Was sind Kommunikationslogs?
Kommunikation im Internet verschwindet nicht unbedingt vollständig in dem Moment, in dem sie stattfindet.
Bei Websites, Servern, DNS, Kommunikationsanbietern, Routern, Firewalls und ähnlichen Stellen können Aufzeichnungen zur Kommunikation verbleiben.
Solche Aufzeichnungen nennt man allgemein Kommunikationslogs.
Kommunikationslogs können nicht nur den Kommunikationsinhalt selbst enthalten, sondern auch begleitende Informationen wie Zeitpunkt, Quell-IP-Adresse, Ziel, aufgerufene URL, Browserinformationen, s und DNS-Anfragen.
Beim Nachdenken über Anonymität reicht es nicht, nur zu fragen, ob Inhalte verschlüsselt sind.
Auch wenn Inhalte nicht gelesen werden können, können Metadaten der Kommunikation zu Hinweisen für Nachverfolgung werden.
Wo bleiben Kommunikationslogs?
Kommunikationslogs sind Aufzeichnungen über Kommunikation.
Wenn Sie eine Website aufrufen, kann der Webserver zum Beispiel aufzeichnen, wann, von welcher IP-Adresse, zu welcher URL und mit welchen Browserinformationen zugegriffen wurde.
Kommunikationslogs bleiben jedoch nicht überall gleich. Welche Informationen gespeichert werden, hängt von Servereinstellung, Anwendungsdesign, genutztem Cloud-Dienst, Netzwerkkonfiguration und Log-Speicherpolitik ab.
Wichtig ist, dass Internetkommunikation mehrere Beobachtungspunkte hat. Website-Seite, DNS, Kommunikationsanbieter, Router, internes Organisationsnetz und Cloud-Infrastruktur können jeweils unterschiedliche Logs enthalten.
| Ort, an dem Logs bleiben können | Informationen, die aufgezeichnet werden können | Hauptzweck |
|---|---|---|
| Webserver | Zugriffszeit, IP-Adresse, URL, User-Agent, Referer und Ähnliches | Zugriffsauswertung, Störungsbehebung, Angriffserkennung |
| Anwendung | Login-Verlauf, Bedienverlauf, Fehlerinhalt, Konto-ID und Ähnliches | Missbrauchsbekämpfung, Dienstbetrieb |
| DNS-Resolver | Angefragte Domainnamen, Anfragezeit, Quellinformationen und Ähnliches | Namensauflösung, Netzwerkverwaltung |
| Kommunikationsanbieter | Verbindungszeit, zugewiesene IP-Adresse, Datenmenge, Teile von Zielinformationen und Ähnliches | Anschlussbetrieb, Verbindungsverwaltung |
| Router / Firewall | Ziel, Datenmenge, blockierte Kommunikation, interne Geräteinformationen und Ähnliches | Netzwerkverwaltung, Sicherheitsmaßnahmen |
Warum bleiben Logs?
Logs existieren nicht nur zur Überwachung von Nutzenden. In vielen Fällen werden Logs aufgezeichnet, um Dienste und Netzwerke stabil zu betreiben.
Wenn auf einer Website ein Fehler entsteht, kann die Verwaltung Logs prüfen und feststellen, bei welcher URL, zu welcher Zeit und mit welchem Fehler er auftrat.
Auch bei unerlaubten Logins, Massenzugriffen, Schwachstellenscans, Malware-Infektionen oder Verdacht auf Datenabfluss sind Logs wichtiges Untersuchungsmaterial.
| Zweck | Verwendung | Beispiel |
|---|---|---|
| Störungsbehebung | Ursache von Fehlern oder Ausfällen untersuchen | Prüfen, ob bei einer bestimmten URL 500-Fehler zunehmen |
| Sicherheitsmaßnahmen | Verdächtige Zugriffe erkennen | Prüfen, ob viele Loginversuche in kurzer Zeit auftreten |
| Missbrauchsbekämpfung | Hinweise auf Regelverstöße oder Angriffe untersuchen | Ungewöhnliche Requests oder unnatürliche Quellen prüfen |
| Dienstverbesserung | Nutzungszustand erfassen | Häufig gelesene Seiten oder zugriffsstarke Zeiten prüfen |
Logs sind ein grundlegender Mechanismus zum Schutz von Diensten. Gleichzeitig können sie Informationen über Nutzerverhalten enthalten und je nach Verwaltung zum Privatsphäre-Risiko werden.
Logs auf Website-Seite
Beim Zugriff auf eine Website können auf dem Webserver Zugriffslogs verbleiben.
Typische Zugriffslogs enthalten Quell-IP-Adresse, Zugriffszeit, HTTP-Methode, URL, Statuscode, User-Agent, Referer und Ähnliches.
