Abmahnungen erhalten und jetzt rausfinden wer geladen hat

[Darkcloud]

Folgendes Problem, Gestern und Heute traf jeweils eine Abmahnung von Waldorf Frommer wegen uploads über Bittorent ein. Jetzt ist die Frage, wie genau find ich raus wer hier im Haus (oder aus der Nachbarschaft oder alternativ über externen Zugriff) daran Schuld war?

Was mich an dem ganzen stuzig macht, ist das jeweils ein Port angegeben war der definitiv im Router geschlossen war. Jetzt läd Torrent aber ja trotzdem hoch auch wenn man einen geschlossenen Port angegeben hat. Da ist die Frage ob da nicht doch eine geringe Datenmenge durch den geschlossenen Port durchkommt oder ob das ganze über einen Ausweichport läuft.

Alternativ besteht die Möglichkeit das der port außerhalb irgendwo noch mal weitergeleitet wird und dass was dort bei der Anwaltskanzlei aufgezeichnet wurde gar nicht mehr der Port ist über den es hier raus ging.

Wenn es ein Virus oder Keylogger war müsste der trotzdem ja den Port erst mal im Router freigeben (Speedport w723v) und die Regel dort später wieder gelöscht haben damit er über den Port laden kann. Klingt auch irgendwie unwahrscheinlich.

Bleibt sonst nur die Möglichkeit das sich irgendwer zugang zum Wlan hier verschafft hat und von dort aus dann auch auf den Router.

 

[gelöschter Benutzer]

Es besteht auch die Möglichkeit, dass die Abmahnung einfach frei erfunden ist.

Ich sollte mit 14 mal angeblich 3 Filme aus dem Netz geladen haben und 130€ bezahlen – hatte von keinem der Filme jemals etwas gehört. Mein Vater auch nicht und meine Schwester ist zu dumm für Bittorrent.

 

[Darkcloud]

Könnte eigentlich sein. Nur ist da auch der Beschluss vom Landgericht Köln zu finden. Außerdem scheint Waldorf Frommer das neue Pro Media zu sein. Ein Anwalt ist auch schon eingeschaltet aber trotzdem geht es mir momentan eben darum rauszufinden wer da nun über das Netz hier geladen hat um weitere Vorfälle zu unterbinden.

 

[thom53281]

Bleibt sonst nur die Möglichkeit das sich irgendwer zugang zum Wlan hier verschafft hat und von dort aus dann auch auf den Router.

War auf dem Router WPS aktiviert und hat sich der WLAN-Schlüssel innerhalb der letzten 3 Jahre nicht geändert? Falls ja, ist das Szenario sogar sehr realistisch. Jemand, der damals Dein WLAN evtl. gehackt hat, hat auch Zugriff auf den WLAN-Schlüssel erhalten. Das Routerpasswort herauszufinden, ist nur noch eine Frage der Zeit, ist ja ziemlich billig (nur Zahlen).

Deshalb unbedingt den WPS-Müll deaktivieren und den WLAN-Schlüssel ändern. Letzteres sollte sowieso regelmäßig geschehen, z. B. halbjährlich oder jährlich, vor allem wenn man auch gelegentlich Geräte von Fremden einbindet.

Außerdem gibt es in der Tat auch Malware, die unsichere Router befällt. Den W723V würde ich zwar nicht direkt als unsicher ansehen, aber auch das ist mittlerweile denkbar.

 

[Schattenfresser]

Was mich an dem ganzen stuzig macht, ist das jeweils ein Port angegeben war der definitiv im Router geschlossen war. Jetzt läd Torrent aber ja trotzdem hoch auch wenn man einen geschlossenen Port angegeben hat. Da ist die Frage ob da nicht doch eine geringe Datenmenge durch den geschlossenen Port durchkommt oder ob das ganze über einen Ausweichport läuft.

Du weißt nicht wirklich was ein Port ist oder?

Jetzt ist die Frage, wie genau find ich raus wer hier im Haus (oder aus der Nachbarschaft oder alternativ über externen Zugriff) daran Schuld war?

Einfach mal in deiner Familie fragen. Aber ist das denn wichtig? Der Anschlußinhaber wurde als Störer abgemahnt. Wer's wirklich war interessiert da wenig.

 

[BurnerR]

Hmm bei WGs und Familien gilt das aber mit der 'personellen' Störerhaftung doch gar nicht, oder?
Wenn die ganze Familie den Anschluss verwendet kann nicht generell der mit der Unterschrift abgemahnt werden, so habe ich das noch im Kopf.

 

[Schattenfresser]

Also es ist etwas komplizierter. Und die Familienverhältnisse von Darkcloud kenne ich nicht.

 

[Kraeuterdude]

Normalerweise ist die Firewall im Router doch so ausgelegt, dass man nur eingehende Ports blockiert oder freischaltet und keine ausgehenden oder täusch ich mich da?
Das hieße, dass auch kein Port freigegeben werden muss für Uploads.

