Netzwerksicherheit

Netzwerksicherheit 

Der Begriff Netzwerksicherheit wird hier in einem umfassenderen Sinne, als dies in der Informatik üblich ist, verwendet. Unter Netzwerksicherheit verstehen wir alles, was Netzwerkkomponenten, Firewalls, Switches, Netzwerkports, Protokolle (auf verschiedenen Ebenen), Filter etc. betrifft.  

Die stetig zunehmende Verschlüsselung des Datenverkehrs stellt die Schulen vor neue Herausforderungen. Die Verschlüsselung bietet einen viel umfassenderen Schutz der Daten als bisher – mit der Kehrseite, dass immer weniger Datenfetzen zur Erkennung von Schadsoftware und zur Erkennung gezielten Missbrauchs verfügbar sind. Dies bedeutet, dass sich die Art und Weise, wie eine Schule Inhalte filtert, ändert. Die Netzwerksicherheit und die Filterung funktionieren heute nicht mehr so wie in den letzten Jahren und müssen neu angegangen werden. Deshalb bieten wir Ihnen im Folgenden ein kurzes Update.

Die Änderung kann man sich bildlich gesprochen etwa so vorstellen: In Zukunft wird nicht mehr in erster Linie an der Grenze (der Firewall) überwacht und gefiltert, sondern im ganzen Netzwerk – vergleichbar mit den Passkontrollen in Europa, die irgendwo auf den Autobahnen stattfinden können und nicht mehr unbedingt nur an der Grenze.

Im Zentrum der Netzwerksicherheit steht nicht mehr die Firewall, sondern die Kontrolle

  • an den Endpunkten und
  • des Netzwerkflusses.

Sicherheit an den Endpunkten

Die Endpunkte sind dort, wo die Kommunikation verschlüsselt und entschlüsselt wird. Also einerseits auf den Servern der Inhaltsanbieter und anderseits in den Apps und im Browser der Endgeräte (Tablets, Laptops etc.). 

Auf der Serverseite ist darauf zu achten, dass die Schule Cloud-Dienste auswählt, die ihre Server auf Schadsoftware überwachen und entsprechende Inhaltsfilter anbieten.

Für die Endgeräte bedeutet dies, dass einerseits auf der Betriebssystemebene und andererseits im Browser Schadsoftware-Erkennung und Inhaltsfilterung aktiv sein sollten. Einen wesentlichen Beitrag zur Sicherheit kann die Schule dadurch leisten, indem sie dafür sorgt, dass auf den Endgeräten ein aktuelles Betriebssystem und ein aktueller Browser mit aktuellen Sicherheitsupdates laufen.

Flussüberwachung

Aufgrund dessen, dass immer mehr Netzwerkverkehr gut verschlüsselt ist , ändert sich die Art und Weise, wie in Netzwerken unerwünschter Netzwerkverkehr  detektiert wird. Im Zentrum steht nicht mehr die Firewall, sondern die Analyse des Netzwerkflusses im gesamten Netz der Schule.

Protokollieren des Netzwerkflusses: Die Schlüsselkomponenten ihres Netzwerkes (Router, Firewalls und Switches) sollten aktuelle Netzwerkfluss-Protokolle (z.B. IPFIX) unterstützen. 

Analyse des protokollierten Netzwerkflusses: Diese wird teilautomatisiert und/oder KI-basiert durchgeführt. Die Analyse des Netzwerkflusses wird als Dienst angeboten.

Intervention bei Detektion: Wird unerwünschter Datenverkehr festgestellt, muss der technische Support entsprechende der Art des unerwünschten Datenverkehrs intervenieren.

Wichtiger als eine Firewall mit vielen Funktionen ist ein guter Dienst, der die Datenflüsse analysiert. 

Datenschutzrechtliche Anmerkungen:

  • Bei der Weitergabe der Flussdaten an einen Analysedienst muss die Schule datenschutzrechtliche Aspekte berücksichtigen.
  • Bei der Überwachung des Netzwerkflusses sollten keine personalisierten, sondern nur aggregierte Daten zur Verfügung gestellt werden.

Filterung 

Die Schulen haben ein Interesse, verschiedene Dinge zum Schutz der Kinder, der Jugendlichen und der ICT-Anlage herauszufiltern, beispielsweise  

  • Unerwünschte Inhalte 
  • Schadsoftware 
  • Werbung 
  • Benutzertracking  

Grundsätzlich bestehen grob drei Möglichkeiten, Inhalte zu filtern

  • auf der Firewall respektive im lokalen Netzwerk 
  • auf den Endgeräten
  • auf den Servern der Inhaltsanbieter

Im Folgenden werden die drei Orte der Filterung genauer erläutert: 

Filterung auf der Firewall

Heutzutage wird in der Schule ein Grossteil der Inhaltsfilterung (Filterung von unerwünschten Inhalten) über die Firewall der Schule oder über die Firewall des Internet Service Providers durchgeführt. Für die Inhaltsfilterung kommen dabei sogenannte URL- und IP-Filter (z.B. Sophos Web Protect), DNS-Filter (z.B. Cisco Umbrella) oder MITM-Filter (z.B. Zscaler von Schulen ans Internet der Swisscom) zum Einsatz. 