Ein Beispiel für eine URL:
URL-Beispiel : https[:]//example.com/article/network-log
example.com ist hier eine häufig verwendete Beispieldomain.
Auch bei HTTPS empfängt die Website-Seite den angefragten URL-Pfad, Query-String, Cookies und gesendete Request-Informationen. HTTPS erschwert das Lesen auf dem Kommunikationsweg, nimmt der Zielwebsite aber nicht die Request-Informationen.
Was ein Webserver empfängt und was tatsächlich als Log gespeichert wird, ist nicht dasselbe. Cookies oder Request-Bodies können je nach Server- und Anwendungseinstellung aufgezeichnet werden oder nicht.
| Information | Inhalt | Hinweis |
|---|---|---|
| Zugriffszeit | Wann zugegriffen wurde | Kann mit anderen Logs zeitlich abgeglichen werden |
| Quell-IP-Adresse | Von welcher IP-Adresse verbunden wurde | Bei CDN oder Proxy kann die direkte Quelle ein Zwischenserver sein |
| URL | Welche Seite oder API aufgerufen wurde | Query-Strings können Kennungen enthalten |
| User-Agent | Browser, OS, App-Art und Ähnliches | Kann Material zur Vermutung der Umgebung sein |
| Cookie | Identifikationsdaten, die eine Website im Browser speichert und senden lässt | Kann Wiederbesuch oder Login-Zustand erkennen |
| Referer | Von welcher Seite man kam | Kann durch Referrer-Policy fehlen oder verkürzt sein |
| Statuscode | Ergebnis der Anfrage | 200, 301, 403, 404, 500 und andere zeigen Verarbeitungsergebnis |
Wenn eine Website CDN, Load Balancer oder Reverse Proxy verwendet, kann der Webserver als Quell-IP nicht die nutzende Person, sondern den Zwischenserver sehen. Die ursprüngliche Client-IP kann dann in Headern wie X-Forwarded-For oder in CDN-seitigen Logs stehen.
Logs in Anwendungen und Authentifizierungssystemen
Serverseitige Logs bestehen nicht nur aus Webserver-Zugriffslogs.
Auch Login-Funktionen, Zahlungssysteme, Verwaltungsoberflächen, APIs, Datenbanken und Fehlerüberwachung können Aufzeichnungen zu Nutzerhandlungen oder Systemverhalten haben.
Dienste mit Login-Funktion können zum Beispiel Folgendes aufzeichnen.
- Login erfolgreich
- Login fehlgeschlagen
- Passwortänderung
- Versuch der Zwei-Faktor-Authentifizierung
- Ausgabe einer Sitzung
- Änderung von Kontoeinstellungen
- Zugriff auf Verwaltungsoberflächen
Dienste mit APIs können aufzeichnen, an welchen API-Endpunkt von welchem Konto oder welcher IP-Adresse zu welcher Zeit Requests gesendet wurden.
Diese Logs dienen dazu, unerlaubte Logins, Kontoübernahmen, Rechte-Missbrauch und unnatürliche API-Nutzung zu erkennen.
Mögliche Aufzeichnungen beim Kommunikationsanbieter
Beim Internetzugang läuft Kommunikation normalerweise über Netze von Kommunikations- oder Anschlussanbietern.
Auf Anbieterseite können Verbindungsaufzeichnungen verbleiben, etwa wann ein Anschluss verbunden war, welche IP-Adresse zugewiesen war und wie viel Datenvolumen übertragen wurde.
Bei Heim- und Mobilfunkanschlüssen ist die zugewiesene IP-Adresse oft nicht fest und kann sich mit der Zeit ändern. Deshalb hängt die Frage "welcher Anschluss nutzte zu einem bestimmten Zeitpunkt diese IP-Adresse?" mit Aufzeichnungen auf Anbieterseite zusammen.
Bei Mobilfunk und manchen Anschlüssen teilen sich viele Nutzende eine globale IP-Adresse. In solchen Fällen können neben IP-Adresse auch Zeitpunkt und Portnummern zur Unterscheidung einer Verbindung relevant sein.
Dass beim Anbieter Aufzeichnungen existieren, bedeutet jedoch nicht, dass jede Person sie frei einsehen kann. Logs von Kommunikationsanbietern sind normalerweise nicht für gewöhnliche Nutzende frei zugänglich.
Aufzeichnungen im Zusammenhang mit DNS
Beim Zugriff auf Websites müssen Browser oder OS Domainnamen in IP-Adressen umwandeln. Dieser Mechanismus heißt DNS.
