Schüler werden überwacht

Das es am Arbeitsplatz oder an einer Schule Regeln gibt ist klar. Verständlich ist auch, dass die Regeln die Internetnutzung betreffen können. Doch wie sieht es aus, wenn zensiert, protokolliert und Sicherheitsmechanismen geknackt werden?

Swisscom bietet allen Schweizer Schulen einen Internetzugang an. Um die Schüler zu "schützten" wird dieser Internetzugang aber Zensiert und alle Eingaben der Schüler werden überwacht - eine Praxis, die auch von einigen Arbeitgebern gefordert wird. Ich halte wenig von solchen Methoden und der folgende Beitrag soll zeigen, wohin das führt.

Zensur

Ich persönlich vertrete klar die Meinung, dass man selber verantwortlich ist, für das was man sich im Netz ansieht und auch nur so etwas über die Gefahren lernt. Ausserdem gibt es diverse Methoden, mit denen die Sperre umgangen werden kann. Meistens kann man sogar einfach auf ein alternatives Angebot ausweichen. Die Gefahr, dass harmlose Seiten blockiert werden ist wesentlich grösser. Die Gegenseite verspricht sich von der Zensur mehr Sicherheit und Kontrolle. Betreffend der Sicherheit sind aber schon wirksame Schutzmechanismen und Blacklistes in den meisten Browsern standardmässig implementiert. 

Ich habe einige Beispiele von meiner Schule gesammelt:

Malware

Grund:

Unzulässiger Aufruf einer Malware-Seite

Natürlich möchte weder Benutzer noch Administrator Malware auf seinen Computern. Aber alle gängigen Browser haben bereits eine solche Funktion implementiert. Diese ist sogar wirksamer, da sie täglich aktualisiert wird und, im Gegensatz zum Proxy der Schule, auch bei sicheren Verbindungen (https) funktioniert.

Schlussendlich sind die meisten Fälle aber selbst verschuldet, denn kein Malware-Schutz bietet eine vollkommene Sicherheit.

Phishing

Grund:

Unzulässiger Aufruf einer Phishing-Seite

Hier gilt grundsätzlich das selbe wie bei Malware Seiten.

Anonymisierung

Grund:

Verboten zu browsen Anonymisierer category

Da man durch die Überwachung und Zensur eingeschränkt wird, liegt die Verwendung von  Anonymisierungs-Tools nahe. Das auch diese blockiert werden finde ich ziemlich bedenklich. Wer zu solchen Tools greift, ist sich normalerweise bewusst, welchen Nutzen und welche Gefahren das Internet mit sich bringt.

Zum Glück kann man sich hier die Nachteile der Zensur zu nutze machen und auf verschlüsselte oder unpopuläre, unzensierte Alternativen zurückgreifen.

Militanz/Hass und Extremismus

Grund:

Verboten zu browsen Militanz/Hass und Extremismus category

Eine ziemlich heikle Kategorie. Bei meinen Recherchen für Schularbeiten bin ich ab und zu auf politische Seiten gestossen, die mit dieser Begründung zensiert wurden. Leider habe ich die Domains nicht aufbewahrt.

Andererseits könnten unter diese Kategorie beispielsweise auch Rechtsextreme Inhalte fallen. Ob diese zensiert werden müssen ist eine andere Debatte.

Computer/Hacking

Grund:

Verboten zu browsen Computer/Hacking category

 Meine Lieblingskategorie und mit Abstand die, die mich am meisten genervt hat. Ein Opfer ist bspw. gulli.com. Das IT-News-Portal fällt aus unerklärlichen Gründen unter diese Kategorie. Aber auch diverse andere Informative Seiten treffen das selbe Schicksal. Bei TheHackerNews liegt das vielleicht auch an der Domain.

Ausserdem ist die Tatsache, dass solche sicherheitsrelevanten Informationen mit dem Argument der Sicherheit blockiert werden eine ziemliche Ironie. Ginge es nur um Hacking-Tools (auch wenn diese auch benutzt werden können, um die Sicherheit zu testen und somit zu gewährleisten) würde die Malware Kategorie ausreichen.

Nacktszenen/Akt

Grund:

Verboten zu browsen Nacktszenen/Akt category

Dies wird im Schulkodex klar untersagt und wird deshalb auch blockiert. Aber ich bezweifle, dass die Blacklist vollständig ist.

MITM-Angriff

Wirklich gravierende Eingriffe finden seit dem Herbst 2013 statt. Da Google nun standardmässig HSTS für seine Suchfunktion unterstützt, konnte nicht mehr mitgelesen werden. Mit der Begründung, auch weiterhin die Suche nach obigen Inhalten unterbinden zu können, wurde von der Schwisscom beschlossen, den verschlüsselten Traffic an Google aufzubrechen. Um das zu ermöglichen, wurde in den Herbstferien ein falsches Sicherheitszertifikat auf den Schulcomputern installiert und so der Schutzmechanismus der Browser ausgehebelt.

Glücklicherweise nutze ich nie den als Standard definierten Internet Explorer, sondern Mozilla Firefox mit meinen eigen Profil. So wurde ich zurecht gewarnt:

Firefox Zertifikatfehler
Firefox Zertifikatsfehler

Meine erste Vermutung war, dass nun auch die Zertifikatsüberprüfung der Zensur zum Opfer gefallen ist. Ich meldete das Problem, wie üblich, der IT. Als ich dann im Forum der Piratenpartei von der Manipulation erfuhr, war die Empörung über die kriminelle Vorgehensweise und die Intransparentz gross.

Es folgte ein reger Mailverkehr zwischen allen beteiligten Parteien, ohne Resultat. Der IT-Verantwortliche der Schule meinte sogar wörtlich, ich würde mich für ein Edward Snowden halten und versuchte die ganze Problematik herunterzuspielen. Seither habe ich die Kooperation mit der internen IT eingestellt. Die von mir geforderte Kopie der über mich gesammelten Daten wurde nicht folge geleistet, ich hätte für den Aufwand finanziell aufkommen müssen, was eigentlich rechtswidrig ist.

Fakt ist, dass nicht nur die Suchanfragen von Google unverschlüsselt übermittelt werden, sondern auch Daten von allen andern *.google.com Diensten. Darunter fallen unter anderem die Logindaten von accounts.google.com. Es wird nicht zur Sicherheit beigetragen, im Gegenteil, Schüler werden angegriffen.

Die Swisscom nimmt dazu wie folgt Stellung:

b)
Wir filtern also (nochmals: im Auftrag der Kantone) google-Traffic, wie allen anderen http-Traffic seit 2002. Der einzige Unterschied mit der Eweiterung auf https ist demnach der, dass wir einen technischen Umweg vollziehen müssen, damit die Filterung für die Website google (und nur diese Website und keine anderen https-basierten Websites) weiterhin gelingt. Wir nehmen die Google-Anfrage entgegen, entschlüsseln sie, ergänzen den URL mit “safesearch=active”, verschlüseln wieder und reichen den Request weiter. Selbst der Suchbegriff sehen wir nicht ein. Damit aktivieren wir also lediglich die Filterfunktion von Google, um zu verhindern, dass Previews auf Pages mit ungeeigneten Inhalten möglich sind.

Die Begründung ist für mich absolut lächerlich, denn wenn es nur um safesearch=active ginge, wäre das auch Cookie-Basiert möglich.

 

Das ganze wurde auch von den Medien und anderen Blogs aufgenommen: