Die folgenden Informationen stammen von der edu-ict-Tagung zum Thema Datenschutz. Eine Stellungnahme der Swisscom steht ganz unten im Beitrag.
Die Swisscom stellt im Rahmen der Programms »Schulen ans Internet« 6’800 Schulen einen vergünstigten Internetzugang zur Verfügung. Dieser Zugang ist mit einem Contentfilter verbunden: Bestimmte Informationen können an Schulen nicht abgerufen werden, weil sie für Schülerinnen und Schüler als Gefährdung angesehen werden.
Das Filtern von Content wurde immer schwieriger, weil Suchmaschinen wie Google per default https, also eine SSL-Verschlüsselung nutzen. D.h. die Verbindung ist vom Browser her verschlüsselt, es ist für Dritte – wie die Swisscom – nicht möglich, Suchanfragen oder ihre Beantwortung mitzulesen. Der Datenverkehr ist effektiv verschlüsselt.
Da dies nun zur Konsequenz hat, dass Schülerinnen und Schüler ungefiltert aufs Internet zugreifen können, setzt die Swisscom eine Umgehung der Verschlüsselung ein, und zwar mit einem so genannten Man-In-The-Middle-Angriff. Der Internetverkehr ist bis zu einer dritten Firma, ZScaler, verschlüsselt, doch diese erste Verschlüsselung kann dort entschlüsselt werden. Die Inhalte werden geprüft und neu verschlüsselt. Dasselbe passiert beim Empfang der Daten. Browser warnen Nutzer in der Regel bei einer solchen Umgehung, doch diese Warnungen werden auf den Computern an Schulen einfach grundsätzlich ignoriert.
Das konkrete Vorgehen beschreibt Ronny Standke bei imedias.
Ich sehe in diesem Vorgehen zwei Probleme, die nicht notwendigerweise der Swisscom anzulasten sind, sondern ebenso den Schulen, die einen Contentfilter fordern:
- ZScaler ist eine amerikanische Firma, die nicht notwendigerweise Schweizer Recht untersteht
und Daten wohl in den USA bearbeitet. (vgl. Edit und Link unten) - Der Datenverkehr aller Schülerinnen und Schüler, aber auch aller Lehrpersonen wird abgehört. Das betrifft auch Emails und andere Kommunikation, die wohl berechtigterweise mit SSL verschlüsselt werden.
Edit, 24. Oktober 2013:
- Henning Steierer von der NZZ hat mit Swisscom gesprochen, offenbar werden die Daten in der Schweiz bearbeitet, auf Servern von Swisscom.
- Beat Döbeli geht ausführlich auf die Problematik ein, beschreibt sie technisch und argumentativ sehr differenziert.¨
* * *
Stellungnahme der Swisscom, 24. Oktober, 21 Uhr:
Anmerkungen zu den Ausführungen im Blogpost:
- Mitlesen: Dieser Begriff suggeriert, dass wir den Traffic der Schulen mitlesen, also Kenntnis haben oder nehmen, wer was via unserer Netze kommuniziert. Fakt ist aber, dass wir den Kantonen lediglich einen Web-Filter zur Verfügung stellen, der es ihnen erlaubt, bestimmte Inhalte von Schulen aus unzugänglich zu machen. Dies sind typischerweise Websites mit pornographischen oder Gewalt verherrlichenden Inhalten. Notabene: Die Kantone legen die Regeln fest, welche Inhalte gefiltert werden sollen und welche nicht.
- Man-in-the-Middle-Attacke: Auch, wenn der Begriff als terminus technicus richtig gebraucht ist, ist er für nicht-Experten tendenziös. Denn er bedeutet nicht a priori eine böswillige Praktik, sondern beschreibt lediglich das Verfahren, das wir anwenden, und das in solchen Problemstellungen gemeinhin angewandt wird.
- ZScaler: Dies ist lediglich der Lieferant, Swisscom betreibt eine vollständig autonome Instanz dieser Lösung auf ihren eigenen Infrastrukturen. Es besteht keine technische Verbindung zwischen unserer Lösung (sie heisst Cloud Security Service) und dem Lieferanten. So ist auch gewährleistet, dass die Daten zu keinem Zeitpunkt an ZScaler gesendet werden.