Beim Zugriff auf folgende URL sucht das Gerät zum Beispiel die IP-Adresse zu example.com.
URL-Beispiel : https[:]//example.com
DNS-Anfragelogs können enthalten, von welchem Gerät oder Netzwerk zu welchem Domainnamen eine Anfrage gestellt wurde.
DNS-Logs zeichnen nicht den Webseitentext selbst auf. Sie können aber zeigen, zu welcher Domain eine Verbindung versucht wurde.
Wichtig ist, dass der Ort der DNS-Aufzeichnung von der Umgebung abhängt. Bei Nutzung des DNS des Kommunikationsanbieters kann die Anfrage dessen DNS-Resolver erreichen. Wenn Browser oder OS einen anderen DNS-Resolver oder verschlüsseltes DNS verwenden, ändert sich das Ziel der Anfrage.
Bei DNS-Logs muss man also betrachten, welcher DNS-Resolver gefragt wurde.
Router- und Firewall-Logs
Kommunikationslogs bleiben nicht nur bei Websites und Kommunikationsanbietern.
Heimrouter, Netzwerkgeräte in Unternehmen oder Schulen, Cloud-Firewalls, Proxyserver und -Gateways können ebenfalls Kommunikationsaufzeichnungen haben.
In Organisationsnetzwerken kann aufgezeichnet werden, welches Gerät wann zu welchem externen Server verbunden war. Das dient der Untersuchung von Malware-Infektionen, unbefugten Zugriffen, Datenabfluss und internem Missbrauch.
Auch serverseitig gibt es mehrere Logarten, etwa OS-Authentifizierungslogs, Firewall-Logs, SSH-Logs, Anwendungslogs und Cloud-Audit-Logs.
In der Serververwaltung sind zum Beispiel folgende Logs wichtig.
| Logart | Möglicher Inhalt | Verwendung |
|---|---|---|
| Authentifizierungslog | Login erfolgreich, Login fehlgeschlagen, Quell-IP-Adresse und Ähnliches | Prüfung unerlaubter Logins und Brute-Force-Angriffe |
| Firewall-Log | Erlaubte oder blockierte Kommunikation, Portnummer, Ziel und Ähnliches | Erkennung verdächtiger Kommunikation oder Angriffe |
| Proxy-Log | Zugriffe interner Geräte auf externe Websites | Kommunikationsverwaltung und Untersuchung in Organisationen |
| Cloud-Audit-Log | Verwaltungsoperationen, API-Ausführung, Rechteänderungen und Ähnliches | Nachverfolgung von Einstellungsänderungen und Rechtemissbrauch |
| Anwendungslog | Fehler, Bedienverlauf, Verarbeitungsergebnisse und Ähnliches | Störungsbehebung und Missbrauchsuntersuchung |
Kommunikationslogs sind also nicht nur "Aufzeichnungen eines Website-Zugriffs", sondern existieren über Netzwerk und System hinweg.
Beziehung zwischen HTTPS und Logs
HTTPS ist wichtig, um Kommunikationsinhalte zu verschlüsseln und zu prüfen, ob das Gegenüber beabsichtigt ist.
HTTPS bedeutet jedoch nicht, dass alle Kommunikationsinformationen niemandem bekannt werden.
HTTPS schützt vor allem Inhalte, die Dritten auf dem Kommunikationsweg sichtbar wären. Formulareingaben, Seiteninhalt, viele HTTP-Header sowie URL-Pfad und Query sind unterwegs normalerweise schwerer lesbar.
Der Webserver am Ziel entschlüsselt die Kommunikation jedoch und verarbeitet die Anfrage. Deshalb erhält die Website-Seite URL, Cookies, User-Agent, Login-Informationen, Formulardaten und Ähnliches.
Auch auf dem Kommunikationsweg können Verbindungszeit, Quell-IP-Adresse, Ziel-IP-Adresse, Datenmenge und bestimmte Informationen zur TLS-Verbindung beobachtbar sein.
HTTPS ist also sehr wichtig, löst aber das Log-Problem nicht vollständig.
| Beobachtende Seite | Informationen, die sichtbar sein können | Informationen, die schwerer sichtbar sind |
|---|---|---|
| Website-Seite | URL, Cookie, User-Agent, gesendete Inhalte, Login-Handlungen und Ähnliches | Inhalte, die Dritten auf dem Weg nicht gezeigt werden sollen |
| Dritte auf dem Kommunikationsweg | Quell-IP, Ziel-IP, Kommunikationszeit, Datenmenge und Ähnliches | Seiteninhalt, Formulardaten, URL-Pfad und Query |
| DNS-Resolver | Angefragter Domainname, Anfragezeit und Ähnliches | Webseitentext und konkrete Bedienhandlung |
| Router / Firewall | Ziel, Datenmenge, Erlaubt- oder Blockiert-Ergebnis und Ähnliches | Text innerhalb von HTTPS und viele HTTP-Header |
Logs sind nicht grundsätzlich schlecht
Aus Sicht von Anonymität und Privatsphäre sind Kommunikationslogs wichtige Informationen. Logs selbst sind aber nicht grundsätzlich schlecht.
