NRW: Verwaltung positioniert sich gegen Freifunk?

Moin,

der Antrag der Opposition im Gütersloher Rat, die lokale Freifunk-BI zu unterstützen, führt nun zu einem Vorschag der Verwaltung, das österreichische »free-key«-System zu beauftragen. So weit, so unschön.

Irritierend finde ich folgende Aussagen:

Betätigung der Stadt

Nach Information der Kommunalen Gemeinschaftsstelle für Verwaltungsmanagement (KGSt) ist die Befugnis einer Stadt zur Betätigung auf dem Gebiet des Freifunks rechtlich vor dem Hintergrund des § 107 GO NRW (wirtschaftliche Betätigung) fraglich.

[…]

Empfehlungen des Städte- und Gemeindebundes NRW (StGB NRW) und der KGSt

Der Arbeitskreis IT des StGB NRW empfiehlt dringend die Verwendung einer rechtssicheren Lösung, bei der sich die Benutzer registrieren bzw. anmelden müssen, um den heutigen und erwarteten künftigen gesetzlichen Anforderungen zu genügen.

Die KGSt spricht auf dem Fachforum am 24.03.2015 in Dortmund die dringende Empfehlung an die Kommunen aus, aus rechtlichen Gründen keine Bestrebungen in Richtung des Freifunks zu verfolgen. Es wird angeraten, sich des Marktes zu bedienen, dort gäbe es Anbieter rechtssicherer und praxiserprobter Lösungen. Angeraten wird konkret die Kooperation von z.B. Stadtwerke, Netzgesellschaft, Stadtmarketing und einem Anbieter einer kommerziellen Lösung, so dass sich insbesondere haftungsrechtliche, vergaberechtliche und kommunalrechtliche Fragen für die Verwaltung nicht stellen.

Fragen in die Runde: hat jemand nähere Infos zu dieser Empfehlung der ›KGSt‹ und der des Städte- und Gemeindebundes NRW, auf die unsere Verwaltung sich bezieht?

Und kann mir jemand erklären, was »ist die Befugnis einer Stadt zur Betätigung auf dem Gebiet des Freifunks rechtlich vor dem Hintergrund des § 107 GO NRW (wirtschaftliche Betätigung) fraglich« heißen soll?

MfG,
-kai

Die wurden bestimmt von Telekomlobbyisten beauftragt, so einen Unsinn zu verbreiten. :wink:

Gem. § 5 JMStV (Jugendmedienschutz-Staatsvertrag) dürfen Minderjährige keinen Zugriff auf entwicklungsbeeinträchtigende Angebote erhalten. Da diese Zielgruppe jedoch heute schon in großer Anzahl mit entsprechenden internetfähigen Geräten ausgestattet ist, muss sichergestellt werden, dass entsprechende Angebote in einem frei zugänglichen Wlan inhaltsgefiltert werden. Dies ist bei Freifunk nicht der Fall.

Ach… Heute hat aber auch jeder jugendliche eine Internetsimkarte oder nutzt den Internetanschluss der Eltern (welcher oftmals nicht gefiltert ist)

Für mich wirkt das wie eine künstliche Schlechtmachung. Schlimm.

Man müsste sich eigentlich Mal von einem einzigen solcher Anbieter ein Gerät schicken lassen und dann beides Vorführen, also Freifunk versteht sich zum Vergleich.

Dann merkt jeder Volldepp, dass niemand diese kommerziellen Systeme nutzt, weil sie einfach ätzend zu bedienen sind.

so dass sich insbesondere haftungsrechtliche, vergaberechtliche und kommunalrechtliche Fragen für die Verwaltung nicht stellen.

also offensichtlich ein Kommunikationsfehler. Wenn FF richtig kommuniziert wird, stellen sich diese Fragen gar nicht, weil die Kommune für gar nichts Betreiber ist, nur ein Router von FF irgendwo hinstellt bzw, dessen Hinstellen irgendwo erlaubt.

Wenn aber einmal falsch kommuniziert, ist es fast unmöglich, davon wieder weg zu kommen.
Man kann dann nur auf andere Städte verweisen (mit konkreter Benennung des jeweiligen Ansprechpartners), die FF haben und einfach mal empfehlen, die dort Zuständigen zu kontaktieren. Schliesslich ist die Rechtslage für alle ja gleich und die anderen Städte mit FF haben ja nicht etwa Idioten als Juristen.

