Swisscom und Datenschutz

---

@duffy  schrieb:

Hi, Ihr .... 🙂

 

Gibt's da evtl. eine offizielle und transparente Datenrichtlinie der Swisscom?

 

lg

---

Nein. Alles, was Swisscom kommuniziert steht in den AGB's.

@duffy 

Es gibt ein paar wenige sehr sicherheitsbewusste Kunden, die eine zusätzliche FW installieren, dadurch läuft noch rein gar nichts darauf hinaus, dass man eine zusätzliche FW installieren muss. 

Und wenn ein Provider den Stream deiner Videocam abgreifen will, so muss er dazu nicht bei dir "eindringen", denn der Stream läuft ja quasi durchs Haus des Providers. Bei den Providern läuft eh alles vorbei (Mail, Telefongespräche, Surfdaten, SMS, ...) oder terminiert gar auf deren Systemen, egal wie viele FW du einsetzt. Wenn du den Providern nicht vertraust, dass sie sich an die Gesetze halten, so bleibt dir nichts anderes übrig, als auf die Telekommunikationsdienste ganz zu verzichten.

@hed 

Bezüglich der externen Kommunikation hast Du natürlich absolut recht.

Der Provider hat sowieso vollen Zugriff (ausser vielleicht auf End-to-End verschlüsselte Inhalte).

Bei dem was allerdings intern im Hausnetz läuft, macht es aber natürlich schon noch einen grossen Unterschied, ob der Provider nun direkt auf dem Router des internen Hausnetzes sitzt, oder erst an der Übermittlungsschnittstelle nach draussen.

Selbst werde ich mein internes Netz nie für einen Provider öffnen, egal wie vertrauenswürdig er ist und wer er auch immer sein mag.

Für die Aufgabe, welche ein Provider für mich persönlich erfüllen soll, nämlich die Kommunikation mit der Welt ausserhalb, braucht der Provider keinen Zugriff auf mein internes Netz.

Anders sieht es aus, wenn jemand den Betrieb seines Heimnetzes bewusst mit an einen Provider „outgesourced“ hat, dann hat der Provider, wenn er das möchte, natürlich auch die volle Kontrollmöglichkeit des Heimnetzes.

Dieser Unterschied in den Netzwerkgrenzen, welcher natürlich auch von den persönlichen Zielen und den Bedürfnissen nach Datenschutz abhängt, ist aber vermutlich den wenigsten Kunden wirklich klar.

@Werner 

Da ich wie wohl die meisten Kunden keinen rein hausinternen Datenverkehr habe (keine Server, kein NAS, …), muss ich etwas was nicht vorhanden ist, auch nicht zusätzlich schützen. 

Der einzige hausinterne Traffic den ich ab und zu mal generiere ist der Zugang zur GUI der IB und WB vom PC aus. Alle andern Datenströme sind von/nach extern (Mail, Surfen, TV, WebCam, Cloud), mehr ist da nicht.

@hed 

Wir sind uns ja einig, denn wie bereits erwähnt: 

Es hängt effektiv von den eigenen Bedürfnissen ab.

Wichtig scheint mir einfach, dass man sich selbst bewusst ist, welche Aufgaben dass man nun tatsächlich an einen Provider delegieren will, und welche nicht und dass dies selbstverständlich auch einen Einfluss darauf hat, wer schlussendlich die Kontrolle über das jeweils von ihm betreute Gebiet hat.

@hed 

Du hast natürlich recht, dass man schlussendlich vertrauen muss.

Aber:

Ich möchte wenigstens WISSEN, welche theoretischen oder tatsächlichen Risiken bestehen, damit ich dann selber entscheiden kann!

1) Handy: Ist klar ... theoretisch alle Gespräche, SMS, Metadaten speicherbar.

2) TV auch klar: Jeder Klick auf die OK-Taste wird gespeichert. So kann dann ein Profil meiner TV-Nutzung erstellt werden.

3) Internet ist mir nicht ganz so klar: Natürlich geht jeder Datenverkehr über den Provider.

Aber wie schaut's aus, wenn ich einen anderen DNS-Server nutze und dann per VPN eine https-Seite aufrufe? Dann sollte doch der Provider aussen vor sein, oder?

4) Und schlussendlich mein Heimnetzwerk: Über die Routerkonfiguration sieht der Provider ja mein gesamtes Netzwerk mit allen Portweiterleitungen, auch wenn der Router über Port 80 oder 443 gar nicht erreichbar ist.

Ist es eine mögliche Lösung, alle Heimnetzwerkgeräte mit extra Passwörtern zu schützen? Ist es möglich, spezielle Provider-Ports zu sperren?

Vertrauen ist schon gut, aber Kontrolle ist besser!

Ich hab mal alle Datenschutzerklärungen überflogen:

Alles megaschwammig ... Welche Daten gespeichert werden: unklar .... Wie lange gespeichert wird: unklar

Zu der Router-Problematik hab ich gar nichts gefunden.

Das reicht jedenfalls nicht für blindes Vertrauen, oder?

Einzig ein Link, über den man das Adobe-Tracking ausschalten kann: http://www.adobe.com/ch_de/privacy/opt-out.html

lg

Hallo @duffy 

Der Provider muss gar nicht hinter dein Netzwerk sehen um zu wissen was für Geräte du hast.

Jedes Gerät hat eine Eindeutige Mac-Adresse: 

So bald du mit einen deiner Geräte Online bist wird auch die Mac Adresse übertragen. 

An Hand dieser kann man die Geräte auch Erkennen, und weiss welcher Hersteller oder sogar welches Model, Baujahr usw da hinter steckt. 

Hier der Link zu Wiki: https://de.wikipedia.org/wiki/MAC-Adresse

Teama DNS / ist ja wie ein Telefonbuch einfach gesagt. 

Du gibst im Browser www.de.wikipedia.org ein. 

Dein Browser macht eine anfrage beim DNS -> wo ist diese Adresse zu finden und wie laute die IP dazu.

Antwort 91.198.174.192

Dein Browser steuert jetzt nun diese Adresse an, aber dass du die zahlen nicht sehen musst wandelt er es wieder in Text um so das du siehst das du bei Wiki gelandet bist.

Die Verbindung zu Wiki ist dann per HTTPS = Verschlüsselt

Die Abfrage beim DNS ist noch nicht überall verschlüsselt, das ist im kommen. 

Auch wenn du den DNS von Google 8.8.8.8 eingibst geht die anfrage offen raus. 

Mit den DNS Servern welche du änderen kannst kannst du auch Websteiten erreichen wo bei gewissen Ländern nicht gelistet sind im DNS Verzeichnis. 

Und wenn du keinem Provider vertrauen kannst so greife wieder auf Morsezeichen zurück. Und du darfst kein Facebook, kein Whtasup oder sonstige APP auf deinem Handy gebrauchen, dann alle APP samlen mehr Daten als der Provider. 

Gruss Lorenz

---

@Lori-77  schrieb:

Hallo @duffy 

 

Der Provider muss gar nicht hinter dein Netzwerk sehen um zu wissen was für Geräte du hast.

 

Jedes Gerät hat eine Eindeutige Mac-Adresse: 

 

So bald du mit einen deiner Geräte Online bist wird auch die Mac Adresse übertragen. 

---

Nur damits hier keine Missverständnisse gibt: Die MAC-Adresse der Endgeräte wird nicht ins Internet übertragen.

D.h. der Provider kann sie wohl auf dem Router abgreifen (der Router kennt die MAC Adressen seiner Clients), aber auf der WAN-Seite des Routers findet keine weitergabe von MAC-Adressen aus der LAN-Seite statt.

Wie Aussagekräftig die MAC-Adresse zur Feststellung der konkreten Art des Geräts ist, ist dann nochmal eine andere Frage. Es gibt ja kein zentrales Register aller MAC-Adressen, sondern die Hersteller vergeben hier weitgehend in EIgenverantwortung, d.h. man kann wohl z.T. auf den Hersteller schliessen, aber nicht einmal das ist sicher. Gab ja schon genügend Fälle, in denen MAC-Adressen mehrfach vergeben wurden etc, weil da einfach keiner drauf aufpasst. (Gerade heute, wo in China quasi jeder Reisbauer und sein Pferd noch irgend ein IoT-Device mit MAC-Adresse auf den Markt bringt... ;-))

Handkehrum "verraten" die Devices idR ggü. dem Router etwas mehr als nur die MAC.

Und noch zur ursprünglichen Frage: Die Swisscom hat meines Wissens hier im Forum verschiedentlich gesagt, dass ihre Mitarbeiter NICHT in die LANs der Kunden "reinschauen" können. (Was ja eigentlich auch selbstverständlich sein sollte, meiner Meinung nach.)

