Schulen ans Internet

Der Blick – ein Porno-Heftli?

Wie weit an Schulen Internet-Content gefiltert werden soll, war bereits in der Diskussion um das Aufbrechen von sinnvollen Sicherheitsmechanismen durch die Swisscom Gegenstand der Debatte. Kürzlich staunte ich aber nicht schlecht, als ich einen auf meinem Twitter-Feed verlinkten Blick-Artikel lesen wollte und auf meinem iPhone statt des Artikels die folgende Meldung erschien:

Der Blick – ein Porno-Heftli?

Beim Blick selber nahm man es, nachdem ich die Pornografie-Warnung getwittert hatte, mit Humor:

Auch bei Swisscom hat man auf meine Meldung hin sofort reagiert und den Blick umgehend wieder von der Schmuddel-Filterliste genommen – jedenfalls im Kanton Thurgau. Wie das andernorts aussieht weiss ich nicht. Als ich vor zwei Jahren im Kanton Zürich unterrichtete stellte ich fest, dass der Blick im Schul-Internet nicht aufrufbar war und dort vom Filter geblockt wurde. An die genaue Filter-Kategorie erinnere ich mich nicht, aber es war wohl nicht „Pornografie“.

Es ist grundsätzlich richtig, dass das Internet in unseren Schulstuben nicht ungefiltert zugänglich ist. Allerdings stellt sich wie überall die Frage nach der Verhältnismässigkeit, sei es bei den Methoden oder bei der Art des gefilterten Inhalts. Als einer, der die Jugendzeit in den in vieler Hinsicht wesentlich liberaleren 80er-Jahren unbeschadet überstanden hat finde ich es richtig, dass man den Blick auch in der Schule ungefiltert lesen darf, selbst wenn es einem dort passieren kann, auch mal auf ein wenig sehr zurückhaltend präsentierte Nacktheit zu stossen. So viel sollte uns unsere verfassungsmässig garantierte Meinungs- und Informationsfreiheit wert sein, ebenso wie wir auch unserer Jugend so viel Vertrauen entgegen bringen sollten, jeglichen von Blick präsentierten Inhalt verarbeiten zu können.

Advertisements

Weshalb das Aufbrechen von HTTPS-Verbindungen durch die Swisscom problematisch ist

Via Martin Steiger bin ich auf dieses Dokument (PDF-Download) des Informatikers Rainer Meier gestossen, in welchem in einfacher Sprache erklärt wird, wie Swisscom via die Firma ZScaler verschlüsselten Datenverkehr innerhalb des Schulnetzes aufknackt und warum dies problematisch ist.

Unter anderem erklärt Rainer Meier:

«Solche Angriffe werden üblicherweise von dritten vorgenommen, um an die übermittelten Daten zu gelangen, und sind illegal. Aber auch Firmen setzen solche Systeme ein um die verschlüsselten Daten vom und zum Internet analysieren zu können. Die Betroffenen müssen hier aber informiert werden und üblicherweise dem Einsatz solcher Systeme zustimmen (meistens über Mitarbeiter-Vereinbarungen geregelt). Da ein solches System die Privatsphäre sowie Sicherheit der übertragenen Daten gefährdet, sollten sich die Mitarbeiter bewusst sein, dass ihre Daten dadurch von dritten gelesen werden können.» [Hervorhebung durch iScoutblog]

 Die entsprechende Information der Mitarbeiter (sprich Lehrpersonen, Schulleiter u.a.) ist im Fall Swisscom/ZScaler definitiv nicht ausreichend erfolgt. Ich habe jedenfalls in keiner Weise meine Zustimmung dazu gegeben noch irgend eine entsprechende Mitarbeiter-Vereinbarung unterzeichnen müssen, und ich weiss auch von keiner Schule, in der so etwas erfolgt wäre.

