Samstag, 20. Mai 2017

Mitleser


Über die Sicherheit des PIWI-Servers, betrieben von der Stadt Wiesbaden, hatte ich mich ja schon ausgelassen: TLS, TLS (2) und TLS (3). Leider hat sich am Status dieses Servers in den vergangenen Monaten nichts geändert, deshalb möchte ich auf das Thema zurückkommen.

In der Vergangenheit hatte ich dargestellt, wie man in diesen Server eindringen kann, um diesen Server für fremde Zwecke einzuspannen, ihn zu mißbrauchen. Und heute möchte ich Ihnen einen Weg präsentieren, wie man die Daten, die zwischen diesem Server und dem Computer eines Besuchers hin- und hergeschickt werden, mitlesen kann, d.h. die Sicherheit, die der Server vorgibt, kann ausgehebelt werden. Dazu muß man an diesem Server nichts verändern, man benötigt nur die Daten, die von diesem Server kommen bzw. an ihn gerichtet sind.

Aber ich werde Ihnen nicht zeigen, wie man das macht, denn das kann ich nicht und wenn ich es könnte, würde ich es Ihnen nicht zeigen. Aber ich werde Ihnen zeigen, an welchem Punkt man den Hebel ansetzen kann.

Das Internet ist ein offenes Netz, jeder kann mitlesen, wenn er einen Zugriff auf das richtige Kabel bzw. einen Computer auf dem Weg der Daten hat. Einen solchen Angriff nennt man Man-in-the-Middle-Angriff. Es gibt nur einen Schutz gegen solche Versuche:

Gegenmaßnahmen


Sicherung vor Mitlesen


Am effektivsten lässt sich diese Angriffsform mit einer Verschlüsselung der Datenpakete entgegenwirken

Quelle: angegebener Artikel in der Wikipedia

Genau dies macht der PIWI-Server, er verschlüsselt die Daten, die zwischen dem Computer eines Besuchers und diesem Server hin- und hergeschickt werden. Aber er macht dies schlecht, sehr schlecht. Und diese Aussage will ich mit diesem Text begründen.


Status

In meinem ersten Text zum Thema PIWI hatte ich bereits auf das Unternehmen Quality SSL Labs hingewiesen, dessen Geschäftsfeld die Sicherheit solcher Server ist. Auf der Seite dieses Unternehmens kann man eine Serveradresse eingeben und danach wird dieser Server automatisiert auf Sicherheit geprüft. Dies hatte ich für meinem ersten Text getan und das damalige Ergebnis dargestellt: Stand damals und Stand heute. Aus der Vielzahl der Informationen, die auf dieser Seite zum PIWI-Server präsentiert werden, hatte ich nur die Zusammenfassung dargestellt. Und mit diesem Text möchte ich eine weitere Angabe von dieser Seite hier präsentieren und Ihnen die dargestellten Informationen ein wenig erläutern. Und das sind die Informationen, dich ich in diesem Text behandle:

Wenn ein Anwender sich auf diesem Server anmeldet, dann werden die Daten, die zwischen dem Computer des Anwenders und dem Server hin- und hergeschickt werden, verschlüsselt. Soweit so gut. Es gibt verschiedene Verfahren zur Verschlüsselung von Daten, die sich über die Jahrzehnte entwickelt haben; manche sind gut, andere sind schlecht, die meisten Verfahren aus der Vergangenheit sind heute einfach überholt.

In der abgebildeten Liste finden Sie die 8 Verfahren, die der PIWI-Server anbietet, und zu jedem Verfahren finden Sie eine Bewertung. Sie sehen diese beiden Worte: INSECURE und WEAK. Nach Meinung der Fa. Quality SSL Labs sind diese Verfahren entweder unsicher oder schwach, wobei schwache Verschlüsselung noch die beste Note ist, die in dieser Liste auftaucht.

In der Reihenfolge, in der der Server die Verschlüsselungsverfahren anbietet, möchte ich einige Worte zu diesen Verfahren verlieren. Aber einige Worte vorweg.

Hervorhebungen

Die in diesem Text angegebenen Zitate enthalten Hervorhebungen, die im Original nicht vorhanden sind, d.h. ich habe einzelne Worte eines Zitats besonders markiert.

