Ich ringe ein bisschen mit den Formulierungen - es soll ja so vage bleiben, dass das auch jemand unterschreibt. Wie machen das Hersteller von anderen Anlagen mit Fernzugriff?
Hab mal was getippert. Anmerkung zur Sicherheit: Bin kein Jurist, aber das ist ja auch nicht als Vertrag o.ä. gedacht…
Hiermit stimme ich, [Name des Aufstellers] (nachfolgend als Aufsteller bezeichnet), zu, dass folgende unten genannte Personen (nachfolgend als Administratoren bezeichnet) einen Fernwartungs-Zugriff (root-Zugang per SSH) auf meinen Freifunk-Router erhalten.Ich wurde darüber aufgeklärt, dass durch diesen Zugang theoretisch alle gewöhnlich aktivierten Sicherheitsmaßnahmen der Freifunkfirmware umgangen werden könnten, und daher Zugriff auf das lokale Netzwerk möglich ist, genau so als wäre ein Computersystem unter der Kontrolle der Administratoren dort vorhanden.
Desweiteren versichere ich hiermit, dass ich befugt bin, Entscheidungen bezüglich der IT im lokalen Netzwerk zu treffen.
Die Administratoren verpflichten sich, nur Wartungsaufgaben durchzuführen, die für den ordnungsgemäßen Betrieb des Freifunk-Knotens im Freifunk-Netz notwendig sind. Insbesondere dürfen keine anderen Geräte im Heimnetz beeinträchtigt, manipuliert, ausgespäht oder auf sonstige Weise bösartig beeinflusst werden. Desweiteren darf ohne weitere Rücksprache und Genehmigung des Aufstellers nicht versucht werden, Firewalls oder andere Beschränkungen im Heimnetz zu umgehen, auch wenn dies für Verbindungen des Freifunkknotens in das Internet notwendig sein sollte. Alle Administrationsaufgaben werden von den Administratoren immer nach bestem Wissen und Gewissen durchgeführt.
Die Administratoren sind verpflichtet, bei Verlust oder Diebstahl der Zugangsinformationen unverzüglich den Aufsteller zu kontaktieren, sodass der Zugriff widerrufen werden kann.
Der Aufsteller ist im Gegenzug verpflichtet, unter der nachfolgend stehenden Kontaktadresse zeitnah erreichbar zu sein, und den SSH-Zugang bei Aufforderung zu widerrufen oder den Knoten abzuschalten. Bei Wechsel der Kontaktadresse ist dies den Administratoren daher ebenfalls mitzuteilen.Die Fernwartung erfolgt als nachbarschaftlicher Gefälligkeitsdienst. Es entstehen keine Ansprüche auf Verfügbarkeit des Freifunkknotens oder Umsetzung von Administrationsaufgaben gegen die Administratoren.
Der Aufsteller oder jeder einzelne der beteiligten Adminstratoren dürfen jederzeit diese Vereinbarung aufkündigen, indem der SSH-Key vom Knoten entfernt wird (möglich z.B. über den Konfigurationsmodus). Jeder Administrator darf dabei nur seinen eigenen SSH-Key entfernen, es seie denn es liegt explizite Erlaubnis des jeweiligen Administrators oder des Aufstellers vor. Der Aufsteller wird gebeten, die Administratoren bei Entfernung eines Schlüssels formlos zu informieren, um eine zeitaufwändige Fehlersuche aufgrund eines plötzlich nicht mehr funktionierenden Zugangs zu vermeiden. Administratoren mit hinterlegtem Schlüssel dürfen ohne Rücksprache und schriftliche Genehmigung des Aufstellers keine weiteren Schlüssel hinterlegen.Ansprechpartner:
[Allgemeine Kontakt-E-Mail und Telefonnummer der Community]
[Kontaktadresse des Aufstellers für Notfälle, E-Mail, Telefon, …]
[Administrator 1] [E-Mail] [Telefon] [SSH-Key(-Fingerprint)]
[Administrator 2] [E-Mail] [Telefon] [SSH-Key(-Fingerprint)]
…Unterschrift Aufsteller
Unterschrift Administrator 1
Unterschrift Administrator 2
…
3 „Gefällt mir“
Lese ich morgen in Ruhe durch und schreibe meine Meinung. Bin gerade zu müde und muss ins Bett. 
