• Informationen für …
• Wir über uns
• Unsere Servicepalette
• Fragen, Beratung und Unterstützung
• Presse
• Projekte, Kooperationen, Arbeitsgruppen
• Andere im WWW

• Münchner Wissenschaftsnetz
  • Überblick MWN
  • Liste aller Unterbezirke
  • Statistiken MWN
  • Anschluss ans MWN
  • mobile Rechner
  • Hörsaalanschlüsse
  • Beschränkungen im MWN
  • Liste der Arealbetreuer
  • Netzverantwortliche in Instituten
  • Domainnamen
  • IPv6 im MWN
  • Das Münchner Wissenschaftsnetz
  • Planungsrichtlinien für Kommunikationsnetze
  • Accesspoints grafisch
  • Vorgaben für Netzverteilerräume

ALIs

kommt noch

Beschränkungen und Monitoring im Münchner Wissenschaftsnetz

Motivation

Eine der Hauptaufgaben des  Leibniz-Rechenzentrums  (LRZ) ist der Betrieb des  Münchner Wissenschaftsnetzes  (MWN), an das zur Zeit über 68.000 Rechner angeschlossen sind.  Der Zugang zum weltweiten Internet wird über das  deutsche Wissenschaftsnetz  (X-WiN) ermöglicht.  Das LRZ versucht, seine Kunden so weit wie möglich bei der legitimen Nutzung des MWN zu unterstützen, d.h. bei Forschung & Lehre, Verwaltung, Aus- und Weiterbildung, Öffentlichkeitsarbeit und Außendarstellung der Forschungseinrichtungen (siehe auch die  Nutzungs- und Betriebsregeln).

Noch bis vor wenigen Jahren konnte das MWN nahezu ohne Monitoring im Hinblick auf missbräuchliche Nutzung und weitgehend ohne Beschränkungen betrieben werden.  Damals überwogen noch eindeutig die gewichtigen  Gegengründe  (Behinderung von Forschung & Lehre, Kosten, Person-Power).

Leider hat sich die Situation seit 2001 signifikant verändert. Im diesem Jahr nahm z.B. das P2P-Filesharing derart zu, dass der Anteil der Filesharing-Daten am gesamten Datenverkehr zeitweise bis zu 30% betragen hat. Wenn man bedenkt, dass damals die jährlichen Kosten für den X-WiN-Zugang ca. 700.000 Euro betragen haben (im Augenblick noch 500.000 Euro), musste natürlich gehandelt werden (siehe den Brief "Missbräuchliche Nutzung der Netze").

Ein weiterer Grund war die seit dem Jahr 2001 dramatische Zunahme der Abuse-Fälle (d.h. der echten oder vermeintlichen Missbrauchsfälle) im MWN; nähere Informationen dazu finden Sie im LRZ-Artikel "Bearbeitung von Abuse-Fällen".

Zahl der gemeldeten und vom LRZ selbst entdeckten Missbrauchsfälle im MWN von 1998 bis 2007:

Durch diese Verschärfung der Abuse-Problematik und durch das veränderte Umfeld bekamen die Gründe für Monitoring und Beschränkungen leider immer größeres Gewicht. Deshalb ist das LRZ zunehmend gezwungen, die auch aus eigenem Interesse möglichst große Freizügigkeit im MWN einzuschänken. Dabei will das LRZ keinesfalls als "Netzpolizei" auftreten; vielmehr wird versucht, die Eingriffe auf ein notwendiges Minimum zu beschränken.

Allgemeine Vorbemerkungen

Das LRZ beschränkt einen Netzdienst nur dann, wenn mindestens eine der folgenden Bedingungen erfüllt ist:

• Beim Betrieb des betroffenen Netzdienstes kann man leicht Fehler machen, durch die andere Benutzer oder Rechner signifikant beeinträchtigt werden.

  Durch die Sperrung wird verhindert, dass einzelne IP-Adressen oder ganze IP-Adressbereiche auf einer schwarzen Liste landen.