- Datenverkehr wird abgehört: Unsere Architektur lässt es gar nicht zu, dass wir den Traffic einzelner Schüler oder Lehrpersonen „abhören“. Die Filter-Infrastruktur steht in der Cloud und ist von den Bildungsnetzen durch eine Firewall getrennt. Diese Trennung verhindert, einen Request auf eine Schule und sogar auf eine Person zu referenzieren. (Aus diesem Grund ist die Datenschutz-Frage im Zusammenhang mit unserer Lösung auch gar nicht zu stellen.) Dass der Verkehr durch uns aufgebrochen worden ist, zeigt der Browser zudem an (Zertifikat), ist also für den User einsehbar (wenngleich ist einrämen muss, dass man wissen muss, wo man hinschauen muss.)
Bemerkungen zu den Hintergründen:
a)
Seit Beginn von »Schulen ans Internet«-stellen wir den Kantonen auf deren Wunsch eine Filter-Software zur Verfügung. Ob dies einer Feigenblatt-Politik folgt, wie es Beat Döbeli sieht, sei dahingestellt, Fakt ist aber, dass in der Unter- und Mittelstufe die Filterung Sinn machen kann, um für Kinder verstörende Inhalte zu unterdrücken. In Oberstufe und Sekundarstufe II machen solche Filter immer weniger Sinn, wenn Jugendliche aktiv nach solchen Inhalten suchen. Aus diesem Grund haben auch die meisten Kantone auf dem SEK-II Netz den Filter nicht aktiviert. Wie Sie ja wissen, benennen wir die Förderung der Medienkompetenz selbst auch als Königsweg und unternehmen eine Vielzahl an Massnahmen, um ebendiese bei Eltern, Lehrpersonen und Schülern zu verbessern.
b)
Wir filtern also (nochmals: im Auftrag der Kantone) google-Traffic, wie allen anderen http-Traffic seit 2002. Der einzige Unterschied mit der Eweiterung auf https ist demnach der, dass wir einen technischen Umweg vollziehen müssen, damit die Filterung für die Website google (und nur diese Website und keine anderen https-basierten Websites) weiterhin gelingt. Wir nehmen die Google-Anfrage entgegen, entschlüsseln sie, ergänzen den URL mit „safesearch=active“, verschlüseln wieder und reichen den Request weiter. Selbst der Suchbegriff sehen wir nicht ein. Damit aktivieren wir also lediglich die Filterfunktion von Google, um zu verhindern, dass Previews auf Pages mit ungeeigneten Inhalten möglich sind.
c)
In der Entscheidung, ob wir diese Lücke in unserem Filter bestehen lassen sollen, oder den Kantonen proaktiv eine Lösung bieten wollten, habe ich mich für die zweite Variante entschieden. Da wir ja mit der implementierten Lösung weder Traffic mithören, noch Daten speichern, die auf den User Rückschlüsse zulassen würden, stehe ich immer noch voll hinter diesem Entscheid.
d)
Die Kommunikation gegenüber den Kantonen während der Phase zwischen Identifikation der neuen Siuation bei Google und der schliesslichen Implementierung war sehr intensiv und lückenlos. Die Kantone haben wir über alle Schritte informiert. Wir haben mehrmals darauf aufmerksam gemacht, dass es der Entscheid des Kantons ist, die Lösung anzunehmen, oder zu intervenieren.
Schule Social Media 
(in ähnlicher Form auch schon bei Beat Döbeli im Blog gepostet..)
Ich frage mich warum auf einen Filter gesetzt wird,
der die Inhalte bereits in der Suchmaschiene zensiert/filtert,
wenn man auch einfach unerwünschte Domains/ipAdressen filtern kann.
Sicherlich würden in zweitem Fall noch eventuell unerwünschte Bilder
in der Google Bildersuche zu finden sein, doch mit einer Suchmaschiene wie z.B.
