BYOD

Überall steht es, jeder redet drüber, wir machen es (folgendermaßen):

Vorbetrachtung:

BYOD heißt: bring your own Device und meint: bring dein eigenes Gerät mit und benutze es im Netzwerk, wir kümmern uns um die notwendige Infrastruktur.
Für Schulen und Schulträger könnte das ein zukunftsfähiger Ansatz sein. Beinahe jeder Schüler und Lehrer verfügt privat ohnehin über ein Gerät zur mobilen Nutzung eines Internetzuganges wie Handy / Smartphone, Tablet oder Notebook (meist sogar mehrere…) und könnte mit dessen Einsatz in der Schule die dort verfügbare Technik entlasten. Im Inventar der Schule bräuchten bloß die für Lehre und Prüfungen unbedingt notwendigen Geräte vorgehalten werden, da Schüler und Lehrer mit ihren eigenen Geräten (mit)arbeiten könnten.
Das klingt gut und vernünftig, bedarf aber einiger Investitionen in die schulische Infrastruktur und IT. Alle großen Netzwerkplayer (Cisco, HP, Siemens etc.) sind auf den BYOD Zug aufgesprungen und bieten entsprechende Produkte, jedoch sind diese sehr kostenintensiv und für einen Schulträger aufgrund der Komplexität kaum zu managen. Das Ziel muss es also sein, das bestehende Netzwerk mit möglichst einfachen Mitteln so zu erweitern, dass es möglich ist, eigene Geräte innerhalb einer Schule flächendeckend zu nutzten. Dabei muss man eine Schule von einem Unternehmen abstrahieren, da Schule nicht dermaßen hohe Sicherheitsanforderungen stellt.
Zusätzlich ist es wichtig, eine entsprechende Benutzerordnung bestätigen zu lassen (Unterschrift der Eltern), um die Regeln zu definieren, bekannt zu geben und die Hausordnung durchzusetzen zu können.

Umsetzung:

Der normale Netzaufbau in einer Schule ist folgender: es gibt ein Verwaltungsnetz für Sekretariat und Schulleitung und ein Schulnetz für Lehrer und Schüler. Beide Netze werden mit einem Server und einem Internetzugang betrieben. In beiden Netzen gibt es Gruppenrichtlinien, Anmeldeprozeduren und Nutzergruppeneinschränkungen. Der Internetzugang ist genauso geregelt wie der Zugriff auf Freigaben. Das ist funktional und erfüllt seinen Zweck, ist aber absolut untauglich für die Einbindung von Fremdgeräten, da man auf diesen privaten Geräten keine Clients installieren, keine Domänenmitgliedschaft definieren, o.ä. Eingriffe vornehmen kann. Auch der Arbeitsaufwand wäre grotesk für eine Schule mit z.B. 500 Schülern und 100 Lehrern und der entsprechenden Anzahl von privaten Geräten. Deshalb nutzen wir diese beiden Netzwerke für BYOD nicht. Wir stellen sie zwar im WLan zur Verfügung, sichern den Zugang hierzu aber über Verschlüsselungen ab.
Daraus folgt schon einmal die erste Anforderung an das zu installierenden WLan: es muß mehrere Netze über verschiedene SSID´s aussenden können. Das können zum Glück mittlerweile die meisten Geräte, so dass hier keine Schwierigkeit entsteht. Zusätzlich braucht man hierfür Switche die vLan fähig sind, um verschieden Netzwerke als getaggte vLan´s per SSID´s senden zu können. Aber auch das können sehr viele, gar nicht so teure Switche.
Für BYOD verwenden wir ein 3. Netzwerk namens J-Lan, das entsprechend getaggt und mittels vLan getrennter SSID ausgestrahlt wird. Dieses Netzwerk bietet einen per Radius abgesicherten Internetzugang. Dieses Netzwerk ist bei uns nicht verschlüsselt, um erst gar keine Fragen beim Benutzer aufkommen zu lassen. Den Import von Zertifikaten und ähnliches 500 Nutzern zu erläutern und dies für 10 verschiedene Betriebssysteme absichern zu können, wollten wir uns nicht zumuten. Vor der Benutzung des Internets liegt für den Nutzer ein sogenannter Hotspot, an dem man sich anmelden muß. Die Zugangsdaten sind individuell und sowohl Schüler als auch Lehrer erhalten diese durch Zustimmung zu einer Benutzerordnung. Gastzugänge für Besucher werden im Sekretariat ausgegeben und verfallen nach einem Nutzungstag.

