Re: Squid Guard vulnerability the 2nd
Von: "Valentin Haenel" <valentin.haenel@gmx.de>
> Ausserdem ist nicht klar hervorgegangen ob jetzt ein wetrüsten
> stattfinden soll oder nicht da hier auf der Liste kein Anwalt mitließt.
Mindestens ein Anwalt liest mit und stellt ggfs. seine Sicht der Dinge dar.
> Die Frage ist ob die einfache präsenz einer Schutzvorkehrung rechtlich
> ausreicht, oder ob man jetzt alle erdenklichen Sicherheitslücken in
> dieser Schutzvorichtung stopfen muss.
Das ist _nicht_ die (rechtliche) Frage.
Die rechtliche Fragestellung
----------------------------
Es kommt nicht auf das (alleinige) Bestehen einer technischen
Schutzvorrichtung an, sondern ob die betroffenen Lehrer ihrer sog.
Aufsichtspflicht nachkommen.
Der Begriff der Aufsichtspflicht geht viel weiter.
Details dazu findet man mit jeder Suchmaschine unter "Aufsichtspflicht
Schule Internet".
Die Aufsichtspflicht ist ein bewegliches Ziel. Ihr Umfang haengt ab von
den jeweiligen Gegebenheiten ab, beispielsweise Alter und Kenntnissen der
Schueler, Gefaehrdungslage etc.
Sicher ist nur eins:
Das Fehlen _jeglicher_ technischen Einrichtung, um den Schuelern rechtlich
problematische Handlungen im Internet unmoeglich zu machen oder zumindest
zu erschweren, ist idR als Verletzung der Aufsichtspflicht einzuschaetzen.
Anderes gilt nur, falls waehrend der gesamten Internetnutzung die laufende
Beaufsichtigung der Schueler auf andere Weise sichergestellt ist.
Der Zugriff auf Webseiten mit problematischen Inhalten stellt dabei nur
einen Aspekt dar. Raubmordkopieren, Webmobbing, Aktienhandel durch Minder- jaehrige etc. sind weitere Aspekte.
Die technische Loesung, z.B. in Form von Zugriffsmoeglichkeiten auf das
Internet, stellt nur einen einzelnen Baustein bei der Befolgung der Auf-
sichtspflicht dar.
Die technische Loesung entbindet keinesfalls von Aufklaerung,
Beaufsichtigung und korrigierenden Eingriffen.
Es faellt schwer, allgemeine Massstaebe zu formulieren. Was an einer Schule
ausreichen kann, mag an einer anderen Schule ungenuegend erscheinen.
Falls beispielsweise ein Schueler die Filtersoftware unterlaeuft und
schlichte Verbote nicht reichen, dann _ist_ aufzuruesten, falls nicht auf
andere Weise sicher gestellt werden kann, dass jener Schueler das Filter-
konzept unterlaeuft und sozusagen der Damm fuer diese Schule bricht. In
solchen Faellen kann ein Wettruesten angesagt sein.
Das kann soweit gehen, dass die Schule gezwungen wird, die Notbremse
zu ziehen, d.h. den Internetzugang gaenzlich zu sperren, wenn die Situation
nicht anders in den Griff zu kriegen ist.
Vorgehensweise
--------------
Am Besten ist wie folgt vorzugehen:
(1) Abschaetzung der Gefahren
Welche Risiken koennen auf die Schueler bei realistischer Sichtweise zukommen? Beispielsweise wird ein 8-jaehriger kaum Metasploit downloaden wollen. Es kommt auf die konkreten Schueler der konkreten Schule an.
(2) Abschaetzung der Folgen fuer die Schueler
Die Gefahren sind zu wichten. Der moegliche Kontakt zu Seiten, auf denen
sich Schueler zu Selbstmorden verabreden, wiegt beispielsweise anders, als
der Kontakt zu Seiten, auf denen Schuelern Klingelton-Abos aufgeschwatzt
werden.
(3) Festlegung der Massnahmen
In Abhaengigkeit von der Gewichtung der Gefahren ist ein Konzept zur Ge-
fahrenabwehr aufzustellen, welches sich nicht nur auf technische Filter beschraenkt (s.o.).
Je schlimmer die moeglichen Folgen, umso mehr Aufwand sollte getrieben
werden.
Wer praktisch denkt, wird auch darauf achten, auf welche Vorfaelle
Schulleiter, vorgesetzte Behoerden und Eltern emotional reagieren.
Viele Laender schreiben zwingend vor, was mindestens an Elementen eines solchen Konzeptes vorhanden sein muss, beispielsweise die Einfuehrung
von Nutzungsregelungen, die physikalische Trennung des Unterrichtetzes
(d.h. dem Internet) von dem Schulverwaltungsnetz etc.
(4) Umsetzung und Fortfuehrung des Konzeptes
Dieses Konzept ist umzusetzen und laufend zu aktualisieren. Wichtig ist,
sich staendig auf den Laufenden zu halten, was in der "Szene" gang und
gaebe ist.
(5) Dokumentation
Das Aufstellen, Umsetzen und laufende Anpassen des Sicherungskonzeptes sollte dokumentiert werden.
Wieviel Aufwand am Ende zu treiben ist, haengt von der konkreten Situation ab.
Fuer eine Grundschule mag es reichen, dass im Protokoll einer Lehrer-
versammlung ein Tagesordnungspunkt enthalten ist, fuer ein Gymnasium mit Informatik-Schwerpunkt und mehrern Strafverfahren gegen Schueler wegen
Raubmordkopien wuerde das sicherlich nicht genuegen.
Wer in solchen Stufen vorgeht, den Schulleiter und die anderen betroffenen Lehrer einbezieht, und im Uebrigen den gesunden Menschverstand walten laesst. laeuft kaum in Gefahr, die Aufsichtspflicht zu verletzen.
Fazit
-----
Das Problem auf einen externen Dienstleister abwaelzen zu wollen,
funktioniert im Regelfall nicht. Sich nur darauf beschraenken zu wollen,
kann im Falle eines Vorkommnisses als Verletzung der Aufsichtspflicht
angesehen werden.
Bewertung
---------
Das ist fuer Lehrer eigentlich nichts neues.
Wer beispielsweise mit der Klasse ins Schwimmbad geht, weis schliesslich
auch, dass der Bademeister nicht die Verantworung traegt, sollte ein Kind
untergehen.
Bei der Internetnutzung gilt nichts anderes.
Gruss
Peter Voigt
P.S.: Wer Schreibfehler findet, darf diese zum Fundbuero bringen.
Reply to: