Freifunk in (schulische) Enterprise WLAN Infrastruktur einbinden – Teil 3 – Schutz der Jugend durch Webfilter?

Können wir die Jugend mit Webfiltern schützen?

Bevor es morgen mit der technischen Umsetzung weitergeht, möchte ich heute einen Abstecher in den politischen Bereich machen. Denn wer denkt überhaupt an die Kinder?

Eine der Herausforderungen abseits von technischen Details mit denen Freifunk sich seit jeher beschäftigt, ist die Frage nach effektivem Jugendschutz. So steht Freifunk dem konventionellen Jugendschutz in Form von Webfiltern kritisch gegenüber.

Das Bundesministerium für Bildung und Forschung veröffentlichte im Jahre 2005 eine Broschüre zum Jugendmedienschutz und Filtersoftware in Schulen. Sie erklärt anschaulich die Problematik von Webfiltern. Diese Überlegungen sind schon über 10 Jahre alt. Heute ist das Thema noch komplexer.

Was sind die Argumente gegen den Einsatz von Webfiltern?

Hierfür müssen wir uns anschauen, wie der normale Aufruf einer Website funktioniert.
Und wie dieser Aufruf nach Implementierung eines Jugendschutzfilters abläuft.

Aufruf einer Website

Die Adresse www.bbs-haarentor.de wird im Browser eingegeben. Der Client fragt bei seinem DNS Server nach der IP für www.bbs-haarentor.de. Der DNS Server übergibt die ihm bekannte IP 78.46.9.149 zurück an den Client. Der Client ruft diese IP auf. Er erhält die erforderlichen Daten und zeigt die Website www.bbs-haarentor.de im Browser an.

Aufruf einer Website mit Webfiltern

Die zwei gängigsten Methoden sind:

Beim DNS Server wird eine Blacklist von Internetadressen gepflegt. Die ankommenden DNS Anfragen werden gegen diese Liste abgeglichen. Wenn unerlaubte Anfragen ankommen wird der Zugriff verweigert und es erscheint eine Fehlermeldung im Browser des Nutzers.
Dieses Verfahren wird allgemein als DNS Filtering bezeichnet.

Alternativ kontrolliert die Filtersoftware den Datenverkehr auf unerlaubten Inhalt. So lassen sich z. B. ungewollte Wörter herausfiltern.
Dieses Verfahren wird allgemein als Content Filtering bezeichnet.

Probleme beim DNS Filtering

  1. Das Betreiben der abzugleichenden Liste ist reaktiv. D. h. es vergeht eine gewisse Zeit bevor neue, unerlaubte Websites in der Liste stehen. In diesem Zeitfenster können entsprechende Websites ohne Probleme besucht werden. Gleichzeitig wird es Websites geben, die nicht mehr sperrwürdig sind. Diese müssen aus der Liste gelöscht werden. In der Schnelllebigkeit des Internets kann dieser Ansatz auf Dauer nicht funktionieren.
  2. Die Liste kann niemals vollständig sein. Dementsprechend wird es immer Seiten geben, die nicht in der Liste stehen und zugänglich sind.
  3. Der Nutzer kann den ihm zugeteilten DNS Server umgehen und stattdessen einen auswählen, der keine Filtertechnik einsetzt. Das Ergebnis ist ein ungefiltertes Netz, trotz aller getroffenen Maßnahmen. Anleitungen hierfür finden sich innerhalb von Minuten z. B. bei YouTube. Das Thema DNS Filterung war bereits 2010 in der politischen Diskussion. Damals wurde das “Zugangserschwerungsgesetz“ u. a. von Familienministerin Ursula von der Leyen gefordert. Es wurde 2011 wieder aufgehoben.

Probleme beim Content Filter

Der Content Filter durchsucht den Datenverkehr nach definierten Kriterien. Die Herausforderungen hierbei sind erheblich und in der Broschüre “Jugendmedienschutz – Filterlösungen im schulischen Umfeld” anschaulich erklärt. Ein Beispiel: Der Suchbegriff Hitler wird eingegeben. Dies kann eine Informationsrecherche für den Politikunterricht sein oder einen rechtsextremistischen Hintergrund haben. Eine Analyse des Datenverkehrs ist nur möglich, wenn die Daten lesbar, d. h. in unverschlüsselter Form vorliegen. Verschlüsselter Traffic lässt sich nicht nach Inhalt analysieren. Seit Ende des Jahres 2016 ist der Anteil an verschlüsselten Traffic im Internet jedoch auf über 50% gestiegen, Tendenz weiter steigend. Damit ist es auf herkömmlichen Wege technisch nicht mehr sinnvoll, Traffic analysieren zu wollen.