• Die betroffenen Netzdienste sind bekannt für Sicherheitslücken bzw. der  sichere Betrieb erfordert viel Know-how oder Aufwand.

  In diesem Fall werden die Server vor Angriffen aus dem Internet geschützt.  Dies trifft z.B. bei Mail-Servern  zu.

• Die Nutzung der betroffenen Netzdienste muss reglementiert werden, um Missbrauch (in großem Umfang) zu verhindern.

  Dies gilt vor allem für P2P-Filesharing.

• Bei einer nur beschränkt verfügbaren Ressource (wie z.B. bei der Bandbreite für VPN-Verbindungen )  muss für eine sparsame, gerechte und satzungsgemäße Nutzung gesorgt werden.

Für die nachfolgenden Abschnitte gelten folgende Punkte:

• Die Vollständigkeit und Aktualität der hier in diesem Artikel beschriebenen Maßnahmen kann leider nicht garantiert werden.

  Manchmal muss nämlich auf eine Bedrohung (z.B. auf eine Wurm-Epidemie) so schnell reagiert werden, dass für eine entsprechende Anpassung dieses Artikels die Zeit nicht ausreicht.

• Alle Port-Sperrungen und Filter am X-WiN-Übergang gelten in gleicher Weise für den Internet-Backup der Firma M-net.
• Bei Fragen zu den Einschränkungen im MWN schicken Sie bitte eine E-Mail an die folgende Adresse:

  ipadmin@lrz.de

Beschränkungen durch Port-Sperrungen

Das LRZ schränkt einige Dienste auf den Bereich des MWN ein, indem es die entsprechenden Kommunikations-Ports am Übergang vom MWN zum X-WiN sperrt.

Simple Mail Transfer Protocol (SMTP; Port 25)
	Der direkte Empfang von E-Mail aus dem Internet ist am X-WiN-Übergang für die meisten Mail-Server gesperrt (Sperrung von Port 25). Nur einige ausgewählte, Spam-feste Mail-Server können weiterhin E-Mails direkt empfangen.
	Grund:	Viele Mail-Server im MWN wurden als Spam-Relay missbraucht. Dadurch bestand die Gefahr, dass das gesamte MWN in Verruf gerät, eine Spam-Domain zu sein. Nur gut gepflegten, großen und spam-festen Mail-Servern wurde deshalb der direkte Empfang erlaubt, die übrigen müssen über die ausgezeichneten Mail-Server ihre Mail empfangen.
Domain Name Server (DNS)
	DNS-Anfragen auf Benutzerrechnern können das MWN nicht verlassen. DNS-Anfragen sind an die MWN-lokalen DNS-Server zu richten.  Von diesen können nur bestimmte (Fakultäts-) DNS-Server Anfragen aus dem MWN heraus ins Internet stellen.
	Grund:	Die Filter für DNS sind vor allem aus Gründen der Betriebsstabilität des globalen weltweiten DNS-Verbundes eingeführt worden.In der Vergangenheit hatten falsch konfigurierte DNS-Server häufig Störungen verursacht. Zudem wird der Datenverkehr im Internet entlastet.
Netbios über TCP/IP, Microsoft-Netzwerk  (Ports 135, 137, 138, 139, 445 und 593)
	Am X-WiN-Übergang sowie über die Modem/ISDN- und VPN-Zugänge sind die Ports 135, 137, 138, 139, 445 und 593 (TCP und UDP) gesperrt. Außerdem werden diese Ports auf den Anschlüssen von Studentenwohnheimen gesperrt, wenn dort verseuchte Rechner festgestellt werden. Die Sperre verhindert den Betrieb der Druck- und Dateifreigabe des Microsoft-Netzwerks über das Internet bzw. aus dem Wohnheim heraus. Die Sperrung dieser Ports kann auch von Instituten für Ihre Anbindung freiwillig gewählt werden.
	Grund:	Sicherheit der Rechner im MWN und Verhinderung von Angriffen nach außen.Über Netbios sind diverse DoS-Angriffe (Denial of Service) und das Ausspähen von Daten möglich.Insbesondere verbreiten sich auch Internet-Würmer (wie z.B. W32.Blaster) eigenständig über diese Ports.
(Microsoft SQL-Server (Ports 1433 und 1434)
	Am X-WiN-Übergang sind die Ports 1433 und 1434 gesperrt (TCP und UDP).  Außerdem werden diese Ports auf den Anschlüssen von Studentenwohnheimen gesperrt, wenn dort verseuchte Rechner festgestellt werden.Die Sperre verhindert den Betrieb des Microsoft SQL-Serverdienstes über das Internet bzw. aus dem Wohnheim heraus.
	Grund:	Sicherheit der Rechner im MWN und Schutz vor Überlastung des Netzes durch Wurm-Angriffe (wie z.B. SQL-Slammer).
Sonstige Dienste
	Die Ports folgender Dienste sind außerdem noch am X-WiN-Übergang gesperrt (TCP und UDP falls nicht anders spezifiziert):   Port     Dienst     Bemerkungen 42   WINS-Replikation 213   IPX über IP
	Grund:	Diese Dienste helfen Hackern und Würmern bei Angriffen (z.B. indem sie potentiell interessante Informationen liefern) oder werden häufig missbraucht.

