DSM 6.x und darunter Ausspionieren persönlicher Daten durch Synology Hersteller?!

[peterhoffmann]

Nachtrag, da ich die komplette E-Mail gerade weitergeleitet bekommen habe.

In der Einleitung der E-Mail steht noch:

In der deutschen Übersetzung für diese Passage ist eine wichtige Information verloren gegangen. Selbstverständlich ist uns Ihre Privatsphäre wichtig, darum greifen wir nicht auf Ihre Daten zu, wenn Sie es nicht möchten.
Ich habe die zuständigen Kollegen bereits darum gebeten die Informationen in der Hilfe diesbezüglich zu korrigieren.

 

[Arnie99]

"...greifen nicht auf Ihre Daten zu, wenn Sie es nicht möchten."

Ach wie gnädig...

Das Problem ist auch nicht der Datenzugriff durch Dritte. Mein Verständnis ist: DSM basiert auf Linux und da kommt so leicht kein Unbefugter rein. Das Problem ist doch in Wahrheit: was senden DSM und die Pakete VON SICH AUS an Synology, Amazon, Google und irgendwelche weiteren Dritt-Adressen?

Denn Synology lässt sich ja in den neuen Nutzungsbestimmungen vom Anwender dieses hier abnicken: „Für die Zwecke des Betriebs und der Bereitstellung des Synology Paketzentrums können wir auf Informationen, falls verfügbar, über Sie zugreifen oder diese offen legen, einschließlich der Inhalte Ihrer Kommunikation“

 

[MucMario]

Hallo,

dazu möchte ich noch anmerken, daß der (angeprangerte) Text nicht in der Hilfe steht, sondern in den Nutzungsbedingungen.

Das ist ein ziemlicher Unterschied; was die in der Hilfe schreiben, ist mir ziemlich egal, wenn jedoch die eine solche Passage...

"Datenschutzrichtlinie.

8.1. Für die Zwecke des Betriebs und der Bereitstellung des Synology Paketzentrums können wir auf Informationen, falls verfügbar, über Sie zugreifen oder diese offen legen, einschließlich der Inhalte Ihrer Kommunikation, um: (A) das Gesetz einzuhalten oder auf gesetzliche Anfragen oder gerichtliche Verfahren zu reagieren, (b) um die Rechte oder das Eigentum von Synology oder unserer Kunden und Paketentwicklern, einschließlich der Durchsetzung unserer Verträge oder Richtlinien zu schützen, die Ihre Verwendung von Synology Paketzentrum regeln; (c) nach gutem Glauben zu handeln, dass ein solcher Zugang oder die Offenlegung zum Schutz der persönlichen Sicherheit von Synology-Mitarbeitern, Kunden, Paketentwicklern oder der Öffentlichkeit erforderlich ist oder (d) um mit Ihnen Kontakt aufzunehmen in Bezug auf Probleme mit den Paketen, die Sie heruntergeladen haben."

Zu finden nochmals: https://www.synology.com/de-de/company/legal/package_center

steht, dann ist das ein brennendes Problem.

Ich habe Heise bereits angeschrieben, man schaut sich das nach eigener Auskunft gerade an (auch juristisch); vllt. hilft das ja bei der Bekanntmachung solcher unverschämter Bedingungen.

Stand seitdem: Alle ausser einem NAS nicht auf 6.1.1, Internet-Kommunikation jetzt nochmal extra überprüft und auch ausgehende Meldungen abgeklemmt. Damit aber kein Update der DSM oder Pakete, da ich die Bedingungen nicht akzeptieren kann.

Zur Not fliegen die alle aus dem Betrieb.

vg!

 

[losch]

Nachtrag, da ich die komplette E-Mail gerade weitergeleitet bekommen habe.

In der Einleitung der E-Mail steht noch:

Geht aus der Mail hervor, welche "...wichtige Information verloren gegangen..." ist?

 

[MucMario]

Hallo,

noch ein Update:

Der Service verweist mich auf die englische Seite, da ein Übersetzungsfehler vorliegt:

"Privacy Policy.

8.1. For the purpose of operating and providing Synology Package Center, we may access or disclose your contact information, in order to: (a) comply with the law or respond to lawful requests or legal process; (b) protect the rights or property of Synology or our customers and package developers, including the enforcement of our contracts or policies governing your use of Synology Package Center; (c) act on a good faith belief that such access or disclosure is necessary to protect the personal safety of Synology employees, customers, package developers, or the public or (d) to contact you regarding issues with the packages you have downloaded."

Das muss ich jetzt mal überlegen, inwiefern mich das beruhigt: Kleiner Übersetzungsfehler kann ja auch in die andere Richtung gehen! Und wo bitte wird denn meine Zustimmung zu genau DIESER Version gespeichert? Auf deren Server? Glaube ich nicht! Die muss ja fest an den Text gekoppelt sein oder aber: Wenn die den jetzt nachträglich ändern, verlieren alle Zustimmungen, die bereits erfolgt sind, ihre Gültigkeit. D.h. die müssten das versionieren und abspeichern.

