Google

Bei Anmeldung Datenklau

Hat es diese üble Phishing-Site mit seiner täuschend echten „Google“-Anmeldeseite doch tatsächlich durch meinen Gmail-Spamfilter geschafft:

Bildschirmfoto 2015-02-25 um 18.23.50

Bildschirmfoto 2015-02-25 um 18.25.38

Advertisements

Als heute Morgen fast das Internet kaputt war

Heute fiel bei „Schulen ans Internet“ die Google-Suche aus. Das ist nicht lustig. Lustig sind aber manche Reaktionen betroffener Lehrpersonen und Schüler.

Ein kurzes Verlaufsprotokoll des heutigen Tages:

  • 7:00 Uhr: Ich arbeite seit 30 Minuten normal mit Internet, ohne etwas Besonderes zu bemerken. Eine Kollegin kommt: „Das Internet geht nicht!“. Ich vermute erst eine lose Kabelverbindung – zu Unrecht. Doch die Google-Website auf ihrem PC lädt tatsächlich nicht. Nach dem Aufruf einer anderen Website ist der Fall schnell klar, und ich schreibe einen Tweet an den Swisscom-Support.
  • 8 Uhr: Ein Schüler, nachdem ich ihn darauf aufmerksam machte, dass Google heute Morgen nicht funktioniert: „Hä? Aber wie komme ich denn zu Antolin ohne Google?“ Es folgt ein Crashkurs in Sachen ICT-Standards M02 und im erweiterten Sinne von M17.
  • 8:30 Uhr: Da ich es versäumt habe, das Team über den Google-Ausfall zu informieren, trudeln die ersten Fehlermeldungen ein: „Das Internet geht nicht!“ – abgeschickt per E-Mail vom Arbeitsplatz. (Ja, genau.)
  • 16 Uhr: Google-Suche funktioniert immer noch nicht. Ob die Ursache bei Swisscoms ZScaler-Hack liegt, ist mir bis dato unbekannt.

Gratis? Von wegen.

Wer noch immer dem Irrtum aufliegt, Dienste wie Google oder Facebook seien gratis zu haben, dem sei dieses Video, auf das ich gestern über den Twitter-Kanal von Kim Dotcom gestossen bin, wärmstens empfohlen:

Und da wir auch namhaften Unternehmen wie Yahoo nicht trauen dürfen, unsere Bedürfnisse und Rechte ernst zu nehmen, dienen die von der Werbeindustrie verpönten AdBlocker nicht nur dazu, lästige Werbung auszublenden, sondern erhöhen, sozusagen als sehr erwünschter Nebeneffekt, gleichzeitig auch unseren Schutz vor Datenklau und unsere Computersicherheit.

Darum meint auch Matthias Leisi völlig zu Recht:

 

Zeit für einen kleinen Neustart

mac-os-retro-bombWenn Kolleginnen und Kollegen wieder mal über die Computer schimpfen, schlüpfe ich meist reflexartig in die Rolle desjenigen, der die tollen technischen Errungenschaften unserer schönen neuen Welt anpreist und verteidigt und auch mal um etwas Nachsicht gegenüber der komplexen Technik wirbt.

Aber manchmal ists ja wirklich ein Ärger, wenn das Computerzeugs nicht so tut, wie uns versprochen wird, und wenn ich einfach nur arbeiten will, fehlt auch mir gern die Geduld, mich mit Troubleshooting rumzuschlagen. Und in letzter Zeit ist es so ziemlich vieles, was bei mir grad nicht läuft.

  • Der  grösste Frust ist für mich immer noch, was Swisscom mit unserem Schulnetz verbrochen hat. Abgesehen von allen Sicherheitsbedenken laufen auf meinem Mac im Schulzimmer viele Sachen nicht richtig – genauer gesagt, alles was mit Google zu tun hat. Google Drive hab ich schon mal aufs Abstellgleis gestellt, aber auch mein Gmail und mein Google-Kalender verhalten sich launisch. Und fast am schlimmsten: Auch alle Google-Anmeldungen funktionieren nicht.(1) Das bedeutet, dass ich weder mein Feedly lesen noch auf meinen Flickr-Account zugreifen noch einen Termin über Doodle organisieren kann – jedenfalls nicht ohne einen tollkühnen „Workaround“: Bin ich im Schulnetz, benutze für alle Google-Dienste eine alte Programmversion von Firefox, die etwas mehr Toleranz gegenüber dem gefälschten ZScaler-Zertifikat zeigt als mein Safari oder Chrome. Ich hatte Firefox zuvor während vielen Monaten nicht mehr verwendet und hüte mich jetzt, das eigentlich dringend notwendige Update zu machen. Sicherheit geht anders.
    Kann natürlich schon sein, dass bei mir etwas nicht richtig eingerichtet ist (wobei ich im Moment nicht wüsste was) und der Swisscom-Vertreter hat mir auch schon seine Hilfe angeboten, mein Problem via Fernzugriff zu lösen. Das ist nett, doch braucht das alles wieder ziemlich viel Zeit, die ich im Moment lieber in den Schulunterricht investieren würde als in ein Problem, das ich nicht verursacht habe.