Um weiterhin Einsicht in den Traffic im Netzwerk behalten zu können, werden Techniken eingesetzt, die Namen tragen wie SSL Inception oder SSL Proxy. Bei diesen Verfahren wird der verschlüsselte Verkehr aufgebrochen, analysiert und wieder an den Client weitergeleitet. Technisch ist dies ein sogenannter “Man-in-the-Middle” und stellt einen Angriff auf einen vertrauensvollen Kommunikationskanal dar. Im Klartext bedeutet dies, dass ich als Administrator in der Lage bin, jede durch SSL geschützte Kommunikation wie Google Suche, private E-Mails oder Chatverläufe zu lesen, analysieren und auch zu manipulieren. Diese Vorgehensweise ist dementsprechend höchst umstritten und hat unter Sicherheitsforschern einen schlechten Ruf. Da der gesamte Datenverkehr des Netzes an der zentralen Firewall unverschlüsselt vorliegt, stellt genau diese außerdem ein erhöhtes Angriffsziel dar.

Möglicherweise stellt der Eingriff in den geschützten Datenverkehr sogar eine Straftat nach
§ 202a StGB dar.

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

Nach Einschätzung von Jörg Heidrich, Justiziar beim Heise Verlag, kann der Einsatz von SSL Proxys unter gewissen Bedingungen akzeptabel sein (IT-Recht für Admins; 01:23:45 – 01:28:47). Sicherheitsforscher raten jedoch davon ab. Oft führt dies zu unvorhergesehenen Problemen.

Und plötzlich mobiles Internet

Die gesamte Diskussion über effektive Jugendschutzfilter wird hinfällig sobald Geräte über eine eigene Internetverbindung verfügen. In der Praxis ist die einfachste Methode so eine Filtertechnik zu umgehen, das Netzwerk nicht zu benutzen.

Hochvoluminger Mobilfunktarif, speziell an „Young“ Kunden gerichtet.

Wenn über die mobilen Daten eines Smartphones gesurft wird, ist die installierte Filtertechnik wirkungslos. In Zeiten, in denen per LTE 300 MBit und mehr bis zum mobilen Endgerät geliefert werden können, ist performantes Videostreaming über mobile Daten auch kein Problem mehr.

Ein realistisches Narrativ zum Jugendschutz

Der Wunsch, die Jugend vor unangemessenem Material zu schützen, ist nachvollziehbar und richtig. Dies jedoch mit technischen Umsetzungen zu versuchen, die dafür ungeeignet sind und teilweise mehr Probleme schaffen als sie lösen, ist nicht nachvollziehbar oder zielführend.
Der Gedanke Jugendschutz mit Kontrolle durchzusetzen stammt aus einer Zeit, in der das Internet nicht existierte. Die einzigen Medien für Verbreitung von z. B. Pornographie waren VHS Kassetten und Hochglanzmagazine, die Kontrollinstanzen entsprechend schwer zu umgehen.

Heutzutage lassen sich Datenmengen in Sekunden übertragen, für die es damals Tage brauchte. Die mobile Datengeschwindigkeit von LTE ist teilweise schneller als die kabelgebundene Anbindung per DSL an das Schulgebäude. Das LTE 5G Netz steht in den Startlöchern und wird die Geschwindigkeit noch einmal drastisch erhöhen.
Leider stellen Jugendschutzfilter ein System dar, das

  • massive sicherheitstechnische Bedenken und Missbrauchspotential mit sich bringt
  • niemals up-to-date sein kann
  • mit geringem bis gar keinem Verständnis umgangen werden kann
  • eine Kultur der Zensur etabliert

Fazit

All diese Punkte sind Gründe, warum sich die BBS Haarentor nach eingehender Beratung dafür entschieden haben, eine solche Maßnahme nicht durchzuführen. Es wird kein Datenverkehr aufgebrochen, analysiert und Missbrauchspotential geschaffen. Stattdessen wird versucht über die Wichtigkeit von Verschlüsselung zu informieren, insbesondere auch zum Schutz der eigenen Daten. Des Weiteren wird damit auch die Medienkompetenz geschult und die Netzneutralität beachtet.
Sollte es doch zu einem Fehlverhalten kommen, wird dies gehandhabt wie jedes andere Fehlverhalten auch: durch die menschliche Kontrollinstanz, die Klasse, die Klassenlehrerin oder den Klassenlehrer.

Zum Abschluss möchte ich noch eine persönliche Anmerkung hinzufügen. Ich bin mir bewusst, dass sich Maßnahmen wie DNS Filter durchaus erzwingen lassen, indem z. B. alternative DNS Anfragen zu externen Netzen unterbunden werden. So entsteht ein Katz und Maus Spiel, das sich ewig fortführen lässt. Die einzige logische Schlussfolgerung ist mit Whitelisting für Dienste und Websites bzw. IPs zu arbeiten. Nach meiner Auffassung hat ein solches Netz seine Existenzberechtigung nur in einem Hochsicherheitsbereich wie einem Gefängnis, aber nicht an einem Ort der freien Bildung.

Fortsetzung Morgen.
Freifunk in (schulische) Enterprise WLAN Infrastruktur einbinden – Teil 4 – Implementierung

Schreibe einen Kommentar