Ohne Logs wären Ursachenanalyse bei Serverstörungen, Erkennung unerlaubter Zugriffe, Reaktion auf Kontoübernahmen, Untersuchung von Malware-Infektionen und stabiler Dienstbetrieb schwierig.
Wichtig ist, warum Logs gespeichert werden, in welchem Umfang sie aufgezeichnet werden, wie lange sie gespeichert bleiben und wer Zugriff hat.
Dass Logs existieren, ist nicht dasselbe wie dass jede Person sie frei sehen kann. Gut verwaltete Logs sind wichtige Informationen zum Schutz eines Dienstes; übermäßig gespeicherte oder schlecht verwaltete Logs sind ein Privatsphäre-Risiko.
Für Anonymität werden Logs zu Hinweisen
Beim Nachdenken über Anonymität reicht es nicht, nur auf verschlüsselte Inhalte zu schauen.
Auch wenn Inhalte nicht lesbar sind, können Kommunikationszeit, Quell-IP-Adresse, Ziel, DNS-Anfrage, Cookie, User-Agent, Referer und andere Informationen in anderer Form aufgezeichnet werden.
Einzeln identifizieren diese Informationen nicht immer direkt eine Person. Kombiniert können sie jedoch Material sein, um denselben Nutzer, den Zugriffsweg, eine Zeitlinie des Verhaltens oder das Quellnetzwerk zu vermuten.
| Information | Was erkennbar sein kann | Hinweis für Anonymität |
|---|---|---|
| Zugriffszeit | Wann kommuniziert wurde | Kann zeitlich mit anderen Aufzeichnungen abgeglichen werden |
| IP-Adresse | Aus welchem Netzwerk verbunden wurde | Kann Material für Anschluss, Region oder Organisation sein |
| DNS-Anfrage | Zu welcher Domain eine Verbindung versucht wurde | Zeigt ein Ziel, auch wenn Seiteninhalt unbekannt bleibt |
| Cookie | Ob Zugriff vom selben Browser kommt | Kann Wiederbesuch und Login-Zustand erkennen |
| User-Agent | Browser- und OS-Art | Kann als Merkmal der Nutzungsumgebung behandelt werden |
| Referer | Von welcher Seite man kam | Kann Teile des Bewegungswegs zeigen |
| URL-Query | Kann Suchbegriffe, Kennungen oder Sitzungsinformationen enthalten | Wird zum Hinweis auf Handlungsinhalt, wenn serverseitig geloggt |
Für Anonymität sind "Kommunikationsinhalte werden nicht gelesen" und "keine Kommunikationsspuren bleiben" nicht dasselbe.
Auch bei verschlüsselten Inhalten können umgebende Informationen der Kommunikation bleiben. Deshalb muss man nicht nur Verschlüsselung betrachten, sondern auch, wo welche Logs verbleiben können.
Zusammenfassung
Kommunikationslogs sind Aufzeichnungen über Kommunikation.
Bei Websites, Anwendungen, DNS, Kommunikationsanbietern, Routern, Firewalls und Cloud-Infrastruktur können verschiedene Informationen zur Kommunikation verbleiben.
Typische Informationen sind Zugriffszeit, Quell-IP-Adresse, URL, User-Agent, Cookie, Referer, DNS-Anfrage, Ziel, Datenmenge, Authentifizierungsverlauf und Bedienverlauf.
Logs werden für Störungsbehebung, Sicherheitsmaßnahmen, Missbrauchsuntersuchung und Dienstverbesserung verwendet. Sie sind daher ein wichtiger Mechanismus für sicheren Betrieb von Internetdiensten.
Aus Sicht der Anonymität können Logs jedoch zu Nachverfolgungshinweisen werden. Auch wenn Kommunikationsinhalte verschlüsselt sind, können Quelle, Ziel, Zeitpunkt, DNS-Anfrage, Cookie und User-Agent in anderer Form aufgezeichnet werden.
Wer die Grundlagen von Kommunikationslogs versteht, kann leichter ordnen, was im Internet aufgezeichnet werden kann. Beim Nachdenken über Anonymität schaut man dann nicht nur darauf, ob Inhalte sichtbar sind, sondern auch darauf, wo umgebende Informationen der Kommunikation bleiben können.