@duffy 

Zu 3)

Bei einer E2E-Verschlüsselung hat der Provider zwar keinen Zugang zum Inhalt, aber die IP-Verbindungsdaten sind logischerweise dennoch "sichtbar". Und wenn du einen fremden DNS-Server verwendest, so hinterlässt du an einem zusätzlichen Ort deine Spuren.

Zu 4) 

Egal wo die Geräte stehen ist es immer sinnvoll, sie mit Passwörtern zu schützen.
Betreffend zu sperrenden Ports bin ich überfragt, ich verwende keine zus. FW. 

Generell)

AGB's sind wie alle von Juristen verfassten Papiere immer schwamming, damit sie im Streitfall entsprechend flexibel ausgelegt werden können. Nebst den AGB gelten in der Schweiz im Bereich ICT u.a. auch FMG, ZGB und OR.

@Lori-77& @hed 

Vielen Dank für Eure Ausführungen.

Soweit ich aber VPN verstehe, wird doch alles direkt ab meinem PC verschlüsselt und erst auf dem Zielserver entschlüsselt, so dass beim Provider eigentlich keine unverschlüsselten Daten "sichtbar" sein dürften, oder?

Und das mit den Juristen stimmt natürlich auch ... leider.

Ich verstehe trotzdem nicht, was daran so schwierig ist, dass jeder Anbieter einfach klar auflistet, welche Daten er wie lange speichert und welche technischen Möglichkeiten er nutzt ... bzw. auch ganz klar sagt, was er nicht macht.

Das wäre mal eine vertrauenbildende Massnahme.

lg

@duffy 

Und wie stellst du dir das vor, wenn auch die IP-Adressen verschlüsselt sind, wie sollten dann die verschlüsselten Pakete den Weg durchs Internet finden ?

Auch ein HTTPS, TLS, SSH, - Paket hat IP-Header im Klartext lesbare Absender- und Ziel-IP-Adressen. D.h. der Provider sieht immer, mit wem du in Kontakt stehst.  Das kannst du auf deinem PC auch selbst analysieren z.B. mit dem Sniffer Wireshark (Freeware).

Soviel ich weiss sind die Provider sogar vom Gesetzgeber dazu verpflichtet das aufzuzeichnen und für 6 Monate zu speichern. Unter dem Stichwort "Vorratsdatenspeicherung" findest du genug Informationen im Internet, allerdings meist bezogen auf Deutschland und die EU.

In der Schweiz gilt das BüPF:

https://www.admin.ch/opc/de/classified-compilation/20122728/index.html

https://www.li.admin.ch/de/themen/das-neue-buepf

@hed 

Hab nochmal kräftig recherchiert:

Wenn ich den Rechner mit einem VPN verbinde, dann kann der Provider nur noch genau diese eine Verbindung sehen. Aber  keine Inhalte, da verschlüsselt.

Jede weitere IP-Abfrage von mir läuft dann tatsächlich verschlüsselt ins VPN und wird erst dort weiter verarbeitet.

Gar nicht so kompliziert, wenn man's mal verstanden hat ... 😅

Dafür stellen sich dann dieselben Fragen für den Endpunkt des VPN. Anstelle der Swisscom kann dort mitgelesen werden. Ist z.B. ein VPN-Anbieter mit Sitz in Panama vertrauenswürdiger?

@duffy 

Und was denkst du wer sich am andern Ende des VPN-Tunnels befindet (dort wo deine VPN-Verbindung terminiert) ?

Richtig, es ist wieder ein Provider den du aber in diesem Fall vermutlich noch weniger gut kennst als Swisscom und der u.U. nicht mal unter CH- oder EU - Gesetzen steht. Der VPN-Provider sogar deinen Inhalt mitlesen, wenn der nicht zusätzlich verschlüsselt ist, denn am Terminierungspunkt des VPN-Tunnels ist die VPN-Verschlüsselung aufgehoben.

Es ist immer wieder interessant zu sehen, wie die Leute aus Sicherheitsgründen VPN (falsch oder gar fahrlässig) verwenden und am Schluss damit die Sicherheit massiv schwächen. So gibt es z.B. einige dubiose Free-VPN-Anbieter, wo du dir schöne Trojaner einfangen kannst. 