„FragFinn“ würde auch das Problem beseitigt…
Bei älteren SchülerInnen würde FragFinn wahrscheinlich nichtmehr zeitgemäß sein,
doch dann ist es vielleicht auch an der Zeit über die Gesellschaft zu diskutieren
und zu hinterfragen warum eigentlich an fast jeder Ecke nackte Haut zu sehen ist…
Das Problem der Bewahrpädagogik bleibt.
Vor Fehlern und Problemen zu schützen die noch nicht geschehen sind
(und vielleicht nie geschehen werden) kann keiner schaffen.
Wenn Lehrpersonal sich aber Angriffen von Eltern ausgesetzt sieht,
sollte das jeweilige Land vielleicht den Schulen den Rücken stärken.
Eltern werden doch auch nicht belangt,
wenn sie das Kind allein von der Schule nach Hause gehen lassen
und das Kind dann auf dem Amaturenbrett eines geparkten Wagens
ein Heft mit nicht jugendfreien Inhalten sieht und „geschockt“ ist..
Warum sollten dann Lehrer belangt werden können,
wenn Schüler im Internet nicht jugendfreie Vorschaubildchen sehen könnten?
Ich bin kein Experte für Schulgesetze, ich bin mir nichtmal sicher ob Eltern
wegen irgendetwas klagen könnten, was (minderjährige) SchülerInnen
im internet sehen könnten.
Selbst wenn es die Möglichkeit gäbe, wurde das bisher gemacht?
Oder ist das ebenfalls nur so eine Diffuse Angst
(Ähnlich wie „wir sind überall andauernd von Terroristen umgeben,
die unsere Freiheit stehlen wollen“) ?
Gruß aus Berlin
S. Döhner
Sicher habt Ihr alle keine Coop Supercard, keine Cumulus Karte, keine Kreditkarten und auch sonst keine Kundenkarten. Ihr kauft auch nie über das Internet ein und habt selbstverständlich auch kein Facebook, Twitter oder sonst ein Sozialmediaprofil.
E-Banking macht ihr auch nicht, denn Ihr lebt irgenwo im Wald und seid Selbstversorger und müsst deshalb keine Rechnungen bezahlen.
ALLE sammeln Daten, die Frage ist viel mehr für was und wie diese verwendet warden.
Also wenn Ihr so viel Angst davor habt lasst es doch einfach bleiben.
Ich finde, dass hier viel Lärm um nichts gemacht wird.
Die Kantone wollen einen Filter. Das einzige was Swisscom macht, ist bei Google den SafeSearch einzustellen.
Swisscom hat sicherlich einen Vertrag mit den Kantonen, der genau beschreibt, was und wie gemacht wird. Ausserdem, was hätte denn die Swisscom davon, wenn sie Traffic abhören würde?
Hier gibt es einfach ein paar Leute mit zu viel Fantasie und Paranoia…
SafeSearch kann soviel ich weiss auch mit Parametern in der URL oder mit Cookies eingestellt werden.
Eine MITM-Attacke rechtfertigt das überhaupt nicht!
Einfach mal zum Vergleichen und als Denkanstoss was verantwortungsvoll ist und was nicht: am Kiosk liegen die pornographischen Magazine ja auch nicht gerade in Reich- und Sichtweite der Kinder und Jugendlichen und werden auch nicht an unter 16-Jährige verkauft. Dass auf dem Internet noch viel üblere Bilder und Videos zu finden sind, muss ich wohl nicht erwähnen. Was spricht also dagegen wenn man Filter (mit gesundem Menschenverstand verwendet), die eben gerade solche Dinge nicht zeigen?
Für Automatenzigaretten muss ich sogar meine ID durchziehen oder im Shop für Alkoholkauf meinen Ausweis vorzeigen und ob das registriert wird oder nicht, weiss ich nicht einmal. Fakt ist: der Filter filtert menschenunwürdige Dinge heraus für Nicht-Erwachsene und das erst noch anonym. Wo ist das Problem nun schon wieder…?
Filtern geht ja noch, aber Verschlüsselten Traffic belauschen und Zertifikate fälschen?!