Bildschirmfoto 2014-01-18 um 17.26.51Auch an anderen Orten läuft die Technik nicht so, wie sie sollte. Vor Kurzem habe ich bei meinem privaten MacBook den Festplattenspeicher verdoppelt, indem ich die SSD ausgetauscht habe. Statt dass ich, wie es mir vom Informatiker empfohlen wurde, von meiner alten Festplatte ein Image erstellt und dieses später auf die neue Platte geklont habe, bin ich den Empfehlungen des Herstellers gefolgt und habe die Daten über TimeMachine-Backup wieder aufgespielt. Das Wichtigste: Die Daten sind alle wieder da, und das System läuft auch fast wieder rund – ausser…

  • das WLAN, das sich nun erst einige Minuten nach der Anmeldung mit dem Netzwerk verbindet, und auch das nicht immer. Manchmal muss ich es deaktivieren und wieder aktivieren, dann gehts meistens. Mit fix zugeteilter IP-Adresse scheints ein bisschen weniger instabil zu funktionieren. Eine Lösung habe ich bislang trotz intensivem Googeln noch nicht gefunden.
  • Auch mein zuvor sauber lizenziertes Microsoft Office 2011 hat sich verabschiedet. Es verlangt nun bei jedem Start penetrant nach dem Lizenzschlüssel, den ich leider verlegt habe. Mehr als ärgerlich! (Aber warum habe ich solcherlei Probleme immer nur mit Microsoft?)

… und doch noch ein kleiner Erfolg

Über all diese Kleinigkeiten ärgere ich mich jedes Mal, wenn ich einen meiner Computer hochfahre. Doch es geschehen noch Zeichen und Wunder: Als ich für diesen Blogbeitrag den Screenshot des Eingabefensters für Office 2011 machen wollte, in dem es nach dem Lizenzschlüssel verlangt, ist mir Excel wider jegliches Erwarten anstandslos gestartet. Einer meiner „Reparaturversuche“ scheint mit etwas zeitlicher Verzögerung doch erfolgreich gewesen zu sein. Wie genau ich das angestellt habe, bleibt hier mein Geheimnis – nur so viel: Weil ich für Office 2011 rechtmässig eine Lizenz erworben habe und besitze, habe ich kein schlechtes Gewissen.

Mein Tag hat sich trotz Nebel gerade wieder etwas erhellt. Zeit für einen Neustart, dann geht alles wieder besser. Schönes Wochenende allerseits.

bomb_mac

(1) Nachtrag 27.1.14 Dass die aufgezählten Google-Dienste mit dem ZScaler-Zertifikat nicht funktionieren, kann durchaus auch bei mir liegen; z.B. an einem nicht ganz korrekt installierten Zertifikat. Ich finde, dass ich mich trotzdem darüber ärgern darf, weil die aus technischer Sicht völlig unnötige Swisscom-„Lösung“ viel Ärger und Mehraufwand mit sich bringt, den ich nicht verursacht habe. Zudem habe ich auf meinem privaten Rechner, den ich sehr oft auch für die Schule brauche, das ZScaler-Zertifikat bewusst wieder deinstalliert. Das heisst, dass ich auf diesem Gerät auf sämtliche Google-Dienste verzichten muss, wenn ich damit im Swisscom-Schulnetz bin.

Die Antwort auf solcherlei Probleme von Swisscom: «Bring your own device» ist kein Bestandteil des SAI-Vertrags. Danke, Swisscom.

Schweizer Schulen im Internet: Paranoia hier, blindes Vertrauen dort

Google Security

Google: Gundsätzlich sicherer geworden, an Schweizer Schulen aber unsicherer.