@hed& @krypton 

Okay, dann sind wir schon mal einen Schritt weiter:

Bei VPN-Verbindung kann mein Provider nicht mitlesen ... keine IP (ausser der VPN), keine Daten (@hed: Das hattest Du in einem vorangegangenen Post noch bestritten).

Klar werden dann am Exit-Point evtl. Daten gespeichert.

Aber - ohne Werbung machen zu wollen! - : Die Datenschutzrichtlinie des Schweizer VPN-Anbieters "perfect privacy" ist wesentlich detallierter als die der Swisscom.

Wem also vertrau ich eher?

Trotzdem ist meine eigentlich Frage immer noch unklar:

Welchen Zugriff hat mein Provider auf mein Heimnetz? Allein, dass er sehen kann, welche Geräte angeschlossen sind, irritiert mich sehr ... und das geht ihn auch überhaupt nichts an, oder?

@duffy 

Bitte keine falschen Unterstellungen !

Es ist immer eine Frage, was du als dein Provider bezeichnest. Bei VPN sieht der Transit-Provider (in deinem Fall Swisscom) nur die IP-Adressen. Aber der terminierende Provider (in deinem Fall perfect privacy) kann den Inhalt lesen, sofern dieser selbst nicht zusätzlich verschlüsselt ist.

Und was der Zugriff auf dein Heimnetzwerk anbelangt: 

Wenn ein Provider für den Betrieb verantwortlich ist, braucht er fürs Troubleshooting auch Zugang zu den Devices und kann logischerweise dann auch alles sehen. Auch die Bank wo du dein Geld hast oder die Gemeinde oder die Bundesbehörden oder die Fluggesellschaft, SBB, Militär haben Provider und externe Systembetreuer, die zu den entsprechenden Systemen Zugang haben.

Oder gehst du zum Chirurgen für eine grosse OP und verbietest ihm, dass er dich aufschneidet. Auch den Handwerkern musst du Zugang zum Haus gewähren, wenn sie arbeiten wollen. Und wenn du in dieser Zeit nicht zu Hause bist, gibst du ihnen den Schlüssel und sie können sich frei im Haushalt bewegen, genau so wie der Nachbar der in den Ferien zu den Blumen schaut. Das alles braucht Vertrauen ... oder man geht auf die einsame Insel und schottet sich komplett ab.

@hed 

Was für "falsche Unterstellungen"???

Du hattest gesagt auf meine VPN-Frage:

"Und wie stellst du dir das vor, wenn auch die IP-Adressen verschlüsselt sind, wie sollten dann die verschlüsselten Pakete den Weg durchs Internet finden ?" Scheint doch aber genau so zu sein!

"Mein" Provider ist per Definition immer der, an dem mein Router hängt.

Dein OP-Vergleich hinkt leider sehr:

1) Der Chirurg braucht jedesmal mein Einverständnis für jede Prozedur.

2) Und, wenn ich ihm erlaube, meinen Blinddarm rauszuschneiden, dann darf er nicht auch mal nebenbei meinen Kopf öffnen.

Beim Handwerker bin ich natürlich zuhause und hab ein Auge drauf.

Der Nachbar, der meine Blumen giesst, den kenn ich persönlich.

Den Provider kenn ich nicht und weiss nicht, was er für Möglichkeiten hat. Fragen tut er mich jedenfalls nicht ...

Vertrauen muss sich halt erarbeitet werden.

Oder würdest Du jemandem Unbekannten Deine Wohnung überlassen? Sicher nicht.

Egal, ich denke, wir können den Thread hier schliessen!

lg

@duffy 

Es gibt verschiedenste Aspekte die man beachten kann und fortlaufen analysieren muss wenn man sich dafür interessiert.

Nennen wir mal einen Grundsatz. Swisscom muss sich an Gesetze halten. Und das ist auch hier in der Schweiz bereits schon ein Datenschutzproblem. Eines der Gesetze dazu ist das Büpf. Das sieht unter anderem schon mal Vorratssdatenspeicherung von mind. 6 Monate vor sowie die Übermittlung von Daten und Schaltung der Überwachung.

Diese Pflicht haben alle grösseren Provider in der Schweiz. Ob gut oder schlecht ist eine Frage wo sich die Geister scheiden, zumal bei eigentlich jedem jüngeren Terrorakt praktisch jedesmal die Täter auf dem Radar waren. Aber aus Gründen, eventuell andere Gesetze, im Vorfeld nichts unternommen wurde 🙂 Und ja, sind wir mal ehrlich. Die Opferzahlen sind im Vergleich zu anderen Todesursachen verschwindend gering.