Zum Glück gibt es Swisscom ! E Basta !
Es ist nicht nur so, dass die Swisscom anscheinend kein Interesse an Privacy hat, sondern dass diese auch absolut nutzlos ist.
Natürlich weist die Swisscom immer darauf hin, dass es die Entscheidung der Kantone ist, aber die Swisscom ist dennoch der Anbieter und Durchführte. Die Kantone blocken grundsätzlich einfach alles was irgendwie geht, denn weniger Möglichkeiten für den Schüler heisst weniger Fälle in denen Probleme auftreten könnten und somit weniger Kosten. Ist ja klar.
So ist es dann auch so dass nicht nur pornografische Inhalte o.ä. geblockt werden sondern einfach alles was bei drei nicht auf der Palme ist. Sehr ärgerlich.
Immerhin ist der Filter einfach zu umgehen und man kann dann doch Zugriff auf alle Seiten bekommen.
Ich finde einfach prinzipiell dass man den Filter abschalten und gar nicht mehr anbieten soll, denn Schüler werden nicht immer in einem gefilterten Netz unterwegs sein.
In der Fahrschule lernt man auch mit einem manuellen Getriebe und nicht mit einem Automat nur weil man da weniger falsch machen kann.
Swisscom versucht die Überwachung schönzureden:
1. Der gesamte Swisscom-Internet-Zugang von Schweizer Schulen läuft über Proxy-Server von Swisscom, die Filter-Software dazu stammt vom amerikanischen Unternehmen ZScaler.
2. Swisscom liest mit, denn anders kann Swisscom nicht filtern. Was sonst noch mit den mitgelesenen Daten geschieht, ist eine reine Softwarefrage.
3. Swisscom führt bei verschlüsselten Verbindungen eine Man-in-the-Middle-Attacke durch. Bis vor kurzem übrigens auf alle verschlüsselten Verbindungen und nicht „nur“ Suchanfragen von Google. Swisscom mag nicht, wenn man die Methode beim Namen nennt, klar.
4. ZScaler ist nicht nur Lieferant, sondern wird den Browsern an den Schulen auch als vertrauenswürdige Root CA aufgedrückt. Nur so akzeptieren Browser die Zertifikate von ZScaler und melden die Man-in-the-Middle-Attacke nicht. Dort, wo die Browser noch nicht umkonfiguriert sind, gewöhnt man die Schüler daran, solche Meldungen wegzuklicken. Sie werden damit ein dankbares Ziel für Man-in-the-Middle-Attacken. Swisscom untergräbt so die Sicherheit im Internet.
5. Swisscom ist in Browsern standardmässig als Root CA geführt, scheint diesen Umstand aber nicht nutzen zu wollen. Fürchtet sich Swisscom davor, wie schon andere CAs im Ausland ihren Status als Root CA zu verlieren, wenn sie ihren Status für Überwachung missbraucht?
6. Wer den Internet-Zugang an Schweizer Schulen so wie Swisscom überwacht, kann selbstverständlich auch einzelne Personen überwachen. Swisscom kennt ihre Kunden und wer das Internet nutzt, offenbar sofort seine Identität.
7. Wieso gibt sich Swisscom zum Filtern und Überwachen im Internet überhaupt her? Wieso überlässt sie das Geschäft mit der Zensur nicht anderen? OK, Swisscom arbeitet ja auch mit einem Unternehmen wie Huawei eng zusammen.
8. Swisscom überwachte zuerst alle verschlüsselten Verbindungen. Erst nach Protest beschränkt sie die Überwachung auf verschlüsselte Google-Verbindungen. Das kann sich jederzeit wieder ändern. Es ist auch falsch, dass Swisscom Google-Suchbegriffe nicht sieht.
9. Die Swisscom-Person, die anscheinend hinter dem Entscheid steht, redet sich ihre Funktion im Überwachungsstaat schön. Sie ignoriert auch, welche Überwachungsinfrastruktur bei Swisscom ansonsten noch läuft. Das ist teilweise staatlich gewollt, aber jeder macht freiwillig mit, niemand muss bei Swisscom oder anderswo als Überwacher arbeiten.
