Internet-Filter an deutschen Hochschulen
Diese Seite soll einen ungefähren Einblick über die Verbreitung, den Umfang und die Qualität von Internet-Filtern an deutschen Hochschulen geben.
Einleitung
Für das Etablieren von Filtern zwischen Internet und Hochschulnetz gibt es verschiedene Gründe. Einige sind im folgenden aufgeführt.
Private oder gar gewerbliche Nutzung des Zugangs soll verhindert werden.
Die Zahl der Sicherheitsvorfälle soll reduziert werden.
Bestimmte Arten der Nutzung sollen unterbunden werden wegen als zu hoch eingestufter Risiken für die Hochschule (z.B. File-Sharing/P2P).
Politischen Vorgaben erfordern das Vorhandensein von wie auch immer gearteten Filtern.
Konkrete rechtliche Vorgaben, beispielsweise des zuständigen Ministeriums, erfordern das Aktivieren von Filtern (beispielsweise um die Nutzung konkret benannter rechtswidriger Internet-Angebote zu verhindern).
Die Filter werden dazu eingesetzt, um bestimmte Ziele indirekt über die Filter-Konfiguration durchsetzen (z.B. das Fördern der Verbreitung von BSD-Systemen durch die Vorgabe, nur Ausnahmen für solche Systeme zu gewähren).
Je nach Zielsetzung und vor Ort vorhanden technischen und personellen Möglichkeiten fallen die Filter unterschiedlich aus. Manche Ziele sind verständlicher als andere. Heute ist es z.B. durchaus sinnvoll, zu verhindern, daß ein System, welches gerade an das Hochschulnetz angeschlossen wurde, sofort vollständig in das Internet eingebunden ist und alle aktivierten Dienste weltweit anbietet.
Es gibt zwei verschiedene Auslegungen von Filtern:
Eine Whitelist läßt nur Verkehr passieren, der zu einem vorgegebenen Satz von Regeln paßt.
Eine Blacklist blockiert all den Verkehr, der mit bestimmten Regeln übereinstimmt.
Eine Whitelist ist grundsätzlich restriktiver als eine Blacklist. Strikte Whitelists können eine Nutzung von sehr vielen Internet-Diensten verhindern (so daß beispielsweise nur WWW und E-Mail funktionieren), umfangreiche Whitelists können dagegen für den gelegentlichen Nutzer relativ unauffällig sein.
Wichtig bei allen Filtern sind Möglichkeiten, um Ausnahmen zu erhalten. Falls dafür kein von den Nutzern akzeptiertes Verfahren existiert, wird das Experimentieren mit neuen Protokollen erschwert bis verhindert (was zumindest im Widerspruch zum Geist eines Forschungsnetzes steht), und die versierteren Nutzer werden versuchen, mit allerhand Tricks die Filter irgendwie zu umgehen.
Der Vollständigkeit halber wird auch erwähnt, ob die Hochschule die private Nutzung des Internet-Zugangs gestattet und die Einhaltung einer solchen Regelung auch tatsächlich kontrolliert. Aus rechtlichen Gründen ist die Untersagung der privaten Nutzung häufig sehr vorteilhaft (weil z.B. die datenschutzrechtlichen Hürden deutlich sinken). Politisch ist jedoch eine Kontrolle meist unerwünscht, da eine schnelle, kostenlose und unbeschränkte Internet-Anbindung ein Studium (und auch eine Tätigkeit) an der Hochschule attraktiver erscheinen läßt.
Rheinisch-Westfälischen Technischen Hochschule (RWTH) Aachen
Das Rechen- und Kommunikationszentrum
der Rheinisch-WestfälischenTechnischen Hochschule Aachen betreibt einen Paketfilter, der als Blacklist realisiert ist und teils eigehende, teils ausgehende Verbindungen betrifft. Über ein formloses Verfahren können dem Rechen- und Kommunikationszentrum Serverdienste mitgeteilt werden, die dann freigeschaltet werden.
