Via Martin Steiger bin ich auf dieses Dokument (PDF-Download) des Informatikers Rainer Meier gestossen, in welchem in einfacher Sprache erklärt wird, wie Swisscom via die Firma ZScaler verschlüsselten Datenverkehr innerhalb des Schulnetzes aufknackt und warum dies problematisch ist.
Unter anderem erklärt Rainer Meier:
«Solche Angriffe werden üblicherweise von dritten vorgenommen, um an die übermittelten Daten zu gelangen, und sind illegal. Aber auch Firmen setzen solche Systeme ein um die verschlüsselten Daten vom und zum Internet analysieren zu können. Die Betroffenen müssen hier aber informiert werden und üblicherweise dem Einsatz solcher Systeme zustimmen (meistens über Mitarbeiter-Vereinbarungen geregelt). Da ein solches System die Privatsphäre sowie Sicherheit der übertragenen Daten gefährdet, sollten sich die Mitarbeiter bewusst sein, dass ihre Daten dadurch von dritten gelesen werden können.» [Hervorhebung durch iScoutblog]
Die entsprechende Information der Mitarbeiter (sprich Lehrpersonen, Schulleiter u.a.) ist im Fall Swisscom/ZScaler definitiv nicht ausreichend erfolgt. Ich habe jedenfalls in keiner Weise meine Zustimmung dazu gegeben noch irgend eine entsprechende Mitarbeiter-Vereinbarung unterzeichnen müssen, und ich weiss auch von keiner Schule, in der so etwas erfolgt wäre.
Des weiteren mahnt Rainer Meier, skeptisch zu bleiben:
Wer seiner Firma hier voll vertraut sollte trotzdem skeptisch sein, denn durch die aufgebrochene Verschlüsselung ist es für den Benutzer auch unmöglich, weitere Manipulationen zu erkennen. Beispielsweise wenn die Firmen-Systeme ebenfalls von dritten manipuliert wurden oder die Firma selbst Opfer seines solchen MITM-Angriffs wurde:
Bild: Rainer Meier
Einsortiert unter:Administration, ICT, Internet, iScout, Kompetenzen, Lehrpersonen, Schule Tagged: Firmen-Systeme, https, Man-in-the middle, MITM, MITMA, sai, Schulen ans Internet, sicherheit, SSL, swisscom, verschlüsselten Daten, Verschlüsselung, ZScaler