10. Wenn alles so harmlos ist, wieso werden die schulischen Nutzer nicht umfassend informiert?
+1
Leute, Leute… Traceroute funktioniert nicht in jedem Fall über NAT. Dass keine Antwort gegeben wird, kann auch daher rühren, dass ICMP von einer Firewall gefiltert wird.
Übrigens nennt man das nicht wirklich Man-in-the-middle, es ist ein SSL-Proxy (was schlussendlich aber ein wenig wie ein Man-in-the-middle daher kommt).
Wenn man die Zertifikate im Browser anschaut, sieht man, dass das Zertifikat nicht vom eigentlich angesurften Server kommt, sondern eben vom SSL-Proxy.
Das muss nun noch nicht schlecht sein, weil ein solcher Proxy ja nur unerwünschte/unerlaubte Verbindungen blockiert oder Schadcode ausfiltert und nicht zwingend loggt. Der Zugriff auf den SSL-Proxy muss einfach ganz klar geregelt werden. Schlussendlich könnte man dort eben auch Passwörter oder Bankdaten abgreifen.
Und zum Schluss, auch andere grosse Firmen setzen so etwas ein. Mein Arbeitgeber möchte es eigentlich auch, aber bisher hatten wir zu viele Probleme (Performance, Anwendungen, welche nicht proxyfizierbar sind etc.).
Persönlich finde ich das ganze auch nicht wirklich gut. Auch wenn es eine Maschine ist, möchte ich nicht, dass mein SSL-Verkehr über so einen SSL-Proxy geht.
Übelst. Wie sieht es denn dabei mit strafrechtlichen Aspekten aus?
Hat dies auf akiblo rebloggt und kommentierte:
In bestimmten Bereichen ist es mit der Demokratie nicht so weit her – denn auch der Schutz der persönlichen Daten gehört zu einem demokratsich sich verstehenden politischen System…
C:\Windows>tracert google.ch
Routenverfolgung zu google.ch [173.194.116.55] über maximal 30 Abschnitte:
1 1 ms 1 ms 1 ms 172.20.8.254
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
…
Das ist bei der Swisscom nicht nur bei den Schulen so, ähnliches passiert(e) auch auf HotSpots: http://d2h.net/2006/11/01/swisscom-eurospot-doing-a-man-in-the-middle-attack
Mit der Privacy hat es Swisscom wohl nicht so.
Eine Bitte an einen Lehrer, eine Lehrerin: Wie sieht denn ein «traceroute» aus ab einem Schulrechner (abgehend über einen dieser vergünstigten Internetzugänge) hin zum Schweizer Bildungsserver o.ä.?!?
Also vergesst doch alles mit dem TraceRoute!!!
Auf der Firewall wird der Traffic für die HTTP/S Protokolle Transparent über den Proxy weitergereicht, aufgebrochen, gescannt, ergänzt und wieder verschlüsselt. Dies ist auch der einzige richtige Weg, den alle gehen sollten, um nicht einen VIRUS einzufangen, welchen ich persönlich auf einer HTTPS Seite plazieren würde. Locale Engines sind schön und gut, aber die fressen resourcen! Jede anständige Firewall die HTTPS aufbricht scannt normalerweise mit zwei AV-Engines.
Die einzelnen Services kann ich auf meiner kleinen Firewall zu Hause sogar an verschiedene Gateways senden und von daher ist der Traceroute für nix gut.
WIchtig ist einzig, dass die Benutzer der entsprechenden Rechner / Netze informiert sind, dass der Verkehr aufgebrochen wird…. und wer lesen kann ist im Vorteil. Dies ist ein normales Vorgehen in Firmen und teilweise auch bei Privaten, wobei Bankenverkehr normalerweise NIE aufgebrochen wird.
Ich hoffe, dass es nicht zu technisch war…
Thomas
I was the 35th person in line at San Antonio’s bisgegt AT&T store, and they only had two black 16GB iPhones left. Very sad for the rest of the 150+ people waiting in line behind me.