Digitale Verantwortungslosigkeit an Schulen: Mailprovider

Immer wieder findet man Lehrkräfte oder auch Personen in der Kultusverwaltung, die Mailkonten von Nicht-EU-Mailprovidern verwenden. Die zugehörigen Mailadressen sind z.B. an folgenden Endungen erkennbar:

@googlemail.com, @gmail.com, @yahoo.de, @yahoo.com, @aol.com, @hotmail.com, @live.com, @msn.com, @passport.com, @outlook.com, @icloud.com, @me.com, @mac.com, … u.v.m.

Die Endung „.com“ kann dabei je nach Anbieter auch eine Länderdomain annehmen, so dass die Mailadressen damit z.B. auf „.de“ enden. „.de“-Mailadressen oder sogar spezifische Domains einer Schule sind leider kein Garant für einen EU-Mailprovider – wie Sie am Ende dieses Beitrags sehen können!

Auch Weiterleitungen dienstlicher Mailadressen auf diese Mailprovider sind bei Lehrkräften durchaus üblich, denn leider ist es vielen zu lästig oder zu kompliziert auf ihrem Smartphone eine Mail-App für den Abruf der dienstlichen Mailkonten (sofern die überhaupt vorhanden sind) zu installieren und einzurichten.

Die seit Jahren bekannte Tatsache, dass dabei durch etliche dieser Anbieter auch der Mailinhalt „an- bzw. eingesehen“ wird, ist nur ein Umstand, der billigend in Kauf genommen wird. Der nicht minder interessante Aspekt „wer“ mit „wem“ kommuniziert, und die daraus von Software automatisch

  • erstellbaren Beziehungsstrukturen
  • vorgenommenen Rankings im gesellschaftlichen Spektrum
  • erstellten Einschätzungen zur politischen Ausrichtung
  • angenommenen Vermutungen zur sexuellen Orientierung

werden in Kauf genommen – oft unwissentlich, aber deshalb nicht weniger brisant.

Diese Mailkonten werden in dienstlichem Kontext genutzt um neben relativ belanglosen Dingen auch jegliche Schüler-, Eltern- und Lehrerdaten im weitesten Sinne per Mail zu übermitteln – selbstverständlich unverschlüsselt!

Dies sollte aber neben Lehrkräften eigentlich auch Eltern und SchülerInnen interessieren! Es sind die Daten der SchülerInnen, aber oft auch die der Eltern oder der KollegInnen, die hier über Nicht-EU-Server übermittelt werden, mit allen Folgen, die daraus resultieren können. Die Gedankenlosigkeit und Ignoranz bei der Nutzung derartiger Mailkonten und das „Wegschauen“ aus falsch verstandener Höflichkeit, … müssen aufhören. Alle Beteiligten, neben den Lehrkräften eben insbesondere auch Eltern und SchülerInnen, müssen hier kritisch nachfragen! Lehrkräfte oder Personen in der Kultusverwaltung, die solche Non-EU-Mailprovider nutzen, müssen gezielt darauf angesprochen und zur Änderung ihres Verhaltens aufgefordert werden. Von alleine oder von Amts wegen passiert da leider gar nichts!

Die negative Krönung dieses Themas sind Schulen, die ihre Mailserver zu Non-EU-Providern auslagern! Alle Betroffenen gehen z.B. davon aus, dass Mails an Adressen des Musters „name@ganz-tolle-schule.de“ auch bei einem deutschen Provider bleiben. Dem ist leider nicht so! Und Nicht-Informatiker wissen verständlicherweise auch nicht wie Sie derartiges kontrollieren können.

Der nachfolgende Screenshot stammt von einem Online-Tool, das eben dieses ermöglicht. Verwendet wurde die Maildomain einer baden-württembergischen Schule, die darüber neben Schüler-Mailkonten auch alle Lehrer- und Verwaltungsmailkonten betreibt :-(. Der Name der Maildomain wurde gezielt unkenntlich gemacht.

