Portsperren an der Technischen Hochschule Wildau: Wir sperren nichts!... Nein!? Doch!! Ohh!!!
Sperrungen bestimmter IP-Ports oder Protokolle sind unter ganz bestimmten Umständen ein Mittel, um Netzwerke und Infrastrukturen vor Angriffen zu schützen. Wie bei jeder Einschränkung von Freiheiten sollte dabei kompetent abgewogen werden und Transparenz bestehen. Beides haben wir an der Technischen Hochschule Wildau nicht gefunden. Erst eine Klage förderte die Fakten ans Tageslicht. Das Klageverfahren dauerte über 4 Jahre und dabei verstrickte sich die Technische Hochschule Wildau immer wieder in sich widersprechende Aussagen.
Prolog
Wir möchten dem vier Jahre andauernden Drama vorweg feststellen, dass wir diese Hochschule aus eigener Erfahrung und Anstellung kennen und von Anfang an wussten, dass dort Sperrungen erfolgen. Nur nicht welche und wie viele es konkret waren, da die Hochschule auch intern keinerlei Transparenz dahingehend erzeugt.
🏛️ Es geht los.
Es ist Ende August im Jahr 2020.
In den allgemeinen Unsicherheiten der Coronapandemie wollten wir von der Hochschule wissen, welche Domains, Ports, IP-Protokolle, IP-Adressen und Dienste sie in ihren unterschiedlichen Netzen sperrt. Wie der Sperrprozess aussieht, wer also wann diese Sperrungen vornimmt oder wieder aufhebt und ob es bereits z.B. Abmahnungen von Rechteinhabern gab, aufgrund dessen solche Sperren erfolgten.
Letztlich wollten wir wissen, ob es interne Vorgaben gibt, welche Webseiten Mitglieder der Hochschule nicht besuchen dürfen und wir wollten sämtliche Verfahrensverzeichnisse nach DSGVO einsehen.
Fragen, die sich um das Thema der Netzneutralität drehen. An einer Hochschule ein besonderes Thema, da sich Hochschulen der Freiheit der Forschung und Lehre in besonderem Maße verpflichtet fühlen sollten. Das inkludiert Transparenz. Eine solche Eigenverpflichtung konnten wir an der Technischen Hochschule Wildau nicht feststellen.
Die Hochschule antwortet uns zwei Wochen später, dass sie alle unsere Fragen als sicherheitskritisch einstuft, außer einer. Hinsichtlich der Prozessbeschreibungen zur Einrichtung und Aufhebung von Sperren antwortet sie, in dem sie angibt, dass solche Unterlagen nicht existieren.
Wir halten also fest, dass an dieser Hochschule nicht schriftlich fixiert ist, wer, wie, wann, wo, warum, welche Sperrungen einrichtet oder aufhebt. Transparenz hinsichlicht der Einschränkung von Freiheiten ist so auch nicht gegeben. Wir kennen das aus dieser Hochschule im IT Bereich aus eigener Erfahrung auch genau so. Sucht man dann nach Gründen, landet man letztlich in autokratischen Strukturen mit Entscheidungen von Einzelpersonen. Deren Entscheidungen werden nicht inhaltlich begründet, es gibt keine effektive Möglichkeit innerhalb der Hochschule für Veränderung zu sorgen. So entstehen Gefälligkeitsstrukturen, bei denen bestimmten Personen etwas erlaubt wird, anderen wiederum nicht. Wir sind jedoch nicht mehr in einer Abhängigkeit dieser Hochschule und konnten daher wesentlich tiefer graben, ohne Konsequenzen fürchten zu müssen.
🏛️ Gehen Sie weiter, es gibt hier nichts zu sehen. Ach ist das so?
Nachdem unsere Fragen größtenteils abgelehnt wurden, befragten wir zunächst die Landesbeauftragte für den Datenschutz und das Recht auf Akteneinsicht. Besonders interessierte uns, warum denn unsere Frage nach der Anzahl der Abmahnungen eine sicherheitskritische Sache darstellen soll. Es geht hier um eine Zahl, die 0, oder 1 oder 2 oder auch 5000 sein kann. Warum soll das sicherheitskritisch sein und warum würde, wie die Hochschule schreibt: die ordnungsgemäße Erfüllung der Aufgaben der öffentlichen Stelle erheblich beeinträchtigt ?
Und wir erhielten eine “Weihnachtsüberraschung”. Zwei Tage vor Weihnachten des ersten Coronajahres 2020 erhielten wir einen Änderungsbescheid der Hochschule.
In diesem Änderungsbescheid ändert die Hochschule ihre Meinung. Spoiler: Das wird im Verlaufe dieses Dramas noch mehrfach passieren.
Jetzt gibt die Hochschule auf fast alle Fragen “Auskunft”. Wobei das Wort Auskunft hier etwas irreführend sein mag. Denn auf die meisten unserer Fragen antwortet die Hochschule:
Es liegen keine Unterlagen vor.
Auf unsere Frage nach den meldepflichtigen Datenschutzvorfällen im Zusammenhang mit Netzsperren wird wie folgt geantwortet:
Der Datenschutzbeauftragte der TH Wildau teilte mit, dass ihm keine entsprechenden Datenschutzvorfälle bekannt. sind.
Hinsichtlich der IP-Sperren gibt die Hochschule an:
Es liegen keine entsprechenden Fälle vor.
Genau jene Unterlagen, die zuvor doch inhaltlich als sicherheitskritisch eingestuft wurden, soll es nun auf einmal nicht geben. Die Hochschule hat also zuvor nicht vorhandene Unterlagen irgendwie, nennen wir es mal “eingeschätzt”, und dann beschieden diese wären sicherheitskritisch. Ob die Unterlagen vorliegen, hat sie offensichtlich nicht geprüft und uns und die meisten anderen Personen jedoch in diesem Glauben gelassen.
Dreister kann mal wohl gegen die Grundsätze nachvollziehbaren Verwaltungshandelns nicht verstoßen. Wir bezeichnen das als Willkür. Wir würden sogar einschätzen, dass es sich um eine handfeste Lüge handelt. Also das Handeln einer Person, die weiß oder vermutet, dass sie nicht den Tatsachen entsprechend Auskunft erteilt. Eine solche von uns eher unübliche Wortwahl halten wir hier aber auch angesichts der noch kommenden Aspekte dieses Dramas für angebracht und von der Meinungsfreiheit gedeckt. Die Technische Hochschule ist auch in der Vergangenheit gegen negative öffentliche Berichterstattung über sie mit mäßigem Erfolg vorgegangen. Das von ihr selbst wahrgenommene Außenbild scheint ihr sehr wichtig zu sein.
Bei den Fragen nach den Port- und Protokollsperren bleibt die Hochschule jedoch bei ihrer Auffassung und lehnt eine Auskunft ab. Nachdem wir dann mehrfach versuchten die Hochschule von ihrer irrigen Meinung abzubringen, blieb im Mai des Jahres 2021 nur die Klage übrig.
🎻 Kleines Zwischenspiel: Was nicht passt, wird passend gemacht.
Die Hochschule begründet ihre Ablehnung im Widerspruchsbescheid vor Klageerhebung und Dank der Intervention der Landesbeauftragten konkreter.
Diese Begründungen überzeugen uns jedoch fachlich nicht mal im Ansatz und sollen folgend betrachtet werden.