Hattet Ihr denn Gelegenheit Freifunk selber vorzustellen?

Kommt mir sehr merkwürdig vor. Allerdings nehme ich auch einen Task mit aus dem Post: wenn der obige Einwand kommt zu wissen was das ist und ein Set haben wie wir (FF) dazu steht / stehen.

Wieder was gelernt.Auf die die Aua-Tour.

Yepp; das (fehlende Filter) ist natürlich ein ›Problem‹, wenn man es zu einem machen will. Kann denn jemand was fundiert dazu sagen, ob diese Herleitung Hand und Fuß hat? (Ich vermute ja nicht, sonst müßte das für Telekom & Co., im WLAN wie im Mobilfunknetz, ja auch gelten.)

[quote=„Markus, post:2, topic:4440“]
Für mich wirkt das wie eine künstliche Schlechtmachung.[/quote]

Yepp, schreit nach Gegendarstellung. Wir sind ja schein’s nicht die ersten, die in der Verwaltung so ihre Steine im Weg finden …

Ich weiß nicht; angeblich soll der »free-key«-Kram ja nach einmaliger Registrierung immer wieder funktionieren; das hieße, die MAC würde whitelisted, und bekäme automagisch nach „Wiedereinwahl“ nach dem 3-Stunden-Limit eine (neue) IP. Sofern das so stimmt, wäre es aus Nutzersicht gut nutzbar (und die Sinnhaftigkeit des 3-Stunden-Limits fraglich).

[quote=„Pinky, post:4, topic:4440“]
also offensichtlich ein Kommunikationsfehler. Wenn FF richtig kommuniziert wird, stellen sich diese Fragen gar nicht, weil die Kommune für gar nichts Betreiber ist, nur ein Router von FF irgendwo hinstellt bzw, dessen Hinstellen irgendwo erlaubt.[/quote]

Naja. Auf die Frage, wie man uns denn untersützen könnte, sagt das Protokoll:

Wie kann die Stadt Gütersloh die Freifunkinitiative Gütersloh unterstützen:
  1. Nicht dagegen sein

  2. Ressourcen (Strom, Gebäude, Internetleitungen) zur Verfügung stellen.

  3. Bezahlen von Geräten

Mit Verlaub, Du warst nicht dabei, und Deine Schlußfolgerung greift nicht.

Die Verwaltung sieht sich offensichtlich, imho gar nicht so falsch, als Teil des Freifunks, wenn sie Knoten kauft und aufstellt/aufstellen läßt. Inwiefern »vergaberechtliche und kommunalrechtliche Fragen« in dem Kontext bleiben, wüßte ich gerne — ÖR ist ja ein nicht kleiner Teil des Jurastudiums IIRC, also mag das ja durchaus komplex sein, wenn die Stadt nicht einfach Mittel einem Verein geben kann. Falls das die Hürde sein sollte, ist der Förderverein allerdings schnell gegründet …

[quote=„FxFx, post:5, topic:4440“]
Hattet Ihr denn Gelegenheit Freifunk selber vorzustellen?[/quote]
Wir hatten den Eindruck, man hat sich durchaus vorab die Mühe gemacht, sich zu informieren (u. a. via MABB-Broschüre); wir haben darauf aufbauend ganz kurz Freifunk als dezentrale Bewegung sowie das lokale Setup beschrieben. Im konkreten Fall wäre wohl die Gütersloh Marketing GmbH (Vertreter war anwesend) analog dem Arnsberger Verkersverein als Beschaffungs- sowie Aufstell-/Verteilinstanz zu sehen.

Wir wußten „eigentlich“, was kommen könnte (Vorbereitungsgespräche von dem Termin helfen ;)), der einzige wirkliche Knackpunkt sind „die armen Kinder“ (bitte von der Leyen-Stimme und -Habitus denken), denn filtern wollen wir nicht, und wir verweisen da auf die nötige Medienkompetenz der Schüler als auch auf die Aufklärungsfunktion der Eltern. Daraus wurde dann:

Entwicklungsbeeinträchtigende Angebote (z.B. Pornografische Seiten, usw.) können im Freifunk von Jugendlichen eingesehen werden. In diesem Zusammenhang wird auf die Medienkompetenz der Jugendlichen verwiesen

Kann man so formulieren … Nun gut.

