Keine Sicherheit im öffentlichen Raum
In der hiesigen Staats- und Universitätsbibliothek gibt es öffentlich bzw. allein auf die Nutzergruppe der Bibliotheksbenutzer beschränkt zugängliche PC-Terminals. An sich ein nettes Angebot. ABER - sichere SSL-Verbindungen (z.B. zu Mailservern, Homebanking-Sites, Onlinediensten etc.) sind hierüber nicht etablierbar. Soweit es den Zugriff auf Banking-Sites betrifft, kann man dies ja noch irgendwie verstehen: Wer regelt schon ohne Not an einem öffentlichen Terminal seine Finanzangelegenheiten? Aber für alle anderen Nutzungszwecke ist die vorbenannte Einschränkung unter dem Gesichtspunkt der sicheren (Daten-)Kommunikation schlicht kontraproduktiv.
Nun muss man allerdings auch den IT-Systemverantwortlichen der Bibliothek verstehen. Dieser stand vor der Entscheidung, entweder die Sicherheit der Datenkommunikation der einzelnen Nutzer zu gewährleisten oder aber eine sichere IT-Infrastruktur im Ganzen zu betreiben. Er hat sich (legitimer Weise) für die sichere IT-Infrastruktur entschieden. Hintergrund dieses “Entweder-Oder” ist die Problematik der sog. “Covert Channels”: Betreibt der Systemverantwortliche in seiner IT-Struktur einen Webproxy (wie hier Squid), tut er dies zumeist mit der Intention, die jeweiligen IT-Nutzungs- und Sicherheitsrichtlinien möglichst effizient und nachhaltig durchzusetzen. Der Proxy ist hierfür ein probates Mittel - er ermöglicht beispielsweise eine Authentifizierung der Benutzer, eine Limitierung des Datenvolumens oder aber die mögliche Definition verbotener Websites und Domänen. Was im täglichen Einsatz also durchaus vorteilbehaftet ist, gerät im Falle der Etablierung von gesicherten Ende-zu-Ende Kommunikationsvorgängen allerdings zum Problem: Um Ende-zu-Ende-verschlüsselte Verbindungen im Zusammenspiel mit einem Proxy nutzen zu können, bedarf es eines Moduls, das den Proxy-Server anweist, alle Daten einfach an die Gegenstelle weiterzuleiten, ohne das der Proxy in diese Verbindungen “hineinschauen” kann. Letztlich hat der Proxy somit - ebenso wenig wie jeder andere Dritte auf dem Übertragungsweg der Informationen - keine Möglichkeiten, auf den Inhalt der jeweiligen HTTPS-Anforderung zuzugreifen. Anders als bei ungeschützten HTTP-Sitzungen, in denen der Proxy die Anfragen analysieren und einzeln verarbeiten kann, bestehen aufgrund der Verschlüsselung insbesondere keine Interpretations- oder Filtermöglichkeit. Soweit keine weiteren Kontrollen des Datenstroms in der jeweiligen Struktur etabliert sind (z.B. in der Form, den durchgehenden Verkehr auf seine Konformität mit dem HTTPS-Sicherheitsstandard zu prüfen), ermöglicht dies den Nutzern, beliebige (auch Nicht-HTTPS-basierende) Verbindungen durch den Proxy zu tunneln. Einigermaßen erfahrene Nutzer könnten so ein Chat-Stündchen oder aber eine kleine Leech-Session am jeweiligen Terminal initiieren.
Um dieses Risiko zu vermeiden, hat der hiesige Systemverantwortliche den Squid-Proxy in der Weise konfiguriert, dass HTTPS-Anforderungen der Nutzer uneingeschränkt abgewiesen werden.
Nun wäre dieser Fakt ja sicher auch in einer entsprechenden Fehlermeldung zu kommunizieren gewesen. Aber nein - im Gegenteil: Die vorbenannte Nutzungseinschränkung wird dem Nutzer euphemistisch als “Gottesrecht” vorgesetzt. Unter dem Topos “Warum existiert diese Beschränkung?” klärt die Bibliotheksleitung die Nutzer wie folgt auf:
“ ... Vereinfacht gesagt wird mit Hilfe von verschlüsselter Kommunikation eine gewisse Vertraulichkeit persönlicher Informationen erreicht. Sie dient primär Zielen wie Datenschutz oder Wahrung der Privatsphäre. Diese Ziele widersprechen der Nutzung in einem öffentlichen Raum, wie beispielsweise unserer Bibliothek ...” Klar. Öffentlicher Raum und Sicherung der Privatsphäre passen - insbesondere hier in Sachsen - ja so überhaupt nicht zusammen. Weg mit dem Datenschutz! Mehr Transparenz im öffentlichen Raum! Ein Untertan im schönsten Freistaat der Welt (O-Ton eines Lokalsenders) braucht schließlich keine Privatsphäre!
|
Starkes Stueck. Heisst das, dass Sie in diesem Raum keine wissenschaftlichen Recherchen mehr in https-angewaehlten Sammlungen vornehmen koennen? Darf sie sich dann noch Bibliothek nennen? Bibliothek als Hueter des oeffentlichen Raums? Gut, dass ich meinen Plan, das German American Law Journal ueber https anzubieten, noch nicht umgesetzt habe.