Habe ich noch nie drüber nachgedacht - aber das Problem gibt es ja bestimmt überall, hmmmm.

Egal, das Vertrauen ist dahin, daher bleiben die NAS jetzt komplett blockiert und die Firmware gibt es hoffentlich als Download.

Salut!

 

[peterhoffmann]

Geht aus der Mail hervor, welche "...wichtige Information verloren gegangen..." ist?

Nein (siehe PN).

 

[losch]

Nein (siehe PN).

Hm, leider aber vielen Dank!

 

[SaschaR]

Das Privacy Statement ist eindeutig:

Collection of Synology Product Usage Information

When you use Synology products, Synology may collect different levels of information from you and/or your Synology system. The type of information depends on how much information you wish to provide.

• Register: if you choose to register your Synology product with us, you will provide us with the following information:

Email address (that becomes associated with the Synology Account)
The serial number of your Synology Products
The Country where the system you use is.

If you choose not to register your Synology product with us, identifiable information will not be transmitted.

• Usage Sharing: if you agree to provide us with more information, your system will periodically report the following information regarding your usage of the Synology products system:

The information of the disks installed in your system, including brand, model name, health, logs
Volume and storage configuration of your Synology system.
The Synology DSM/SRM and package version.
The services running on your system
The information of external devices, including Wi-Fi adapters, DVB sticks, printers, UPS devices, DLNA players.
Users’ browsers to connect to DSM/SRM web interface
IP camera information in Surveillance Station

Ich gehe davon aus, ihr habt alle Haken unter Systemsteuerung -> Info Center -> Nutzung entfernt?!

 

[Meru]

Nun wenn es nur diese Informationen sind...

Wobei:
.. disks .. health, logs
Volume and storage configuration of your Synology system.
The information of external devices, including Wi-Fi adapters, DVB sticks, printers, UPS devices, DLNA players.... wenn es mehr als das Model ist
Users’ browsers to connect to DSM/SRM web interface
IP camera information in Surveillance Station .... wenn es mehr als das Model ist

Diese Punkte so nicht sein müssen.

 

[DKeppi]

Ich gehe davon aus, ihr habt alle Haken unter Systemsteuerung -> Info Center -> Nutzung entfernt?!

Allerdings

 

[whitbread]

Um zurück zur Überschrift zu kommen: Also wer freiwillig Informationen bereitstellt wird nicht ausspioniert und diese - ich nenne sie mal Telemetriedaten - sind ja nicht direkt persönliche Daten.
Wer hier freiwillig Daten bereitstellt soll das gerne tun - ich bin da eher paranoid sehe aber auch nicht wirklich ein Problem in den übermittelten Daten, solange diese nicht personalisiert sind. Und ohne Synology-Account ist ohne Providerabfrage kein Rückschluss auf die Person möglich. Das reicht mir erstmal.

Der o.a. Punkt 8.1. der Nutzungsbedingungen des Paketzentrums ist da schon ein ziemlicher Knackpunkt: In der deutschen Fassung wird von "Inhalten der Kommunikation" in der englischen Fassung von "Kontaktinformationen" gesprochen. Letzteres beträfe dann ja nur diejenigen mit Synology Account. Was Synology aber eindeutig klarstellt ist, dass sie im Falle von Behördenanfragen kooperieren und somit (jegliche) verfügbare Daten bereitstellen. Das sehe ich in Deutschland weniger kritisch, aber die Daten befinden sich dann nicht mehr hier und Synology selbst wird sich um europäisches Datenrecht nicht kümmern.
Für mich ist somit klar, dass Synology auf einer Stufe mit G00gle, M$ oder F8 steht und somit niedrigste Vertrauensstellung geniesst. Das bedeutet maximale Datenvermeidung und Nutzung ausschliesslich über VPN. Normale Updates und den Ping auf die checkip-Dienste werde ich aber weiterhin zulassen.
Push-Dienste, Emailbenachrichtigungen und auch der Synology eigene DNS-Dienst sind damit (für mich) nicht mehr nutzbar. Damit einher geht auch, dass der Synology Chat deinstalliert wird, denn eine Chat-App ohne Push ist irgendwie witzlos!

 

[Frogman]

Mal als Anmerkung zu dem Punkt, dass die deutsche und englische Fassung so unterschiedliche Formulierungen aufweisen. Juristisch relevant sind bei uns die Formulierungen in deutsch

 

[peterhoffmann]

die checkip-Dienste werde ich aber weiterhin zulassen

checkip.synology.com, checkipv6.synology.com und checkip.dyndns.org werden bei mir alle 3 Minuten aufgerufen.
checkip.dyndns.org reicht, daher habe ich die anderen Beiden gesperrt.

 

[bananie]

Mich würde ja mal interresieren ob es jemals eine Anfrage von Behörden gab, die sich mit Synology in Verbindung gesetzt haben.

