Hallo,

Also wenn deine Idee zutreffen würde und sie eine Art Sicherheitsmechanismus gegen iFrames haben, dann hab ich praktisch verloren...
Das Ganze funktioniert aber auch in einem "normalen" Frame nicht!?

Nein, da Frames und iFrames technisch eigentlich dasselbe sind.
Es soll einfach i.d.Regel nicht möglich sein, Inhalte einer fremden Webseite anzeigen zu können, aber diese vor bzw. während der Anzeige zu manipulieren.
Stell Dir vor, Du bindest statt eines Vertretungsplanes eine Homebanking-Seite ein. Gäbe es keine Same Origin Policy, könntest Du z.b. den Prozess, der die PIN des Benutzers ausliest recht einfach auf eine eigene Seite "umbiegen"...und dann bräuchtest Du nur noch ein paar Dumme auf Deine eigene Frame-Seite locken. Hat in der Vergangenheit (so bis Anfang 2000er etwa) wunderbar funktioniert.
Selbstverständlich unterstelle ich Dir nicht solche kriminelle Energie, aber ich denke es macht deutlich, warum die Browser-Hersteller diesen Cross-Site-Scripting-Geschichten einen Riegel vorschieben mussten.

Ich könnte das jetzt beobachten und vielleicht feststellen, dass es am selben Wochentag gleich heißt...aber das wird wohl nicht so sein...

Ich vermute eher, jedesmal wenn Deine Schule etwas an dem Vertretungsplan macht, wird das Flash-File neu generiert und der Name dann aus dem Hash-Wert der Datei bestimmt oder so.
Da wirst Du also keine Chance haben, den Namen zu erraten.

Du könntest serverseitig die Vertretungsplan-Seite laden und dann diese in Deiner Seite integrieren. Das müsste gehen, aber mit ziemlich viel Aufwand vermutlich.

Viele Grüße,
Jörg