die das Einsetzen ein Datenschutzverstoß, da der Privacy Shield mit den USA ja nicht gehalten hat?

Eine grobe Schätzung würde reichen, da wir derzeit in der Entwickler-MailingListe von Fedora über dies Thema sprechen. Das Thema ist so heiß, daß seitens der IETF erwogen wird eine CVE Nummer dafür zu vergeben, weil im gleichen Zuge auch DNSSEC zerstört wurde.

Beteiligt sind hier Red Hat/Fedoraprojekt, die IETF, Dr. Paul Vixie ( BIND ) und Leonard Pöttering ( Systemd ) und jede Menge Entwickler aus der ganzen Welt ;)

Da wir in Deutschland wegen der IP einen besonderen Status haben, wäre es echt gut, da eine Empfehlung zu bekommen. Das wäre auch für andere Projekte eine wichtige Information. Fedora möchte natürlich keine Gerüchte aufkommen lassen, daß es Privatssphärenprobleme hätte, aber wie immer im Leben braucht es einen gewissen "Druck". Immerhin als Konsequenz wurde jetzt DoT defaultmäßig aktiviert ( DNS-over-TLS ).

In wie weit ist eigentlich ein Distributionshersteller für solche Dinge verantwortlich?

mit freundlichen Grüßen,
Marius
Ulrich Kelber mastodon (AP)
Es ist sehr schwierig, dazu ohne Einblick in die vertragliche Grundlage überhaupt etwas zu sagen. Aber es ist zumindest ein vermintes Terrain, bedarf einer exakten Analyse durch den datenschutzrechtlich Verantwortlichen. Vielleicht könnte eine einsetzende Institution exemplarisch die Frage mit der für sie zuständigen Datenschutzbehörde klären!?
Marius Friendica
Das letzte mal, als ich mich mit einer technischen Frage aus der IT an Hannover gewandt habe, kam da "Sie sind TK, da ist der Bund für zuständig." Krasse Fehleinschätzung wie sich rausstellte, ob ich dort heute mehr erwarten kann? Mal sehen..

Interessante Serviceeinstellung beim LBFI NIE:

"Telefon nur Montag, Mittwoch, Freitag: 09.00 – 12.00 Uhr, übrige Zeit: Anrufbeantworter"

Kontextbezogen hat mein Hauptpostamt einen ähnlichen Wortlaut auf Lager :D

Ich hab da mal eine Anfrage eingeleitet, mal sehen ob da wer zurückruft.
Marius Friendica
@Ulrich Kelber

Herr Kelber, auch wenn ich diesen Kommentar etwas schlaksig formuliere, ich habe mehrfach begründet wenig Vertrauen in dieses Haus wie Sie feststellen können, möchte ich Sie doch an den Schwierigkeiten des simplen Versuches einer Terminvereinbarung mit einer Datenschutzbehörde in Niedersachsen teilhaben lassen :)

Nach 14 Tagen Wartezeit auf meine Emailanfrage, habe ich heute in Hannover angerufen und wollte mal nachhacken. Das erwies sich leider als schwieriger, als man meinen sollte. Die Telefonzentrale verwechselte zunächst mal den "Datenschutzbeauftragten des Bundes" mit einem "Datenschutzbeauftragten des Unternehmens" :) Dann konnte man meine -> bestätigte <- Emailanfrage im System nicht finden, was mich nicht so richtig überrascht, sonst wäre ja vermutlich vorher mal eine Nicht-auto-Antwort gekommen. Als nächstes kam die Weiterleitung an eine Mitarbeiterin, die völlig entsetzt "nichts" bei sich oder Ihren Kollegen finden konnte. Falsche Abteilung, welche es war, weiß man nicht.

Ein "Verbinden" zur Abteilung Telekommunikation war intern nicht möglich. Ein zweiter Anruf daher notwendig. "Ja, ich ähm.. " "Telekommunikation" ".. verbinde Sie mal zum Kollegen." Da war dann zur Hauptsprechzeit nur der AB dran.

Ich wette, daß es da auch keinen Rückruf gibt, weil der AB meine Nummer nicht parat haben wird.

Jetzt mal unter uns: In der Sache, lieber Referat 23 oder 24 bei Ihnen im Haus?
Ulrich Kelber mastodon (AP)
Tut mir leid, aber ich kann nicht Anfragen an die Landes Datenschutzbehörden mit meinen Leuten auffangen. Die Landesdatenschutzbehörden haben einfach zu wenig Personal, das ist die Schuld der Landesregierung und Landesparlamente. Zur Info können Sie uns trotzdem den ganzen Vorgang senden
Marius Friendica
im (quasi) 4. Versuch hat es dann heute geklappt ;) In ganz Niedersachsen ist genau eine Person für "Internet" zuständig. Da eine "Grundlagenfrage" zu klären, überlastet dann natürlich den Mitarbeiter komplett.

Wem muß man da eigentlich Feuer machen, damit sich dort etwas ändert? Wäre da der Ministerpräsident zuständig, weil die Leiterin der Behörde hier ja vermutlich auch Opfer ihrer bescheidenen Möglichkeiten ist.
Marius Friendica
kleines Update: Die Sache wurde jetzt nach Berlin abgegeben. K.A. wieso :D