INSECURE

Also unsicher, das ist die Bewertung des eingesetzten Verfahrens. Eine unsichere Verschlüsselung ist so gut wie keine Verschlüsselung, anders formuliert, man sollte ein so bewertetes Verfahren nicht mehr verwenden.

WEAK

Also weich. Das ist besser als unsicher, aber kein stabiles (=hartes) Verfahren. Das sollte man besser nicht mehr verwenden.

Welches Verfahren bleibt da noch übrig? Auf diesem Server keins.

RC4

Das ist die Abkürzung für ein Verschlüsselungsverfahren, dessen Beschreibung Sie hier finden: RC4. Es gilt heute als nicht sicher:
Der erste praktische Angriff auf die RC4-Chiffre gelang Scott Fluhrer, Itsik Mantin und Adi Shamir im Jahr 2001.

Quelle: Wikipedia-Artikel zu RC4

Bitte beachten Sie die Jahreszahl: 2001. Inzwischen ist viel passiert, die Computer wurden weiterentwickelt und haben heute eine höhere Leistungsfähigkeit. Es steht die Aussage im Raum, daß man Daten, die nach diesem Verfahren verschlüsselt wurden, heute in Echtzeit (also praktisch sofort) entschlüsseln kann. Weitere Details dazu finden Sie hier: Let me GOOGLE this for you.

Die Entscheidung bezüglich dieses Verschlüsselungsverfahrens ist gefallen:
Im Februar 2015 wurde mit RFC 7465 der Einsatz von RC4 im Rahmen von TLS verboten, da es erhebliche Sicherheitsmängel aufweist.

Quelle: RC4-Artikel in der Wikipedia

This document requires that Transport Layer Security (TLS) clients and servers never negotiate the use of RC4 cipher suites when they establish connections. This applies to all TLS versions.
Quelle: Prohibiting RC4 Cipher Suites

Die Stadt Wiesbaden beachtet diese Vorgabe nicht.

Nun zu den einzelnen angebotenen Verfahren.

Fragestellung

Damit Sie sich ein Bild von Verschlüsselungen machen können, präsentiere ich Ihnen hier ein Beispiel eines verschlüsselten Textes.
iQEcBAABCgAGBQJZGdA8AAoJELtGpOiAUdjoVMEIAIw+vnVwnaNnTTq4pu3E8w25
riDTELoVxazvBzcTRoRuwbCjjXxR8d+pZgmhe2Lf9WRtp3i7UfHC1CIwb7CbJTMm
hpMpIbls60cljKrxcUn3lnC8GmYsbeGLdNjBEhN0PYX2YqnzMeIHuDzkLH6u04eE
u+w5bEUtfuCqi5KuuakaKCVKo4eoP3/5PQ5WX7PaLx4rJ96YrFplkOi9RG4kTY7q
MxhcEz3e+JiEq9aT27EC3fb07PKF5bEd/08XrAPpn3NLqHkNuDIXJKiATEv8w58V
SJ3lBz4PBdOgxGQPa68Z2en/76Wp6UmJx6Km5IVCB4AQkiFlW/A7WwzCnYtBgO4=
Quelle: irgendeine verschlüsselte Mail, die ich mal schrieb

Das können Sie nicht lesen? Das sollen Sie auch nicht lesen können! Das ist der Sinn einer Verschlüsselung. Aber irgendwie wollen Sie das doch lesen, denn Sie haben diesen Server (=PIWI) aufgerufen, damit Sie die Seite auch angezeigt bekommen und den Inhalt der Seite lesen können. Und dafür benötigen Sie:
  • den verschlüsselten Text (siehe dieses Beispiel)
  • die Information, mit welchem Verfahren dieser Text verschlüsselt wurde
  • den Schlüssel, denn ohne Schlüssel können Sie (genauer: Ihr Computer) diesen Text nicht lesbar machen
Für den Austausch eines solchen Schlüssels zwischen dem Server und Ihrem Computer gibt es feste Regeln: Schlüsselaustauschprotokoll. Dieser Austausch des notwendigen Schlüssels wird aufwändig abgesichert, sollte also in einer Form geschehen, daß ein Mitleser dies nicht versteht, denn mit diesem Schlüssel und dem Wissen, welches Verfahren verwendet wurde, kann jeder Mitleser die Nachricht in lesbaren Text umwandeln.