Angefangen hatte alles damit, als Google damit begann, sämtlichen Suchverkehr mit https zu verschlüsseln. An sich eine sehr sinnvolle Sache, die grundsätzlich mehr Sicherheit bringt für alle, die sich via Google im Netz bewegen.

An unseren Schulen hat leider die Massnahme das Gegenteil bewirkt. Schuld daran ist auch eine Portion Paranoia seitens Swisscom sowie Gleichgültigkeit oder Ahnungslosigkeit der meisten Benutzer.

Was genau ist passiert?

  • Google verschlüsselt sämtlichen Suchverkehr, was bedeutet, dass die Swisscom im Rahmen ihres Programms „Schulen ans Internet“ nicht mehr mitlesen kann.
  • Wenn die Swisscom nicht mehr mitlesen kann, kann sie den Google-Suchverkehr nicht mehr filtern und auch die Google Privatsphären-Einstellungen nicht mehr beeinflussen. Das könnte zur Folge haben, dass z.B. ein Schulkind auf einer Google-Bildersuche mal auf ein Bildchen trifft, das es eigentlich nicht sehen sollte. (Was den Link hinter dem Bildchen betrifft wäre der Swisscom-Filter nach wie vor wirksam.)
  • Weil ein solches Szenario offenbar so schlimm wäre, dass zu dessen Verhinderung sämtlicher Internet-Verkehr um jeden Preis gefiltert werden muss, greift Swisscom zu Brachialmethoden (die, wie mir gesagt wurde, auch bei privaten Firmen nicht ganz unüblich seien): Die Verschlüsselung der Suchanfrage wird mit Hacker-Methoden, einer so genannten Man-In-The-Middle-Attacke, ausgehebelt und die unverschlüsselte Suchanfrage über eine amerikanische Firma namens ZScaler weitergeleitet, wo sie gefiltert werden kann.
  • Um die Sicherheitsvorkehrungen von Google zu umgehen, arbeitet Swisscom bzw. ZScaler mit gefälschten Zertifikaten. Diese können bei jeder Suchanfrage vom User weggeklickt werden, oder aber der IT-Verantwortliche der Schule installiert die gefälschten Zertifikate als Root-Zertifikate, so dass der User (darunter nicht nur Schüler, sondern auch Lehrpersonen) ahnungslos bleiben und nicht merken, dass ihre Daten, die sie über Google senden (dazu gehören z.B. auch Login-Daten für Gmail-Accounts) unverschlüsselt über potentiell unsichere Server weitergeleitet werden.
Gefälschtes ZScaler-Zertifikat

Der Browser warnt zu Recht vor dem gefälschten Zertifikat. An den meisten Schweizer Schulen wird dieses aber standardmässig gutgeheissen.

Unterschiedliche Massstäbe punkto Sicherheit

Wenn es um Cloud-Dienste wie Dropbox an Schulen geht, geht die grosse Sicherheitsdiskussion los, weil Dropbox den Datenverkehr zwar verschlüsselt weiterleitet, die Daten selber dann aber auf den Dropbox-Servern unverschlüsselt rumliegen. Geht es um Dienste wie Office 365, fürchtet man juristische Diskussionen, weil die Daten dann nicht mehr auf Schweizer Servern liegen, sondern auf amerikanischen und somit nicht mehr schweizerischer Rechtssprechung unterliegen (weshalb z.B. die Kantone Solothurn und Luzern ihre Schule offiziell vor der Nutzung von Office 365 warnen). Update: Mittlerweile erfüllt Office 365 nach Angaben von Microsoft sämtliche Anforderungen des schweizerischen Datenschützers.

Wenn Swisscom mit Hacker-Methoden verschlüsselten Datenverkehr knackt und diesen über amerikanische Server weiterleitet, ohne zuvor die betroffenen Schulgemeinden hinreichend informiert zu haben, passiert abgesehen von ein paar kaum beachteten Pressetexten – so gut wie nichts. Löbliche Ausnahme ist der Kanton Basel Stadt: Dort heisst es:

«Uns ist die Integrität der Verschlüsselung wichtiger als vermeintlicher Jugendschutz, den man auch auf anderen Wegen erreichen kann»

„Irgendwo fängt Vertrauen an“

Auf das Problem angesprochen, hat mir unser Informatiker geantwortet: «Irgendwo fängt das Vertrauen an». Damit hat er natürlich auch recht. Unserem Provider müssen wir schicksalsergeben ein grosses Mass an Vertrauen entgegenbringen, sonst können wir das mit dem Internet von Anfang an sein lassen. Trotzdem stört es mich, dass diese Massnahme, von Swisscom notrecht-artig umgesetzt (die Praxis, sämtlichen Verkehr über https zu leiten, wurde von Google nicht angekündigt), an unseren Schulen absolut diskussionslos eingeführt wurde.