Überwacht die Swisscom das LAN auch ausserhalb des Büpf? Ich würde es nicht überwachen nennen, aber Swisscom hat Statistiken und Reports die sie nutzt und weiss welche Geräte so im LAN sind. Diese wertet sie auch aus Eigeninteresse aus um zB Produkte auf den Markt zu bringen, die man verkaufen könnte. Sprichwort WLAN Box.

Weiter bedenklich ist, das mit ihrem breiten Portfolio von TV, Internet, Smarthome und Speicher auch immer das Wort Bigdata in den Mund genommen wird und man in Allianzen wie Admeira mitwirkt wo es um Werbung (Geld) geht.

So etwas hat man zB bei Init7 und green.ch sicher nicht. Diese haben weder das Volumen noch die Kompetenz aufgebaut ausserhalb ihrer Tätigkeiten das Kundenverhalten zu nutzen. Bei Swisscom muss man wissen hat man dies inklusive.

Services anbieten die "gratis" sind und einen Mehrwert bieten ist ja nichts neues. Google lebt ja davon. Sprachsteuerung ist so ein Thema. Überwiegt der Mehrwert die eigenen Bedenken? Ich denke einem Ossi hätte man keine Alexa hinstellen können. Jetzt könnte man sagen, dass Swisscom besser ist als Google. Eine alte Leier worüber man alleine schon Stundenlang argumentieren könnte. Bezüglich Swissness ist zu sagen, ja wir haben auch ein Büpf. Swisscom hat Daten verloren, bei Swisscom wurden Daten abgefischt, Swisscom speichert die Daten auf der myCloud unverschlüsselt (und die Segmente sind so gross das Daten kaum gestückelt werden 😉 usw. Also ja wirklich besser sind sie nicht. Auch wenn man sich zusehend an industrielle Standards hält und Kundendaten wie Passwörter uä. verschlüsselt und vor Mitarbeitenden schützt. Thema Mail Passwörter, Thema wie kürzlich die Router Passwörter.

Möchtest du eine gewisse Anonymität kann ein zweites Routersegement hinter dem Swisscom Router ein kleiner Stein im ganzen Setup sein. Apropos Router und Swissness. Auch hier muss ich lachen wenn man sagt das die Firmware von den Jungs aus Liebefeld kommt. Ja also Warschau haben wir noch nicht annektiert, aber iO wenn man an den Weihnachtsmann glaubt 😛

Was in diesem Thread auch nicht ganz klar rüberkommt. Eine Firewall setzt man nicht ein um zusätzliche Anonymität zu erreichen. Man setzt sie eigentlich vorwiegend ein um ein und ausgehend Verkehr gezielt zu erlauben und dies wenn gewünscht von und zu gewissen Quellen und Zielen. Eine richtig konfigurierte Firewall blockiert grundsätzlich jeden nicht erlaubten ausgehenden Verkehr. Schlechte Beispiele sind die vielen von Windows IT Administratoren eingesetzten Zywalls, (Informatiker aus der Migros Clubschule) die nur als Router konfiguriert sind. Also das bringt nicht viel mehr Sicherheit und Kontrolle.

Bezüglich End to End Verschlüsselung und DNS gebe ich zu bedenken, das selbst mit einem anderen DNS Server (konventionell Port 53) Swisscom ziemlich sicher weiss mit wem man kommuniziert (aber nicht genau was) Das ist das Problem von SNI.

Ein Provider weiss schon ziemlich viel alleine schon durch die Datenströme. Die Frage ist die man sich stellen kann wenn man will. Interessiert es den Provider wirklich (haben wir hier glaube ich beantwortet) und möchte ich noch weitere Daten und Services wie Speicher, Smarthome usw. in die Hände des Providers geben oder belasse ich diese lieber gestückelt bei anderen Diensteanbietern.

Hey, Danke!!!!

Ziemlich qualifizierte Antwort!!! Endlich jemand, der weiss wovon er spricht ... 😁

Auch, wenn ich immer noch nicht genau weiss, wie ich jetzt damit umgehe ... lach ....

Apropos "Warschau": Die Rechtschreibfehler bei myStrom lassen eher Mumbai vermuten ... 😉

lg