Das reicht aber noch nicht. Irgendwie muß auch sichergestellt sein, daß die Daten auf dem Weg zu Ihrem Computer nicht nur nicht mitgelesen sondern auch nicht verändert wurden. Sagt Ihnen das Schlagwort Emser Depesche etwas? Damals führte die Veränderungen an der Nachricht zum Krieg; soweit wird es wohl nicht kommen, wenn eine PIWI-Nachricht verändert wird, aber trotzdem will ich keine Veränderungen an einem Text haben. Diese Fragestellung nennt sich Nachrichten-Authentifizierung.

Zurück zum PIWI-Server, hin zu den einzelnen Verfahren, die dieser Server als seine Fähigkeiten anbietet.

TLS_RSA_WITH_RC4_128_MD5

Dies ist das erste Verfahren, das dieser Server anbietet. Es wird als INSECURE bewertet.

Es besteht aus diesen Teilen:
  • Verschlüsselung nach dem Verfahren RC4
  • der Austausch der Schlüssel erfolgt nach dem RSA-Verfahren
  • der übermittelte Text wird nach dem Verfahren MD5 geprüft, ob er unterwegs verändert wurde

TLS_RSA_WITH_RC4_128_SHA

Dies ist das nächste Verfahren, das dieser Server anbietet. Auch dieses wird als INSECURE bezeichnet.

Es besteht aus den Teilen: Verschlüsselung nach RC4, Schlüsselaustausch nach RSA und Integritätsprüfung nach SHA-1.

TLS_RSA_WITH_3DES_EDE_CBC_SHA

Dies Verfahren wird als WEAK bewertet. Es ist somit das beste der angebotenen Verfahren. Es besteht aus den Teilen: Verschlüsselung nach 3DES, Integritätsprüfung nach SHA-1 und Schlüsselaustausch nach RSA.

TLS_RSA_WITH_DES_CBC_SHA

Das Verfahren wird als INSECURE bewertet. Es besteht aus folgenden Teilen: Verschlüsselung nach DES, Integritätsprüfung nach SHA-1 und Schlüsselaustausch nach RSA.

TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

Das Verfahren gilt als INSECURE. Es besteht aus folgenden Teilen: Verschlüsselung nach RC4, Integritätsprüfung nach SHA-1 und Schlüsselaustausch nach RSA.

In diesem Wort taucht der Ausdruck EXPORT1024 auf. Ist Ihnen dies aufgefallen? Er besagt, daß dieses Verfahren und die entsprechende Software aus den USA exportiert werden darf. Es gab einmal Zeiten, da haben die USA den Export von Verschlüsselungsverfahren und entsprechender Software verboten und diese Version war erlaubt, das wurde durch diesen Ausdruck gekennzeichnet. Im Jahre 1999 wurde dieses Verbot aufgehoben, warum wohl? Honi soit qui mal y pense. Dieses Verfahren erfüllt somit die Vorgaben der US-Regierung, die 1999 aufgehoben wurden.

TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA

Dieses Verfahren gilt als INSECURE. Es besteht aus folgenden Teilen: Verschlüsselung nach DES, Integritätsprüfung nach MD5 und Schlüsselaustausch nach RSA.

Auch dieses Verfahren durfte aus den USA exportiert werden und das bereits vor 1999. Sie erkennen daran, wie schwach die Verschlüsselung ist.

TLS_RSA_EXPORT_WITH_RC4_40_MD5

Auch dieses Verfahren gilt aus INSECURE. Es besteht aus folgenden Teilen: Verschlüsselung nach RC4, Integritätsprüfung nach MD5 und Schlüsselaustausch nach RSA. Das Verfahren durfte bereits vor 1999 aus den USA exportiert werden.

TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5

Auch dieses Verfahren wird als INSECURE bewertet. Es besteht aus den Teilen: Verschlüsselung nach RC2, Integritätsprüfung nach MD5 und Schlüsselaustausch nach RSA.

Der Server bietet dieses Verfahren als letztes an, es gilt allgemein als unsicher. Bereits 1997 wurde vorgeführt, wie man damit verschlüsselt Daten knacken kann.