Berufung auf die Zertifizierung nach ISO 27001
Laut Hochschule hätten die von uns angefragten Unterlagen eine gewisse Schutzklassifizierung nach ISO 27001, die eine Herausgabe nicht erlauben würde, da sonst die Zertifizierung nach ISO 27001 gefährdet wäre. Das mag sein, wenn man aber selbst die Regeln machen kann, nun ja…
Willkür.
Dazu muss man wissen, dass die ISO 27001 in mindestens zwei Varianten existiert. Einer großen Variante (der ISO 27001 nach BSI Grundschutz) mit sehr konkreten Vorgaben, wie was umzusetzen ist und einer kleinen Variante. Bei der kleinen Variante wird lediglich nachgewiesen, dass die Prozesse stimmen und man in der Lage ist, auf Basis von aufgetretenen Problemen schrittweise besser zu werden. Sicherheit selbst wird mit der Zertifizierung jedoch nicht bescheinigt. Da die Hochschule nach der kleinen Variante zertifiziert ist, kann sie also selbst auch Regelungen festlegen, die 9 von 10 Experten als unsicher einschätzen. Sie darf mit diesen getroffenen Regelungen auch scheitern, ohne dass die Zertifizierung gefährdet wäre. Sie ist aber in der Lage, wenn sie feststellt, dass sich die Regelungen als unbrauchbar herausstellen, schrittweise besser zu werden und dies dokumentiert darzulegen. Immerhin.
Die ISO 27001 nach BSI Grundschutz lässt weit weniger Spielraum für eigene Entscheidungen, wie etwas konkret umgesetzt werden muss. So gibt der BSI Grundschutz für die Zuständigkeit für das Erstellen und Verändern von Sperrungen an der Firewall Folgendes vor:
Es MÜSSEN Zuständige benannt werden, die Filterregeln entwerfen, umsetzen und testen. Zudem MUSS geklärt werden, wer Filterregeln verändern darf. Die getroffenen Entscheidungen sowie die relevanten Informationen und Entscheidungsgründe MÜSSEN dokumentiert werden.
Die Hochschule hat uns jedoch mitgeteilt, dass sie keinerlei Unterlagen dazu besitzt, wer wie wann welche Sperrungen einrichtet. Auch hier kann sie also ganz eigene Entscheidungen treffen, ohne ihre Zertifizierung zu verlieren. Wer diese Entscheidungen warum trifft, ist also nicht dokumentiert.
Der BSI Grundschutz gibt für die Gesamtdokumentation der Firewall vor, dass nur Befugte darauf Zugriff haben dürfen. Diese Anforderung kann jedoch für Teile z.B. spezifische Ports auch im BSI Grundschutz so definiert werden, dass hier jede Person befugt wäre. Im Übrigen veröffentlichen viele andere Hochschulen von sich aus, welche Ports und Protokolle sie sperren. Die Technische Hochschule Wildau tut dies nicht.
Weil nicht sein kann, was nicht sein darf.
Eine weitere abenteuerliche Begründung, warum keine Auskunft über Port und Protokollsperren erteilt wird, nutzt zwei Informationsfreiheitsanfragen, die wir selbst beim BSI gestellt haben und deutet die Antwort des BSI durch Weglassen von Textpassagen so um, dass diese der Argumentation der Hochschule zuträglich wird.
Daraus lernen wir, dass unsere öffentlichen Aktivitäten bei FragDenStaat.de überwacht werden und das versucht wird, diese gegen uns zu verwenden.
Vom BSI wollten wir nämlich im Rahmen unserer eigenen Recherchen wissen, ob dort Unterlagen vorliegen, die sich mit der ganz allgemeinen Frage über Security by Obscurity beschäftigten und eine zweite Anfrage, die ganz konkret fragt, ob es aus Sicht der IT-Sicherheit sinnvoll ist, Portsperren geheim zu halten. An dieser Stelle sei dem BSI herzlich für die teilweise sehr umfangreichen Ausführungen gedankt.
Während die erste Anfrage sinngemäß so beantwortet wurde, dass dies auf den Einzelfall ankommt und keinerlei generalisierende Aussage zu treffen ist, wird für die Portsperren damit geantwortet, dass keinerlei Unterlagen dazu vorliegen. Wir vermuten, dass sich bisher beim BSI niemand Gedanken darüber gemacht hat, welche Gefahr wohl davon ausgeht, wenn man vorher weiß, über welche Ports man nicht kommunizieren kann. Solche Fragen sind jedoch von sicherheitsrelevanter Bedeutung für die Technische Hochschule Wildau.
Die Hochschule nutzt nun Passagen der Antworten des BSI der Anfrage Security by Obscurity und schreibt:
Als Teil der Betrachtungen fließt insbesondere im Rahmen der Schwachstellenanalyse der Aspekt „Wissen über den Prüfgegenstand (TOE)“ in die Betrachtungen mit ein. Abhängig von der Art des Prüfgegenstandes und der von ihm zu erbringenden Sicherheitsleistungen spielt dieser Aspekt eine wesentliche Rolle in der Bewertung der Wirksamkeit der implementierten Schutzmechanismen des Produktes. Nach dieser etablierten und weltweit anerkannten Methodik trägt aber eine verringerte Kenntnis über den TOE grundsätzlich dazu bei, Angriffe schwieriger zu machen und das entsprechende Angriffspotential einzuschätzen. In diesem Sinne ist die Anwendung der Common Criteria selbst als Beleg dafür zu sehen, dass das Wissen über den Prüfgegenstand einen Einfluss darauf haben kann,potentielle Schwachstellen leichter oder schwerer identifizieren und ausnutzen zu können.
darauf fasst die Hochschule zusammen:
Den Ausführungen des BSI kann entnommen werden, dass die Gefährdung von IT-Systemen steigt, wenn Kenntnisse über die Konstruktion, den Aufbau oder die Architektur bekannt sind.
Befürwortet das BSI also Security by Obscurity? Mitnichten!
Die Hochschule bedient sich hier der Methodik des gezielten Weglassens oder auch der Dekontextualisierung.
Sie hat aus der BSI-Antwort einfach etwas entfernt, damit diese ihrer Argumentation zuträglich wird. Weil nicht sein kann, was nicht sein darf. Im Rahmen wissenschaftlicher Arbeiten ein No-Go, für die hier konkret Handelnden der Hochschule aber wohl kein Hindernis.
So lautet die hier betroffene vollständige Passage des BSI:
Nach dieser etablierten und weltweit anerkannten Methodik trägt aber eine verringerte Kenntnis über den TOE grundsätzlich dazu bei, Angriffe schwieriger zu machen und das entsprechende Produkt als widerstandsfähig gegen ein bestimmtes Angriffspotential einzuschätzen.
Die Hochschule lässt also jenen einschränkenden Teil der BSI-Antwort weg, der sich auf ein bestimmtes Angriffspotential bezieht. Das BSI wollte ausdrücken, dass für bestimmte, für jeden Einzelfall zu betrachtende Angriffe diese schwieriger sein könnten, umso weniger über den Prüfgegenstand bekannt ist. Eine solche auf den jeweiligen Einzelfall beschränkte Aussage erlaubt der Hochschule natürlich keine Generalisierung. Die braucht sie aber für ihre Argumentation. Also wird die Passage weggelassen. Sie müsste sonst ja irgendwie argumentieren, dass wenn jemandem bekannt wäre, worüber keine Kommunikation möglich ist, dies eine Gefahr darstellt. Auch hier schätzen wir ein, dass die Hochschule gelogen hat.
Den zweiten Aspekt, den die Hochschule weglässt, ist der Fakt, dass das BSI in seiner Antwort noch Beispiele auflistet, bei welchen Kenntnisse über den Prüfgegenstand Angriffe zumindest verzögert haben und auch solche, wo dies nicht gegen Angriffe geholfen hat.