Ich habe mal selbst etwas bzgl. Haftungsausschluss und Fernwartungszugriff formuliert und bei letzterem einige wenige Zeilen von dir übernommen. Ich habe dabei alles etwas offener und weniger präzise formuliert um inbesondere vor Ansprüchen der Aufsteller noch besser gefeit zu sein. Auch das theoretische Sicherheitsproblem durch den SSH-Zugriff muss man natürlich erwähnen, aber auch dies am besten etwas vager, m.E. Ansonsten unterschreibt das doch kein Mensch . insbesondere nicht ein technischer Laie. Ich lasse meinen Vorschlag gerade durch einen Juristen gegenlesen, mal sehen, was dieser sagt. Eventuell kommt ja etwas überregional brauchbares bei raus. Versprechen kann ich jedoch nichts.
1 „Gefällt mir“
Bringt es etwas, oben drüber eine TLDR-Sektion zu setzen, die nochmal zusammenfasst, was unten ausugeführt wird a la
„Die Unterschreibenden verpflichten sich, nach Bestem Wissen und Gewissen zu handeln, den Zugang ausschließlich für Wartungszwecke zu nutzen und insbesondere nichts auszuspionieren und keine Änderungen am Kundennetz ohne Rücksprache mit dem Standortverantwortlichen vorzunehmen.“
Ich habe vor einer gefühlten Ewigkeit mal einen Zettel genutzt. In den letzten Jahren dann wieder nur mündlich.
Der Textbaustein von damals, mit dem der Admin auf der sicheren Seite ist, und der Betreiber keine Angst hat, dass es eine 24/7-Überwachung gibt:
Der zuständigen Administrator ist berechtigt, unter Wahrnehmung der Bestimmungen zum Datenschutz (u.a. keine Weitergabe), eine Verbindung zu den IT-Systemen [ggf. durch Freifunk-Knoten ersetzen] herzustellen, und die IT-Umgebung zu analysieren und zu bearbeiten. Jedoch nur soweit dies erforderlich ist:
- zur Gewährleistung eines ordnungsgemäßen Systembetriebs,
- zur Ressourcenplanung und Systemadministration,
- für das Erkennen und Beseitigen von Störungen sowie
- zur Aufklärung und Unterbindung rechtswidriger oder missbräuchlicher Nutzung
Für Belange der Befugnisse der Strafverfolgungsbehörden gelten die Bestimmungen des Datenschutzgesetzes. [Letzten Satz ggf. raus nehmen]
1 „Gefällt mir“
Danke für Eure Vorschläge! Werde daraus ein Formular basteln. Der Text von @yayachiken ist gut, aber müsste IMHO noch etwas allgemein verständlicher sein. Die meisten Menschen wissen nicht, was SSH ist. Ich werde mich mal dran versuchen.
2 „Gefällt mir“
Wie ist denn hier der Status? Übermorgen wäre genau so ein Papier hilfreich, wenn wir Router auf dem Bürgertag rausgeben…
1 „Gefällt mir“
Nimm doch meinen Text und geh da genau mit den Leuten noch einmal alles durch.
Das Dokument hat keinen anderen Zweck als dass der Benutzer versteht, was es mit dem SSH-Key auf sich hat, und dass er seine Unterschrift drunter setzt, dass er es verstanden hat. Da sollte mindestens alles drinstehen, was ich erwähnt habe, vermutlich eher noch mehr, weil ich sicher was vergessen habe. Das Dokument soll nicht einfach nur vom Benuter abgenickt werden. Ausnahme würde ich auch nur für Verwandte oder gute Freunde machen, wo man sich eh gegenseitig vertraut. Oder für berufliche Beziehungen, wenn man als Admin sowieso die ganze IT schon macht.
Und: Das von mir entworfene Dokument ist keine rechtliche Absicherung oder so. Das müsste sicherlich ein IT-Anwalt fertig machen, weil es da sicherlich viele Fallstricke gibt. Ich vermute, dass du mit der Existenz eines solchen Dokuments rechtlich schlechter da stehst als ohne… Es geht hier wirklich nur darum festzuhalten, dass der Benutzer verstanden hat, dass du wirklich ein potentielles krasses Sicherheitsrisiko bzw. Kuckucksei installierst, und wo genau das Risiko liegt. Das Dokument unter Bewahrung der Aussagen allgemeinverständlicher machen halte ich für sehr positiv, aber bitte nicht „dümmer“ mit weniger Infos machen.
Hier mein Vorschlag:
Der zuständigen Administrator ist berechtigt, unter Einhaltung aller relevanter gesetzlichen Bestimmungen, insbesondere bezüglich des Datenschutzes, eine Verbindung zum Freifunk-Router herzustellen, um dessen Einstellungen zu analysieren und zu bearbeiten. Jedoch nur soweit dies erforderlich ist:
- zur Gewährleistung eines ordnungsgemäßen Systembetriebs,
- zur Ressourcenplanung und Systemadministration sowie
- für das Erkennen und Beseitigen von Störungen.
Dazu legt der Administrator entweder ein Passwort fest oder befestigt ein digitales Schloss an der Zugangstür des Routers, zu der nur er den kryptografischen Schlüssel besitzt. Passwort oder Schlüssel dürfen nicht weitergegeben werden.
Diese Vereinbarung ist freiwillig und kann jederzeit durch den Besitzer des Freifunk-Knotens widerrufen werden.
Eine Haftung ist ausgeschlossen.
Name Freifunk-Router: ___________________________
Name Besitzer: ___________________________ Unterschrift: _______________
Name Administrator: ___________________________ Unterschrift: _______________
(Kontaktdaten der jeweiligen Community einfügen)
Es soll aber nicht darum gehen, irgendwie sich rechtlich abzusichern sondern primär darum, dem Aufsteller klar zumachen, was es bedeutet, einen SSH-Key zu hinterlegen!
Also dass du einen Rechner mit Adminzugang in deren Netzwerk stellst, alle Sicherungen der Freifunkfirmware umgehen kannst, und dementsprechend auch quasi unbeschränkten Zugriff auf das lokale Netz hast! Wenn der Betreiber das nicht versteht, ist das Hinterlegen eines SSH-Keys definitiv nicht zulässig. (Dafür hat zB der VfN NRW hier schon ordentlich Mecker gekriegt)
Das ist die Quintessenz auch meines Textes oben, der Rest ist nur Geschwurbel zur Präzisierung, was tatsächlich gemacht werden soll und darf. (Weil „Ich kann alles in deinem Netz machen, und dich hacken wie ich lustig bin, mach ich aber schon nicht“ niemand unterschreibt 
)
1 „Gefällt mir“
Hallo Nicolai,
hat der Jurist schon Zeit gehabt, den Entwurf mal zu prüfen?
Ich glaube, einige warten sehnsüchtig darauf.
Vielen Dank
Freifunk-Grüße
von Arno
1 „Gefällt mir“
Da man der Freifunk-Firmware keine Fehlerfreiheit unterstellen kann, ist es IMHO geboten, den Freifunk-Router an ein vom Intranet des Betreibers abgeschottetes Gästenetz anzuschließen. Viele Internet-Router können das schon von Hause aus.
