Umgang mit IP-Adressen in der Dokumentation: Schwärzen oder Ersetzen durch Fake-IP-Adressen?

[Typ87]

Hallo zusammen,

ich arbeite aktuell an der Projektdokumentation für meine Abschlussprüfung (Fachinformatiker, Systemintegration) und stehe hier vor einem Datenschutz-/Sicherheitsproblem:

Mein Projekt ist größtenteils Linux-basiert und wurde ohne GUI durchgeführt. Das bedeutet, es gibt viele Screenshots von Konsolenbefehlen, Log-Ausgaben, +Firewall-Regeln usw, in denen die relevanten IP-Adressen auftauchen. Da mein Betrieb relativ sicherheitskritisch ist, habe ich die Anweisung, diese IPs nicht in der Doku sichtbar zu lassen.

Ich sehe aktuell zwei mögliche Wege, aber beide haben Haken:

IP-Adressen in den Screenshots schwärzen
Vorteil: Ich kann die Original-Befehle und Abläufe zeigen.
Nachteil: Viele Screenshots wären halb geschwärzt und daher Vorgänge und Zusammenhänge schwer nachzuvollziehen. Vor allem bei Server, Firewall, oder Routing-Konfigurationen, wo IP-Zusammenhänge wichtig sind.

Screenshots mit Fake-IP-Adressen neu erzeugen
Vorteil: Die Dokumentation wäre optisch sauber und nachvollziehbar.
Nachteil: Ich müsste einen erheblichen Teil der Arbeit nochmal machen, z. B. Regeln mit den Fake-IPs in die Firewalls eintragen (Nur für den Screenshot).

Jetzt meine Fragen an euch:

1. Wie habt ihr das bei eurer Doku gemacht, falls ihr ein ähnliches Problem hattet?

2. Ist das Schwärzen wirklich „zumutbar“ oder sollte ich lieber Fake-IPs verwenden? Wenn viel geschwärzt ist, wäre es doch schlecht nachvollziehbar?

3. Die IHK-Prüfer unterliegen ja der Verschwiegenheitspflicht. Wäre es unter Umständen doch vertretbar, reale IPs zu zeigen?

Ich möchte keine Sicherheitsrichtlinien verletzen.

Danke euch vorab für Meinungen, Erfahrungswerte oder Tipps!

[Brapchu]

Frag deinen Chef/Vorgesetzten?

[t1nk4bell]

Hast du das Projekt für einen Kunden umgesetzt oder intern? 

Was sagt denn der Kunde oder deine Firma zu der Veröffentlichung von ggf Personen bezogen Daten ? Gibt es da schriftliche Zustimmung das sie zum Zweck  Projekt Doku genutzt werden dürfen / archiviert dauer etc etc ...

 

Zu Punkt drei von dir , ganz generell...

Nur weil der dem du Daten weitergibst zur Verschwiegenheit verpflichtet ist heißt das nie das du sie ihn auch geben darfst..

Bearbeitet 19. Mai von t1nk4bell

[Alexej_a7x]

Um welche IP-Adressen handelt es sich denn? Private oder öffentliche IP-Adressen?

Private IP-Adressen sind eigentlich nicht schützenswert. Wie viele Unternehmen verwenden das ehemalige A-Netz 10.0.0.0/8.  Ich meine, dass meine IHK damals in einer Handreichung geschrieben hat, dass diese nicht zu schwärzen sind. Bei öffentlichen IP-Adressen sieht es anders aus.

Hier im Forum sind auch paar Prüfer unterwegs, die dazu aus Prüfersicht etwas sagen können. 

[Barandorias]

Da hilft nur eins: Anruf bei deiner zuständigen IHK.
Glaskugelraten, auch von den Prüfern hier im Forum, hilft dir kein bisschen weiter.

In meinem Projekt als FIAE habe ich auch in haufenweise ScreenShots Dinge komplett geschwärzt, da sicherheitsrelevant und/oder personenbezogene Daten sichtbar gewesen wären (mein Projekt war etwas für den elektronischen Datenaustausch nach §301 SBG V).

