Schule übt MITM attacke aus. Ist das Illegal?

... komplette Frage anzeigen

2 Antworten

Hallo flyingswaghetti,

Ich bin mir ziemlich sicher das ( Solange Ihr dazu nicht ausdrücklich eure Einstimmung gegeben habt ) so ein Verhalten nicht mit dem BDSG konform ist.

Ihr müsstet vorher darüber aufgeklärt worden sein das eure Daten gespeichert/geändert werden dürfen. Zumindest eine Notiz zu diesem Thema sollte es gegeben haben.

Ist dies nicht der Fall würde Ich deine Schule lieb bitten sich doch mal das BDSG nochmals anzuschauen.

Generell gilt nämlich zur erhebung von Persönlichen Daten (und dazu gehört auch deine IP) ein Verbot mit Erlaubnisvorbehalt.

Die Richtlinie 95/46/EG sagt in Ihrem Artikel 7 z.B. folgendes:

Die Mitgliedstaaten sehen vor, daß die Verarbeitung
personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden
Voraussetzungen erfüllt ist:
a) Die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben;
b) die Verarbeitung ist erforderlich für die Erfüllung eines
Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die
Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen
Person erfolgen;
c) die Verarbeitung ist für die Erfüllung einer rechtlichen
Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche
unterliegt;
d) die Verarbeitung ist erforderlich für die Wahrung lebenswichtiger Interessen der betroffenen Person;
e) die Verarbeitung ist erforderlich für die Wahrnehmung einer
Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung
öffentlicher Gewalt erfolgt und dem für die Verarbeitung
Verantwortlichen oder dem Dritten, dem die Daten übermittelt werden,
übertragen wurde;
f) die Verarbeitung ist erforderlich zur Verwirklichung des
berechtigten Interesses, das von dem für die Verarbeitung
Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen
die Daten übermittelt werden, sofern nicht das Interesse oder die
Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß
Artikel 1 Absatz 1 geschützt sind, überwiesen.
Antwort bewerten Vielen Dank für Deine Bewertung
Kommentar von Odorwyn
26.04.2016, 14:35

Die Richtlinien wurden meines Wissens nach 2001 im BDSG geupdated ( Gesetz zur Änderung des BDSG und anderer Gesetze )

Zusätzlich Interessant:

(§§ 12–26) die Datenverarbeitung für öffentliche Stellen und

0
Kommentar von Fregrin
26.04.2016, 14:40

Wichtig dabei ist eben auch
"Die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben;".

Das kann auch eine EULA-artige Bestimmung beim Herunterladen der Zertifikate sein. Oder - wenn der Schüler in einer Laptopklasse ist: gab es da irgend ein Agreement? Und das wirft sofort die Frage auf, wer das im Falle von (i.d.R minderjährigen Schülern) überhaupt zeichnen darf. 

1

Erstmal vorweg: Mein Beileid! Dass eine Schule so eine krasse Aktion nötig hat, hätte ich nicht gedacht.

Wie du an den bisherigen Antworten siehst, verstehen die meisten das Problem nicht mal. Dass VPN und TOR jetzt keine Optionen sind, ist dir ja immerhin völlig klar.

Allerdings gibt es keine Firewall, die man nicht (selbst mit verschlüsselten) Verbindungen umgehen könnte. Du scheinst nicht auf den Kopf gefallen zu sein, und nach dem was du schreibst, würde ich die "Herausforderung" annehmen. :)

Meine Idee wäre, einen eigenen Proxy (bestehend aus zwei Teilen) zu schreiben, und über diesen deine Verbindungen laufen zu lassen.

Also einen Tunnel.

Der eine Teil läuft bei dir zu Hause, oder auf einem Mietserver und wartet auf Verbindungen auf Port 80. Und zwar ohne SSL. Der andere Teil läuft auf deinem Laptop und wird als SOCKS-Proxy für deinen Browser eingerichtet.

Der Clou wäre jetzt, dass der Laptop-Teil die Anfrage packt, evtl. verschlüsselt (XOR reicht völlig aus), und sie an eine Bilddatei ranhängt, die zu dem zweiten Proxy-Teil bei dir zu Hause hochgeladen wird. Dort wird die Anfrage entpackt und an den gewünschten Zielserver weiter geleitet.

Aus Effizienzgründen würde ich mehrere Pakete in eine einzige Bilddatei packen.

Die Antwort geschieht dann genau anders rum: Sie wird in Form einer Bilddatei zurück gesendet, indem sie z. B. an eine GIF-Datei rangehängt wird.

GIFs haben die Eigenschaft, dass man beliebig viele Daten ranhängen kann, ohne dass das Dateiformat ungültig wird. Wenn jetzt ein Lehrer deinen Traffic untersucht, findet er nur Katzenbilder. Falls er genauer hinguckt, hängt an den Katzenbildern Datenmüll dran (der den verschlüsselten Response-Paketen entspricht ... das weiß er aber nicht).

Das ganze kannst du als Perl oder Python Skript realisieren. Je nach deiner Erfahrung brauchst du dafür vielleicht nur ein paar Stunden und danach kannst du völlig transparent das freie Internet genießen. Deine Lehrer sehen dann einfach nur, dass da jemand ständig Katzenbilder anguckt.

Ich kann mir übrigens gerade nicht vorstellen, dass es dafür noch keine fertige Software geben soll, da die Idee ja sehr naheliegend ist. Frag mal Google, vielleicht findest du ja etwas in der Richtung. Hat ein bisschen was von Steganografie. :)

Oh man ... ich wäre gerne mal nur für einen Tag an deiner Schule, einfach nur um mit der Firewall zu spielen und diese zu umgehen. :)

Naja, viel Erfolg! An deiner Stelle würde ich nicht aufgeben! Klingt spannend UND spaßig! Oh man ... schade ... ich hatte früher keine Firewall an der Schule, die ich umgehen konnte. Ihr habt heute so schöne Spielsachen! Da wird man richtig neidisch. An deiner Stelle wäre ich hochmotiviert. :)

Schönen Tag noch! :)

Antwort bewerten Vielen Dank für Deine Bewertung
Kommentar von flyingswaghetti
27.04.2016, 16:54

Hmm. Muss jetzt entscheiden was ich als hilfreichste Antwort auswähle.

Einerseits beantwortet mir odorwyn die Frage andererseits hilfst du mir da ein bisschen mehr...

Also vielen Dank aufjedenfall

1