 

[Darkcloud]

@thom53281: WPS war aktiviert, die Verschlüsselung selbst ist WPA2. Jetzt habe ich allerdings WPS auf jeden Fall deaktiviert, egal ob die Lücke da speziell noch aktiv ist oder nicht. Außerdem eine MAC Sperre eingerichtet. Routerpasswort geändert.

@Schattenfresser:
Es ist insofern wichtig um zu verhindern, dass das nochmal passiert und ja ich weiß was ein Port ist. Die Frage ist nur, ist der Port der in der Abmahnung angegeben ist wirklich der Port über den hier hochgeladen wird? Wenn ja kann es sein, dass der Port dort trotzdem auftaucht auch wenn er geschlossen ist da.
@Kraeuterdude Ok jetzt bin ich ehrlich gesagt erst mal verwirrt. Richtig nur ausgehende Ports sind blockiert aber der upload über den Port bedeutet ja, dass die andere Seite über eine eingehende verbindung downloadet, die wird dann geblockt.

Die Frage ist, kann der Port auf der Abmahnung auftauchen obwohl er gesperrt ist, eventuell einfach nur weil es deren eingehender Port ist und gar nicht der hier ausgehende oder eigentlich nicht? Aus der Familie bliebe eigentlich nur mein Bruder, bei dem ich mir nicht sicher bin, ob er nicht lügt. Zumindest wenn es darum geht das ganze bewusst getan zu haben. Zu wissen ob der Port auf der Abmahnung auftauchen kann auch wenn er hier geschlossen ist würde eben helfen eventuell einiges ausschließen zu können. Wenn jemand auf den Router zugegriffen hat um eine Portweiterleitung zu erstellen müsste er die aber wieder gelöscht haben und die in der Abmahnung angegebenen Zeiträume liegen gut 2 Wochen auseinander. Im Speedport gibt es scheinbar leider keine Logs die weiter als einen oder maximal 2 Tage zurrückreichen.

 

[Bruder Mad]

Richtig nur ausgehende Ports sind blockiert aber der upload über den Port bedeutet ja, dass die andere Seite über eine eingehende verbindung downloadet, die wird dann geblockt.

Warum sollte eine eingehende Verbindung an einem fremden Rechner geblockt werden, nur weil du den entsprechenden Port bei dir geblockt hast?

 

[Darkcloud]

@Neo: die Frage ist, ist der Port der in der Abmahnung angegeben ist, deren ausgehender bzw muss der Ausgehende Port bei mir der gleiche sein wie deren Eingehender. Wenn die bei mir auf port x zugreifen wollen um was zu laden, ist deren verbindung ja die Eingehende, also die die geblockt wird wenn der Port geblockt ist.

 

[Bruder Mad]

Nö...

http://bittorrent-faq.de/#ss2.2

 

[Darkcloud]

Gut, ist die Frage ob die da jetzt dort den Eingehenden oder den Ausgehenden Port angeben. Wenn die einfach nur den bei ihnen eingehenden Port angegeben haben dann wäre das ganze eh ohne Routerzugriff möglich gewesen.

 

[Bruder Mad]

Ich frage mich gerade eher, warum die überhaupt einen Port angeben?

 

[thom53281]

WPS war aktiviert, die Verschlüsselung selbst ist WPA2. Jetzt habe ich allerdings WPS auf jeden Fall deaktiviert, egal ob die Lücke da speziell noch aktiv ist oder nicht.

Die Lücke ist schon seit Jahren nicht mehr aktuell. WPS sollte dennoch wegen der allgemeinen geräteunabhängigen Unsicherheit deaktiviert werden. Edit: Mit "geräteunabhängiger Unsicherheit" meine ich dabei vor allem die PIN-Methode, die viel zu leicht zu knacken ist. Bei der Pushbutton-Methode ist derzeit kein Router bekannt, wo sie nachweislich unsicher ist, aber ich würde sie ebenfalls abschalten wenn sie nicht genutzt wird (unter anderem weil schon manche Hersteller da geschlampt haben).

Was ich aber eigentlich meinte: Jeder, der damals über die Lücke Deinen Router gehackt hat, hat auch automatisch damals Deinen WPA2-Schlüssel erhalten. Benutzt Du also den WLAN-Schlüssel von damals bis heute, musst Du davon ausgehen, dass den Schlüssel damals jeder auslesen konnte (mit dem entsprechenden Know-How). Es kann daher sein, dass z. B. jemand Dein WLAN bereits seit 3 Jahren mitbenutzt und Dir das erst jetzt auffällt. Du solltest also unbedingt den WLAN-Schlüssel auch ändern, wenn sich der seit 3 Jahren nicht geändert hat.