Globale Filter-Regeln

Zusätzlich zur Sperrung von Ports  verbessern globale Filter-Regeln am Übergang zum X-WiN (und teilweise auch innerhalb des MWN-Backbones) die Sicherheit und die Stabilität des Netzbetriebs.

IP-Spoofing-Filter
	Durch die IP-Spoofing-Filter wird nur Verkehr mit IP-Adressen aus dem MWN nach außen und nur Verkehr mit fremden (nicht MWN-) IP-Absendeadressen nach innen durchgelassen.
	Grund:	Damit werden Angriffe auf das MWN verhindert, bei dem sich externe Rechner als Rechner des MWN ausgeben (Spoofing). Zudem werden Angriffe aus dem MWN erschwert, da nur MWN-gültige IP-Adressen verwendet werden können.
Blockierung von IPX-Tunnels
	Verbindungen zu Novell-Servern außerhalb des MWN über IPX-Tunnel werden nicht erlaubt.
	Grund:	Die Vergangenheit hat gezeigt, dass bei der Konfiguration derartiger Verbindungen viele Fehler und Netzbehinderungen entstanden sind. Insbesonders kam es zu Routing-Zyklen.
Kein Broadcast-Ping auf andere Netze
	Ein Ping auf gesamte Subnetze wird durch einen Filter am X-WiN-Übergang unterbunden.
	Grund:	Mit einer Ping-Häufigkeit unter 1 Sekunde und der Verfälschung der IP-Absenderadresse können Subnetze und Leitungen (z.B. die USA-Leitung) blockiert werden (Denial of Service).
Bandbreitenbeschränkung der Filesharing-Protokolle bei VPN-Verbindungen
	Der gesamte Filesharing-Datenverkehr (d.h. der Datenverkehr aller nicht gesperrten P2P-Anwendungen) bei allen gleichzeitig aktiven VPN-Verbindungen wird auf insgesamt 1 MBit/s beschränkt. Wird bei einer VPN-Sitzung während einer P2P-Dateiübertragung parallel noch ein anderer Netzdienst genutzt (wie z.B. WWW), ist diese andere Anwendung von der Bandbreitenbeschränkung nicht betroffen.
	Grund:	Aus technischen Gründen ist die Bandbreite, die für VPN-Verbindungen zur Verfügung steht, nicht besonders hoch. Deshalb muss mit dieser wertvollen Ressource sparsam umgegangen werden.
Bandbreitenbeschränkung der Filesharing-Protokolle und weitere Filter bei privaten Adressen
	Rechner mit privaten IP-Adressen können über das NAT-Gateway des LRZ Verbindungen ins Internet mit folgenden Einschränkungen aufbauen: Es sind nicht alle Ports freigeschaltet. Die Bandbreite für Filesharing-Protokolle ist beschränkt. Spezielle Filter blockieren weitgehend den Datenverkehr kompromittierter Rechner (z.B. Rechner, die mit einem Wurm infiziert sind oder von einem Spammer zum Versenden von Spam-Mails missbraucht werden). Nähere Informationen dazu finden Sie in dem eigenständigen LRZ-Artikel "IP-Adressumsetzung (NAT) als Ersatz für Proxyserver".
	Grund:	Nicht verfügbare Ports sind entweder bedingt durch die prinzipiellen technischen Beschränkungen eines NAT-Gateways oder Folge der sonstigen Einschränkungen (siehe die anderen Abschnitte dieses Artikels). Wie bei den VPN-Verbindungen muss auch hier die beschränkte Bandbreite geschont werden. Die restlichen speziellen Filter dienen zum Schutz des Internet vor kompromittierten Rechnern im MWN.