Anyway …

Wer die Ratsinfo-Links sich angetan hat, wird feststellen, daß der initiale Antrag wie folgt lautete:

Die Verwaltung möge prüfen, wie die Initiative Freifunk Gütersloh in ihren Bestrebungen, ein stadtweites, drahtloses Netz aufzubauen, unterstützt werden kann.

Und der Erganzungsantrag der Opposition lautete:

1. Die Verwaltung wird beauftragt, durch den Netzbetreiber Regio IT den Port 10.000 freizuschalten, umso die Voraussetzung zu schaffen, dass Freifunk Gütersloh an dem Netz der Stadt Gütersloh betrieben werden kann.
2. Zeitnah soll zusammen mit der Bürgerinitiative Freifunk Gütersloh die Versorgung des Rathaus (insbesondere der öffentlichen Wartebereiche wie z. B. das Bürgerbüro) sowie der Kulturräume realisiert werden.
3. Des Weiteren soll geprüft werden, welche zusätzlichen städtischen Standorte - auch in der Nähe von oder in den Unterkünften für Flüchtlinge und Asylanten - sich für eine kurzfristige Realisierung eignen.

Wie daraus nun ein Vorschlag, ein von der Stadt bezahltes offenes WLAN eines Anbieters aus dem EU-Ausland entlang zweier Achsen zu bestellen wurde, überrascht denn auch die Antragsteller aus der lokale Politik :wink: Ich hoffe, die Sitzung am 27.04. wird interessant.

tja, da hat man sich wohl selbst ins Knie geschossen; denn genau das darf eben nicht sein!

Anschlüsse von Behörden, Ärzten, Banken, etc.etc. dürfen NICHT benutzt werden!
Diese müssen für FF einen extra, nur für FF reservierten Internetanschluss haben!

Also wirklich völlig falsch kommuniziert.

Edit:
den Jugendschutzaspekt anzuführen ist natürlich immer ein Totschlagargument, aber dann muss die Rückfrage erlaubt sein, ob/wie man das bei anderen Hotsports (Bahnhof, Restaurant, etc.) denn überwacht, oder - noch radikaler gefragt - wie man das bei der Vergabe eines Internet per UMTS/Mobil denn kontrolliert.
Jeder Piefke kann sich eine Chip holen und damit 24h surfen, und da wird der Einwand nicht geäussert. Also gilt Kommerz vor Jugendschutz ?

Edit 2:
hat jemand Connection nach Stadt Aalen ?
wird ja bei http://www.free-key.eu/news.php als Referenz aufgeführt.
So weit ich das sehe, ist das genau die Variante, die unser Innenminister für Voratsdatenspeicherung wünscht: Einlog-Maske mit Erhebung der Userdaten.

Ich befürchte, um eine solche Firnware-Version werden wir langfristig auch nicht drumrum kommen, wir haben nur die Chance, das intelligenter zu machen (einmal rein, immer drin z.B.)

Hast Du eine Quelle für diese steile These?

Bei den Behörden ist das definitiv der Fall. Nichtmal ne VLAN Trennung ist da erlaubt. Ja nicht mal gemeinsame Patchfelder, falls man da nen eigenen Anschluss haben könnte. Aber auch nur Hörensagen was ich hier jetzt schreibe. Mir wollte mal jemand ein Dokument dazu geben. Muss ihn nochmal anhauen.

Ich kann von Berufswegen her, etwas dazu beitragen.

  • Vor einigen Jahren habe ich ein Campus-umspannendes WLAN an einer städt. Hauptschule betreut. Verwaltungsnetz und für andere zugängliches Netz müssen physikalisch getrennt sein. Schuld daran ist das Schulgesetz in NRW, was diesbezüglich noch wesentlich strenger als die Datenschutzbestimmungen ist. Das führte in obiger Schule soweit, dass der Schulleiter zwei PCs in seinem Büro hatte. Einen im Verwaltungsnetz mit Schmalband-Internet (damals 128k ISDN Dialup) und einen im Campus-weiten Netz (inkl. der Computerräume, des WLAN und Internet via DSL). Die einzige Ausnahme die damals gemacht wurde, war der Druckserver in der Verwaltung. Dieser hatte eine NIC in beiden Netzen, wobei damals auch nicht abschließend zu klären war, ob das rechtlich einwandfrei ist.