Bewertung

Der Server verwendet Methoden zur Verschlüsselung von Daten, die grösstenteils aus den 1990er Jahren stammen und heute überholt sind, da sie unsicher sind. Für die meisten der angebotenen Verfahren gilt diese Aussage:
Die Internet Engineering Task Force (IETF) lässt keinen Zweifel an ihren Absichten: Mit dem Request for Comment 7465 verbietet sie den Einsatz des Verschlüsselungsverfahrens RC4 im Rahmen der Transport-Verschlüsselung TLS. Die IETF ist das wichtigste Standardisierungsgremium des Internets, hat allerdings keine Möglichkeit, die Einhaltung seiner Standards zu erzwingen.

Quelle: IETF verbietet RC4-Verschlüsselung in TLS

Und bei diesem Server setzt die Stadt Wiesbaden weiterhin dieses Verfahren ein. Die übrigen Verfahren dieses Servers sind besser, aber heute auch überholt.


Fazit

Die Sicherheit dieses Servers ist nicht gegeben, der Server gaukelt Sicherheit nur vor.

Natürlich kann man argumentieren, daß sich auf diesem Server nur Stadtpolitiker anmelden, Sie als normaler Bürger also nicht betroffen sind. Aber neben den Gefahrenpunkten, die ich in der Vergangenheit bereits beschrieben habe, gibt es einen weiteren Aspekt: Wie geht die Stadt Wiesbaden mit den Daten ihrer Bürger um, wenn sie mit den Daten aus der Stadtpolitik schon so sträflich umgeht? Wie sicher sind unsere Daten bei der Stadt Wiesbaden?

Eingestellt von um

Dienstag, 9. Mai 2017

WLAN mit Vertrag


Wenn Sie das WLAN am Rathaus benutzen wollen, müssen Sie vorher einige Schritte durchlaufen, ohne die Sie nicht ins Internet gelassen werden. Einer dieser Schritte ist die Zustimmung zu einem Text, und mit dieser Zustimmung schliessen Sie einen Vertrag mit der Stadt Wiesbaden über die Nutzung des Internets. Kennen Sie diesen Vertrag? Haben Sie sich diesen Vertrag einmal angeschaut? Haben Sie ein Exemplar dieses Vertrages?

Jura ist glattes Eis, ich begebe mich trotzdem mal auf dieses Eis. Trotz meines Defizits auf diesem Gebiet will ich mich mit diesem Vertrag beschäftigen, einem juristischen Thema. Andere Aspekte dieses WLANs hatte ich schon einmal dargestellt: WLAN am Rathaus. Und in diesem Text möchte ich einige Anmerkungen zum juristischen Teil machen.


Vorbdemerkung

Ich schrieb ja bereits, daß ich kein Jurist bin. Sollte mir deshalb ein Fehler unterlaufen, so hoffe ich auf Ihr Verständnis und bitte um einen kurzen Hinweis auf meinen Fehler. Für diesen Zweck habe ich die Mail-Funktion auf dieser Seite eingerichtet, die Sie am rechten Rand finden1).

Technik

Vor der Nutzung des WLANs am Rathaus bekommen Sie einen Vertrag präsentiert, dem Sie zustimmen müssen, denn ohne Ihre Zustimmung zu diesem Vertrag lassen die Stadt Wiesbaden und ihr Vertragspartner, die Fa. Hotsplots, Sie nicht ins Internet. Am 29.04.2017 habe ich mich also vors Rathaus gesetzt, mein Notebook sich mit dem Rathaus-WLAN verbinden lassen und mir dabei den Vertrag geholt und gesichert. Und diesen möchte ich Ihnen hier präsentieren, verbunden mit meinen Anmerkungen zu einzelnen Teilen dieses Vertrages. Später möchte ich auch auf das Datum eingehen, denn das kann wichtig sein.

Quelle

Alle Zitate in diesem Text stammen aus diesem Vertrag und werden hier nicht besonders gekennzeichnet, d.h. die Zitate präsentiere ich Ihnen ohne Quellenangabe. Am Ende dieses Textes präsentiere ich Ihnen den vollständigen Vertragstext.

Aufzählung

In diesem Text verwende ich das Wort Handy und meine damit ein Gerät aus folgender Gruppe: Smartphone, Tablet, Notebook, Laptop...... also irgendein Gerät, das Sie verwenden, um sich per WLAN ins Internet zu begeben. Ich will nicht immer diese Aufzählung herunterbeten.

Genug der Vorbemerkungen, ich fange mal an.


