Nach meinem Blogbeitrag von vorgestern, der unter dem etwas reißerischen Titel »Swisscom hört Schulen ab« stand und in dem ich eigentlich lediglich aufgriff, was bei den Fachstellen (FHNW, Kanton Zürich) schon längst stand, wurde das Thema in der NZZ und im Tages-Anzeiger aufgegriffen. Für den Kanton Zürich hat René Moser in einem ausführlichen Blogbeitrag darauf reagiert (diese Bemerkung habe ich am 28. Oktober eingefügt, Ph.W.).
Die Swisscom reagierte gestern ausführlich, ihre Stellungnahme habe ich im Blogpost hinzugefügt (siehe ganz unten).
Dennoch bleiben einige Fragen ungeklärt, die ich im Folgenden noch einmal auflisten möchte. Zunächst aber eine kurze Beschreibung dessen, was passiert – ich vermeide Fachsprache, weil ich auch kein Informatiker bin:
Die Swisscom stattet Schulen mit eigenen Sicherheitszertifikaten aus, damit sie einen Teil der Internetkommunikation entschlüsseln und filtern kann. Das betrifft nach eigenen Angaben nur Traffic der zu Google geht (andere Suchmaschinen werden offenbar noch mit herkömmlichen Filtermethoden gefiltert). Das heißt, dass Suchanfragen an Schulen nicht effektiv verschlüsselt sind.
Die wichtigsten daran anschließenden Fragen, die teilweise in Kommentaren bei der NZZ und in meinem Blog aufgerufen werden, lauten wie folgt:
- Was passiert, wenn SchülerInnen und oder Lehrpersonen die Swisscom-Zertificate auf privaten Geräten installieren? Ist ihre private Kommunikation danach zuhause sicher verschlüsselt?
- Warum verwendet die Swisscom ein Zertifikat von ZScaler und nicht ein eigenes?
- Könnte die Swisscom schulische Kommunikation komplett überwachen? Könnte sie das auch mit privaten Swisscom-Anschlüssen tun?
- Warum bietet die Swisscom überhaupt einen Contentfilter an, wenn der mit Privacy-Problemen verbunden ist? Warum nicht das Geschäft komplett auslagern?
- Warum akzeptieren die Kantone diese Methode an ihren Schulen?
- Wer verantwortet die pädagogischen Konsequenzen, dass SchülerInnen und Lehrpersonen an gewissen Schulen aufgefordert werden, wichtige Sicherheits-Warnhinweise der Browser wegzuklicken?
- Ist dieser Preis (Aufgabe von Privacy) nicht zu hoch für die Filterung der Inhalte?
Schule Social Media 
Der Knackpunkt an diesem Thema ist für mich der eklatante Widerspruch zwischen der oft verkündeten Message „achte auf https um sicher kommunizieren zu können“ und der Tatsache dass genau diese Message beim Verwenden von solchen Proxies nicht mehr gilt. Gerade im Schulumfeld ist dies insofern heikel als dass weder die Lehrer noch die Schüler das notwendige Fachwissen haben (können) um den Unterschied zu verstehen. Dadurch bleibt als Eindruck primär „auch https ist nicht sicher“, gefolgt von „Verschlüsselung taugt nix“. Und anschliessend wundern wir uns wieder darüber, dass das Thema Sicherheit im Internet die meisten gar nicht mehr kümmert.
Die eingesetzte Technik ist üblich in sensiblen Bereichen von Netzwerken – etwa Entwicklungsabteilungen, aber durchaus auch im öffentlichen Bereich – im Prinzip funktioniert De-Mail gleich (davon kann man halten, was man will).
Sie muss aber Hand in Hand gehen mit einer Aufklärung und Belehrung der Nutzer.
Hier wäre zu hinterfragen, in welcher Form das geschehen ist. Wenn diese Aufklärung dann stattfindet, mache ich zwei unterschiedliche Erfahrungen:
a) Es ist so geschrieben, dass es der Nutzer versteht und gerne lesen mag
Folge: Der Nutzer nutzt das jeweilige Netz oft nicht mehr oder mit Unbehagen.
b) Es ist so geschrieben, dass es der Nutzer nicht versteht und sich quälen muss.
Folge: Der Nutzer unterschreibt blind, da er sowas schon von allen privaten Diensten gewohnt ist, die für ihn bequem sind und die er täglich nutzt.
Filterung ist üblich im Netz. Google filtert in seinen Suchergebnissen zum Beispiel Kinderpornographie, Tierpornographie, sperrt jeden Tag tausende von Seiten aus seinem Suchkatalog aus, deren Inhalte irgendwer als problematisch gemeldet hat (z.B. Warez etc.). Darüber gibt es erstaunlich wenig Aufregung und Empörung.
Alle Nutzerdaten auf privatwirtschaftlich geführten Servern unterliegen prinzipiell dem Zugriff des Staates – und zwar völlig intransparent. „Meine Daten interessieren eh niemanden“, das Credo der Web2.0ler, stellt sich heute modifizierter dar.