Bei Firmen ist sowas wg. Datenschutz IMHO sehr wichtig. Man stelle sich vor, ein Freifunk-„Admin“ (oder sein WG-Mitbewohner) hackt sich ins Intranet einer Ärztepraxis. Diese Schlagzeilen möchte ich nicht lesen. Deshalb sollte es abgesehen von Einzelfällen, wo ein Einbruch weitgehend folgenlos wäre, gängige Praxis sein, einen vom Intranet getrennten Gästezugang des Internet-Routers als Uplink zu verwenden.
Wer dann per ssh auf die Router kann, ist nicht in der Lage ins Intranet des Aufstellers einzudringen.
Ich denke mal, Du suchtest diesen Thread:
(Hier geht es um die Einverständniserklärung für den Remotezugriff per SSH, nicht um Gastnetze, DMZ oder Routerkaskaden.)
Nein, es wurde in diesem Thread auch angesprochen, dass man bei ssh-Zugriff auf den Freifunk-Router auch potentiell auf das Intranet des Aufstellers zugreifen kann. Eben das sollte man durch Verwendung eines Gästenetzes für den Uplink generell ausschließen, nicht nur bei Arztpraxen.
Adorfer stellt auch nicht in Frage, dass sowas Sinnvoll ist. Es ist halt nicht Schwerpunkt von diesem Thread, sondern wird primer u. a. in dem verlinkten behandelt. Also hier leicht Off-Topic
-
wenn die Firmware mit Autoupdate richtig gemacht ist, entfällt Notwendigkeit für PW für SSH.
Beispiel Wupper -
ich bin strikter Gegner von SSH Zugriff auf FF Routern, aus rechtlichen Gründen.
-
wenn es schon gemacht werden und in ein schriftliches Dokument aufgenommen werden soll, dann muss dieses UNBEDINGT von einem fachlich versierten VOLLJURISTEN (mit Haftung) formuliert werden. Also ein honorarpflichter Auftrag (nach BRAGO). Der Verein hat keinen Vertragsjuristen, der das übernehmen könnte.
JEDER Formulierungsversuch durch juristische Laien birgt die immense Gefahr in sich, sich in einer rechtlichen Sicherheit zu wähnen, die im Ernstfall nicht besteht.
Nachtrag: im Übrigen schliddern diejenigen,die hier Formulierungsvorschläge diskutieren, hart an der Grenze zu unerlaubter Rechtsberatung, was u.U. teuer werden kann.
Rechtsberatung Haha
Hier wird diskutiert und nicht beraten! Niemand berät hier irgendwen was er machen soll! Hier wird sich lediglich ausgetauscht. Was jemand in solche Dokumente schreibt ist sein Bier und das muss er für sich entscheiden!
Generell ist der SSH Zugriff ein SEHR wichtiges und gutes Hilfsmittel. Ich wüsste garnicht was ich ohne SSH Zugriff machen würde
1 „Gefällt mir“
lach ruhig, ich geb hier nur einen Hinweis. Für Leute, die nicht so selbstsicher sind und vielleicht erst mal eine Rückversicherung wollen, aber Da Du ja Fachjurist bist …
Das ist natürlich das Mittel der Wahl, falls möglich. Bei Fritzboxen usw. z.B. kein Problem.
Aber: Meist gibt es diese Möglichkeit nicht.
In den meisten konkreten Fällen war es in meinem Fall bisher so, dass Unitymedia-Boxen von Technicolor vorhanden waren, an die der FF-Router angeschlossen wurde. Da gibt es so etwas gar nicht. In Folge ist jedoch meist auch kein relavantes privates Netz vorhanden, da bisher ebenfalls lediglich verschlüsseltes WLAN zur Verfügung gestellt wurde. Das war’s.
Für den Fall Arztpraxen gilt dies natürlich wiederum nicht; das ist ein ganz anders gelagerter Fall, wo ein wirklich abgeschotteter Zugang ungleich bedeutsamer wäre.