Allgemeine Beschränkungen

Die folgenden Regeln behandeln die Vergabe von IP-Adressen und Zugangsfragen:

Vergabe von IP-Adressen
	Aus den dem LRZ verfügbaren IP-Adressräumen werden den Instituten bzw. Institutionen Bereiche weltweit gültiger Internet-Adressen zugeteilt. Nur diese werden an den jeweiligen Router-Interfaces weitergeleitet. Institute ohne selbst betriebene Server können private IP-Adressen erhalten, welche nur innerhalb des MWN geroutet werden (siehe dazu den LRZ-Artikel "Sichere Institutsnetze mit Unterstützung des LRZ"). Rechner in Studentenwohnheimen erhalten nur private Adressen.
	Grund:	Schutz der Rechner vor Angriffen aus dem Internet sowie Schutz des MWN-Internet-Zugangs gegen missbräuchliche Nutzung.
Reservierung bestimmter IP-Adressen
	Bestimmte IP-Adressen eines jeden Class-C-Subnetzes sind für betriebliche Zwecke vom LRZ reserviert.
	Grund:	Die Adressbereiche 250  bis  254  werden für Routerports, Messkomponenten und Switches benötigt und sind daher für Nutzer gesperrt.
Adresszuteilung durch die VPN-Server
	Beim Verbindungsaufbau zu einem der VPN-Server wird eine IP-Adresse aus dem Bereich der jeweiligen Institution zugewiesen, mit welcher der Zugang zu Online-Angeboten der Bibliotheken möglich ist. Nutzer aus Studentenwohnheimen erhalten dabei private Adressen.
	Grund:	Schutz der Rechner vor Angriffen aus dem Internet sowie Schutz des MWN-Internet-Zugangs gegen missbräuchliche Nutzung.
Kontrolle des Netzzugangs
	Jeder Nutzer muss bei der Nutzung des MWN identifizierbar sein. Daher erfolgt beim Netz-Zugang eine Validierung, wenn keine feste IP-Adresse verwendet wird (d.h. bei den Modem-/ISDN-Zugängen und bei den VPN-Verbindungen). Die Zugangsdaten werden für einige Zeit (im Augenblick 10 Tage) in Log-Files gehalten.
	Grund:	Es ist Common-Sense im Internet "bekannt" zu sein. Bei Verstößen muss die wahre Identität aufdeckbar sein.
SNMP-Abfragen auf Netzkomponenten des LRZ gesperrt
	SNMP-Anfragen aus dem MWN auf Netzkomponenten des LRZ werden mit einem besonderen Passwort geschützt.
	Grund:	Es wird häufiger versucht, Netzkomponenten des LRZ aus dem MWN per SNMP-Requests abzufragen. Unnötige Abfragen behindern durch ihre Häufigkeit den eigentlichen Betrieb der Netzkomponenten. Nur ausgesuchte Benutzer erhalten nach Absprache Zugang.

Beschränkungen bei den Mail-Servern des LRZ

Die folgenden Einschränkungen betreffen nur die Mail-Server des LRZ und nicht Mail-Server bei den Instituten oder Lehrstühlen. Nähere Informationen finden Sie im LRZ-Artikel "Policy für die zentralen Mailrelays des LRZ".