Ich kann mir das nicht vorstellen das es relevante Daten sind, die darauf schließen lassen was der Nutzer auf seiner Platte hat. Schließlich werden die NASEN ja auch von Firmen eingesetzt. Darunter wird ja wohl ein Admin sein der genau weiß was rausgeht. So einer hätte doch sicherlich schon die "Glocken" geläutet.

 

[xamoel]

Das kriegst du doch garnicht mit, wenn die Behörden anfragen und anfangen dich auszuspionieren.

 

[bananie]

Naja, vielleicht nicht direkt, aber es muss ja irgendwo ein Bericht geben, das eben genau das dokumentiert. Manche geben so ein Bericht ja heraus, so wie es Posteo macht.

 

[Mante]

Ich habe einige eindeutige Fragen an den Synology Support gestellt und diese Antworten auszugsweise erhalten:

Mit welcher o.g. „neuen Funktionalität“ begründen Sie diese Maßnahme der geänderten Lizenzbedingungen?

Synology: Keine Antwort

Wie kann ich bereits vorhandene Pakete in der Paketverwaltung ohne Zustimmung der geänderten Nutzungsbedingungen wieder aktivieren? Da auch bereits installierte Pakete (aber temporär deaktivierte) sich ohne Bestätigung Ihrer einseitig geänderten Lizenzbedingungen nicht mehr in der Paketverwaltung aktivieren lassen, kommt dies einer Sperrung meiner bereits vorhandenen Synology Pakete aus der Ferne gleich.

Synology: Derzeit müssen Sie unsere Vereinbarung akzeptieren, um Package Center zu nutzen.

Ist die Speicherung auf Synology eigenen Servern oder Drittanbieterservern?

Synology: Die Informationen werden auf unseren eigenen Servern gespeichert.

(Ist nicht richtig, da ich mit Wireshark auch Zugriffe auf Amazon Cloud Server protokollieren konnte.)

Auch der seltsame Verweis auf die Lizenzbedingungen bezgl. der Weitergabe von Kameradaten ist mir mehr als suspekt. Mit Kameradaten kann alles gemeint sein, auch der Zugriff auf die Kamera Aufnahmen.

Ein weiteres Problem ist es, dass bei jedem Zugriff auf die Benutzeroberfläche der Synology ein Internet Zugriff auf Synology Seiten erfolgt. Dies lässt sich nicht mit den Synology Einstellungen unterbinden. Vollkommen inakzeptabel für einen eigenen Cloud Server.

Danke Arnie99 für den Hinweis, die Aktivierung mit dem Aufgabenplaner funktioniert.

Evtl. hängt das Ganze auch mit den neuen britischen Gesetzen zusammen, mit denen Anbieter gezwungen werden Hintertüren einzubauen.

Interessant auch der Button auf dem Supportformular für Behördenanfragen.

Ich habe daher jetzt den ausgehenden Verkehr für die Synology, mit Außnahme der E-Mail Notifikations und Cloudstation über VPN, vollkommen gesperrt. Zumindest aktuell konnte ich dann keine Zugriffe mehr auf Synology Seiten feststellen. Updates werde ich in Zukunft manuell einpflegen, solange dies noch möglich ist. Falls auch dies unterbunden wird, fliegen die Synologys ganz raus.

 

[Iarn]

Mittlerweile bin ich an dem Punkt an dem ich das Thema Synology komplett hinterfrage.

Wieso soll ich mir zu Hause eine überteuerte und oft Hardware defekte (einige 413, 216+ (ohne II), 716+ (ohne II), 415+, 1515+, 1815+, 2415+) oder für die Leistung stromhungrige und überteuerte (1517+, 1817+) Hardware hinstellen, wenn ich den Datenschutz von Google Drive habe? Das läuft dann wirklich stressfrei. Für mich hat Synology die Datenschutz Nachteile einer Cloud ohne die Vorteile zu haben.
Eventuell verkaufe ich meine Synologys soweit die nicht als reines Backup zu schade sind und geh komplett auf DIY für die wichtigsten Daten und die Cloud für die unwichtigen.

 

[Thonav]

Ich rege hiermit an, eine gemeinschaftliche Anfrage bezüglich dieser Thematik an den Synology Support zu stellen.
Wir könnten ja damit anfangen, Euch wichtige Fragen zusammenzutragen. Jeder der mag, könnte dann diesen Fragenkatalog mit der Bitte um Beantwortung an den Support stellen.

Meine ersten Frage wären:
Ist die Speicherung auf Synology eigenen Servern oder Drittanbieterservern?
Welche Daten im Detail sind das?
Werden diese Daten weitergegeben oder sogar weiterveräußert? Wenn ja, an wen und in welcher Form?
Wird als Grundlage Ihrer Nutzungsbdingungen deutsches Recht angewandt?...

 

[Mante]

Welche Daten im Detail sind das

Diese Frage habe ich Synology auch schon gestellt. Als Antwort kam sinngem. zurück "Wir verstehen Ihre Frage nicht. Können Sie näher erläutern was Sie meinen" und ein erneuter Verweis auf die geänderten Lizenzbedingungen.