Regelung des Zugangs

In meinem Text WLAN am Rathaus hatte ich im Kapitel Verbindung zum WLAN bereits beschrieben, welche Schritte Sie ausführen müssen, damit Ihr Handy sich mit diesem WLAN verbindet. Im Rahmen dieses Vorgangs wird Ihnen der Vertrag präsentiert, den Sie 'abnicken' müssen (d.h. Sie setzen an der entsprechenden Stelle das Häkchen und zeigen damit an, daß Sie diesen Vertrag akzeptieren), denn es gilt:

Der Endnutzer ist zur Nutzung des Internetzugangs berechtigt, wenn er diese Nutzungsbedingungen akzeptiert.


Dies ist ein einmaliger Vorgang; wenn Sie später erneut an diesen Platz kommen, kann sich Ihr Handy automatisch mit diesem WLAN verbinden, ohne daß Sie diese Prozedur wiederholen müssen. Dazu später mehr.


Internetzugang


Es besteht kein Anspruch auf Nutzung des Internetzugangs.


Das WLAN am Rathaus ist ein öffentliches, von der Stadt Wiesbaden betriebenes WLAN, aber es ist ein unbekanntes WLAN, denn Sie finden nirgends einen Hinweis darauf. Und vermutlich steht deshalb dieser Satz im Vertrag.


Verfügbarkeit


Es besteht keine Garantie für die Verfügbarkeit von Hotspots an bestimmten Standorten und keine Verpflichtung, einmal eingerichtete Hotspots dauerhaft verfügbar zu halten. HOTSPLOTS weist ausdrücklich darauf hin, dass es im Ermessen des Standortpartners liegt, Hotspots bereitzustellen oder außer Betrieb zu nehmen.


Ein schönes Argument, das im Kern aussagt, daß dieses WLAN entweder funktioniert oder aber nicht funktioniert, und wenn es nicht funktioniert, dann ist dem halt so. In etlichen Diskussionen mit Vertretern der Stadtpolitik wurde eine solche Aussage zum Anlass genommen, bestimmte Anbieter aus der weiteren Diskussion auszuschliessen. Aber wenn die Stadt Wiesbaden so etwas macht, dann ist das kein Ausschlußargument, natürlich.

Und die Aussage ist unlogisch, denn diesen Satz können Sie nur lesen, wenn das WLAN funktioniert. Ohne funktionierendes WLAN erhalten Sie den Vertragstext nicht.


Es wird keine Verfügbarkeit bestimmter Inhalte an bestimmten Hotspots garantiert.


Aus Gründen des Jugendschutzes will man bestimmte Seiten sperren. Ich habe nicht überprüft, ob wirklich Seiten gesperrt werden, aber ich halte unsere jungen Leute für so clever, daß sie sich dann diese Inhalte an einem anderen Ort holen. Ach ja, und das nächste Argument ist natürlich der Terrorismus; wussten Sie, daß in der Wikipedia eine Anleitung zum Bau einer Bombe steht? Da muß man doch sofort diese Seite sperren.

Und wenn dann mal eine Seite gesperrt wurde, die weder jugendgefährdend noch terroristisch ist, dann war dies halt ein Versehen.


Bitte beachten Sie die Gesetze


Der Endnutzer darf die Hotspots nur bestimmungsgemäß und nach Maßgabe der in der Bundesrepublik Deutschland geltenden Gesetze und Verordnungen benutzen.


Gelten Gesetze der Bundesrepublik Deutschland nicht immer, überall und jederzeit? Warum muß ich das vor Nutzung dieses Hotspots noch einmal ausdrücklich bestätigen? Und warum muß ich, wenn ich mit meinem Auto auf eine Autobahn fahre, nicht vor Auffahrt auf die Autobahn noch einmal ausdrücklich bestätigen, daß ich auf dieser Autobahn die Strassenverkehrsordnung beachten will, und mein Auto in ordnungsgemäßen Zustand ist, und die Versicherung für das Auto auch bezahlt wurde? Warum nur bei WLAN, warum nicht bei Autos?


Der Endnutzer hat es zu unterlassen, bei der Nutzung eines Hotspots Straftaten zu begehen und / oder vorzubereiten, insbesondere Informationen zu verbreiten, die gem. §§ 130, 130a und 131 StGB der Volksverhetzung dienen ...