Hier in Deutschland „bestraft“ der Nutzer jedoch sehr oft Transparenz hinsichtlich des Datenschutzes. Das ist schon manchmal paradox.
Ich vermute und spekuliere, dass sowohl die Aufklärung der Nutzer als auch die technische Umsetzung an den Schulen vor Ort schlampig war. Man kann die Root CA mit geeigneten Systemen automatisch so verteilen, dass kein Schulgerät Zertifikatsfehler wirft.
Das SSL-System ist leider grundlegend kaputt. Das Wegklicken von Browserwarnmeldungen ist bei vielen eh schon internalisiert. Es gibt Gegenmaßnahmen, die sich aber eher auf dem Niveau der Bedienbarkeit von PGP bewegen (z.B. SSL-Pinning).
Die gesellschaftsrelevanten Schlachten der Zukunft werden wohl nicht auf Anwender- und Medienkompetenzebene geschlagen werden. Wenn wir uns und zukünftige Anwender nicht technisch zumindest grundlegend qualifizieren, ist es irgendwann aus mit der ansatzweisen „Waffengleichheit“.
Die SwissCom-Geschichte ist ein schönes Beispiel dafür.
Init7 wie jeder andere Provider könnte theoretisch schon Traffic mitschneiden. Aber selbstverständlich tun wir das nicht. Bisher gab es auch noch keine behördliche Anordnung an Init7, die sowas verlangt hätte. Eine Untersuchungsbehörde hat es zumindest schon mal in Erwägung gezogen, es wäre aber nicht unterbruchsfrei gegangen.
Init7 zeichnet bloss Daten-Volumen respektive Trafficmengen auf, und wertet diese nach autonomen Systemen aus (AS Nummern). Das ist für eine effiziente Kapazitätsplanung und Netzwerkarchitektur unabdingbar. Es ist z.B. relevant, ob unsere Kunden mit total 500Mbps oder 5Gbps Youtube Filme gucken, weil dies je nachdem ein Upgrade mit AS15169 Google notwendig macht. Der Inhalt der Youtube Filme ist jedoch irrelevant.
Es ist ziemlich blauäugig wenn man in der Schule meint filtern zu müssen, weil dieselben Kids zuhause viel länger im Internet stöbern und dort ist es i.d.R. ungefiltert.
.
Es ist imho die Pflicht von Eltern und Schule, die Kids über die Risiken des Internets so zu instruieren, dass es verantwortbar ist. Zuverlässig filtern kann man nicht, und z.B. ist jedes internetfähige Handy dann auch ungefiltert unterwegs.
Zu Frage 3: Könnte die Swisscom schulische Kommunikation komplett überwachen? Könnte sie das auch mit privaten Swisscom-Anschlüssen tun?
Mittels zscaler oder einer anderen geeigneten Lösung wird ein sog. „man in the middle“ Angriff gemacht, der erlaubt alle über https vermeintlich verschlüsselten Übertragungen zu überwachen. Dies imho strafbar, und was mich besonders stört: Wenn Swisscom diese Spionagesoftware im Hause hat ist es ein Leichtes, dies auch bei jedem anderen Internet-Kunden schnell man anzuwenden.
Ich könnte mir sehr gut vorstellen, dass Swisscom mit grossem Interesse sowas im Grossversuch mit Schulen getestet hat, weil sich dieses Knowhow beim Einsatz des unglaublicherweise in der heilen Schweiz vorgesehenen Bundestrojaners teuer an den Staat verkaufen lässt.
Orwell lässt grüssen!
Ich rate dringend jedem der über das Internet Daten versendet auf End ti End Verschlüsselung zu setzen welche nicht oder nur schwer mit einer Man in the Middle Attacke angegriffen werden kann. Bei Email oder IM Diensten gibt es fast überall Clients die ein PGP oder GPG Modul anbieten. Ist dieses mir der Gegenstelle sauber eingerichtet und die Privaten Schlüssel sicher gespeichert, ist schon ein sehr höher Aufwand nötig um diese zu brechen. Auch als Darknet Tools bezeichnete Clients zum Chat oder Filetransfer wie zB Retroshare sind zum Schutz der Privatsphäre gut geeignet, wenn sie richtig eingesetzt werden. Zentralen Sicherheitsservern wie sicherer E-mail Service oder Glize-Diensten auf Fremden Servern kann man generell nicht mehr trauen, speziell dann nicht, wenn die Betreiberfirma einen Sitz in den USA unterhält.
Ich gehe mal davon aus das ZScaler sowas wie einen transparenten Proxy auf den Rechnern installiert. Die Aussage, das damit nur der Google Verkehr überwacht wird ist äusserst Zweifelhaft. Möglicherweise arbeitet der Filter ja nur bei Google.
Die Zertifikate zu installieren bedeutet nur das man nicht Vertrauenswürdigen Zertifikaten vertraut. Sie sollten aber ohne die ZScaler Software nicht angesprochen werden. Diese Technologie setzen auch viele Firmen ein, um Http-Content zu entschlüsseln und damit auf Viren scannen zu können. Dabei steht der Scannen, der meist auch Filter-Funktionen bietet aber in den Firmen. Das hierbei jedoch eine externe Instanz genutzt wird halte ich für bedenklich.