Syntaktisch korrekte Mail-Adressen
	Dies ist keine eigentliche Einschränkung. Die Mail-Adressen im Umschlag der E-Mail ("MAIL FROM" und "RCPT TO") müssen syntaktisch korrekt sein; andernfalls wird die Mail nicht angenommen.
	Grund:	Hiermit wird händische Arbeit gespart. Früher wurde die Mail angenommen und versucht, eine syntaktisch korrekte Adresse zu bilden.
Gültige Absender-Domain
	Es wird geprüft, ob die Domain der Absenderadresse im DNS konfiguriert ist, damit an den Absender einer E-Mail (MAIL FROM) im Fehlerfall eine entsprechende Meldung zurückgeschickt werden kann.
	Grund:	Hierdurch lassen sich Spam-Mails verhindern, die mit gefälschter Domain-Adresse arbeiten.
Bei E-Mails aus dem Internet muss die Empfängeradresse im MWN liegen.
	Eine E-Mail aus dem Internet wird von den Mail-Relays des LRZ nur dann angenommen, wenn sich der Empfänger im MWN befindet. Ein Versenden von Mails von innen nach außen wird hiermit nicht verhindert.
	Grund:	Damit kann ein Spam-Relay-Blocking durchgeführt werden.
Maximale Größe einer E-Mail
	Die Größe der E-Mails bei Empfang und Versand wird auf maximal 30 MiByte (d.h. 31.457.280 Byte) beschränkt.
	Grund:	Die Mail-Server des LRZ (und damit indirekt auch des MWN) werden vor Überflutung geschützt. Auch fremde Mail-Server akzeptieren meist nur eine ähnliche Größe.
Automatisches Löschen alter E-Mails
	E-Mails in der Eingangs-Mailbox, die älter als 90 Tage sind, werden gelöscht.  Der betroffene Benutzer wird 10 Tage vor der Löschaktion per E-Mail darüber informiert.
	Grund:	Für Eingangs-Mailboxen gibt es kein Quota-System. Dies hat den Vorteil, dass die Mailboxen temporär sehr groß werden können (bei Eintreffen vieler bzw. großer Mails), setzt aber voraus, dass sich jeder einzelne Benutzer diszipliniert verhält: Jeder muss seine Mails regelmäßig lesen und danach entweder löschen oder in permanenten Ablagen (Folder) sichern. Dies geschieht aber leider oft nicht. Platzprobleme im Bereich für Mailboxen müssen deshalb durch eine regelmäßig durchgeführte Gleitlöschung zu alter E-Mails verhindert werden.

Monitoring am X-WiN-Übergang

Der Netzverkehr zwischen dem MWN und dem Internet wird am Übergang zum X-WiN auf einige schädlings-unspezifische Indikatoren hin untersucht, die auf möglicherweise kompromittierte MWN-Rechner hinweisen.  Diese vom LRZ durchgeführten Monitoring-Funktionen sind trotz ihrer Einfachheit erstaunlich wirksam.

Die Rechner des MWN werden nach folgenden Kriterien beobachtet:

