Verschlüsselung

Weshalb das Aufbrechen von HTTPS-Verbindungen durch die Swisscom problematisch ist

Via Martin Steiger bin ich auf dieses Dokument (PDF-Download) des Informatikers Rainer Meier gestossen, in welchem in einfacher Sprache erklärt wird, wie Swisscom via die Firma ZScaler verschlüsselten Datenverkehr innerhalb des Schulnetzes aufknackt und warum dies problematisch ist.

Unter anderem erklärt Rainer Meier:

«Solche Angriffe werden üblicherweise von dritten vorgenommen, um an die übermittelten Daten zu gelangen, und sind illegal. Aber auch Firmen setzen solche Systeme ein um die verschlüsselten Daten vom und zum Internet analysieren zu können. Die Betroffenen müssen hier aber informiert werden und üblicherweise dem Einsatz solcher Systeme zustimmen (meistens über Mitarbeiter-Vereinbarungen geregelt). Da ein solches System die Privatsphäre sowie Sicherheit der übertragenen Daten gefährdet, sollten sich die Mitarbeiter bewusst sein, dass ihre Daten dadurch von dritten gelesen werden können.» [Hervorhebung durch iScoutblog]

 Die entsprechende Information der Mitarbeiter (sprich Lehrpersonen, Schulleiter u.a.) ist im Fall Swisscom/ZScaler definitiv nicht ausreichend erfolgt. Ich habe jedenfalls in keiner Weise meine Zustimmung dazu gegeben noch irgend eine entsprechende Mitarbeiter-Vereinbarung unterzeichnen müssen, und ich weiss auch von keiner Schule, in der so etwas erfolgt wäre.

Des weiteren mahnt Rainer Meier, skeptisch zu bleiben:

 Wer seiner Firma hier voll vertraut sollte trotzdem skeptisch sein, denn durch die aufgebrochene Verschlüsselung ist es für den Benutzer auch unmöglich, weitere Manipulationen zu erkennen. Beispielsweise wenn die Firmen-Systeme ebenfalls von dritten manipuliert wurden oder die Firma selbst Opfer seines solchen MITM-Angriffs wurde:

Bild: Rainer Meier

Bild: Rainer Meier

Bildung Schweiz über Swisscom und das Aushebeln von SSL-Verschlüsselungen

Der Dachverband Lehrerinnen und Lehrer Schweiz LCH widmet sich in seiner aktuellen Ausgabe seines Publikationsorgans Bildung Schweiz auf einer Seite dem Thema Aufknacken der SSL-Verschlüsselung durch Swisscom an Schweizer Schulen. Im Artikel darf auch ich freundlicherweise ein paar Worte zum Thema sagen.

Filtern ja – aber wie? | Bildung Schweiz 02|2014

Im Artikel werden die nicht nur meiner Ansicht nach problematischen Aspekte dieses Vorgehens der Swisscom angesprochen. Doch sind meine Hoffnungen, dass die Praxis der Swisscom letztlich durch die Kantone (denn auf dieser Ebene muss es geschehen) unterbunden wird, recht begrenzt. Die meisten Leute, die ich kenne, fühlen sich nicht betroffen, obwohl sie es oftmals sind – insbesondere wenn sie Google-Dienste wie Gmail benutzen oder gar mit ihren persönlichen Geräten innerhalb des Netzes von SAI arbeiten. Es ist anzunehmen, dass auch viele die Problematik nicht verstehen, und die kompetenten Leute auf der Entscheidungsebene finden das Thema offenbar zu wenig wichtig.

Als löbliche Ausnahme ist, wie bereits in einem früheren Blogpost erwähnt, der Kanton Basel Stadt: «Aktuell stellt für uns das Aufbrechen einer https-Verbindung ein No-Go dar», wird Thomas Grossenbacher, Co-Leiter der Fachstelle ICT und Medien des Erziehungsdepartements Basel Stadt, im Bildung-Schweiz-Artikel zitiert. Und weiter: «Deshalb haben wir unsere DNS-Server so konfiguriert, dass alle Google-Suchanfragen von https- auf das http-Protokoll umgeleitet werden. So funktioniert die bestehende Filterung der Swisscom, das ZScaler-Zertifikat ist hinfällig.»

Eine Lösung, welche keine SSL-Verschlüsselungen aushebelt, ist also problemlos möglich. Man muss sie nur umsetzen wollen.

Google stellt entsprechende Lösungen zur Verfügung. Umso mehr ist es mir unverständlich, weshalb Swisscom diesen Weg wählt und die allermeisten Kantone dies widerspruchslos dulden.

Der LCH-Artikel ist sehr sachlich geschrieben und um formelle Neutralität bemüht. Für sich alleine wird er leider nichts bewirken. Wünschenswert wäre aus meiner Sicht eine klare Stellungnahme mit entsprechenden Forderungen seitens von LCH an Swisscom und die Kantone und den kantonalen Lehrerverbänden (in meinem Fall wäre das Bildung Thurgau).