Mailserver einer Schule mit DE-Domain, von Microsoft gehostet
Mailserver einer Schule mit DE-Domain, von Microsoft gehostet

Relevant ist der Eintrag mit der Präferenz 10 – das ist die höhere Präferenz und der endgültige Mailserver, auf dem die Mails landen. Schön zu sehen: Alle Mails an Adressen der Maildomain dieser Schule, landen auf einem Microsoft-Server. Insbesondere AbsenderInnen, z.B. Eltern, die vertrauliche Informationen ihrer Kinder an die Schulleitung oder an Lehrkräfte mailen, senden diese damit unwissentlich an einen Server eines Non-EU-Providers.

Lehrerkollegen, Eltern, SchülerInnen – fragen Sie nach! Lassen Sie sich nicht einfach Ihrer Rechte berauben! Mischen Sie sich ein!

It’s time to change!

Das für obiges Beispiel notwendige Werkzeug ist übrigens auch online unter https://www.heise.de/netze/tools/dns/ verfügbar. Hier ein Beispiel für die Abfrage bei meiner eigenen Maildomain – tragen Sie ggf. die für Sie interessante Maildomain ein.

MX-Record-Abfrage für die Domain grupp-web.de
MX-Record-Abfrage für die Domain grupp-web.de

LfDI-Baden-Württemberg und Twitter – ist das stimmig?

Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg verkündet hier stolz, dass er nun seit einem Jahr auf Twitter vertreten ist. Dabei hat er natürlich und unbestritten eine große Reichweite erzielt, gar kein Thema! Auch die gezeigten Aktivitäten mit knapp 1.000 Tweets in einem Jahr sind respektabel.

Andererseits handelt es sich um eine der bzgl. Datenschutz problematischen Social Media Plattformen. Will man den Tweets des LfDI folgen, kann man dies auch über die zugehörige Homepage – auf der die Tweets auch veröffentlicht werden. Ein Beispiel wäre z.B. diese Veröffentlichung:

Auf LfDI-Homepage gespiegelter Tweet mit der Überschrift "Die Horrorszenarien haben ausgedient"
Auf LfDI-Homepage gespiegelter Tweet mit der Überschrift „Die Horrorszenarien haben ausgedient“ (Screenshot vom 27.11.18)

Beim Betrachten beschleicht einen das Gefühl, dass hier inhaltlich entweder etwas vergessen wurde, oder der halbe Tweet fehlt. Und das ist leider bei etlichen dieser auf der Homepage gespiegelten Tweets so. Im Original auf Twitter sieht der Beitrag dann rundum gelungener aus, nämlich so:

LfDI-Beitrag „Auf LfDI-Homepage gespiegelter Tweet mit der Überschrift „Die Horrorszenarien haben ausgedient“ auf Twitter (Screenshot vom 27.11.18)

Ausschließlich hier, auf einer bzgl. Datenschutz problematischen Plattform, wird der Kontext des Tweet-Texts klar. Um also so manche Äußerung des LfDI zu verstehen ist es nicht ausreichend seine Homepage zu besuchen, oder die Veröffentlichungen per gleichfalls verstümmelten RSS-Feed zu abonnieren. Nein, wenn einem der Inhalt interessiert ist man gelegentlich gezwungen den Originalbeitrag auf Twitter anzuschauen. Leider inklusive aller Nachteile, wie Tracking, Übermittlung der IP-Adresse, … .

Es ist mir ja durchaus klar, dass es sich bei den Tweets nicht um staatliche oder kommunale Informationen handelt, sondern nur um kurze Tweets. Trotzdem finde ich, dass die Forderung nach einem alternativen Angebot in der Richtlinie des LfDI zur Nutzung von Sozialen Netzwerken durch Öffentliche Stellen, auch für so etwas sinnvoll wäre. Dort findet man dann folgenden Hinweis:

Außer über das Soziale Netzwerk müssen die bereitgestellten Informationen daher immer auch auf einem alternativen Weg verfügbar sein (z.B. Webseite der Verwaltung). In keinem Fall darf eine Situation entstehen, in der Nutzerinnen und Nutzer veranlasst werden, ein Soziales Netzwerk nur deswegen zu nutzen, weil sie nur dort bestimmte staatliche oder kommunale Informationen bekommen.