Des weiteren mahnt Rainer Meier, skeptisch zu bleiben:

 Wer seiner Firma hier voll vertraut sollte trotzdem skeptisch sein, denn durch die aufgebrochene Verschlüsselung ist es für den Benutzer auch unmöglich, weitere Manipulationen zu erkennen. Beispielsweise wenn die Firmen-Systeme ebenfalls von dritten manipuliert wurden oder die Firma selbst Opfer seines solchen MITM-Angriffs wurde:

Bild: Rainer Meier

Bild: Rainer Meier

Zeit für einen kleinen Neustart

mac-os-retro-bombWenn Kolleginnen und Kollegen wieder mal über die Computer schimpfen, schlüpfe ich meist reflexartig in die Rolle desjenigen, der die tollen technischen Errungenschaften unserer schönen neuen Welt anpreist und verteidigt und auch mal um etwas Nachsicht gegenüber der komplexen Technik wirbt.

Aber manchmal ists ja wirklich ein Ärger, wenn das Computerzeugs nicht so tut, wie uns versprochen wird, und wenn ich einfach nur arbeiten will, fehlt auch mir gern die Geduld, mich mit Troubleshooting rumzuschlagen. Und in letzter Zeit ist es so ziemlich vieles, was bei mir grad nicht läuft.

  • Der  grösste Frust ist für mich immer noch, was Swisscom mit unserem Schulnetz verbrochen hat. Abgesehen von allen Sicherheitsbedenken laufen auf meinem Mac im Schulzimmer viele Sachen nicht richtig – genauer gesagt, alles was mit Google zu tun hat. Google Drive hab ich schon mal aufs Abstellgleis gestellt, aber auch mein Gmail und mein Google-Kalender verhalten sich launisch. Und fast am schlimmsten: Auch alle Google-Anmeldungen funktionieren nicht.(1) Das bedeutet, dass ich weder mein Feedly lesen noch auf meinen Flickr-Account zugreifen noch einen Termin über Doodle organisieren kann – jedenfalls nicht ohne einen tollkühnen „Workaround“: Bin ich im Schulnetz, benutze für alle Google-Dienste eine alte Programmversion von Firefox, die etwas mehr Toleranz gegenüber dem gefälschten ZScaler-Zertifikat zeigt als mein Safari oder Chrome. Ich hatte Firefox zuvor während vielen Monaten nicht mehr verwendet und hüte mich jetzt, das eigentlich dringend notwendige Update zu machen. Sicherheit geht anders.
    Kann natürlich schon sein, dass bei mir etwas nicht richtig eingerichtet ist (wobei ich im Moment nicht wüsste was) und der Swisscom-Vertreter hat mir auch schon seine Hilfe angeboten, mein Problem via Fernzugriff zu lösen. Das ist nett, doch braucht das alles wieder ziemlich viel Zeit, die ich im Moment lieber in den Schulunterricht investieren würde als in ein Problem, das ich nicht verursacht habe.

Bildschirmfoto 2014-01-18 um 17.26.51Auch an anderen Orten läuft die Technik nicht so, wie sie sollte. Vor Kurzem habe ich bei meinem privaten MacBook den Festplattenspeicher verdoppelt, indem ich die SSD ausgetauscht habe. Statt dass ich, wie es mir vom Informatiker empfohlen wurde, von meiner alten Festplatte ein Image erstellt und dieses später auf die neue Platte geklont habe, bin ich den Empfehlungen des Herstellers gefolgt und habe die Daten über TimeMachine-Backup wieder aufgespielt. Das Wichtigste: Die Daten sind alle wieder da, und das System läuft auch fast wieder rund – ausser…

  • das WLAN, das sich nun erst einige Minuten nach der Anmeldung mit dem Netzwerk verbindet, und auch das nicht immer. Manchmal muss ich es deaktivieren und wieder aktivieren, dann gehts meistens. Mit fix zugeteilter IP-Adresse scheints ein bisschen weniger instabil zu funktionieren. Eine Lösung habe ich bislang trotz intensivem Googeln noch nicht gefunden.
  • Auch mein zuvor sauber lizenziertes Microsoft Office 2011 hat sich verabschiedet. Es verlangt nun bei jedem Start penetrant nach dem Lizenzschlüssel, den ich leider verlegt habe. Mehr als ärgerlich! (Aber warum habe ich solcherlei Probleme immer nur mit Microsoft?)