Auf dem Rechner läuft ein FTP-Server, der auf einem Nicht-Standard-Port arbeitet (d.h. nicht auf den allgemein üblichen Ports 20 und 21).
	Dieser Indikator ist derart treffsicher, dass das LRZ riskiert, alle auf diese Art auffällig gewordenen Rechner automatisch am X-WiN-Übergang zu sperren; die zuständigen Netzverantwortlichen werden selbstverständlich ebenso automatisch sofort davon verständigt. Bei den restlichen Indikatoren werden Benachrichtigungs-Mails vorformuliert; ein Mitglied des Abuse-Response-Teams (AR-Teams) entscheidet jedoch jeweils, ob die E-Mail auch abgeschickt und der Rechner evtl. zusätzlich gesperrt werden soll.
Der MWN-Rechner öffnet innerhalb kurzer Zeit sehr viele Mail-Verbindungen zu anderen Rechnern im Internet.
	Diese MWN-Rechner sind fast immer kompromittiert: Entweder ist der Rechner mit einem Wurm infiziert, der sich von dort eigenständig weiter verbreiten will, oder der Rechner wird zur Verbreitung von Spam-Mails missbraucht.  In manchen Fällen ist sogar beides der Fall. Diese Überwachung wird seit dem 10.11.04 durchgeführt und hat sich sofort als äußerst wirksam herausgestellt:  Seit diesem Zeitpunkt gingen die Spam-Beschwerden über MWN-Rechner signifikant zurück.
Vom Rechner gehen massive Portscans aus.
	Portscans werden von vielen Netz- und Systembetreibern als unfreundlicher Akt angesehen und widersprechen der allgemeinen "Netiquette"; Portscans sind nämlich oft der erste Schritt zum Ausspionieren von Rechnern und Diensten mit dem Ziel diese anschließend anzugreifen.  Vielfach unbemerkt durch Nutzer scannen kompromittierte Rechner fremde Netze und Systeme nach Schwachstellen.
Der Rechner fällt durch einen ungewöhnlich hohen Datenverkehr auf (d.h. im Augenblick mehr als 2 GB pro Stunde oder mehr als 3 GB pro Halbtag).
	Es handelt sich dabei überwiegend um Rechner, die für die Verteilung urheberrechtlich geschützter Daten missbraucht wurden. Im Gegensatz zu den vorhergehenden Indikatoren kommt es in diesem Fall auch manchmal vor, dass der Rechner nicht kompromittiert ist, sondern dass ein legitimer MWN-Benutzer wissentlich durch Copyright-Verletzungen gegen die MWN-Nutzungsordnung verstößt. Das LRZ erhält häufig Abmahnungen von den Rechteverwertern über Fälle unbrechtigter Verbreitung von Audio- oder Videodateien, deren Bearbeitung wiederum viel Aufwand bereitet.

Zu den aufgeführten Indikatoren gibt es natürlich jeweils eine Ausnahmeliste von bekannten "sauberen" Rechnern, die dadurch vor einer Sperre geschützt werden.

Eine evtl. erfolgte Sperre wird wieder aufgehoben, nachdem der kompromittierte Rechner gesäubert wurde, oder wenn sich in seltenen Ausnahmefällen herausstellt, dass die verdächtige Nutzung des Kommunikationsnetzes legitim ist.  In beiden Fällen reicht eine kurze E-Mail eines zuständigen  Netzverantwortlichen  an die Adresse

abuse@lrz.de

aus, um die Sperre aufheben zu lassen.

Außerdem betreibt das LRZ seit Ende Juni 2005 ein  transparentes NAT-Gateway  (der sogenannte "NAT-o-MAT"), das bei den Rechnern mit privater IP-Adresse nicht konfiguriert werden muss.  Zusätzlich zur Adressumsetzung sorgt ein "AutoMAT" für eine Bandbreitenregelung und verhindert weitgehend Angriffe auf andere Rechner durch Port-Scans, DoS und Spam-Versendung.

Der NAT-o-MAT verschickt seit Anfang Dezember 2005 automatisch Hinweis-Mails, wenn er bei einem MWN-Rechner häufiger regulierend eingreifen muss.

---

Hintergrund: Pro & Contra  "Beschränkungen und Monitoring"

Contra

Aus der Sicht des LRZ sprechen gewichtige Gründe gegen ein flächendeckeckendes  Monitoring im Hinblick auf missbräuchliche Nutzung und gegen allgemeine  Beschränkungen:

• Beschränkungen und Monitoring gibt es nicht zum Nulltarif !

  In  einfacheren Umgebungen  oder bei (stark)  reduzierter Funktionaliät  kann man heutzutage Firewalls, Intrusion-Detection-/ -Prevention-Systeme etc. problemlos auf einfacher und damit preisgünstiger PC-Hardware und mit OpenSource-Software betreiben.
  Im  großen MWN  mit einem 1-GBit-Internet-Anschluss und einem 10-GBit-Backbone benötigt man jedoch teure Spezial-Hardware und -Software für entsprechende Sicherheits-Systeme  ohne funktionale Einbußen  hinsichtlich Security, Administrierbarkeit, Verfügbarkeit, Datendurchsatz etc.

