Sicherheit in Schulnetzen, Was: Re: root den Zugriff auf home-verzeichnisse verbieten

To: debian-user-german@lists.debian.org
Subject: Sicherheit in Schulnetzen, Was: Re: root den Zugriff auf home-verzeichnisse verbieten
From: Michael Hierweck <team@edv-serviceteam.net>
Date: Mon, 21 Jul 2008 10:24:35 +0200
Message-id: <[🔎] 488447C3.10104@edv-serviceteam.net>
In-reply-to: <[🔎] 20080720224230.GB3461@stardust.frews.de>
References: <[🔎] g5qahi$5e4$1@ger.gmane.org> <[🔎] 20080719114620.GA24560@wasteland.homelinux.net> <[🔎] tkrat.9755304cc6c56448@scorpio.in-berlin.de> <[🔎] 200807202116.01990.elv_matth.mueller@web.de> <[🔎] 20080720224230.GB3461@stardust.frews.de>

Hallo,

Joerg Friedrich wrote:
>
> Matthias Müller schrieb am Sonntag, 20. Juli 2008 um 21:15:56 +0200:
>> 
>> Am Sonntag, 20. Juli 2008 07:33 schrieb Gernot Zander:
>>
>>> Das Problem taucht(e) zuweilen an Schulen auf, wo oftmals ein Schüler
>>> oder untergebener Lehrer Admin ist, weil's der Schulleiter nicht kann
>>> oder will, dann aber Mails kommen mit z.B. Prüfungsfragen...
>>> (Dass dazwischen noch 15 andere Admins sitzen, über deren Router die
>>> Mail geht, macht nichts - die sieht man ja nicht.)
>> In Baden-Württemberg wurden an den Gymnasien, zwei 
>> sogenannte "Vergleichsarbeiten" abgesagt, weil deren Inhalt auf unerklärliche 
>> Weise im Internet landeten. Diese Vergleichsarbeiten werden zentral im 
>> Kultusministerium erarbeitet und dann per E-Mail an die Schulen verteilt.
> http://www.kultusportal-bw.de/servlet/PB/-s/16wb5bb5eiubo191x30ftncclh156cvke/menu/1231743/index.html
> http://www.kultusportal-bw.de/servlet/PB/-s/16wb5bb5eiubo191x30ftncclh156cvke/menu/1231883/index.html

Ein Schüler oder ein Lehrer sind für das Aufgabengebiet des
Administrators eines Schulnetzes kaum geeignet.

Damit möchte ich beiden Personengruppen nicht zu nahe treten und
insbesondere nicht grundsätzlich die Kompetenz absprechen, aber:

Schüler befinden sich noch in der allgemeinen (Vollzeit-)Ausbildung und
privat angeeignetes Wissen wird, gerade mangels Grundlagenausbildung und
Praxiserfahrung kaum ausreichen, um ein Schulnetz zu administrieren.
Schüler stehen erfahrungsgemäß auch nicht langfristig zur Verfügung
(vgl. mit stud. Hk. an der Uni), so dass umfangreiche Einarbeitung nicht
möglich ist.

Lehrer sind Experten für Bildung und fit in ihren Fächern. In diesem
Bereich müssen sie auch fortbilden und haben einen Vollzeitjob. Selbst
ein Informatikstudium (egal, ob Lehramt, Diplom, Bachelor oder Master)
macht noch Niemanden zum ausreichend erfahrenen Administrator.

Warum ist das Administrieren eines Schulnetzes auch für erfahrene
Administratoren so kritisch:

a) Es gibt sehr viele Computer, sagen wir 5 in der Verwaltung,
Lehrerzimmer, SV, Bücherei, zwei Computerräume mit je 15 Stück, 60
Klassen- und Fachräume mit je einem. Dann sind wir schon bei beinahe
100. Dazu kommen noch eine unbekannte Zahl von Server.
b) Die Struktur ist üblicherweise heterogen, was den Aufwand
vervielfacht, vor allem beim Software-Management.
c) Im Schulnetz wird mit (höchst) sensiblen Daten gearbeitet, sowohl
personenenbezogenen wie auch schulverwaltungsbezogenen (etwa die
genannten Prüfungsfragen, aber auch weitere.)
d) Die Netzwerkinfrastruktur ist über das gesamte Gebäude oder gar
mehrere verteilt.
e) Potentielle Angreifer kommen auch von innen.
f) Es fehlt an Know-How und vor allem Geld für geeigenete Hardware (etwa
wirksame Firewalls zwischen Teilnetzen, Managed Switches/Router um Ports
zu kontrollieren, zusätzliche Hardware/Verkabelung um sichere/unsichere
Netzwerksegmente zu trennen)
g) Es wird Hardware (Lehrer-Laptops) von zu Hause mitgebracht und
angeschlossen.
h) Es wird viel unterschiedliche Lern- und Lehrsoftware eingesetzt,
welche mitunter für Mehrbenutzerumgebungen kaum geeignet ist.
i) Viele der Anwender (Lehrer), die auch auf kritische Daten Zugriff
haben, sind klassische DAUs und wissen, was sie tun und verstehen nicht,
warum man im Schulnetz nicht alles darf, was man auf der Windows-Kiste
zu Hause kann.

Vermutlich gibt es noch einiges mehr, was ich aus dem Stehgreif
übersehen habe.

Das *kann* niemand nebenbei in einer Weise betreuen, die eigentlich
benötigt würde. Eigentlich bräuchte man ein Team von Spezialisten, von
denen sich einer speziell um Netzwerke, Router, Firewalls und Switches,
einer um Software und Software-Distribution/-Management und ein weiterer
um Hardware und Peripheriegeräte kümmern sollte. Ich wette, höchstens
dem ersten wird es evtl. zeitweise langweilig, wenn das erstmal alles
aufgebaut ist.

Wenn nun noch dem "armen Schwein", was es übernommen hat, misstraut
werden soll...

Viele Grüße

Michael

-- 
EDV-Serviceteam Werthmann & Hierweck GbR
Annika Werthmann, Michael Hierweck
Egerstraße 53, 44225 Dortmund
http://www.edv-serviceteam.net

Reply to:

Follow-Ups:
- OT Re: Sicherheit in Schulnetzen, Was: Re: root den Zugriff auf home-verzeichnisse verbieten
  - From: Philipp Flesch <philipp@phflesch.de>
- Re: Sicherheit in Schulnetzen, Was: Re: root den Zugriff auf home-verzeichnisse verbieten
  - From: Michael Frank <micha@metrox.org>

References:
- root den Zugriff auf home-verzeichnisse verbieten
  - From: Peter Jordan <usernetwork@gmx.info>
- Re: root den Zugriff auf home-verzeichnisse verbieten
  - From: Jochen Schulz <ml@well-adjusted.de>
- Re: root den Zugriff auf home-verzeichnisse verbieten
  - From: Gernot Zander <debian@scorpio.in-berlin.de>
- Re: root den Zugriff auf home-verzeichnisse verbieten
  - From: Matthias Müller <elv_matth.mueller@web.de>
- Re: root den Zugriff auf home-verzeichnisse verbieten
  - From: Joerg Friedrich <Joerg.Friedrich@friedrich-kn.de>

Prev by Date: Re: Riesen Dumheit als root gemacht
Next by Date: Re: Nagios und verteiltes Monitoring
Previous by thread: Re: root den Zugriff auf home-verzeichnisse verbieten
Next by thread: OT Re: Sicherheit in Schulnetzen, Was: Re: root den Zugriff auf home-verzeichnisse verbieten
Index(es):
- Date
- Thread