  • Ich betreue IP PBX Systeme in Krankenhäusern (zB. Radiologie Grevenbroich) und Arztpraxen. Auch hier sind Praxisnetz und sonstige Netze strikt physikalisch voneinander getrennt zu führen. Das führt im Fall der Radiologie zu drei Netzen (Praxisnetz, Surfnetz, VoIP-Netz). Der Grund dafür ist, dass jedes Gerät, was in einem medizinischen Netzwerk hängt, den selben Zertifizierungen und Freigaben wie die medizinischen Geräte unterworfen ist. Das kann und will kaum einer für simple Netzwerkhardware oder eine Telefonanlage leisten.

Ich vermute bzw. befürchte für andere Behörden gelten nicht andere Vorgaben, da diese durch die kommunalen Netze ja auch Zugriff auf besonders schutzwürdige Daten haben.

1 Like

Danke. Beide Fälle kann ich nachvollziehen, kenne das Ansatzweise von Vaddern aus NDS. Die Schulverwaltung hatte seinerzeit einen gesponsorten ISDN-Anschluß (EWETEL), der Computerraum einen gesponsorten T-DSL-Anschluß (6 MBit seinerzeit). Wobei es damals eine solche Vorgabe zur Trennung nicht gab; theoretisch macht sie Sinn, praktisch aber eben auch nicht. Sicher, das sicherste Netz ist jenes ohne Zugang, aber irgendwo sollte die Kirche auch im Dorf bleiben. Wir sind nicht mehr in Zeiten von Wargames, mal ganz davon ab, daß dt. Schulen eher noch nicht einmal bei Wargames angekommen sind …

Bzgl. Arztpraxen würde mich die entspr. Richtlinie interessieren, denn wir haben mittlerweile auch Praxen an Bord – wobei dort immer in Absprache mit dem lokalen IT-Dienstleister verfahren wird.

[quote]
Ich vermute bzw. befürchte für andere Behörden gelten nicht andere Vorgaben, da diese durch die kommunalen Netze ja auch Zugriff auf besonders schutzwürdige Daten haben.[/quote]

Nunja. Wir sprechen hier ja nicht vom Studentenwohnheim-LAN. Diese kommunalen Netze kosten ein Heidengeld, auch, weil an jedem Auslaß eine Firewall/ein Paketfilter hängt. Klar: wenn der Betreiber für die Sicherheit nicht gradestehen kann oder will, kann man keine Freifunk-Knoten in das Netz hängen. Dies zu attestieren wäre aber die Aufgabe der Verwaltung gewesen, der Auftrag lautete: »Die Verwaltung wird beauftragt, durch den Netzbetreiber Regio IT den Port 10.000 freizuschalten, um so die Voraussetzung zu schaffen, dass Freifunk Gütersloh an dem Netz der Stadt Gütersloh betrieben werden kann.« Ein »das geht nicht, weil …« wäre vollkommen ausreichend.

Nur: genau diese Aussage wird eben nicht getroffen (weil eben technisch und rechtlich das durchaus vereinbar ist; es wird ja auch im Rathaus nicht 1 physisch separatiertes Netz je Büro gefahren); Standes- und Einwohlermeldeamt teilen sich schon eine physikalische Infrastruktur, über die auch noch andere Bereiche versorgt werden …

Danke für die Wortmeldung, aber ohne Quelle eher nicht zielführend :frowning:

Naja, im Grunde brauchst du nur den BSI Grundschutz Kataloge heranziehen, wo ja die Gefahren dargestellt sind. Verantwortliche der Kommunalen Verwaltung erstellen daraus dann für ein bzw. ihr Ressort einen verbindlichen Maßnahmen Katalog, und da kann dann z.B. drinne stehen, ein Verbinden von Fremdgeräten ist untersagt.

Vorschlag BSI zu dem Thema Unzulässige Kabelverbindungen: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/g/g03/g03004.html

Meines Wissens hängt der Router bei uns im Rathaus im gleichen Netz und es musste auch kein Port freigeschaltet werden oder sonstiges…

In der Schule kümmert sich niemand darum was da für Geräte eingesteckt sind, solange nicht „offiziell“… Und wenns auffliegt wars auf einmal niemand. So einfach ist das.
Erst wenn man auch nach Erlaubnis fragt, kriegt man auch ne Abfuhr.

1 Like

Also jede Kommune muss in irgendeiner Weise mit übergeordeneten Behörden Daten austauschen. Stell dir beispielhaft vor, du ziehst von an A nach B. Dafür gibt es ein Behördennetz. Um Zugang hierzu zuerlangen, muss die Behörde die Netzwerksicherheit sicherstellen. Jede beteiligte Institution/Behörde/Verwaltung lässt sich das natürlich bestätigen.