Die Antwort des BSI ist am Ende ganz klar so zu verstehen, dass ein System umso sicherer ist, desto mehr darüber bekannt ist und es trotzdem nicht erfolgreich angreifbar ist. So scheint die Technische Hochschule Wildau das Schreiben aber nicht verstehen zu wollen.
Prognose, Prognose an der Wand, welches Wissen ist das gefährlichste im Land?
Die Hochschule verbleibt auch in der folgenden Argumentation auf dem Standpunkt ihrer zuvor selbst veränderten Aussage des BSI.
So argumentiert sie hinsichtlich möglicher Gefahren, wenn bekannt würde, worüber man nicht kommunizieren kann, wie folgt:
Auf Grund dieser konkreten Einschätzung beruhenden prognostischen Bewertung ist mit hinreichender Wahrscheinlichkeit zu erwarten, dass das Bekanntwerden der Informationen das Schutzgut beeinträchtigt.
Sie bezieht sich mit dieser Prognoseeinschätzung auf eine Forderung unsererseits, in der wir um Darlegung bitten, dass ein Schadensszenario auch entsprechend zu erwarten ist. Eine solche Prognose ist im Rahmen von Einschränkungen der Freiheit durch eine Behörde auch verpflichtend durchzuführen. Denn jede Einschränkung durch Behördenhandeln ist zu begründen und gegen die anderen Freiheitsrechte abzuwiegen. Das sollte für Hochschulen im Besonderen gelten.
Bekannt ist diese Abwägung durch ein Urteil zum unrechtmäßigen Alkoholverbot in der Freiburger Innenstadt (VGH Mannheim Urteil vom 28.07.2009 – 1 S 2200/08) geworden. Unter anderem führte das Gericht damals aus:
Auch die Feststellung einer abstrakten Gefahr verlangt mithin eine in tatsächlicher Hinsicht genügend abgesicherte Prognose: es müssen – bei abstrakt-genereller Betrachtung – hinreichende Anhaltspunkte vorhanden sein, die den Schluss auf den drohenden Eintritt von Schäden rechtfertigen. Der Schaden muss regelmäßig und typischerweise, wenn auch nicht ausnahmslos, zu erwarten sein.
Die Hochschule nutzt also für ihre Prognose eine von ihr selbst notwendigerweise inhaltlich veränderte Aussage des BSI. Das BSI hat niemals etwas darüber ausgesagt, dass ein Schaden regelmäßig und typischerweise eintritt, wenn bekannt würde, welche Ports oder Protokolle gesperrt sind, also nicht nutzbar sind.
Da die Hochschule für den Kern ihrer Argumentation die Antworten des BSI unserer eigenen Anfragen nutzt, hat sie sich wohl auch vor unseren Anfragen an das BSI keinerlei eigene Gedanken darum gemacht, sondern erst in ihrem Widerspruchsbescheid überhaupt damit auseinandergesetzt. Hier jedoch mit Quellen, die wir erst im Rahmen des Verfahrens überhaupt erstellt haben.
Hex Hex: Erst gab es keine Unterlagen, dann gibt es sie doch.
Im Widerspruchsbescheid änderte die Hochschule ihre Meinung. Nun scheint sie doch Unterlagen zu den Verfahren nach DSGVO zu haben, die sie auch gleich mitliefert.
Wir fragen uns, warum gab es diese Unterlagen zuvor nicht? Das Datumsfeld der Unterlagen zeigt das Jahr 2019, also lange vor unserer ersten Anfrage.
Für uns ein weiteres Indiz für eine weitere Lüge. Die Behauptungen der Technischen Hochschule Wildau sind also grundsätzlich mit Vorsicht zu genießen, wie sich auch im folgenden Verlauf des Klageverfahrens zeigen wird.
🧑🏾⚖️ Die Klage, ein Funktionsmerkmal des Rechtsstaates, auch wenn es dauert
Nachdem wir von unserer ersten Anfrage August 2020 bis Mai 2021 auf den Widerspruchsbescheid hingearbeitet haben, konnten wir Klage erheben. Das war mitten in der Coronazeit. Alles hat ein wenig länger gedauert und wir hatten dafür auch Verständnis. Es zeichnete sich aber schnell ab, dass wir ohne Klage nicht weiterkommen würden.
Die Technische Hochschule Wildau sah sich nicht im Stande, sich selbst vor dem Verwaltungsgericht Cottbus zu verteidigen, und belastet die Tasche der Steuerzahler durch Beauftragung der IT Kanzlei Härting Rechtsanwälte.
Es folgt nun eine chronologische Zusammenfassung der wichtigsten Punkte im Klageverfahren.
Juli bis Dezember 2021
Nach Klageerhebung erfolgte reger Schriftwechsel, den wir hier nur zusammenfassend darstellen.
Dabei sei auch darauf hingewiesen, dass wir die Schriftsätze der Kanzlei nicht vollständig veröffentlichen können. Die gefestigte Rechtsprechung geht davon aus, dass auch hier das Urheberrecht gilt. Wir nutzen daher das Zitatrecht nach § 51 UrhG, was es uns erlaubt bestimmte Einzelpassagen wiederzugeben.
Juli 2021
In der ersten Erwiderung nach Eingang der Klage hat die Hochschule erneut ihre Meinung geändert. Überrascht sind wir nicht mehr.
Nun erteilt sie uns wieder etwas mehr Auskunft und gibt Folgendes an:
Bei Netzen der TH Wildau, die von Studierenden oder anderen Personengruppen zum Zwecke von Forschung und Lehre bzw. zu privaten Zwecken genutzt werden und von denen ein Zugriff aus den Netzen der TH in das Internet erfolgt, wird ausschließlich Port 23 und das über diesen Port standardgemäß ausgeführte Protokoll Teletype Network (nachfolgend „Telnet“) gesperrt. Hintergrund der Sperrung ist die fehlende Verschlüsselung des Dienstes Telnet und die damit einhergehende erhöhte Gefahr für die IT-Infrastruktur der TH Wildau. Als Alternative zu Telnet besteht jedoch die Möglichkeit der Nutzung von Secure Shell (nachfolgend „SSH“). SSH ist ein verschlüsselter Dienst, der für dieselben Zwecke wie auch Telnet eingesetzt werden kann.
Die Hochschule sieht es als Sicherheitsproblem für ihre eigene IT Infrastruktur an, wenn sich Personen von innerhalb ihres Netzwerkes nach außen auf Port 23 mit Telnet verbinden. Und zwar deswegen, weil die Verbindung nicht verschlüsselt erfolgt. Wie auch künftig, verstehen wir nicht, was die Hochschule konkret gedenkt auszudrücken.
Sie könnte es so gemeint haben, dass ihre eigene Sicherheit betroffen ist, wenn sich ihre eigenen Admins mit Telnet ins Internet verbinden und dort dann z.B. Passwörter verwenden, die auch im Netz der Hochschule verwendet werden. Schon wenn wir das so schreiben, schüttelt es uns ob der fehlenden Fachkompetenz dieser Hochschule, welcher die eigene ISO 27001-Zertifizierung doch so wichtig ist, sofern das so gemeint war.