Nachdem ich gemerkt habe, dass das niemanden wirklich interessiert, hab ich mich diesem Schicksal gefügt. Nun beginne ich trotzdem, meine Dokumente, die ich bislang auf Google Drive abgelegt habe, auf Skydrive umzuziehen, aus dem einfachen Grund, dass Google Drive seit der Umleitung der Daten über ZScaler nicht mehr richtig funktioniert. Nun hoffe ich, dass es Microsoft in nächster Zeit nicht Google gleichtut.

Update 10. Januar 2014, 10:30 Uhr

Es ist nicht so, dass es keine Alternativen zum Man-In-The-Middle-Angriff gäbe. Google hat an diese Bedürfnisse der Schulen gedacht und pfannenfertige Lösungen bereitgestellt.  Warum Swisscom sich trotzdem für einen derart massiven Eingriff in Sicherheit und Datenschutz entschieden hat, ist mir ein Rätsel.

tl;dr

Google sorgt für mehr Sicherheit, was Swisscom dazu veranlasst, das Internet für die Schulen unsicherer zu machen, um weiterhin alle Daten filtern zu können. Das interessiert aber so gut wie niemanden.

Schweizer Landeskarten: Schön, dass es sie auch online gibt

Wer auf dem Strassenweg möglichst komfortabel und effizient nach – sagen wir – Bern fahren muss und dabei einen Traktor oder einen Mercedes zur Verfügung hat, der nimmt in aller Regel den Mercedes. Wenn es darum geht, online auf Karten eine Gegend zu erkundschaften – etwa für eine Klassenwanderung – und dabei auf hochwertiges Kartenmaterial angewiesen ist, so nehmen viele das Äquivalent des Traktors – sie nehmen Google Maps.

Google Maps oder die Karten von Swisstopo – wenns ums Detail geht, ist der Sieger klar.

Google Maps oder die Karten von Swisstopo – wenns ums Detail geht, ist der Sieger klar.

Nichts gegen Google Maps. Ich verwende es auch oft und gerne, zum Beispiel wenn ich via Street View eine fremde Stadt auskundschafte oder die Distanz von hier nach Murmansk wissen möchte. Wenn es aber um Feld- und Wanderwege in der Region geht, sprich um die Planung einer Schulwanderung, ist Google Maps so untauglich wie ein Traktor für eine Autofahrt quer durch die Schweiz.

Selbst viele Schweizer Lehrpersonen scheinen nicht mehr zu wissen, dass die Karten der Schweizer Landestopografie, auf neudeutsch Swisstopo, weltweit einen erstklassigen Ruf geniessen, seit die «Dufourkarte» 1855 an der Weltausstellung in Paris mit der goldenen Ehrenmedaille ausgezeichnet wurde. Ihre Präzision, aber auch ihre Ästhetik waren für die damaligen Verhältnisse einzigartig. Ihre Qualität und ihren Weltruf konnten die Schweizer Landeskarten bis zum heutigen Tag erhalten. Und das beste: Sie sind auch online gratis abrufbar.

In die Karten von Swisstopo habe ich volles Vertrauen und plane, wenn es nicht gerade im Hochgebirge ist, ohne rekognoszieren vor Ort auch einen Klassenwanderung ohne Weiters allein mit dieser Karte, in der selbst jeder freistehende Baum punktgenau eingezeichnet ist. Die Landeskarten sind für mich (Jg. 1968) so urtümlich schweizerisch wie der Gotthard, Bundeshaus und SBB. Kein Ausflug in die Berge mit der Grossmutter, keine Schulwanderung, in der die örtliche 1:25’000er-Landeskarte nicht dabei gewesen wäre. Schön, dass es sie heute auch online gibt!

Ausschnitt aus der Dufourkarte, ca. 1860 (Bild: ETHeritage – blogs.ethz.ch)

………