Hier greifen die gleichen Argumente, die ich gerade angegeben habe, ich will mich nicht wiederholen. Aber wissen Sie, was die angegebenen Paragraphen aussagen? Ich habe es nachgelesen, im Internet, aber da komme ich natürlich erst rein, nachdem ich diesem Vertrag zugestimmt habe, sofern ich das WLAN nutzen will. Also erst dem Vertrag mit diesen Paragraphen zustimmen, dann kann ich nachsehen, was diese Paragraphen eigentlich aussagen.


Datensammlung


Verkehrsdaten werden von HOTSPLOTS nach den gesetzlichen Vorgaben des TKG erhoben, verarbeitet und gespeichert. Dies umfasst die IP-Adresse und die MAC-Adresse des Endgerätes sowie Nutzungszeit und -dauer.


Verkehrsdaten sind die Adressen der Seiten, die Sie sich am Rathaus sitzend angesehen haben, zu welcher Uhrzeit Sie das getan haben, wie lange Sie auf dieser Seite waren usw. Ebenfalls gehören dazu die Daten zu Ihren Mails oder WhatsApp-Nachrichten, sofern Sie diese unter Verwendung des WLANs am Rathaus versandt oder empfangen haben. Und damit man diese Daten auch Ihrem Handy und somit Ihrer Person zuordnen kann, benötigt man die IP-Adresse und die MAC-Adresse. Sie können also eindeutig identifiziert werden.

Eine IP-Adresse ist eine Adresse im Internet, dies ist eine Zahl der Form 192.168.0.1 (dies ist nur ein Beispiel einer solchen IP-Adresse). Wenn Sie eine Seite im Internet anfordern, dann soll diese Seite ja auch auf Ihrem Handy erscheinen und nicht bei einem anderen Anwender; deshalb muß diese Adresse auch weltweit eindeutig sein. Für jeden Zugriff braucht man also 2 solcher Adressen: die Adresse der angeforderten Seite und die Adresse Ihres Handies (= Absender, an diese Adresse wird die angeforderte Seite zurückgeschickt).

Aus technischen Gründen kann die IP-Adresse Ihres Handies aber später einem anderen Gerät zugeteilt werden, d.h. die identische Adresse verweist auf verschiedene Geräte, abhängig von der Uhrzeit. Damit die eindeutige Zuordnung dann doch noch klappt nimmt man eine weitere Information aus Ihrem Handy dazu: die MAC-Adresse. Diese Adresse ist in Ihr Gerät fest eingebrannt und kann von Ihnen nicht geändert werden (ein Hacker kann das), und sie ist eindeutig auf dieser Welt.

Die IP-Adresse braucht man für die Anforderung und Auslieferung einer angeforderten Seite, aber erst mit der MAC-Adresse kann man Sie als Person eindeutig identifizieren. Und das schreibt dieses Gesetz TKG so vor.


Darüber hinaus behalten sich HOTSPLOTS und der Standortpartner vor, Daten anonymisiert zu statistischen Zwecken auszuwerten.


Erst werden die Daten in einer Form erfasst, die eine Zuordnung zu einem einzelnen Gerät (und damit einer Person) ermöglicht. Anschliessend werden diese Daten anonymisiert. Das nennt man Logik, denn eine Anonymisierung würde man nicht benötigen, wenn man die Daten ohne die Möglichkeit der eindeutigen Zuordnung erfasst hätte. Aber Sie gestatten der Fa. HOTSPLOTS und der Stadt Wiesbaden ja, Ihre Daten in eindeutiger Form zu erfassen. Und Sie gestatten der Stadt Wiesbaden und der Fa. Hotsplots ebenfalls, diese Daten auch auszuwerten. Facebook (und Google und Microsoft und ...) im Kleinformat.


HOTSPLOTS behält sich das Recht vor, diese Nutzungsbedingungen in Zukunft zu aktualisieren.


Mit Nutzung des WLANs haben Sie einen Vertrag mit der Fa. HOTSPLOTS (bzw. der Stadt Wiesbaden) abgeschlossen, und zwar an dem Tag, an dem Sie das WLAN genutzt haben. Einige Tage später ändert die Fa. Hotsplots, also einer der Vertragspartner, diesen Vertrag. Nun gibt es aber einen kurzen Weg, sich an dieses WLAN anzumelden. Sofern Ihr Handy sich schon einmal an dieses WLAN angemeldet hat, 'erinnert' es sich daran und verbindet sich automatisch damit (ohne Ihr Zutun). Und Ihnen wird dann kein Vertrag präsentiert, d.h. Sie sind dann sofort im Internet.