 

[accC]

Wenn man von aktuellem Rechtsstand ausgeht, musst du nur glaubhaft in Frage stellen können, dass du (Anschlussinhaber) für den Upload verantwortlich ist, zum Beispiel, wenn du Mitbewohner hast, die zum fraglichen Zeitpunkt ebenfalls Zugriff auf das Netzwerk hatten. Dann muss effektiv Waldorf Frommer nachweisen, welcher Nutzer die Urheberrechtsverletzung begangen hat. Da sie das nicht können, wird sich die Abmahnung im Sande verlaufen. Du solltest dir aber einen Fachanwalt suchen, der das für dich (rechtssicher) gegenüber Waldorf Frommer kommuniziert.
Falls du Fragen hast, melde dich gerne per PN.

--- [2015-01-31 20:16 CET] Automatisch zusammengeführter Beitrag ---

Zum technischen Aspekt:

Wenn du Ports auf deinem Router sperrst, dann heißt das, dass der Router alle Pakete, die über diese Ports laufen verworfen werden, anstatt sie weiterzuleiten.
Allerdings erlauben einige Router, dass angeschlossene Clients automatisch Firewallregeln einbringen dürfen. So kann der Bittorrentclient eines Rechners dem Router mitteilen "ich brauche den Port XY" und der Router gibt diesen Port anschließend frei.
Ob das bei dir der Fall ist, weiß ich natürlich nicht.

Zu bittorrent und Ports kann ich dir nichts sagen, ich habe mich damit noch nie auseinander gesetzt, der Torrent-Trend ist vollkommen an mir vorbei gegangen.
Allerdings könnte ich mir vorstellen, dass auch bei bt Ports dynamisch gesetzt werden können und da kommt bspw 80 oder 8080 in Frage.

 

[Schattenfresser]

Und ja ich weiß was ein Port ist.

Nein weißt du nicht.
Du glaubst ein Port wäre eine Tür durch die irgendwas durch müsste.
Vergiss das mit dem Port. Ist absolut bedeutungslos.
Wenn du wissen willst wer es war musst du dem Router beibringen das mitzuloggen und diese Logs auswerten.
Rückwirkend geht das natürlich nicht.
Alternativ.. hat jeder einen eigenen Rechner? Dann einfach schaun auf welchem Rechner ein BT client installiert ist und ob dort auch Nutzdaten liegen.

Für die juristische Seite müsste man etwas mehr wissen:
Wie sind die Familienverhältnisse des Abgemahnten? Minderjährige Kinder im gleichen Haushalt? Volljährige Kinder/Mitbewohner im gleichen Haushalt?
usw.
Eine Täterschaft kann man in den meisten Fällen glaubhaft bestreiten. Die Störerhaftung zu entkräften ist schon etwas schwieriger. Aber zumindest um die Schadensersatzforderungen des Rechteinhabers kommt man so herum. Bleiben noch die Abmahnkosten und der Aufwendungsersatz.

 

[Baer]

Hey ihr beiden Vorposter. Eure wahnwitzige Rechtsberatung ist hier nicht gefragt.
Lest den Faden in Ruhe noch einmal und setzt euch bitte nur mit der Technik auseinander.

Gruß
Baer

 

[braegler]

Allerdings erlauben einige Router, dass angeschlossene Clients automatisch Firewallregeln einbringen dürfen.

Der BT Klient eröffnet ja die Verbindung nach aussen, und dann steht auch schon die NAT Session (wäre das nicht der Fall, müsste man für jedes Onlinegame [meist UDP] eine neue FW Forwaring Rule erstellen.)
Gerade bei z.B. Quake 3 basierenden Games ist es so, dass die Applikation über einen, mehr oder weniger zufällig gewählten, Port seine Pakete zum Gameserver sendet. Die Antworten werden dann dank der erstellten NAT Session an den PC weitergeleitet, von welchem die Pakate kamen.
Nur wenn man einen Gameserver @home hostet, muss man diesen als Ziel im Port-Forwarding im Router anlegen. Denn da kommt das erste UDP Paket ja aus dem WAN und der Router hat dazu noch keine Session.
Das Prinzip der NAT Sessions ist auch der Grund dafür, dass man z.B. bei TeamViewer, im Gegensatz zu VNC, keinen Eingriff in den Router vornehmen muss.

 

[Darkcloud]

Also zur rechtlichen Seite, ein Anwalt ist schon von Anfang an eingeschaltet. Es geht mir vor allem darum, zu verhindern, dass so etwas noch einmal vorkommt.

Der einzige der hier von der Familie in Frage käme, dass bewusst gemacht zu haben ist eben mein Bruder, der leider Windows vor ein paar Tagen neu installiert hat. Alternativ noch einer seiner Freunde der regelmäßig da ist. Sonst wäre nur ein Virus oder jemand der sich auch ins Netz eingeklinkt hat möglich.