… und doch noch ein kleiner Erfolg

Über all diese Kleinigkeiten ärgere ich mich jedes Mal, wenn ich einen meiner Computer hochfahre. Doch es geschehen noch Zeichen und Wunder: Als ich für diesen Blogbeitrag den Screenshot des Eingabefensters für Office 2011 machen wollte, in dem es nach dem Lizenzschlüssel verlangt, ist mir Excel wider jegliches Erwarten anstandslos gestartet. Einer meiner „Reparaturversuche“ scheint mit etwas zeitlicher Verzögerung doch erfolgreich gewesen zu sein. Wie genau ich das angestellt habe, bleibt hier mein Geheimnis – nur so viel: Weil ich für Office 2011 rechtmässig eine Lizenz erworben habe und besitze, habe ich kein schlechtes Gewissen.

Mein Tag hat sich trotz Nebel gerade wieder etwas erhellt. Zeit für einen Neustart, dann geht alles wieder besser. Schönes Wochenende allerseits.

bomb_mac

(1) Nachtrag 27.1.14 Dass die aufgezählten Google-Dienste mit dem ZScaler-Zertifikat nicht funktionieren, kann durchaus auch bei mir liegen; z.B. an einem nicht ganz korrekt installierten Zertifikat. Ich finde, dass ich mich trotzdem darüber ärgern darf, weil die aus technischer Sicht völlig unnötige Swisscom-„Lösung“ viel Ärger und Mehraufwand mit sich bringt, den ich nicht verursacht habe. Zudem habe ich auf meinem privaten Rechner, den ich sehr oft auch für die Schule brauche, das ZScaler-Zertifikat bewusst wieder deinstalliert. Das heisst, dass ich auf diesem Gerät auf sämtliche Google-Dienste verzichten muss, wenn ich damit im Swisscom-Schulnetz bin.

Die Antwort auf solcherlei Probleme von Swisscom: «Bring your own device» ist kein Bestandteil des SAI-Vertrags. Danke, Swisscom.

Schweizer Schulen im Internet: Paranoia hier, blindes Vertrauen dort

Google Security

Google: Gundsätzlich sicherer geworden, an Schweizer Schulen aber unsicherer.

Angefangen hatte alles damit, als Google damit begann, sämtlichen Suchverkehr mit https zu verschlüsseln. An sich eine sehr sinnvolle Sache, die grundsätzlich mehr Sicherheit bringt für alle, die sich via Google im Netz bewegen.

An unseren Schulen hat leider die Massnahme das Gegenteil bewirkt. Schuld daran ist auch eine Portion Paranoia seitens Swisscom sowie Gleichgültigkeit oder Ahnungslosigkeit der meisten Benutzer.

Was genau ist passiert?

  • Google verschlüsselt sämtlichen Suchverkehr, was bedeutet, dass die Swisscom im Rahmen ihres Programms „Schulen ans Internet“ nicht mehr mitlesen kann.
  • Wenn die Swisscom nicht mehr mitlesen kann, kann sie den Google-Suchverkehr nicht mehr filtern und auch die Google Privatsphären-Einstellungen nicht mehr beeinflussen. Das könnte zur Folge haben, dass z.B. ein Schulkind auf einer Google-Bildersuche mal auf ein Bildchen trifft, das es eigentlich nicht sehen sollte. (Was den Link hinter dem Bildchen betrifft wäre der Swisscom-Filter nach wie vor wirksam.)
  • Weil ein solches Szenario offenbar so schlimm wäre, dass zu dessen Verhinderung sämtlicher Internet-Verkehr um jeden Preis gefiltert werden muss, greift Swisscom zu Brachialmethoden (die, wie mir gesagt wurde, auch bei privaten Firmen nicht ganz unüblich seien): Die Verschlüsselung der Suchanfrage wird mit Hacker-Methoden, einer so genannten Man-In-The-Middle-Attacke, ausgehebelt und die unverschlüsselte Suchanfrage über eine amerikanische Firma namens ZScaler weitergeleitet, wo sie gefiltert werden kann.
  • Um die Sicherheitsvorkehrungen von Google zu umgehen, arbeitet Swisscom bzw. ZScaler mit gefälschten Zertifikaten. Diese können bei jeder Suchanfrage vom User weggeklickt werden, oder aber der IT-Verantwortliche der Schule installiert die gefälschten Zertifikate als Root-Zertifikate, so dass der User (darunter nicht nur Schüler, sondern auch Lehrpersonen) ahnungslos bleiben und nicht merken, dass ihre Daten, die sie über Google senden (dazu gehören z.B. auch Login-Daten für Gmail-Accounts) unverschlüsselt über potentiell unsichere Server weitergeleitet werden.
Gefälschtes ZScaler-Zertifikat