  Viel schwerer wiegt jedoch die Person-Power, die für den professionellen Betrieb der entsprechenden Tools erforderlich ist.

• Beschränkungen behindern Forschung & Lehre.

  Neue Nutzungsarten des Datennetzes sollen natürlich nach Möglichkeit zugelassen werden, solange sie in Übereinstimmung mit den Satzungen der am MWN angeschlossenen Einrichtungen erforderlich sind.  Bei einem neuen netzbasierten Dienst kann es jedoch leider zu Behinderungen kommen:

  • Es tritt eine Verzögerung ein, weil eine Beschränkung erst vorher durch eine spezifische Konfigurationsänderung in Netzkomponenten aufgehoben werden muss.
  • Aus Sicherheitsgründen kann der Dienst nicht von jedem Rechner des MWN genutzt werden oder es muss vorher ein spezifischer Proxy zur Verfügung gestellt werden.
• In Fehlersituationen wird die Diagnose oft aufwändiger.

  Man muss nämlich immer berücksichtigen, dass ein aufgetretenes Problem nicht nur am Netzdienst selbst sondern auch an einer Beschränkung im MWN liegen kann.  In manchen Fällen geht auch unnütz Zeit dadurch verloren, dass bei der Fehlersuche nicht an diesen Aspekt gedacht wird.

Pro

Erst seit dem Jahr 2001 hat sich die Abuse-Problematik derart verschärft (Mengenproblematik und geändertes Umfeld), dass die Gründe für Monitoring und Beschränkungen zum Tragen kommen:

• Die Bearbeitung von Abuse-Fällen in einer derartigen Größenordnung wie seit 2001 kostet signifikant Person-Power. Dabei ist folgendes bedeutsam:
  • Bei den gemeldeten Fällen gab es relativ oft zu einem Vorgang gleich mehrere unabhängige Beschwerden.
  • Die Bearbeitung eines selbst entdeckten Falls erfordert wegen der weitgehenden Automatisierung einen signifikant geringeren Aufwand. Außerdem gibt es keine externen Beschwerden, wenn man einen kompromittierten Rechner frühzeitig genug selbst entdeckt und sperrt.
• In vielen Fällen kommen inzwischen auch juristische oder finanzielle Aspekte ins Spiel.

  Im Augenblick handelt es sich dabei überwiegend um die Verbreitung von urheberrechtlich geschütztem Material per P2P-Filesharing durch legitime Nutzer des MWN oder per Anonymous-FTP-Server auf kompromittierten Rechnern.

  Es wird aber zunehmend diskutiert, dass man für die Folgen des eigenen kompromittierten Rechners haftet, wenn man keine elementaren Schutzmaßnahmen getroffen hat (z.B. durch den Betrieb eines aktuellen Viren-Scanners). Inzwischen gibt es dafür sogar schon eine  Versicherung.

  Unabhängig von potentiellen rechtlichen oder finanziellen Folgen haben derartige Fälle aber zumindest eine Auswirkung auf das Image der betroffen Institution, d.h. primär auf das Image des LRZ.

• Noch vor wenigen Jahren dauerte es meist mehrere Monate, bis nach der Entdeckung einer Sicherheitslücke der erste elektronische Schädling auftauchte, der die betreffende Lücke ausnutzen konnte.  Dadurch war i.a. ausreichend Zeit vorhanden, dass die Hersteller des betroffenen Software-Pakets einen entsprechenden Security-Patch entwickeln und die lokalen Systemverwalter diesen Patch auch auf den eigenen Rechnern einspielen konnten.

  Inzwischen ist diese "Schonfrist" leider oft bis auf wenige Tage geschrumpft. Dadurch werden  schädlings-unspezifische Maßnahmen  immer notwendiger, die die Verbreitung von Würmern verhindern oder zumindest eindämmen. Andernfalls kommt es im MWN zu großflächigen Infektionen, die dann den lokalen Administratoren viele Probleme und Arbeit verursachen.