Auszug aus der Nutzerordnung:
Nutzung von Informationen aus dem Internet / Versenden von Informationen in das Internet und im Netzwerk

Der Internet-Zugang steht grundsätzlich nur für schulische Zwecke zur Verfügung. Die Schule ist nicht für den Inhalt der über ihren Zugang abrufbaren Angebote Dritter im Internet verantwortlich. Im Namen der Schule dürfen weder Vertragsverhältnisse eingegangen noch ohne Erlaubnis kostenpflichtige Dienste im Internet genutzt werden. Bei der Weiterverarbeitung von Daten aus dem Internet sind Urheber- oder Nutzungsrechte zu beachten. So dürfen zum Beispiel digitalisierte Texte, Bilder und andere Materialien nur mit Erlaubnis der Urheber in eigenen Internetseiten verwandt werden. Grundsätzlich ist der Urheber zu nennen. Die Veröffentlichung von Fotos mit namentlicher Nennung und Schülermaterialien im Internet ist nur nach Genehmigung der Lehrerin/des Lehrers sowie der Schülerinnen und Schüler (im Falle der Minderjährigkeit ihrer Erziehungsberechtigten) gestattet. 
Mobile Geräte
die Schule verfügt über ein flächendeckendes WLAN- System. Dadurch ist grundsätzlich auch die Nutzung eigener mobiler Geräte im Schulkontext möglich. Die WLAN-Nutzung durch eigene Geräte unterliegt ebenfalls den Regelungen der Hausordnung. Für die WLan Nutzung ist eine Authentifizierung notwendig. Für die Erteilung dieses Zugangscode ist bei Schülern die Zustimmung der Eltern notwendig.

Als Software für den Radius verwenden wir Freeradius mit der Verwaltungsoberfläche YFi – Hotspot – siehe: http://sourceforge.net/projects/hotcakes/.
Hiermit lassen sich für die Nutzer Einstellungen zur Authentifizieren, dem Verbrauch, den Nutzungszeiten, den Protokollen, etc. festlegen. Die Nutzungsprotokollierung und Seitenfilterung erfolgt dann automatisch auf unserer Endian Firewall, auch dies eine Freeware (http://www.endian.com/en/community/).

Zusammenfassung:

Wir senden also 3 Netze per WLan:

  1. das Verwaltungsnetz per SSID: VWN, incl. Verschlüsselung (für die Notebooks der Schulleitung)
  2. das Schulnetz per SSID: SN, incl. Verschlüsselung (für Notebooks und mobile Geräte im Inventar der Schule)
  3. das Radius gesicherte Netz für Fremdgeräte per SSID: J-Lan, unverschlüsselt

Den Radius Server betreiben wir mittels Freeware, die Access Points können gleichfalls mit der freien Software DD-WRT (siehe: http://www.dd-wrt.com/site/index) eingerichtet und vorkonfiguriert werden. Der angeschlossene Switch versorgt die Access Points per PoE sowohl mit Strom als auch mittels vLan´s mit den zu sendenden Netzwerken.

Der Zugriff auf Schulressourcen von externen Geräten erfolgt dann ausschließlich über das Internet. Homelaufwerke, Schulinfos, Vertretungspläne, etc. werden also über die Schulhomepages ermöglicht.

P.S. mein 7 jähriger Sohn wünschte sich zu Weihnachten neben Lego – Starwars ein Smartphone – klingt verfrüht, ist aber so. Wird also in naher Zukunft jeder Grundschüler ein Smartphone besitzen und mit in die Schule bringen ?

 

Und noch ein Wort zur Haftung von WLAN – Anbietern: Das Bundeswirtschaftsministerium verweist dagegen auf das Urteil des Bundesgerichtshofes (BGH) zur Störerhaftung nicht-gewerblicher Hotspot-Anbietern. Demnach können Privatpersonen zwar auf Unterlassung, nicht jedoch auf Schadensersatz in Anspruch genommen werden. Betreiber eines privat genutzten drahtlosen Netzes unterliegen nach Auffassung der Regierung damit "keinen unzumutbaren Haftungsrisiken". – Quelle: Heise