IP-Adressen immer prüfen

iconIch kann nur jedem ans Herz legen, bei der Dokumentation und Weitergabe von verdächtigen externen IP-Adressen sorgsam zu sein. Zahlendreher können leicht passieren, vor Weitergabe sollten die IP-Adressen nochmals verfiziert werden. Heise berichtet, dass wegen einer Verwechselung der IP-Adresse durch den angefragten Provider, die Wohnung einer unschuldigen Person wegen des Verdachts auf Kinderpornografie durchsucht wurde.

Ein weiterer Stolperstein auch für Ermittler und Administratoren ist die richtige Uhrzeit des Logeintrags und die richtige Zeitzone des protokollierenden Systems. Fehler sind hier häufig vorprogrammiert. Oft ist nicht klar, in welche Zeitzone das System konfiguriert wurde und wie groß die Abweichung der Systemzeit von einer vertrauenswürdigen Quelle ist. Das ganze wird dann noch komplexer, wenn nicht nur ein System Protkolldaten liefert, sondern Firewall, Web-Server, Router, Datenbank, Client, ADS und evtl. das Zutrittskontrollsystem. Gerade bei großen Dial-Up Providern kann es durchaus auf eine Differenz von einigen Minuten ankommen. Die Gefahr, dass die IP-Adresse einem neuen User zugeordnet wird, ist nicht zu vernachlässigen. Geht das protokollierende System nach dem Mond, wird es schwierig und die falsche Person wird verdächtigt.

Ein Hinweis noch: Der Ermittler muss auch eine Aussage treffen, wie groß die Zeitabweichung zum Zeitpunkt der Logeintragerzeugung gewesen sein könnte und nicht zum Zeitpunkt der Auswertung. Im Klartext bedeutet dies eine rückwirkende Abschätzung der Zeitdrift. Alles machbar, man darf es nur nicht vergessen. 😉

5 thoughts on “IP-Adressen immer prüfen”

  1. Pingback: adressen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.