Wie wäre es denn mit einem zusätzlichen Mastodon- oder einem vergleichbaren Account? Oder mit einer umfassenden Spiegelung der Tweets auf der eigenen Homepage? Ich würde es mehr als begrüßen und habe das schon vor 5 Monaten per Mail beim LfDI angeregt. Leider scheint die in der Antwort versprochene Prüfung negativ ausgegangen zu sein. Schade!

„Wie, du bist nicht bei WhatsApp?“

one-way-street-582635_640_Pixabay_User-geralt_CC0-License
Quelle Beitragsbild: Pixabay, one-way-street-582635, User geralt, CC0-Lizenz

Diese Frage wird auch mir sinngemäß immer wieder gestellt. In vielen Gesprächen, privat oder dienstlich, habe ich den Gesprächspartnern versucht zu erklären welche Probleme ich bei der Nutzung von WhatsApp sehe. Verschriftlicht habe ich das bislang nie. Nun habe ich via Mastodon den Blog-Beitrag von Boris Pohler entdeckt. Da dieser Beitrag so ziemlich identisch mit meinen bisherigen „Bekehrungsversuchen“ im privaten und dienstlichen Umfeld ist, verlinke ich ihn hier, statt selbst einen Beitrag zu verfassen:

Der für mich total unterschätzte Aspekt, den man in dem Artikel auch noch ausbauen könnte, ist Punkt 4 – Metadaten.

Es ist mir komplett unverständlich, dass trotz des WhatsApp-Verbots für Schulen in Baden-Württemberg, diesbezüglich bei Lehrkräften eine große Ignoranz festzustellen ist. Und dies gilt in gleicher Art und Weise auch für Mitarbeiter/innen anderer Ämter der Kultushierarchie. Da es meist keine Diensthandys gibt, werden in den Smartphone-Kontakt-Apps mit absolutem Selbstverständnis die Telefonnummern von Mitarbeiter/innen, sowie Eltern- und Schüler/innen gespeichert. Die automatische Übertragung der Daten durch WhatsApp zum Facebook-Konzern wird dabei einfach in Kauf genommen, wohlwollende Hinweise sowie offizielle Verbote werden offensiv ignoriert. Und die Krönung dieser Ignoranz sind Schulleitungen und Verwaltungen die WhatsApp offiziell im Dienst verwenden, und somit sogar noch Mitarbeiter zum Einsatz nötigen.

Ach ja … an alle die meine Telefonnummer(n) trotz WhatsApp-Installation in ihren Smartphone- und Tablet-Kontakten haben, bitte ich um:

  • Löscht entweder meine Telefonnummern! Ich habe für den Upload meiner Telefonnummern zum Facebook-Konzern noch nie irgendjemand meine Einwilligung gegeben!
  • Oder verwendet, sofern das für die jeweilige Plattform möglich ist, eine Kontakte-Verwaltung / – App auf die WhatsApp keinen Zugriff hat. Mike Kuketz empfiehlt hierfür unter Android Open Contacts.

Iran 2018

Selbst gemalte Bordkarte von Laura

Puh … wo fange ich eigentlich mit dem Beitrag hier an. Nun … eigentlich da wo alles begann … irgendwann, so in den 1990-ern (vermutlich so 1985), als ich beim Studium insbesondere einen iranischen Kommilitonen, hallo Fari, kennen gelernt habe. Er ist mir bis heute durch seine Freundlichkeit, seine sympathische Art und Herzlichkeit in Erinnerung geblieben. In diversen Gesprächen erwachte durch ihn, seine Erzählungen, das Essen das er kochte, … das Interesse an Iran. Das waren so die Zeiten in denen die iranisch Revolution so richtig blühte, Irak-Iran-Krieg, … aber egal, Iran hörte sich spannend an und wenn die Leute so ähnlich wären wie Fari, und was er so erzählte, dann musste das ein tolles Land sein. Vollständiger Beitrag »