Für mich war dabei die IHK Berlin zuständig.

vor 7 Stunden schrieb Alexej_a7x:

Ich meine, dass meine IHK damals in einer Handreichung geschrieben hat, dass diese nicht zu schwärzen sind

Gewagte Aussage, da die IHK nicht über Firmenrichtlinien steht.
Wenn das SOC sagt "Gibts nicht nach draußen" kann da auch keine IHK sagen "Aber wollen wir", auch nicht bei internen IPs.
Im Zweifel hat dann ein Angreifer damit Infos, wie das Interne Netz aufgebaut ist.

Bearbeitet 20. Mai von Barandorias

[bigvic]

Ich würde die IP-Adressen ändern. Und es muss ja auch kein Screenshot sein, oder? Finde ich meist sowieso eher "lieblos". Es ist deine Abschlussarbeit, da darf man auch etwas Zeit für aufwenden.

[charmanta]

vor 10 Stunden schrieb Typ87:

3. Die IHK-Prüfer unterliegen ja der Verschwiegenheitspflicht. Wäre es unter Umständen doch vertretbar, reale IPs zu zeigen?

Ja. Ist so üblich damit wir auch das Projekt nachvollziehen können.

vor 2 Stunden schrieb Barandorias:

Wenn das SOC sagt "Gibts nicht nach draußen" kann da auch keine IHK sagen "Aber wollen wir", auch nicht bei internen IPs.

Korrekt. Aber wenn alles schwarz ist und das Projekt zb Subnetze beinhaltet kann das zu Abzügen führen. Wir müssen das Projekt inhaltlich beurteilen können und das darf nicht drunter leiden

[Typ87]

vor 10 Stunden schrieb t1nk4bell:

Hast du das Projekt für einen Kunden umgesetzt oder intern? 

Was sagt denn der Kunde oder deine Firma zu der Veröffentlichung von ggf Personen bezogen Daten ? Gibt es da schriftliche Zustimmung das sie zum Zweck  Projekt Doku genutzt werden dürfen / archiviert dauer etc etc ...

Zu Punkt drei von dir , ganz generell...

Nur weil der dem du Daten weitergibst zur Verschwiegenheit verpflichtet ist heißt das nie das du sie ihn auch geben darfst..

Es ist quasi ein internes Projekt in einer öffentlichen Einrichtung. Laut dem ITler hier, soll ich alle IPs schwärzen. Was für mich keinen Sinn macht, da man dann kaum noch irgendwas nachvollziehen kann.

vor 10 Stunden schrieb Alexej_a7x:

Um welche IP-Adressen handelt es sich denn? Private oder öffentliche IP-Adressen?

Private IP-Adressen sind eigentlich nicht schützenswert. Wie viele Unternehmen verwenden das ehemalige A-Netz 10.0.0.0/8.  Ich meine, dass meine IHK damals in einer Handreichung geschrieben hat, dass diese nicht zu schwärzen sind. Bei öffentlichen IP-Adressen sieht es anders aus.

Hier im Forum sind auch paar Prüfer unterwegs, die dazu aus Prüfersicht etwas sagen können. 

Es handet sich um öffentliche und private IP-Adressen.

vor einer Stunde schrieb bigvic:

Ich würde die IP-Adressen ändern. Und es muss ja auch kein Screenshot sein, oder? Finde ich meist sowieso eher "lieblos". Es ist deine Abschlussarbeit, da darf man auch etwas Zeit für aufwenden.

Also ich finde es mit Screenshots wesentlich authentischer und "besser". Aber ist evtl Geschmackssache.

vor einer Stunde schrieb bigvic:

Ich würde die IP-Adressen ändern. Und es muss ja auch kein Screenshot sein, oder? Finde ich meist sowieso eher "lieblos". Es ist deine Abschlussarbeit, da darf man auch etwas Zeit für aufwenden.