Der Browser warnt zu Recht vor dem gefälschten Zertifikat. An den meisten Schweizer Schulen wird dieses aber standardmässig gutgeheissen.

Unterschiedliche Massstäbe punkto Sicherheit

Wenn es um Cloud-Dienste wie Dropbox an Schulen geht, geht die grosse Sicherheitsdiskussion los, weil Dropbox den Datenverkehr zwar verschlüsselt weiterleitet, die Daten selber dann aber auf den Dropbox-Servern unverschlüsselt rumliegen. Geht es um Dienste wie Office 365, fürchtet man juristische Diskussionen, weil die Daten dann nicht mehr auf Schweizer Servern liegen, sondern auf amerikanischen und somit nicht mehr schweizerischer Rechtssprechung unterliegen (weshalb z.B. die Kantone Solothurn und Luzern ihre Schule offiziell vor der Nutzung von Office 365 warnen). Update: Mittlerweile erfüllt Office 365 nach Angaben von Microsoft sämtliche Anforderungen des schweizerischen Datenschützers.

Wenn Swisscom mit Hacker-Methoden verschlüsselten Datenverkehr knackt und diesen über amerikanische Server weiterleitet, ohne zuvor die betroffenen Schulgemeinden hinreichend informiert zu haben, passiert abgesehen von ein paar kaum beachteten Pressetexten – so gut wie nichts. Löbliche Ausnahme ist der Kanton Basel Stadt: Dort heisst es:

«Uns ist die Integrität der Verschlüsselung wichtiger als vermeintlicher Jugendschutz, den man auch auf anderen Wegen erreichen kann»

„Irgendwo fängt Vertrauen an“

Auf das Problem angesprochen, hat mir unser Informatiker geantwortet: «Irgendwo fängt das Vertrauen an». Damit hat er natürlich auch recht. Unserem Provider müssen wir schicksalsergeben ein grosses Mass an Vertrauen entgegenbringen, sonst können wir das mit dem Internet von Anfang an sein lassen. Trotzdem stört es mich, dass diese Massnahme, von Swisscom notrecht-artig umgesetzt (die Praxis, sämtlichen Verkehr über https zu leiten, wurde von Google nicht angekündigt), an unseren Schulen absolut diskussionslos eingeführt wurde.

Nachdem ich gemerkt habe, dass das niemanden wirklich interessiert, hab ich mich diesem Schicksal gefügt. Nun beginne ich trotzdem, meine Dokumente, die ich bislang auf Google Drive abgelegt habe, auf Skydrive umzuziehen, aus dem einfachen Grund, dass Google Drive seit der Umleitung der Daten über ZScaler nicht mehr richtig funktioniert. Nun hoffe ich, dass es Microsoft in nächster Zeit nicht Google gleichtut.

Update 10. Januar 2014, 10:30 Uhr

Es ist nicht so, dass es keine Alternativen zum Man-In-The-Middle-Angriff gäbe. Google hat an diese Bedürfnisse der Schulen gedacht und pfannenfertige Lösungen bereitgestellt.  Warum Swisscom sich trotzdem für einen derart massiven Eingriff in Sicherheit und Datenschutz entschieden hat, ist mir ein Rätsel.

tl;dr

Google sorgt für mehr Sicherheit, was Swisscom dazu veranlasst, das Internet für die Schulen unsicherer zu machen, um weiterhin alle Daten filtern zu können. Das interessiert aber so gut wie niemanden.