Mit jeder Nutzung des Internetzugangs erklärt sich der Nutzer mit der jeweils gültigen Fassung dieser Nutzungsbedingungen einverstanden.


Was aber ist, wenn der Vertrag geändert wurde, sich Ihr Handy danach wieder mit diesem WLAN verbindet und Sie die neuen Nutzungsbedingungen akzeptieren, ohne sie vorher präsentiert bekommen zu haben. Nehmen wir einmal an, Sie wollen ein neues Auto kaufen, gehen zum Händler und unterschreiben den Vertrag. Bestellt haben Sie ein Auto in weiß und beim Abholen des Autos stellen Sie fest, daß es grasgrün ist. Mit diesen letzten beiden Punkten hätte der Händler(=Ihr Vertragspartner) das Recht, diese Änderung des Vertrages vorzunehmen. Also ich fände so etwas nicht gut.

Beide Fälle habe ich erlebt: das Handy verbindet sich automatisch mit diesem WLAN. Bei Aufruf des Browsers erscheint die Startseite der Fa. Hotsplots mit der Aufforderung, den Vertrag abzunicken; es kam aber auch vor, daß diese Aufforderung nicht erschien sondern die von mir angewählte Seite sofort dargestellt wurde. Auch in diesem Fall haben Sie dem Vertrag zugestimmt, ohne ihn gesehen zu haben.


Fazit

Wen Sie das WLAN am Rathaus nutzen wollen, um ins Internet zu gehen, dann müssen Sie vorher einen Vertrag mit der Stadt Wiesbaden und der Fa. Hotsplots abschliessen. Ich will hoffen, daß es zu keinerlei juristischen Steitigkeiten wegen Ihrer Nutzung dieses WLANs kommt, aber welche Rechte haben Sie im Falle eines solchen Rechtsstreits? Können Sie belegen, welchem Vertrag Sie zugestimmt haben?

Daten über Ihre Nutzung des WLANs werden gespeichert, das steht so im Gesetz und gilt für alle Ihre Aktivitäten im Internet. Werden über das gesetzlich vorgeschriebene Maß hinaus Daten gespeichert? Und sind Sie mit der Auswertung dieser Daten durch die Fa. Hotsplots oder die Stadt Wiesbaden einverstanden?


Vertragstext

Dies ist der Vertragstext, den mir der WLAN-Hotspot am Rathaus am Samstag, 29.4.2017 gegen 12:30 Uhr präsentiert hat:

Nutzungsbedingungen


1 Gestattung des Internetzugangs


Die hotsplots GmbH (nachfolgend: HOTSPLOTS) ermöglicht Endnutzern den öffentlichen Internetzugang an WLAN-Hotspots des Standortpartners . Der Endnutzer ist zur Nutzung des Internetzugangs berechtigt, wenn er diese Nutzungsbedingungen akzeptiert. Es besteht kein Anspruch auf Nutzung des Internetzugangs.

2 Verfügbarkeit

Es besteht keine Garantie für die Verfügbarkeit von Hotspots an bestimmten Standorten und keine Verpflichtung, einmal eingerichtete Hotspots dauerhaft verfügbar zu halten. HOTSPLOTS weist ausdrücklich darauf hin, dass es im Ermessen des Standortpartners liegt, Hotspots bereitzustellen oder außer Betrieb zu nehmen. Es wird keine Verfügbarkeit bestimmter Inhalte an bestimmten Hotspots garantiert. HOTSPLOTS weist ausdrücklich darauf hin, dass Standortpartner die Möglichkeit haben, an einzelnen Hotspots Jugendschutzmaßnahmen zu ergreifen und den Zugriff auf Inhalte zu filtern. Für die Nutzung des WLAN ist ein zu IEEE 802.11g kompatibles Endgerät erforderlich. Es werden weder Mindestbandbreite noch Störungsfreiheit garantiert.