Laut der genannten Webseite setzt das Rechen- und Kommunikationszentrum eine Sperrverfügung der Bezirksregierung Düsseldorf Düsseldorf (Kopie einer ähnlichen Verfügung, Abschrift in Textform) um. Wegen der gewählten Art der Sperrung sind auch weitere Angebote btroffen, die zumindest nicht offensichtlich rechtswidrig sind (siehe auch Nebenwirkungen von IP-basierten Filtern).
Eine private Nutzung der Netzinfrastruktur wird durch die Forderung, daß die Nutzung "den Aufgaben der Hochschule angemessen" (vgl. die Netzordnung vom September 1997) sein muß, nach mehrheitlicher Auffassung ausgeschlossen. An einigen Instituten soll auch die private Nutzung über geeignete Druckmittel unterbunden werden, ohne daß allerdings eine systematische Überwachung stattfindet.
Freie Universität Berlin
Die ZEDAT, das Hochschulrechenzentrum der FU Berlin, betreibt einen Paketfilter. Genaue Informationen zur Konfiguration liegen nicht vor (weder öffentlich noch hochschulöffentlich). Aus der letzten Extrablatt-Meldung der ZEDAT zu diesem Thema geht mittelbar hervor, daß eine Blacklist vorhanden ist, die wahrscheinlich die TCP-Ports 21 (FTP), 23 (Telnet), 25 (SMTP) und 80 (HTTP) betrifft. Experimenten zufolge sind auch die meisten der üblichen Windows-Ports (135, 137, 139, 445 TCP und UDP) für den Zugriff aus dem Internet gesperrt.
Ausnahmen können schriftlich über ein Formular beantragt werden.
Eine Regelung der private Nutzung der IuK-Infrastruktur der FU Berlin scheint nicht vorhanden zu sein. Kontrollen finden auch nicht statt.
Fachhochschule für Technik Esslingen
An der FHT Esslingen werden Dienste und auch gezielt besimmte Internet-Angebote gegen die Nutzung aus dem FHT-Netz gesperrt. Dies betrifftauch Unitopia, einen Teil des Internet-Angebots der Universität Stuttgart. Berichten von Betroffenen zufolge ist das Vorgehen des Rechenzentrums (als Netzbetreiber) auch nach innen hin nicht transparent. Insbesondere sind die Kriterien für das Aktivieren neuer Sperren den Nutzern nicht bekannt.
Der Betriebsordnung zufolge werden die übertragenen Dateien automatisiert auf "strafrechtlich relevante Inhalte" geprüft. Durch die Formulierung ist unklar, ob diese Prüfung durch das BelWü (über das die FHT Esslingen ihre Internet-Anbindung erhält) oder die FHTE selbst diese Überwachung durchführt. Aufgrund der technischen Rahmenbedingungen ist davon auszugehen, daß diese Maßnahme, wenn überhaupt, von der FHTE ausgeht.
Das Rechenzentrum der FHTE geht davon aus, daß eine private Nutzung nicht gestattet ist, auch wenn die Betriebsordnung eine private Internet-Nutzung durch Angehörige der Hochschule nicht explizit ausschließt. Dies gilt auch für die Verwaltungs- und Benutzungsordnung, der die Betriebsordnung des Rechenzentrums der Hochschule zugrundeliegt.
Ruprecht-Karls-Universität Heidelberg
Für die Ruprecht-Karls-Universität Heidelberg betreibt das Universitätsrechenzentrum eine Blacklist zwischen Internet und Universitätsnetz. Die Blacklist umfaßt hauptsächlich die üblichen Windows-Ports (135, 137 bis 139, 445 TCP und UDP) sowie SNMP. SMTP (Port 25/TCP) wird in beide Richtungen gesperrt, die anderen Sperren wirken sollen offenbar nur vom Internet ins Universitätsnetz wirken. Weitere Informationen zu den Filtern werden nur den Netzbeauftragten mitgeteilt.
Zusätzlich werden auch große Mengen von erst kürzlich von der IANA vergebenen IP-Adressen gesperrt, was vermutlich das Ergebnis einer unbeabsichtigten Fehlkonfiguration ist. Für die Universität Heidelberg sind auch die Filter des BelWü aktiv.