Wenn sie es jedoch so meint, dass eine unverschlüsselte Verbindung so ganz allgemein eine Gefahr darstellt und hier ja für das Netzwerk der Hochschule und nicht für die Nutzer, dann erschließt sich uns das noch weniger. Neben Telnet gibt es ja auch noch z.B. rsync, welches auch unverschlüsselt eingesetzt werden kann. Warum soll die Übertragung von unverschlüsselten Daten generell eine Gefahr für das Netzwerk der Hochschule darstellen? Der Inhalt der Daten ist doch das Relevante.
Und gerade mit Telnet gibt es einige spannende Anwendungen, die auch unverschlüsselt Spaß machen, der Lehre zuträglich sind und keinerlei Gefahr darstellen. Hier einige Links als Vorschlag:
Fun on the terminal
Star Wars in ASCII Art -> telnet towel.blinkenlights.nl
Gemeinsames zeichnen im Terminal
Es schüttelt uns, was es bedeutet, wenn die Hochschule im Rahmen einer Abwägung von Freiheitsrechten hier ja insbesondere der Freiheit der Forschung und Lehre, der sie doch besonders verpflichtet sein sollte und der Sicherheit ihres IT-Netzwerkes sehr genau überlegt hat und dann “kompetent” entschied, den gesamten Port 23 für alle zu sperren. Und noch dazu, dies nicht öffentlich oder zumindest intern zu kommunizieren.
Als weiteren Punkt beauskunftet die Hochschule nun, dass sie doch IP-Filter einsetzt. Da hieß es ursprünglich wörtlich noch: Es liegen keine entsprechenden Fälle vor.
Nun schreibt die Hochschule an das Gericht:
Daneben kommen durch die TH Wildau dynamische sog. Reputationsfilter, d.h. IP-Listen mit einer entsprechenden Reputation, unterschiedlicher externer IT-Sicherheits-Anbieter, auch im Wechsel, zum Einsatz. Diese Reputationsfilter bewirken, dass einzelne durch die Anbieter der Filter als für die interne IT-Infrastruktur von Organisationen kritisch eingestufte Webseiten und Dienste aus den Netzen der TH Wildau nicht erreichbar sind. Reputationsfilter reduzieren zudem erheblich die Gefahr, dass die IT-Infrastruktur der TH-Wildau als Teil eines sog. Bot- oder Phishing-Mail-Netzes zum Zwecke von Angriffen auf Systeme Dritter missbraucht werden.
Und wie uns bereits bekannt ist, beauskunftet die Hochschule auch nicht tiefergehend. Weder die Hersteller der Filter, noch wer diese auswählt oder wie diese eingespielt werden, wird erläutert.
Versucht man auch hier am Geschriebenen zu verstehen, was die Hochschule konkret meint, bleibt man wieder etwas ratlos zurück.
Die Hochschule argumentiert hier, dass IP-Filter dazu genutzt werden, Webseiten und Dienste einzuschränken. Ein IP-Filter wird aber regelmäßig eben nicht nur einen Dienst oder eine Webseite sperren, sondern alle Webseiten und Dienste, die von dieser IP-Adresse aus angeboten werden.
Auch das zweite Argument hinsichtlich der Nutzung des Hochschulnetzwerkes als Botnetz ist nur in Teilen fachlich nachzuvollziehen. Denn der IP-Filter würde seine Wirkung erst dann entfalten, wenn das Netzwerk der Hochschule bereits durch die Malware (oder einen initialen Teil davon) befallen ist. Dann könnte jedoch die IP-Sperre dafür sorgen, dass in der Tat keine weiteren Schäden entstehen. Aber natürlich nur dann, wenn alle IP-Adressen der Malware gesperrt wurden.
An diesem Beispiel zeigt sich auch, wie mehrdeutig und unkonkret die Hochschule in vielen ihrer Antworten an das Gericht bleibt. Wir haben dem Gericht daraufhin jedes Mal erläutert, wo unsere Verständnisprobleme liegen und vermuten schlicht fachliche Inkompetenz der verfassenden Personen. Es ist jedoch wichtig ein Gericht fachlich zu überzeugen, es macht sonst niemand Anderes. Auch Fachkanzleien sind unserer Erfahrung nach vorerst Anwalt und nachrangig nur in der IT-Materie kompetent.
Wir haben deshalb um die Nachlieferung der entsprechenden Informationen gebeten und auch unser Unverständnis über die Sperrung von Port 23 zum Ausdruck gebracht, der wohl als einziger Port gesperrt sein soll (was wir bezweifelten). Wir argumentierten, dass der produktive großflächige Einsatz von Telnet im Internet (im Sinne einer Remote Shell, wie von der Hochschule vorgetragen) bereits seit Jahren nicht mehr als Standard zum Einsatz kommt.
August 2021
Wir erhalten erneut etwas mehr Informationen und komplettieren langsam unsere Salamiwurst.
Die Hochschule schreibt nun, dass ihre Filterlisten dynamisch sind, nennt jedoch weiterhin keine konkreten Listen, die sie verwendet, sondern nur Beispiele von Listenanbietern und dass man dort Kategorien auswählen kann, welche man sperren möchte. Sie “begründet”, dass sie keine tiefergehende Auskunft erteilen kann, folgenderweise:
Eine der größten Reputationsdatenbanken der Welt, sendbase, speichert täglich über 19 Millionen IP-Adressen, nach 160 verschiedenen Parameterlisten, für unterschiedliche Reputationsfilter. Diese werden stündlich den Providern online zur Verfügung gestellt, die diese in Ihre Schutzmechanismen der lokalen Netzwerke integrieren (Nachweis bei https://www.secupedia.info/wiki/Reputationsdienste). Eine Dokumentation der zum Einsatz kommenden gesperrten IP-Adressen ist somit technisch nicht möglich. Die Quelllisten der IP-Adressen werden vom Server des Betreibers der Reputationsfilter automatisiert in die Schutzmechanismen des lokalen Netzwerkes eingelesen und kommen in Echtzeit zum Einsatz. Es wird somit zum einen ausgeschlossen, dass eine Manipulation der IP-Listen erfolgen kann und zum anderen, dass die Geschwindigkeit des Internetzugangs des Nutzers nicht unnötig beansprucht wird.
Am Beispiel von sendbase, wobei die Hochschule nicht sagt, ob sie diese Liste einsetzt, wird gesagt, dass man soviele einzelne IPs nicht beauskunften kann und die sich ohnehin ändern. Das verstehen wir. Aber warum kann man dann nicht beauskunften, welche Listen man einsetzt und welche Kategorien?
Auch zur Frage der Prozess-Unterlagen wie Sperren eingerichtet werden erhalten wir weitere Auskunft, die uns ganz praktisch bestätigt, dass die Sicherheit der Hochschule durch die ISO 27001-Zertifizierung nicht automatisch besser geschützt ist:
Soweit der Kläger weiterhin unter Verweis auf die vorhandene ISO-Zertifizierung unserer Mandantin die Behauptung aufstellt, es existiere ein „niedergeschriebener Prozess" (Schreiben v. 30.07.21, Nr. 1, 2. Absatz) bleibt diese Behauptung falsch. Die für eine solche Zertifizierung notwendigen Dokumente beschreiben am Beispiel der Sicherheitssoftware nicht wie gefiltert wird und was gesperrt wird, sondern lediglich, dass ein Reputationsfilter zum Einsatz kommen soll.
Die Zertifizierung der Hochschule beschränkt sich also auf abstrakte Vorgaben. Die konkrete Umsetzung ist dann eine Frage der Handelnden vor Ort und deren Fachkompetenz. Das kann zu mehr Sicherheit führen, wird es in den meisten Fällen auch, muss es aber nicht.