3 Verantwortung, Gefahren

HOTSPLOTS und / oder der Standortpartner sind nicht für Inhalte verantwortlich, die von dem Endnutzer oder Dritten über den Hotspot abgerufen, in das Internet eingestellt oder in irgendeiner Weise verbreitet werden. Die übertragenen Inhalte unterliegen keiner Überprüfung durch HOTSPLOTS und / oder den Standortpartner. Die Nutzung des Internetzugangs erfolgt auf eigene Gefahr und auf Risiko des Endnutzers. Die Datenübertragung erfolgt ohne Verschlüsselung. Bei Bedarf muss der Endnutzer eigene Maßnahmen zur Sicherung seines Datenverkehrs ergreifen. Die Funkübertragung kann z. B. mit HOTSPLOTS VPN verschlüsselt werden.

4 Pflichten der Endnutzer

Der Endnutzer darf die Hotspots nur bestimmungsgemäß und nach Maßgabe der in der Bundesrepublik Deutschland geltenden Gesetze und Verordnungen benutzen. Der Endnutzer ist verpflichtet, die von HOTSPLOTS und / oder dem Standortpartner angebotenen Telekommunikationsdienstleistungen nicht zu Zwecken zu missbrauchen, die den gesetzlichen Bestimmungen oder diesen Endnutzerbedingungen widersprechen, insbesondere ist der unaufgeforderte Versand von Nachrichten oder Informationen an Dritte zu Werbezwecken (Spamming) zu unterlassen. Der Endnutzer hat es zu unterlassen, bei der Nutzung eines Hotspots Straftaten zu begehen und / oder vorzubereiten, insbesondere Informationen zu verbreiten, die gem. §§ 130, 130a und 131 StGB der Volksverhetzung dienen, und / oder die im Sinne des § 184 StGB pornografisch sind, und / oder die geeignet sind, Kinder oder Jugendliche sittlich schwer zu gefährden und / oder in ihrem Wohl zu beeinträchtigen. Darüber hinaus hat er es zu unterlassen, zu Straftaten anzuleiten oder Gewalt zu verherrlichen oder zu verharmlosen. Der Endnutzer hat alle erforderlichen und üblichen Sicherungsmaßnahmen gegen die ungewollte und missbräuchliche Nutzung der Hotspots über die von ihm eingesetzten IT-Systeme durch unbefugte Dritte zu treffen. Soweit der Endnutzer eine ungewollte oder missbräuchliche Nutzung eines Hotspots über ein von ihm eingesetztes IT-System feststellt, hat er HOTSPLOTS und / oder den Standortpartner unverzüglich zu unterrichten.

5 Datenschutz und Datensicherheit

Die einschlägigen datenschutzrechtlichen Vorschriften des TKG, TMG und BDSG werden eingehalten. Verkehrsdaten werden von HOTSPLOTS nach den gesetzlichen Vorgaben des TKG erhoben, verarbeitet und gespeichert. Dies umfasst die IP-Adresse und die MAC-Adresse des Endgerätes sowie Nutzungszeit und -dauer. Darüber hinaus behalten sich HOTSPLOTS und der Standortpartner vor, Daten anonymisiert zu statistischen Zwecken auszuwerten. Die Fristen des TKG zum Löschen von Daten werden von HOTSPLOTS eingehalten.
Der Datenschutzbeauftragte von HOTSPLOTS ist per E-Mail unter datenschutz@hotsplots.de erreichbar; oder postalisch unter:
hotsplots GmbH
Datenschutzbeauftragter
Rotherstr. 22
10245 Berlin

6 Sonstiges

HOTSPLOTS behält sich das Recht vor, diese Nutzungsbedingungen in Zukunft zu aktualisieren. Mit jeder Nutzung des Internetzugangs erklärt sich der Nutzer mit der jeweils gültigen Fassung dieser Nutzungsbedingungen einverstanden.
Berlin, 20.11.2014





Anmerkungen:
1) in der aktuelen Gestaltung dieser Seite sehen Sie die rechte Spalte mit der Möglichkeit, mir eine Mail zu schreiben, nur in der WWW-Version dieses Blogs, d.h. sofern Sie diese Seite auf Ihrem handy abrufen, dann sehen Sie diese Möglichkeit nicht. An diesem Punkt muß ich noch arbeiten.
Eingestellt von um
Abonnieren Posts (Atom)