Sorry, das ist hier alles Stochern im Nebel. In der Schweiz wird es Datenschutzgesetze geben, die sich wahrscheinlich auch aus Grundrechten wie der Menschenwürde herleiten.
In Deutschland muss jedes Unternehmen für jedes technische Verfahren ein Verfahrenverzeichnis führen, dass auf Antrag einsehbar sein muss – das wird bei euch im Grundsatz nicht anders sein. Darin sind Verfahrensbeschreibungen enthalten, die darstellen, welche Daten zu welchem Zweck wie lange erhoben werden. Damit erhält man harte Fakten zu den tatsächlichen technischen Prozessen, über die man dann reden und diskutieren kann.
Sry mccab99 aber diese Auffassung trifft in der Schweiz überhaupt nicht zu, Menschenwürde hin oder her!
1. Die Swisscom-Zertifikate sind per se nicht schädlich, bringen aber auch keine Vorteile.
2. Implementationsabhängig, vermutlich kann die fertige Lösung von ZScaler nur mit einem von ZScaler ausgestellten Zertifikat umgehen.
3. Ich würde mal davon ausgehen, dass die ZScaler-Lösung gar nicht für einen Mitschnitt der gesamten Kommunikation ausgelegt ist. Aber auch mein Provider (Init7) könnte meine Kommunikation mitschneiden. Er sitzt ja sozusagen an den Kabeln. Und vielleicht verlangt ja irgendwann sogar ein Gericht oder ein Gesetz, dass die Provider das tun (BÜPF lässt grüssen). Die dazu notwendigen Tools existieren und jede Verschlüsselung lässt sich mit genügend Aufwand irgendwann knacken.
4. Ich gehe davon aus, dass die Swisscom erkannt hat, dass ein Bedarf existiert und deshalb ein Angebot gebaut hat. Der Vorteil von einer Swisscom-Lösung ist ja eben, dass sie in der CH betrieben werden kann. Ein US-Anbieter hätte wohl berechtigterweise mit (mehr) Ablehnung zu kämpfen. In der Regel werden aber Sperrlisten von einer gemeinsamen Quelle bezogen. Wir setzen für die „normale“ Proxyfizierung Bluecoat ein. Dh. die Sperrlisten werden von Bluecoat zentral erstellt. Wir haben jedoch eine eigene Appliance vor Ort in der CH und können die Sperrliste manuell übersteuern/ergänzen.
5. Akzeptieren die Kantone sie oder fordern sie es sogar? Ein beliebtes Beispiel unserer Security: Ein Mitarbeiter publiziert verbotene Propaganda (Extremismus etc.) auf einem Server. Die Polizei konfisziert den Server und stellt fest, dass die Propaganda aus dem unserem Netzwerk kommt. Damit ist der Arbeitgeber in der Pflicht, nachweisen zu können, wer diesen Content eingestellt hat. Das geht ohne SSL-Proxy nicht und der Arbeitgeber könnte somit gerichtlich belangt werden.
6. Puh, das tönt so furchtbar… pädagogische Konsequenzen… Ich denke, es ist an der IT (hier Swisscom), die Systeme so einzurichten, dass nur notwendige Warnungen angezeigt werden.
7. Die Alternativen sind: tragen des Risiko oder verbieten der „privaten“ Nutzung
Danke für diesen ausführlichen Kommentar.
Natürlich kann man hier auch in einen gewissen Fatalismus verfallen und einfach akzeptieren, dass wir Zertifikate einsetzen, die Schwächen haben. Aber mir scheint, die Schule ist nicht der Ort, wo Jugendliche dazu gebracht werden sollten, Sicherheitsschwächen als Normalfall zu akzeptieren, sondern sie könnten lernen, sich dagegen zu wehren und darauf zu bestehen, dass ihre Daten so sicher wie möglich behandelt werden. Wir können wohl über vieles streiten, aber dass ein Zertifikat, das über eine Zwischenstelle läuft, weniger sicher ist als eines, das meine Kommunikation vom Browser bis zum Server verschlüsselt. Ob die pädagogischen Konsequenzen nun so furchtbar sind, ist meines Erachtens nicht entscheidend: Es ist einfach eine Tatsache, dass Schülerinnen und Schüler darüber nicht aufgeklärt werden, dass nur ganz wenige Menschen überhaupt verstehen, was abläuft und wie das einzustufen ist.
Diese Kritik hat nicht notwendigerweise etwas mit der Filterproblematik zu tun. Wenn wir technisch keine sicheren Methoden für Filter haben, dann könnten wir so lange ja auch die Internetnutzung aussetzen (wenn Filter wirklich wichtig sind und Sicherheit auch) oder z.B. Google für Suchanfragen ganz sperren, so lange sie keine Filtermöglichkeit für Schulen anbieten. Wie auch immer: Meine Haltung ist, dass eine Diskussion besser ist als keine Diskussion.