Bericht über Auffälligkeiten in der IT-Sicherheit
Die Zugriffe auf unsere Webseite werden zur Abwehr von Angriffen auf unsere IT-Infrastruktur protokolliert. Nachfolgend dokumentieren wir nur ausgewählte Vorkommnisse aus den Protokollen.
Durchschnittlich verzeichnen wir pro Monat 2000 Besucher auf unserer Webseite mit rund 9000 Seitenzugriffen. Rund 100 Seitenzugriffe erfolgen auf Bereiche wie /wp-login /wp-includes oder /admin. Damit haben etwa 1,1 % aller Besucher unlautere Absichten. Da wir als regional agierender Verein nicht zwingend notwendig auf Besucher aus China, Thailand oder Venezuela angewiesen sind, sperren wir bei solchen Auffälligkeiten jeweils den kompletten Adressbereich. Weitere Aufmerksamkeit legen wir auf die Nachverfolgung von Zugriffen auf geschützte Bereiche und Datenbanken. Im Durchschnitt kommen wir auf 3 zu prüfende Zugriffe täglich.
Bei den nachfolgend dokumentierten Vorgängen haben wir jeweils Strafanzeige gestellt.
08.06.2018
Mal wieder eine deutsche IP-Adresse, mal wieder automatisierter Abruf, diesmal aber nicht mit dem Versuch, Inhalte aus gesperrten Bereichen abzurufen, sondern direkt Lücken im Sicherheitssystem zu finden Wir haben dem Provider des Adressbereiches entsprechende Mitteilung gemacht und um Klärung gebeten.
Nachtrag vom 14.06.2018: Es handelte sich wieder einmal um ein Projekt eines deutschen Forschungsverbundes.
21.02.2018
Automatisierter Abruf von 536 Seiten / Fotos innerhalb eines Zeitfensters von nicht einmal 2 Minuten. Es wurde keine Crawlerkennung übermittelt. Der Abruf erfolgte aus einem deuschen IP-Adressbereich. Es wurde versucht, auch Inhalte aus diversen gesperrten Bereichen abzurufen. Nach unseren Protokollen waren die Versuche erfolglos. Wir haben Strafanzeige wegen des Anfangsverdachts des Ausspähens von Daten nach §202a StGB gestellt.
Nachtrag vom 11.05.2018: Die Strafanzeige wird jetzt von der PD-Dresden bearbeitet. In Anbetracht dessen, dass die Tat inzwischen 11 Wochen und 2 Tage zurückliegt, sollte der Internet-Service-Provider die Verbindungsdaten inzwischen datenschutzkonform gelöscht haben.
01.07.2017
Diverse Zugriffsversuche auf MySQL-Datenbanken aus Deutschland. Die hier verwendete IP-Adresse blockieren wir bereits seit einigen Tagen, sämtliche Anfragen von dieser Adressen erhalten eine Fehlermeldung 403 "Zugriff verboten". Aufgrund der Häufung der Vorgänge haben wir gegen den Inhaber der IP-Adresse Strafanzeige erstattet.
Nachtrag: Unsere Beschwerde wurde an Inhaber der IP-Adresse weitergeleitet. Der Inhaber hat sich bei uns gemeldet und den Zugriff als Forschungsprojekt eines Journalisten beschrieben. Nach Prüfung der Identität des Journalisten, der tatsächlich mehrfach Beiträge zur Cybersicherheit geschrieben hat, haben wir die Strafanzeige zurückgezogen.
11.05.2016
Missbräuchliche Verwendung der unter Spenden und Unterstützen⇒ veröffentlichten Bankverbindung zum Kauf mehrerer Bustickets bei Flixbus über den Bezahldienst Billpay. Wir haben die Belastung auf unserem Konto stornieren können, Flixbus und Billpay über den Vorgang informiert und Strafanzeige gestellt. Trotz einer unschweren Beweislage (Name des Bestellers über Billpay ermittelbar, Direktzugriff auf den Käufer bei Verwendung der Tickets möglich), wurde das Ermittlungsverfahren wegen Betrug am 04.07.2016 durch die Staatsanwaltschaft Dresden mit der Begründung eingestellt, dass ein Täter nicht ermittelt werden konnte.