  • URL-Filter heissen oft auch Webfilter, weil sie einzelne Web-URLs (z.B. ein einzelnes Bild) blockieren können. Dadurch, dass ein Grossteil des Webverkehrs verschlüsselte (https-)Verbindungen nutzt, ist die URL nicht mehr sichtbar. Die URL-Filter auf der Firewall sind heute bedeutungslos.
  • IP-Filter blockieren den Verkehr von spezifischen IP-Adressen. IP-Filter können mit Tunnel-Verbindungen (VPN, Wireguard, Tor) relativ einfach umgangen werden.
  • DNS-Filter sperren bei der Abfrage des Domainnamens ganze Domains. Dies ist möglich, da die DNS-Anfragen meistens noch nicht verschlüsselt sind. Die Protokolle für die Verschlüsselung der DNS-Abfragen (z.B. DoH, DoT) sind bereits nutzbar; in den neusten Versionen von Android 9, Linux (z.B. Ubuntu 18.10) und Firefox (ab Version 62) kann sie einfach aktiviert werden (Artikel Heise Magazin). Deshalb ist davon auszugehen, dass in den nächsten Jahren ein Grossteil der DNS-Abfragen standardmässig verschlüsselt sein wird und damit DNS-Filter bedeutungslos werden.  
  • MITM-Filter (Man-In-The-Middle-Filter) brechen die verschlüsselte Verbindung auf, um die URL oder und die versendeten Inhalte zu untersuchen. Immer mehr Cloud-Dienste überprüfen die Integrität der Verschlüsselung, was zu Problemen bei der Nutzung von MITM-Filtern führt. Zudem unterlaufen MITM-Filter das Vertrauen der Menschen in die Verschlüsselungstechnik. Die letzten Jahre haben gezeigt, dass die Verteilung von Zertifikaten in der Anwendung fehleranfällig und aufwendig ist.  

Datenschutzrechtliche Anmerkung zu MITM-Filtern:
Gemäss der Datenschutzbeauftragten des Kantons Zürich müssen die Nutzerinnen und Nutzer bei MITM-Filtern über das Aufbrechen der Verschlüsselung in jedem Fall aufgeklärt werden. Es muss ihnen die Möglichkeit geboten werden, im Fall des Aufbrechens die Verbindung nicht herzustellen. Der administrative und technische Aufwand, um MITM-Filter datenschutzkonform zu betreiben, ist im Kanton Zürich gross.

Filterung auf den Endgeräten

Die Filterung auf den Endgeräten (Laptops und Tablets) hat drei Ansatzpunkte: DoT-Filter, Filter im Browser, Filter der Anwendungen. Der Vorteil der Filterung auf den Endgeräten ist, dass sie nicht nur im Schulnetzwerk, sondern auch zuhause oder in anderen Netzen funktioniert. 

  • DoT-Filter entsprechen den bisherigen DNS-Filtern auf der Firewall, laufen jedoch auf den Endgeräten. DoT-Filter sind geeignet bei der Verschlüsselung der DNS-Anfragen mittels DNS-over-TLS (DoT).
  • Filterung im Browser: Einige Browser (z.B. Brave Browser, Firefox) bieten heute schon integrierte Schadsoftware-, Benutzertracking- und Werbe-Filterung an. Inhaltsfilterung kann mittels Browser-Erweiterungen (z.B. uBlock Origin) ergänzt werden. 
  • Filterung der Anwendungen: Mittels MDM können die Schulen bestimmen, welche Anwendungen auf den Geräten der Lernenden installiert werden können. 

Mit grosser Wahrscheinlichkeit wird das Management der Filterung auf den Endgeräten eine Anforderung an die MDM-Systeme stellen. Einige aktuellen MDM-Systeme verfügen über erste Ansätze dazu.

Filterung bei den Inhaltsanbietern

Grössere Suchmaschinen wie Google-Search, DuckDuck-Go und Videoportale wie Youtube oder Vimeo bieten einen spezifischen Zugang für Schulen und Kinder an, der problematische Inhalte filtert. Die Umleitung auf diese speziellen Zugänge muss auf der Firewall und den Endgeräten für möglichst viele Suchmaschinen und Videoportale konfiguriert werden. Das Wechseln auf eine Suchmaschine oder auf ein Videoportal ohne Inhaltsfilterung beherrscht jedes Kind, sobald es eine Internetadresse tippen kann. Der Schutz ist somit minimal.
 

Schlussfolgerungen  

Da immer mehr Internetverkehr verschlüsselt ist, Cloud-Dienste die Integrität der Verschlüsselung prüfen und die Verschlüsselung der DNS-Abfragen in den nächsten Jahren zum Standard wird, haben DNS- und MITM-Filter keine Zukunft und sind nur noch für kurze Zeit als Übergangslösung geeignet. Deshalb raten wir den Schulen, sich neben der IP-Filterung auf der Firewall vor allem auf die Filterung auf den Endgeräten zu fokussieren. 

Technische Filterung ist nie umfassend und kann meist mit ein wenig Vorkenntnissen (z.B. durch Nutzung von Tunnel-Verbindungen) umgangen werden. Technische Filterung verhindert mehr ein zufälliges Darüber-stolpern. Filterung hindert selten Benutzende, die bewusst versuchen, die Filter zu umgehen. Deshalb sind neben den technischen immer auch pädagogische Massnahmen notwendig, wie Aufklärung der Benutzenden, Nutzungsvereinbarungen etc.