Wenn ich die IPs (Für die Screenshots) in Fake-IPs ändere, wäre das A viel Arbeit, und B könnte ich zB positive Verbindungstests nicht mehr in Screeshots darstellen, da ja alles nur simuliert ist...

vor 41 Minuten schrieb charmanta:

Ja. Ist so üblich damit wir auch das Projekt nachvollziehen können.

Korrekt. Aber wenn alles schwarz ist und das Projekt zb Subnetze beinhaltet kann das zu Abzügen führen. Wir müssen das Projekt inhaltlich beurteilen können und das darf nicht drunter leiden

Was würdest du mir empfehlen?

[hellerKopf]

vor 10 Stunden schrieb Typ87:

Screenshots mit Fake-IP-Adressen neu erzeugen
Vorteil: Die Dokumentation wäre optisch sauber und nachvollziehbar.
Nachteil: Ich müsste einen erheblichen Teil der Arbeit nochmal machen, z. B. Regeln mit den Fake-IPs in die Firewalls eintragen (Nur für den Screenshot).

Vorteil: eine bessere Bewertung
Nachteil: Daran hätte man vorher denken sollen.

 

[charmanta]

vor 25 Minuten schrieb Typ87:

Was würdest du mir empfehlen?

Dein Ausbilder soll sich mit der IHK in Verbindung setzen, gerne auch mal diesen Thread anschauen.

vor 26 Minuten schrieb Typ87:

Was für mich keinen Sinn macht, da man dann kaum noch irgendwas nachvollziehen kann.

Darunter wirst DU leiden, nicht Dein Ausbilder. Nochmal, das Projekt muss nachvollziehbar sein und alle am Prüfungsgeschehen sind zur Verschwiegenheit verpflichtet. Die Vorbehalte eines öffentlichen ITLers sind nachvollziehbar, aber unbegründet.

[bigvic]

vor einer Stunde schrieb Typ87:

 

Also ich finde es mit Screenshots wesentlich authentischer und "besser". Aber ist evtl Geschmackssache.

Na dann mach es so. Für mich sind Screenshots eher was für User Anleitungen, die eher nichts mit IT am Hut haben. Das denke ich, wenn ich Screenshots sehe und meist entspricht der Inhalt dann auch genau dem Publikum.

[t1nk4bell]

Nun wenn dir dort die IT sagt IP Adressen gehen nicht raus dann kannst du höchsten versuchen sie zu überzeugen. 

Zum Thema öffentliche IP Adresse und private. 

Öffentliche IP Adressen sind laut EuGH personenbezogene Daten. Also brauchst du die ausdrückliche Zustimmung. 

Wir befinden uns hier im Bereich Buß - sogar Straf Zahlung...

Private bin ich mir nicht ganz so sicher . 

Wenn der Betrieb allerdings sagt das du sie nicht veröffentlichen darfst solltest du dich daran halten.

Bearbeitet 20. Mai von t1nk4bell

[hellerKopf]

vor 12 Stunden schrieb Typ87:

Mein Projekt ist größtenteils Linux-basiert und wurde ohne GUI durchgeführt. Das bedeutet, es gibt viele Screenshots von Konsolenbefehlen, Log-Ausgaben, +Firewall-Regeln usw, in denen die relevanten IP-Adressen auftauchen.

Wo ist denn das Problem, davon erstmal character-orientierte dumps zu machen und dann per globales Ersetzen die IPs zu ändern.
Wenn dir das zu viel Mühe macht, musst du eben mit Punktabzug leben.

[charmanta]

vor 31 Minuten schrieb t1nk4bell:

Öffentliche IP Adressen sind laut EuGH personenbezogene Daten. Also brauchst du die ausdrückliche Zustimmung. 

Hust .... da hat jemand aber den Unterschied zwischen juristischen und natürlichen Personen nicht verstanden ....

Und eine "Zustimmung" ist nur eine von vielen möglichen Grundlagen einer Verarbeitung ... und dazu die schlechteste Wahl. Back2Topic

[t1nk4bell]

vor 6 Minuten schrieb charmanta:

Hust .... da hat jemand aber den Unterschied zwischen juristischen und natürlichen Personen nicht verstanden ....