Eine systematische Kontrolle zur Unterbindung privater Nutzung findet nicht statt, auch wenn die private Nutzung 1997 durch den Kanzler untersagt wurde.
Universität Karlsruhe
Das Rechenzentrum der Universität Karlsruhe bindet das Universitätsnetz über Network Address Translation ans Internet an. Dies bedeutet, daß Rechner im Universitätsnetz keine öffentlich erreichbare IP-Adresse besitzen. Falls diese Rechner eine Verbindung zu Systemen im Internet aufbauen wollen, werden deren Adressen von Netzkomponenten temporär in öffentliche umgesetzt.
Berechtigte Systemadministratoren können über das sogenannte NATVS, das NAT-Verwaltungssystem, einer internen, privaten IP-Adresse permanent eine feste, öffentlich erreichbare IP-Adresse zuteilen lassen. Dadurch kann das System auch Server-Dienste gegenüber dem Internet anbieten.
In einer Verwaltungs- und Benutzungsordnung ist festgelegt, daß die "Mitglieder der Universität [...] die Leistungen des Rechenzentrums zur Erfüllung ihrer Dienstaufgaben im Bereich von Forschung und Lehre, Verwaltung und sonstiger Aufgaben der Hochschule nach Paragraph 3 UG in Anspruch nehmen" können. Eine private Internet-Nutzung wird damit anscheinend implizit ausgeschlossen.
Universität Stuttgart
Der Paketfilter zwischen dem Internet und der Universität Stuttgart wird vom RUS-CERT verwaltet. Der Verkehr vom Internet zum Universitätsnetz (d.h. für die von der Universität angebotenen Dienste) unterliegt einer sehr strikten Whitelist. Die andere Richtung, vom Universitätsnetz zum Internet, wird dagegen nicht gefiltert (von Notfallmaßnahmen bei Windows-Würmern o.ä. abgesehen).
Systemadministratoren (bzw. ihre Kontaktpersonen am RUS-CERT) können über ein formloses, E-Mail-basiertes Verfahren Ausnahmen beantragen und so Dienste gegenüber dem Internet anbieten. Weitere Informationen finden sich auf der Übersichtsseite zum Paketfilter.
Aufgrund der VBO IuK wird eine Nutzung des Internet-Zugangs für private Zwecke ausdrücklich untersagt. Eine (systematische) Kontrolle findet jedoch nicht statt.
Die Universität Stuttgart ist von den Filtern des BelWü ausgenommen.
Studentenwohnheime in Stutttgart
Ein Teil der Stuttgarter Studentenwohnheime verfügt über einen direkten BelWü-Anschluß. Dort greifen die generellen Filter des BelWü, weitergehende Filter werden von der studentischen Netzverwaltung festgelegt.
Das IP-Netzmanagement der besagten Studentenwohnheime wird von zwei Vereinen übernommen, Selfnet e.V. und WH-Netz e.V..
Beim WH-Netz e.V. sind die studentischen Rechner NAT unterworfen, d.h. sie sind nicht direkt aus dem Internet erreichbar. Über Port-Forwarding können trotzdem ausgewählte Dienste nach außen hin angeboten werden. Der Verkehr zum Internet wird über eine umfangreiche Whitelist gefiltert.
Auch hier wird die Nutzung auf Hochschulzwecke (Forschung und Lehre) beschränkt, ohne daß eine strenge Kontrolle stattfindet.
Universität Ulm
Das Kommunikations- und Informationszentrum der Universität Ulm betreibt zwischen dem Universitätsnetz und dem Internet einen Paketfilter. Dieser Filter hat die Form einer Blacklist und wirkt im wesentlichen nur in der Richtung vom Internet zum Universitätsnetz. Zur Erschwerung der Verbreitung von Windows-Würmern ist SMTP auf TCP-Port 25 ausgehend gesperrt, wobei eine Ausnahmeliste für häufig genutzte Mailrelays (die in Abstimmung mit den Benutzern festgelegt wurde) freigeschaltet bleibt.
Bauhaus-Universität Weimar
Die Bauhaus-Universität Weimar wird vom Servicezentrum für Computersysteme und -kommunikation ans Internet angebunden. Das SCC filtert den Internet-Verkehr über eine Blacklist. Dieser Filter blockiert ausgewählten Verkehr sowohl in eingehender wie ausgehender Richtung.
Die Ordnung für die Nutzung der IV-Infrastruktur der Bauhaus-Universität Weimar gestattet unter § 2 Abs. 2 ausdrücklich eine geringfügige Nutzung zu anderen Zwecken, also auch privaten.
DFN
Der DFN-Verein betreibt das Forschungsnetz mit den meisten Teilnehmern in Deutschland. Zu etwaigen Filtern, die durch den Netzbetreiber DFN-NOC geschaltet wurden, ist derzeit nichts bekannt.
Die genauen Vertragsbestimmungen zwischen DFN und den Kunden unterliegen der Geheimhaltung. Der veröffentlichte G-WiN-Mustervertrag enthält jedoch keine Bestimmungen, die die angeschlossenen Hochschulen zwängen, eine private oder gewerbliche Nutzung des vom DFN-Verein erhaltenen Internet-Zugangs auszuschließen.
BelWü
Das BelWü ist das staatliche Landesforschungsnetz in Baden-Württemberg. Es betreibt an seinen Außengrenzen eine Blacklist, die sowohl eingehenden wie ausgehenden Verkehr filtern. Mit dem Filter werden zwei Ziele verfolgt. Einerseits sollen im Rahmen des BelWü-Sicherheitskonzepts festgelegte Dienste vor Angriffen aus dem Internet geschützt werden. Andererseits dient ein Teil der Filterregeln auch zur Beschränkung der Nutzung von File-Sharing-Diensten (P2P) durch BelWü-Kunden. Einige BelWü-Teilnehmer sind von diesen Filtern generell ausgenommen.
Für die baden-württembergischen Schulen, die das BelWü nutzen, und andere interessierte Teilnehmer wird ein spezieller Jugendschutz-Proxy angeboten, der auf einer proprietären Filter-Software beruht, deren Datenbank nicht offenliegt.
Da die (staatlichen) baden-württembergischen Hochschulen wie das BelWü dem baden-württembergischen Ministerium für Wissenschaft, Forschung und Kunst untergeordnet sind, scheinen zwischen dem BelWü und den einzelnen Hochschulen keine vertraglichen Beziehungen zu existieren, die die Nutzung des Internet-Zugangs beschränken würden.
Kommentare und Ergänzungen
Kommentare und Ergänzungen bitte an fw@deneb.enyo.de schicken. Ich werde sie ggf. einpflegen, falls die Hinweise nicht vertraulich sind.
Weitere Informationen zu Internet-Filtern
Diese Seite soll einen ungefähren Einblick über die Verbreitung, den Umfang und die Qualität von Internet-Filtern an deutschen Hochschulen geben.
T-Com, der Festnetzbetreiber der Deutschen Telekom AG, sperrt einige IP-Adressen. Vermutlich steht dies im Zusammenhang mit einem sogenannten Phishing-Angriff auf T-Com-Kunden. Von den Sperren betroffen sind unter anderem alle T-Online-Kunden.
Nebenwirkungen von IP-basierten Filtern
Filter, die einzelne Webseiten gegenüber Zugriff sperren sollen, können weitaus mehr Seiten sperren, als beabsichtigt. Diese Problematik ist wohlbekannt, konkrete Beispiele fehlten jedoch bislang.
Revisions
2004-05-28: Erstveröffentlichung
2004-05-29: Universitäten Heidelberg, Karlsruhe und Weimar ergänzt.
2004-08-19: RWTH Aachen ergänzt.
2004-12-03: RWTH Aachen korrigiert (private Nutzung gilt als ausgeschlossen), Universität Ulm aktualisiert.