Und auch auf unsere Frage hinsichtlich von Telnet erhalten wir eine Erwiderung:
Sofern der Kläger die Auskunft unserer Mandantin zur Sperrung des Port 23 als „wenig substantiell" bewertet, insbesondere weil die Sperrung „praktisch jedoch ohne jede Relevanz [sei], weil Telnet im Internet nicht mehr eingesetzt [werde]" ist auch diese Aussage fachlich falsch. Aktiven Administrator:innen mit Netzwerkerfahrung ist bekannt, dass der Port 23 oftmals durch Dritte zweckentfremdet genutzt wird. Dies kann bei einem nachlässigen Umgang dazu führen, dass ein ganzes Netzwerk durch einen Hackerangriff über diesen Port kompromittiert wird. Das beiliegende Beispiel verdeutlich die Aussage.
Die nachfolgende Grafik zeigt eine Auswertung aus der Firewall unserer Mandantin. Betrachtet wird der Port 23 in einem Zeitraum von 24 Stunden. Die 8000 versuchen Zugriffe auf den Port 23 wurden durch die Sicherheitsmechanismen der TH Wildau geblockt.
Schaut man sich das Diagramm und die Ausführungen der Hochschule an, entstehen bei uns mehr Fragen, als das welche beantwortet werden.
Welche Zugriffsrichtung wird denn im Diagramm überhaupt gezeigt? Sind das ausgehende Verbindungen, wie von uns erfragt oder die für uns nicht relevanten Eingehenden? Wenn es denn die Ausgehenden sind, stellt sich die Frage, warum von innerhalb der Hochschule so viele Systeme, offensichtlich auch über den ganzen Tag fast immer gleichbleibend kontinuierlich mit Telnet im Internet kommunizieren wollen. Und was ist ein record in der Achsenbeschriftung? Auch erschließt sich aus dem Diagramm eine durch die Hochschule sogenannte “Zweckentfremdung” nicht, da ja keine Kommunikationsinhalte daraus erkennbar sind. Wir vermuten hier, dass sie meint über Port 23 dürfe man nur mit Telnet kommunizieren. Und um welches Netzwerk handelt es sich hier überhaupt? Ist es das ohnehin nicht sonderlich geschützte Eduroam?
Und natürlich sind alle Ports technisch gleich. Ein “nachlässiger” Umgang in der Sperrung des spezifischen Ports 23 soll dazu führen, dass ein gesamtes Netzwerk kompromittiert werden kann. Wir schütteln über diese Argumentation den Kopf. Jeder Port kann und “darf” für andere Zwecke genutzt werden. Jeder Port kann für einen Hackerangriff genutzt werden. Folgt man der “Sicherheitsargumentation” der Hochschule, so sollte man besser alle Ports sperren. Dann ist das Netzwerk sicher. Vielleicht lassen wir das mit dem Internet besser gleich ganz?
Auch das legten wir dem Gericht entsprechend dar und baten die Hochschule um Antwort. Auf alle unsere Fragen werden wir keinerlei Antwort bekommen. Wir glauben, dass die Hochschule mit ihren Ausführungen meint, fachliche Kompetenz auszudrücken. Wir interpretieren das Gegenteil davon.
Oktober 2021
Es wird wild. Festhalten.
Die Hochschule schreibt nun, dass sie ihre bisherigen Filter abgeschafft hat und seit Oktober 2021 auf Cisco Umbrella DNS setzt. Dazu führt sie aus:
Die neue Installation heißt „Cisco Umbrella" und sichert die Netzzugriffe der Nutzer, lokationsunabhängig, über die sog. DNS-Ebene. Unsere Mandantin kann so ihren Nutzern einen effektiven Schutz anbieten, der Bedrohungen automatisch stoppt, bevor diese das Endgerät und damit das Netzwerk der TH Wildau kompromittieren. Dieser proaktive Schutz blockiert Anfragen für schädliche Ziele, noch bevor ein Verbindungsaufbau hergestellt und auf eine schädliche Datei zugegriffen werden kann. Gerade in den Bereichen Malware und Ransomware stellt dies eine wesentlich effektivere erste Sicherheitslinie dar, als dies bisher mit den klassischen Methoden möglich gewesen ist.
So eine Umstellung macht man üblicherweise nicht von heute auf morgen. Wir sind sicher, die Hochschule hat bereits lange daran gearbeitet, es jedoch dem Gericht und uns vorenthalten. So sind erstmal alle ursprünglichen Diskussionen um die IP-Filter hinfällig. Arbeit auf allen Seiten, die die Hochschule leicht hätte vermeiden können. Wir gehen davon aus, dass dies durch die Hochschule verhandlungstaktisch so intendiert war.
Die Hochschule führt weiter aus:
Unsere Mandantin hat das Cisco Umbrella for EDU Package lizensiert und setzt ausschließlich Umbrella DNS ein. Die Benennung eines „Bedrohungslevels" oder einer entsprechenden Kategorisierung ist nicht möglich, da dies in dieser Installation so nicht vorgesehen ist.
Wir kommen auf diese Falschbehauptung, es gäbe keine Kategorien, später zurück.
Hier sei angemerkt, dass die amerikanische Firma Cisco nun natürlich sämtliche DNS-Anfragen einer deutschen Hochschule zu Gesicht bekommt. Nur so kann sie letztlich prüfen, auf welche IP-Adressen diese gehen und diese sperren oder auch inhaltliche Prüfungen der Adressen selbst vornehmen. Sind beispielsweise bestimmte Triggerwörter in einem DNS-Namen enthalten, könnte diese Domain ganz unabhängig von der IP-Adresse ebenso gesperrt werden. Für solche Erkennungsalgorithmen wird laut Verkaufsprospekt auch KI eingesetzt. Warum ein DNS-Filter nun als Silver Bullet dargestellt wird, erschließt sich uns nicht. DoH, welches zumindest den DNS-Filter umgeht, ist im großen Stil im Einsatz und wird auch von Malware (wenn auch anders) genutzt.
Das eigentlich Spannende kommt aber jetzt: Die Hochschule hat eine Umfrage durchgeführt!
Dazu schreibt sie:
Nicht zuletzt infolge der wiederkehrenden Vorwürfe, Vermutungen und unbelegten Behauptungen des Klägers hat sich unsere Mandantin zur Durchführung einer hochschulinternen Umfrage unter Einbeziehung aller relevanten Fachbereiche, so auch des Fachbereichs, dem der Kläger bis zuletzt angehörte, entschieden, um die im bisherigen Verlauf des Verfahrens getroffenen Aussagen bezüglich Art und Umfang von Einschränkungen bei der Nutzung von Netzen unserer Mandantin auch mit Rückmeldungen aus dem Kreise der Anwendenden abgleichen zu können.
Wir formulieren mal um, was wir lesen: Man will mit einer Umfrage “beweisen”, dass es keine Einschränkungen gibt. Oder genauer keine Einschränkungen gefühlt werden. Gefühlte Einschränkungen interessierten uns als Fragesteller der AIG-Anfrage jedoch nicht. Wir wollten lediglich die Einschränkungen selbst wissen, nicht wie diese gefühlt werden. Der Hochschule geht es hier also darum, in eine Position der Deutungshoheit zu gelangen, weil ihr das eigene Ansehen wichtig ist. Im Übrigen haben wir selbst die Einschränkungen damals im Rahmen unserer Anstellung sehr wohl gefühlt, konnten intern jedoch keine Veränderung bewirken.
Sie schreibt deswegen auch abschließend auf Basis ihrer eigenen Interpretation der Ergebnisse der Umfrage:
“Das Bild einer auf die Beschränkung von Wissenschaft und Lehre abzielenden Hochschulleitung, wie es durch den Kläger immer wieder versucht wird zu zeichnen, wurde nunmehr auch durch die tatsächlich Betroffenen vollumfänglich entkräftet.”
Dann schauen wir uns die Umfrage und Ergebnisse doch mal genauer an.
Sie wurde vom 6. Oktober bis 13. Oktober 2021 durchgeführt. Also gerade mal eine Woche lang. In einer Zeit, in der die Vorbereitungen für das neue Semester laufen und die Nachprüfungen. Also ohnehin wenig Zeit für anderes ist. Damit ist es nicht verwunderlich, dass von den ca. 4000 angeschriebenen Personen lediglich 445 die Umfrage begannen (also mal den Link klickten und sich die Fragen anschauten) und davon nur 257 diese auch beendeten. Das sind so etwas über 6%.
Schaut man sich die Fragestellungen an, so stellt man fest, dass diese in der Tat keine konkreten Einschränkungen erfragen, sondern gefühlte/empfundene Einschränkungen. Einschränkungen im Sinne unserer AIG-Anfrage bleiben jedoch Einschränkungen, egal ob diese durch eine bestimmte Menge an Personen nun als solche empfunden werden oder nicht. Einschränkungen entstehen aus verletzten Rechten der Rechtsträger. Egal, ob jemand auf diese Rechte Wert legt oder nicht oder wie man diese empfindet. Wer will kann sich dazu auch gern die Rechtsliteratur zum sogenannten Zwergenweitwurf genauer durchlesen.
Statt also transparent über alle Einschränkungen zu informieren, veranstaltet die Hochschule eine Umfrage, für welche sie Zeit zur Ausarbeitung und Auswertung verwendet und dabei die gesamte Hochschule einspannt. Zur Ermittlung einer gefühlten “Wahrheit” ohne jegliche Rechtsrelevanz, nur um ihr eigenes Ansehen zu wahren. Peinlich. Anders können wir das nicht beschreiben.
Wir legten diese Sichtweise dem Gericht dar. Ebenso wollten wir genaueres über die DNS-Einstellungen wissen, von denen wir der Hochschule erneut nachweisen mussten, dass sehr wohl konkrete Einstellungen und Kategorien in Umbrella DNS vornehmbar sind.
Pause
In jedem Drama gibt es Pausen. So auch hier. Auf unsere letzte Antwort war vorerst Funkstille. Diese dauerte über anderthalb Jahre und wurde durch eine Aktion unserseits unterbrochen.
Erst im Juli 2023 geht es weiter. Corona ist vorbei und es ist Krieg in Europa. Klimakrise sowieso.
Portscans im Sommer 2023
Wir waren im Juli 2023 in der Lage, Portscans innerhalb der Hochschule durchzuführen. Dabei konnten wir aus verschiedenen Netzen heraus scannen. Das Ergebnis sah wie folgt aus:
Aus einer virtuellen Maschine, die im Rechenzentrum der Hochschule lief waren die UDP Ports 69, 443, 1718, 1719 und die TCP Ports 23, 80, 443 gesperrt.
Von einem PC in einem typischen Übungslabor für Studierende waren die UDP Ports 443, 1718, 1719 und TCP Ports 23, 80, 443 gesperrt.
Von einem typischen Arbeitsplatz von Mitarbeitenden waren die UDP Ports 443, 1718, 1719 und TCP Ports 23, 80, 443 gesperrt.
Aus dem weltweiten Eduroam-WLAN für Studierende waren die UDP Ports 67, 68, 1718, 1719 und TCP Ports 7680 gesperrt.
Aus dem von der Hochschule zur Verfügung gestellten VPN für die Arbeit von unterwegs waren die UDP Ports 69, 443, 1718, 1719 und TCP Ports 23, 80, 443, 7680 gesperrt.
Die Sperrungen betrafen also offensichtlich nicht nur den von der Hochschule angesprochenen Telnet-Port 23.
Wir konfrontierten die Hochschule mit diesen Ergebnissen und stellten bezüglich der gesperrten Ports folgende Vermutungen auf.
Ports 80, 443 (Proxyzwang)
Die TCP Ports 80 und 443, die bei fast allen Netzen gesperrt sind, erzwingen die Nutzung des durch die Hochschule eingerichteten Proxyservers. Die Hochschule wird so sicherstellen wollen, bestimmte nicht bekannte Policies, die diese für die Sicherheit als notwendig erachtet, auch zu erzwingen. Mit der erzwungenen Proxynutzung lassen sich beispielsweise, je nach Einrichtung, auch sichere Verbindungen aufbrechen und in den eigentlich verschlüsselten Datenverkehr Einblick nehmen.
In diese Kategorie fällt auch der UDP Port 443 für QUIC, der als Nachfolger für HTTP gilt.
Ports 1718, 1719
UDP Ports 1718 und 1719 sind aus allen Netzen heraus gesperrt. Hierbei handelt es sich um Ports, die im Rahmen der Kommunikation von Telefonanlagen mit dem H.323 Protokoll verwendet werden. Die Hochschule setzt für ihre Telefone und große Teile der Netzwerkausrüstung auf Cisco Produkte. Laut deren Dokumentation nutzt Cisco das angesprochene Protokoll, so dass davon auszugehen ist, dass die Ports deswegen nicht nutzbar sind. Das ist ein wenig verwunderlich, da man im Rahmen einer Netzsegmentierung eigentlich ein Telefonnetzwerk von den anderen Netzen trennt, so dass diese Ports dann in den anderen Netzen auch genutzt werden könnten. Auch denkbar wäre, dass hier schlicht Standardeinstellungen der Ciscokomponenten nicht angepasst wurden und so zu ganz unnötigen Sperrungen führen.
Port 69
UDP Port 69 wird durch den Dienst TFTP genutzt, welcher es u.A. ermöglicht, einen Rechner direkt über das Netzwerk zu booten. Es ist unklar, warum dieser nach außen nicht nutzbar ist. Auch wenn die Hochschule intern diesen Dienst nutzt, muss dieser Port nicht zwangsläufig auch nach außen deswegen komplett gesperrt sein.
Ports 67, 68
UDP Ports 67/68 werden dafür genutzt, um einem Rechner erstmalig nach Start automatisch eine IP-Adresse zuzuweisen (DHCP). Nur aus dem Eduroam sind diese nicht erreichbar. Es ist technisch nicht erforderlich, nach außen auf spezifische IPs gerichtete Pakete deswegen generell zu blockieren, es kann jedoch eine Einschränkung der Ciscokomponenten sein, die dies schlicht nicht zulassen.
Port 7680
TCP Port 7680 wird von Microsoft Windows zur Verteilung von Updates verwendet. Microsoft nennt den Dienst Peer-to-Peer Updates und nutzt dazu diesen Port. Ein üblicher Aktualisierungsvorgang von Windows wird üblicherweise ins Internet kommunizieren und prüfen, ob neue Updates vorliegen, diese herunterladen und installieren. In größeren Netzwerken, in denen sich viele Windowsrechner befinden, würde also jeder dieser Rechner diesen Prozess so durchführen. Das führt dann im Normalfall dazu, dass jeder dieser Rechner die gleichen Daten aus dem Internet herunterlädt und installiert. Um diese Last gleicher Datenübertragung auf der Internetleitung zu verringern, hat Microsoft die Peer-to-Peer Updates eingeführt. Dabei fragen sich die Windowsrechner in einem gemeinsamen Netzwerk untereinander, ohne mit dem Internet zu kommunizieren, welche Updates sie besitzen. Nur ein Rechner müsste dann theoretisch die neuesten Updates aus dem Internet herunterladen und kann sie dann im internen Netz an die anderen verteilen, die diese dann wiederum weiterverteilen. Da eine VPN-Verbindung üblicherweise sowieso über das Internet läuft, wollte man hier wohl sicherstellen, dass diese nicht als internes Netzwerk gesehen wird. Die Sperrung im Eduroam könnte damit zu tun haben, dass man diese Verteillast nicht im WLAN haben möchte, sondern lieber möchte, dass jeder Windowsrechner sich die Updates aus dem Internet lädt. Das ergibt jedoch nur wenig Sinn, da das WLAN ja trotzdem die Daten übertragen muss, egal ob sie aus dem Internet kommen oder intern von einem anderen Eduroamteilnehmer. Uns nicht nachvollziehbare Argumentationen im Bereich des WLANs der Hochschule sind aber bereits bekannt. Wir erinnern daran, dass die Hochschule jahrelang andere WLAN-Accesspoints auf ihrem Gelände vollautomatisiert mit Deauthenticationpaketen attackiert hat, und sich auch nicht zu schade war, bei der BNetzA dafür um stillschweigende Duldung zu bitten. Und das alles, nachdem die Hochschule vorgeblich bereits sämtliche ihre Experten befragt hatte.
🪖🕊️ 1984: Krieg ist Frieden, Freiheit ist Sklaverei, Unwissenheit ist Stärke
Es wird immer absurder. Wir erhalten von der Hochschule Antwort im September 2023, die uns unangenehm an den Roman von George Orwell 1984 erinnert.
So ändert die Hochschule ihre Meinung erneut und gibt zu weiteren Ports wie folgt Auskunft, da sie der vorherigen Falschauskunft ja nun überführt wurde:
Ports 23 (telnet) und 69 (tftp); beide Ports übertragen Log-In-Daten in Klarschrift und somit unverschlüsselt. Für beide Dienste stehen mit den Protokollen Secure Socket Shell (ssh) und Secure File Transport Protocol (sftp) verschlüsselte Alternativen zur Verfügung.
Darüber hinaus ist bei der Nutzung der VPN Verbindung unserer Mandantin der Port 7680 gesperrt. Diese hat lasttechnische Gründe.
Um dann weiter auszuführen:
Alle anderen aufgeführten Ports sind entweder verfügbar oder werden durch Dienste unserer Mandantin genutzt, die ein Scannen durch Dritte nur eingeschränkt oder gar nicht zulassen. Die Messergebnisse des Klägers sind insoweit nicht aussagekräftig.
Auch in dieser Antwort zeigt sich die fehlende Fachkompetenz.
Ein wie hier durchgeführter Scan ist immer aussagekräftig. Er hat vielleicht nicht die Aussage, die die Hochschule sich wünscht. Wenn alle Ports gleich gescannt werden und nur bei einigen kommen bei der Gegenstelle die Daten nicht an, dann sind diese Ports schlicht gesperrt. So einfach ist das. Die Hochschule nennt diese Ports jedoch nun auch erstmalig: “durch Dienste der Hochschule genutzt.”.
Im Roman 1984 wird dies als Neusprech bezeichnet:
Neusprech wird im übertragenen Sinne als Bezeichnung für Sprachformen oder sprachliche Mittel gebraucht, die durch Sprachmanipulation bewusst verändert werden, um Tatsachen zu verbergen und die Ziele oder Ideologien der Anwender zu verschleiern.
Zu diesem Zeitpunkt hatte die Hochschule sicherlich auch vor Gericht die letzte Glaubwürdigkeit verloren. Wir erinnern daran, dass anfänglich nach Klageerhebung die Aussage der Hochschule erfolgte, dass nur Port 23 gesperrt wäre und zu IP-Sperren lägen keine Unterlagen vor.
🚆 Die kleine blaue Lokomotive: “Ich glaub ich kann’s”
Wir bleiben weiter dran und fahren beschwerlich bergauf und versuchen das Verfahren abzubinden. Es ist inzwischen März 2024.
Wir schreiben eine kurze Zusammenfassung und machen einen Vergleichsvorschlag unter der Bedingung, dass uns bestimmte Auskünfte noch erteilt werden. Konkret schlagen wir vor, dass, sofern die Hochschule noch Auskunft bezüglich der Sperren erteilt, zu denen sie sich nicht geäußert hat, und die Einstellungen von Cisco Umbrella übermittelt, wir das Verfahren für erledigt erklären können, sofern die Hochschule die Kosten dafür übernimmt.
April/Mai 2024
Die Hochschule erteilt nun Auskunft über die Konfiguration von Cisco Umbrella DNS und die dort gemachten Einstellungen. Die Lesenden werden sich erinnern, dass wir darauf zurückkommen wollten. Im Oktober 2021 hieß es ja noch, dass solche Einstellungen nicht existent oder möglich wären. Nunja, inzwischen sind wir ja einiges an Behauptungen gewohnt.
Zu den Portsperren schreibt die Hochschule weiterhin ausweichend:
Gesperrt sind lediglich die Ports 23, 69 und 7680. Die durch den Kläger insinuierten weiteren Sperrungen sind nicht zutreffend.
Da wir weiterhin hartnäckig bleiben, was denn mit den anderen Ports ist, schiebt die Hochschule folgendes nach:
Die durch den Kläger aufgezählten Ports werden seitens unserer Mandantin nicht gesperrt. Die TCP-Ports 80 und 443 werden über einen Proxyserver umgeleitet, stehen aber vollumfänglich den Nutzern zur Verfügung. Eine Reglementierung oder Sperrung von Zieladressen erfolgt auch an diesem Proxy nicht.
Um dann nur wenige Sätze weiter zu schreiben:
Der Proxy dient als zusätzliche Sicherheitsschicht, indem schädliche Inhalte gefiltert und Angriffe abgewehrt werden,…
Auch hier wieder so ein Beispiel der Hochschule, was uns rätseln lässt. Zum einen haben wir das bereits bekannte Neusprech: Nicht gesperrt, sondern umgeleitet. Das klingt doch gleich viel freundlicher.
Und zum anderen soll es erst keine Reglementierung oder Sperrung von Zieladressen geben, um diese Sperrungen jedoch unmittelbar danach als Filter für schädliche Inhalte zu bestätigen. Wir können uns das nur mit schlicht fehlender Fachkompetenz erklären.
Wir weisen das Gericht, wie auch in allen Fällen zuvor, auf diese Ungereimtheiten hin und verlangen Auskunft auf Basis unserer Wortinterpretation von Sperrung, die wir auch als Definition mitteilen. Daraufhin teilt uns die Hochschule schlicht mit:
Der Vortrag des Klägers ist falsch. Die Sperrung eines Ports ist weder technisch noch rechtlich mit einer Portumleitung vergleichbar.
Neusprech…
⚖️ Das Machtwort: Die Vorentscheidung des Gerichtes
Das Gericht äußert sich nun im Juli 2024 inhaltlich in der Sache und sagt auszugsweise zu einem möglichen Vergleich folgendes:
Dies könnte so aussehen, dass die Beklagte zur Erledigung des Rechtsstreits zu jedem einzelnen der vom Kläger mit Schriftsatz vom 29. April 2024 aufgeführten Ports - d.h. zu den Ports TCP 80, TCP 443, UDP 67, UDP 68, UDP 443, UDP 1718 und UDP 1719 explizit Stellung nimmt und jeweils erklärt, ob der entsprechende Port durch die Beklagte gesperrt, umgeleitet oder auf andere Art und Weise in seiner Nutzung beschränkt wird. Ferner sollte die Beklagte mitteilen, ob und ggf. welche weitere Ports gesperrt sind bzw. sonstigen Zugriffs- und Nutzungsbeschränkungen unterliegen.