Letztendlich ist jede öffentliche Einrichtung verpflichtet die ihr anvertrauten Daten bestmöglich zu sichern.
Es gibt Behörden die das ganz genau sehen, auch gegenüber anderen Behörden.
Anderen sind kulanter und schauen sich an was wir machen.

Letzens in dem thread zu thema Arztpraxis https://forum.freifunk.net/t/sicherheitsaspekte-beim-aufstellen-von-freifunk-routern/933/1 hat keiner wiedersprochen, das dort ein eigener Anschluß Sinn macht.
Wenn die Patientandaten so wichtig sind, ach nein es waren ja die Softwarefirmen die das forderten, dann sollten echte Personen(stands)daten usw. ein viel höheres Gut sein.
Die Infrastruktur wie Gebäude und Strom zu nutzen ist ok. Beim Internet sollte man sich sehr sicher sein was man tut, speziell mit dem Thema Updatesicherheit oder Fehlbenutzung von LAN/WAN-Ports. Ich vermute unsere Firmwareentwicker haben besseres zu tun als (schriftlich) Garantien abzugeben.

eben, das ist die Krux.
Viele ignorieren Sicherheitsvorschriften, sei es aus Unwissenheit, sei es aus Bequemlichkeit, sei es aus Kostengründen.
Deswegen hängt alles davon ab, wie das kommuniziert wird, und zwar vorher, bevor irgend einer anfängt, dumme Fragen zu stellen oder dumme Anträge (auch wohlgemeinte können dumm sein) zu stellen.
Alleine, weil dann der „Selbstschutz-Reflex“ stattfindet: besser alles verbieten / nichts machen, als was Falsches.
Also immer alles im Vorfeld bereits klären, bevor der Zug in die falsche Richtung fährt.

In diesem Falle bedeute das, weil der Zug bereits abgefahren ist, nun die Weiche so stellen, dass man klar macht, es geht ohne irgendeine Haftung eben mit einem separaten Anschluss, die € 30,- sollten das der Stadt wert sein.
Wenn das dann richtig rübergebracht wird, ist die Kuh vom Eis.

(und mal ganz hart ausgedrückt: wenn die Stadt keine € 30,-/Monat dafür hat, dann soll sie die Finger von allem lassen; denn mit einem privaten Anbieter reichen € 30,- eh nicht, bringen aber auch keine Mehrsicherheit)

Den Internet Uplink zu teilen ist das eine … aber geräte ohne richtige Kontrolle ins lan zu haengen das andere.
Sowas gehoert im Datenschutz bedenklichen bereichen immer in die DMZ oder in ein getrenntes LAN.
Keiner weiss war bei Updates etc passiert. Wir sind alle nur menschen! Und nicht zu gefahr des Datenabgriffes ist da sondern auch die Stoerungs des Internen Vetriebes (z.B. aus versehen DHCP, LAN-WLAN Bridge, etc)
PS: sind pro Standort ca 20-30 Euro … fuer Internet fuer Freifunk …:slight_smile:

3 Likes

nein, denn wenn z.B. Fritzbox dazwischen ist und nicht Port 4 als Gast genutzt wird, sondern 1-3, oder, wie ich es aucvh gesehen habe, 1-4 am Switch gemeinsam mit intranet und dann FF dran, dann kann durch Änderung der Firmware im Zuge eines Autoupdates (man erinnere sich hier an die dazu sehr heftige Diskussion) sehr wohl ein Auslesen von Verkehrsdaten erfolgen, und damit bereits datenschutzrelevante Bereiche berühren.

Es muss nicht sein, dass Missbrauch stattfindet, es reicht, dass Missbrauch nicht auszuschliessen ist.

Also ist es wie schwanger: ein bischen gibts nicht.

keine Einrichtung hat eine Fritzbox da haengen … du hast immer LAN -> FIREWALL -> WAN X1 X2 X3
Behoerden … haben ja noch den DOI zugang und oft MPLS Verbund netzte …
Und eine Fritzbox macht auch nur eine nennen wir es mal DMZ wenn auch aktiv ist. Wichtig ist das ein FF Router nicht ins Lan (auf Layer2) und ins VPN kommt. Vgl. Auch die Praxis Diskussion …

1 Like

war nur ein Beispiel, und genau die von mir beschriebene Konfiguration kenn ich aus Behörden.