TSA im VfL Lüneburg e. V.
Tanz im VfL Lüneburg e. V.
Wir setzen NinjaFirewall zur Absicherung unserer Website und der darunterliegenden Webserver-/Applikationsinfrastruktur ein, insbesondere für:
Abwehr und Prävention von Cyberangriffen (z.B. Brute-Force, Exploit-/Injection-Versuche, unzulässige Requests),
Erkennung und Analyse verdächtiger Zugriffsmuster,
Sicherstellung von Verfügbarkeit, Integrität und Vertraulichkeit unserer Systeme (IT-Sicherheitszwecke),
Incident Response (Aufklärung, Eingrenzung und Nachverfolgung sicherheitsrelevanter Ereignisse).
NinjaFirewall arbeitet als „Origin-WAF“ auf unserer Infrastruktur und kann HTTP/HTTPS-Requests vor dem Laden von WordPress prüfen und verwerfen/säubern.
Im Rahmen der vorgenannten Zwecke können – abhängig von Konfiguration und Ereignislage – insbesondere folgende Daten verarbeitet werden:
IP-Adresse (ggf. pseudonymisiert/anonymisiert je nach Konfiguration),
Datum und Uhrzeit des Zugriffs (Zeitstempel),
Request-Daten (z.B. angefragte URL/Pfad, Query-Strings, Request-Methode),
Header-/Metadaten (z.B. User-Agent, Referrer),
Status-/Ereignisdaten (z.B. „geblockt“, „sanitised“, Regel/Policy-Trigger).
NinjaFirewall kann bei sicherheitsrelevanten Ereignissen Benachrichtigungen erzeugen, die u.a. IP, Request, Datum/Uhrzeit enthalten.
Soweit NinjaFirewall Ereignisse im Administrationsbereich überwacht (z.B. Administrator-Login, Änderungen an Admin-Accounts, Plugin-/Theme-(De)Installation/Updates), können zusätzlich verarbeitet werden:
Benutzername/Benutzerkennung (WordPress),
Login-/Aktivitätsereignisse und Zeitstempel,
IP-Adresse (Zugriff aus dem Adminbereich),
technische Kontextdaten (z.B. betroffene Komponente/Plugin/Theme).
Die Überwachung solcher Ereignisse ist Bestandteil der Plugin-Funktionalität (Event Notifications).
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)Unser berechtigtes Interesse liegt in der Abwehr von Angriffen, der Aufrechterhaltung der Systemsicherheit und der Sicherstellung eines stabilen und sicheren Websitebetriebs.
Dabei ist zu berücksichtigen, dass IP-Adressen (auch dynamische IP-Adressen) unter bestimmten Voraussetzungen personenbezogene Daten darstellen. Das ist in der europäischen und deutschen Rechtsprechung anerkannt.
Ergänzender Compliance-Kontext: Art. 32 DSGVO verpflichtet zu angemessenen technischen und organisatorischen Maßnahmen; Sicherheitslogging kann – je nach Risiko- und Schutzbedarfsniveau – Bestandteil eines angemessenen Sicherheitskonzepts sein.
Unsere berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) umfassen insbesondere:
Schutz vor unberechtigten Zugriffen,
Schutz vor Schadsoftware und Exploits,
Sicherstellung der Verfügbarkeit der Website,
Missbrauchs- und Betrugsprävention,
Beweissicherung/Forensik im Incident-Fall (im erforderlichen und verhältnismäßigen Umfang).
Bei der Interessenabwägung berücksichtigen wir insbesondere den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und geeignete Konfigurationen (z.B. kurze Log-Retention, Maskierung/Anonymisierung, restriktiver Zugriff auf Logs). Orientierung bieten zudem die Leitlinien des EDPB zu Art. 6 Abs. 1 lit. f DSGVO.
Personenbezogene Daten aus NinjaFirewall-Logs und -Events können – soweit erforderlich – an folgende Empfängerkategorien gelangen:
Interne Empfänger: IT-/Security-Team, Administratoren, ggf. Revision/Compliance (Need-to-know-Prinzip).
Auftragsverarbeiter: Hosting-/Managed-Services-Provider, ggf. externer IT-Sicherheitsdienstleister (je nach Betriebsmodell).
E-Mail-/Kommunikationsdienstleister: Soweit Event-Benachrichtigungen per E-Mail versendet werden und hierfür externe Provider genutzt werden.
Externe Stellen im Incident-Fall: Rechtsberater, Strafverfolgungsbehörden, CERTs/CSIRTs, ggf. Versicherung – jeweils nur anlassbezogen und im erforderlichen Umfang.
Hinweis zu Update-/Rule-Downloads: NinjaFirewall kann für Updates/Sicherheitsregeln ausgehende Verbindungen zu Infrastruktur von WordPress.org und zu NinTechNet-Endpoints aufbauen (z.B. wurde in Support-Kontext u. a. auf Subdomains wie hingewiesen; zudem nennt der Changelog eine API-Domain für Updates/Security Rules). Diese Verbindungen betreffen typischerweise System-/Update-Kommunikation (Server-zu-Server) und nicht die Inhaltsdaten von Website-Besuchern. Gleichwohl fallen dabei technisch bedingt Verbindungsdaten (z.B. IP-Adresse des Servers, Zeitstempel, User-Agent/Request-Metadaten) an.
Eine Drittlandübermittlung kann dann relevant werden, wenn Empfänger/Serviceprovider (z.B. für Update-Endpunkte oder E-Mail-Zustellung) außerhalb des EWR sitzen oder dort verarbeiten.
NinjaFirewall wird als serverseitige WAF betrieben; sensible Website-Inhalte werden nicht wie bei Cloud-WAFs über Drittanbieter-Infrastruktur geroutet.
Wir speichern Daten aus NinjaFirewall nur so lange, wie dies zur Erreichung der Zwecke erforderlich ist:
Firewall-/Live-Logs und sicherheitsrelevante Ereignisse: grundsätzlich 60 Tage (konfigurationsabhängig) und anschließend automatisierte Löschung/Rotation.
Incident-Fälle: Sofern ein konkreter Sicherheitsvorfall vorliegt, können relevante Protokolldaten für die Dauer der Bearbeitung des Vorfalls sowie zur Geltendmachung/Ausübung/Verteidigung von Rechtsansprüchen länger gespeichert werden (Art. 17 Abs. 3 lit. e DSGVO), jedoch stets unter Beachtung von Verhältnismäßigkeit und Zugriffsbeschränkung.
Die Verarbeitung technischer Zugriffsdaten (insb. IP-Adresse, Request-Metadaten) erfolgt automatisiert beim Aufruf der Website. Ohne diese Verarbeitung ist ein sicherer Betrieb der Website sowie die Abwehr von Angriffen nicht in angemessener Qualität gewährleistbar; die Nutzung der Website bleibt grundsätzlich möglich, allerdings können Requests bei erkannten Angriffsmustern technisch bedingt geblockt werden.
NinjaFirewall trifft automatisierte technische Entscheidungen im Sinne der IT-Sicherheit (z.B. Blockieren/Säubern von Requests anhand von Sicherheitsregeln).
Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO (mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung) sowie Profiling zu Marketing-/Scoringzwecken findet in diesem Kontext nicht statt