In diesem Zusammenhang und auch für den Fall, dass der Rechtsstreit streitig entschieden werden muss, böte sich als Mittel der Glaubhaftmachung, dass die Auskünfte zu den Portsperren vollständig und wahrheitsgemäß erteilt wurden, durchaus auch die Vorlage einer eidesstattlichen Versicherung - z.B. der Leitung des IT-Bereiches der Beklagten - an. Dies erscheint vor allem auch deshalb sinnvoll, weil die Beklagte im hiesigen Verfahren, worauf der Kläger zutreffend hingewiesen hat, durchaus divergierende Angaben zu den Portsperren gemacht hat.
Was entnimmt man diesen Äußerungen? Das Gericht bestätigt, dass es auch eine Umleitung als Einschränkung im Sinne unserer AIG-Anfrage ansieht, egal wie die Hochschule das nennt. Und das Gericht erkennt an, dass es den Aussagen der Hochschule wenig Glauben schenkt. So wenig, dass es sogar eine eidesstattliche Versicherung als angemessen ansieht. Schlechter kann man zu diesem Zeitpunkt des Verfahrens eigentlich nicht dastehen.
Das unrühmliche Ende
So ist es nicht verwunderlich, dass die Hochschule im September 2024 versucht, Schadensbegrenzung zu betreiben und sich zu erklären. So schreibt sie:
Wie u.a. mit Schriftsatz vom 27.09.2023 dargestellt, ist die Aufrechterhaltung eines angemessenen Niveaus der IT-Sicherheit kein statischer, sondern ein dynamischer Prozess. Dies gilt auch für die Entscheidung, ob und wenn ja, welche Ports zu sperren sind. Vor diesem Hintergrund hat die Beklagte über das nun über vier Jahre andauernde Verfahren hinweg wiederkehrend deutlich gemacht, welche Ports jeweils „aktuell“ gesperrt waren, so u.a. auch in dem eingangs erwähnten Schriftsatz. Voneinander abweichende Ausführungen sind insofern nicht nur auszuschließen, sondern, wie vorliegend, wahrscheinlich.
Vor diesem Hintergrund sind auch die mit Schriftsatz vom 17.04.2024 gemachten Ausführungen, wonach zu diesem Zeitpunkt die Ports 23, 69 und 7680 gesperrt waren, heute bereits wieder überholt.
Welche Konfiguration zum Zeitpunkt des Versands dieses Schriftsatzes an das Gericht bei der Beklagten vorlag, kann der nachfolgenden Tabelle entnommen werden:
Und natürlich hat man im Nachhinein alles ganz anders gemeint. Wir sind sicher, auch diese Erklärungen konnten das Gericht nicht überzeugen. Aber wir hatten zumindest den Ist-Stand, den wir bereits im August 2020 wissen wollten. Heute ist er sicherlich wieder anders, da die Hochschule einen offensichtlich hochdynamischen Prozess des Portsperrens beschreibt, den sie für ihre Netzwerksicherheit als wichtig ansieht.
📖 Wie halten es denn andere Hochschulen mit Portsperren und Transparenz darüber?
Andere Hochschulen sehen das ganz anders. Bereits bei Einreichung der Klage verwiesen wir auf Hochschulen mit weit größerer Anzahl von Studierenden.
Universität Tübingen (27205 Studierende)
Universität Würzburg (27613 Studierende)
Leibniz Universität Hannover (29895 Studierende)
Leibniz Rechenzentrum (betreut 3 Hochschulen über 100.000 Studierende)
HU Berlin (38062 Studierende)
TU Chemnitz (10449 Studierende)
Universität Ulm (10304 Studierende)
Bei diesen Hochschulen fällt auch auf, dass wesentlich mehr Ports gesperrt sind, als es bei der Technischen Hochschule Wildau der Fall sein soll.
Auch noch größere Internet Service Provider wie Telekom oder Vodafone geben Auskunft über gesperrte Ports in ihren Netzen und die Gründe dafür an.
Nur die ISO 27001 zertifizierte Technische Hochschule Wildau braucht dafür ein Gerichtsverfahren mit 4 Jahren Dauer und die Aussicht einer eidesstattlichen Versicherung.
Zur IT Kanzlei Härting Rechtsanwälte
Warum die Hochschule die IT-Kanzlei beauftragte und dadurch Steuergelder ausgab, erschließt sich uns nicht. Wie dargelegt, konnten uns die fachlichen Argumente nicht überzeugen.
Nach Durchsicht der Unterlagen konnten wir feststellen, dass es seitens der Kanzlei zwar einen hauptverantwortlichen Anwalt gab, die Schreiben jedoch mehrfach durch andere Personen i.A. unterschrieben wurden. Wir haben in Summe ein Team von drei Anwälten ausgemacht, denen wir gegenüberstanden.
Wir möchten Anderen Mut machen, sich davon nicht abschrecken zu lassen. Man braucht nicht immer einen Anwalt, sondern kann sich auch gegen IT-Kanzleien mit drei Anwälten allein und mit Fachverstand und Logik durchsetzen. Einer Kanzlei kann es letztlich auch egal sein, ob ihre Mandanten gewinnen oder nicht. Sie bekommt in jedem Fall Geld.
Wir glauben jedoch, dass die Kanzlei bei den hier vorliegenden Ausgangsbedingungen alles versucht hat, was möglich war.
🏁 Fazit
Die Technische Hochschule Wildau hat sich mithilfe eines 4 Jahre dauernden Gerichtsverfahrens stückweise in kleinen Schritten jede einzelne Information aus der Nase ziehen lassen. Oft erst dann, wenn ihr falsche Aussagen nachgewiesen werden konnten. Dieses Vorgehen bezeichnen wir als geplant, um nur soviel preisgeben zu müssen, wie man wirklich muss. Dabei haben wir stetig mehrdeutige und unklare Formulierungen erlebt, die wir auf fehlende Fachkompetenzen zurückführen. Daran ändert auch eine ISO 27001-Zertifizierung nichts.
Wir haben starke Zweifel daran, dass die Technische Hochschule Wildau mit den hier handelnden Einzelpersonen die Rechte ihrer Mitglieder in den Vordergrund stellt. Ein solches Verhalten hat sie auch bereits im Falle der aktiven WLAN-Störungen gegen alle anderen WLAN-Accesspoints auf ihrem Gelände gezeigt. Die Hochschule ruht sich auf gefühlten Wahrheiten auf Basis von Umfragen mit 6% Beteiligung aus.
Es schmerzt uns, dass die Technische Hochschule Wildau so keine Chance erhalten wird, sich strukturell weiterzuentwickeln, sondern auf dem Kompetenzstand der hier handelnden Einzelpersonen verbleiben wird. Will sie jedoch als eigenständige Hochschule bestehen bleiben, muss sie grundsätzliche strukturelle Veränderungen durchlaufen. Sie wird bei den künftig weiter rückläufigen Studierendenzahlen sonst mit einer anderen Hochschule zusammengelegt oder schlicht geschlossen.
Update Historie
22.12.24: Rechtschreibung/Grammatik verbessert, kleinere Leseflussoptimierungen