Und eine "Zustimmung" ist nur eine von vielen möglichen Grundlagen einer Verarbeitung ... und dazu die schlechteste Wahl. Back2Topic

Der Unterschied ist mir durchaus bewusst , dachte auch öffentliche IPS einer juristische Person unterliegen dem dsgvo, wenn ich mich da täusche meine geschriebenes einfach ignorieren.

[Whiz-zarD]

vor 3 Stunden schrieb t1nk4bell:

Der Unterschied ist mir durchaus bewusst , dachte auch öffentliche IPS einer juristische Person unterliegen dem dsgvo, wenn ich mich da täusche meine geschriebenes einfach ignorieren.

Nein... Die DSGVO bezieht sich rein nur auf natürliche Personen...

Zitat

Art. 1 DSGVO
Gegenstand und Ziele

Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.

Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden

Zitat

Art. 4 DSGVO
Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1."personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

 

[t1nk4bell]

Aus Interesse , wie ist das dann mit Daten z.b einer IP einer juristischen Person die durch die Veröffentlichung Rückschlüsse auf eine natürliche schließen lässt?

[charmanta]

Jurist sagt „es kommt darauf an“

Um zu klagen braucht es einen entstandenen nachweisbaren Schaden. Ganz eindeutig sehen Gerichte den Unterschied zwischen juristischer und natürlicher Person auch nicht immer 

ot ende bitte

[Alexej_a7x]

vor 12 Stunden schrieb Barandorias:

Im Zweifel hat dann ein Angreifer damit Infos, wie das Interne Netz aufgebaut ist.

Wenn man private IPs durch andere private IPs ersetzt, dann hat man damit auch nichts gewonnen. Die relevante Struktur für die Projektarbeit wird erhalten bleiben. Jedenfalls, wenn der Prüfungsausschuss die Arbeit nachvollziehen soll. Und der ist zu Verschwiegenheit verpflichtet. Rein logisch ist das eine Arbeitsbeschaffungmaßnahme.

[Tratos]

naja auf einem Bild kann man auch eine IP Adresse drüberlegen, da würde ich nur den IP Bereich mit einem Grafikprogramm dann entsprechend bearbeiten, so da sichtbar ist hier wäre eine IP aber für die Projektsicherheit ist das jetzt eine 10.10.10er Adresse und dann entsprechend das so durchziehen, wenn du das System nicht live forführen musst ist es aufn Papier doch egal welche IP es ist.

 

 

[ThePinky777]

Du kannst ja den Screenshot nehmen (bestehendes Bild).
Nehme an Konsole am Server hat immer die selbe farbe usw...

Dann gehste am Server in Shell und tipp halt fake IP ein und screenshote nur die IP und füge das in das bestehende Bild entsprechend ein.... ist aufwand aber mein gott... dann ist der Betrieb zu frieden und der Prüfer auch...
änderst halt z.B. wenn ihr 10.200.24.x Ips habe auf 10.15.24.x oder so ab alles, einfach subnetze verändern.... und halt gleich halten dann gehts vermutlich auch schneller...

Nur so ne Idee von mir....

Bearbeitet 21. Mai von ThePinky777

[skylake]

Ich bin immer für Fake-Daten, gegen Screenshots und gegen das Schwärzen.

1. Schwärzen: Wenn man das übertreibt, stört es den Lesefluss enorm und kann sogar führen, dass wir als Prüfer nichts mehr nachvollziehen können = Punktabzug

2. Screenshots: In wirklich nahezu allen Fällen die ich kenne, sind die Screenshots so lieblos reingeklatscht, dass man vor allem im AE Bereich auch hätten drauf verzichten können.

3. Fake-Daten: Das wäre so mein "way to go". Schreibst einfach direkt am Anfang, dass du einige der Daten mit Dummywerten ersetzen mussten und gut ist.