-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo zusammen,
im Thread "Klonen im Verwaltungsnetz" habe ich es schon vermutet, seit heute ist es Realität: An den PCs in den Lehrerarbeitsräumen und im Besprechungsraum (in dem in Ausnahmefällen auch Schüler Klassenarbeiten nachschreiben), die direkt ans Verwaltungsnetzwerk angeschlossen sind, stehen am Bildschirm Benutzername und Passwort (das nebenbei den Namen nicht verdient). Eigentlich habe ich wenig Motivation, hier gegen Windmühlen zu kämpfen. Zu meiner eigenen Absicherung als NWB und MMB an der Schule möchte ich aber doch meinen sicherheits- und datenschutzrechtlichen Bedenken gegen das ein oder andere zum Ausdruck bringen, damit ich bei einer eventuellen Misere fein raus bin. Da ich noch nie vor so einer Notwendigkeit stand meine Frage: Wie mache ich das am Sinnvollsten, so dass meine Remonstration (Einwände/Bedenken) auch dokumentiert sind? Dem Chef ein Dokument zur Unterschrift vorzulegen halte ich für fragwürdig. E-Mail mit Übermittlungsbestätigung und Lesebestätigung? Zeugen? Hm.... Bei folgendem habe ich Einwände/Bedenken bzw. möchte eure Meinung dazu wissen: 1. Benutzername und Passwort sind an den PCs angeschrieben 2. Die Passwörter sind auch ohne dies extrem schwach und leicht zu erraten (ich dachte, als der Chef mir sein Papier zur Neugestaltung des Verwaltungsnetzwerks gezeigt hat, das seien Platzhalter) 3. Von diesen PCs haben Lehrer Zugriff auf ein gemeinsames Share, in dem auch die Ordner für Rektorat, Konrektorat usw. liegen. Zugriffsbeschränkung erfolgt nur durch benutzerspezifische Einschränkungen --> wird das Passwort z.B. des Schulleiters herausgefunden, besteht die Möglichkeit des Vollzugriffs 4. Alle PCs sind "KISS-PCs" --> Lehrer können sich für AC-Profil u.ä. im KISS-Intranet selbst anmelden 5. Die Benutzerkonten für die Lehrer sind Domänenbenutzer am Server (Hauptbenutzer) und keine eingeschränkten Konten 6. Einzige Schutzmaßnahme gegen Kompromittierung der Rechner und damit des Verwaltungsnetzwerks ist ein Virenschutz, obwohl diese PCs durch ca. 60 Lehrkräfte "anonym" als LehrerX genutzt und USB-Sticks etc. verwendet werden können und sollen, um das auf verlinkten Worddokumenten basierende Schulportfolio "überall" verfügbar zu machen. - --> Die Kompromittierung der Rechner und ggf. des Verwaltungsnetzwerks ist nur eine Frage der Zeit, zumal der PC des Hausmeisters durch eine angeblich von einer Kollegin stammende E-Mail letzte Woche erst mit Schadsoftware kompromittiert wurde. Grundsätzlich entspricht das Szenario den datenschutzrechtlichen Vorgaben im Schreiben vom 6. September 2004, Az. 11-0551.0/34 (sogenannter Netzbrief), den Ergänzungen im Schreiben vom 16. Juni 2014, Az. 15-0551.0/34 (sogenannter Netzbrief 2) sowie im Schreiben vom September 2015, Az. 15-0551.0/34, da es keine Verbindung ins päd. Netz gibt. Zitat aus dem Netzbrief 2: - --- Alternativ ist auch eine Netzinfrastruktur zulässig, die lediglich aus zwei Netzen besteht. Dabei ist jedoch zu beachten, dass nur die Umgebung für die Schulleitungsumgebung und Lehrkräfte zusammengefasst sein dürfen. Die Unterrichtsumgebung muss getrennt realisiert sein, ein Übergang in das andere Netz ist nicht zulässig. - --- Auch dürfen grundsätzlich alle PCs KISS-PCs sein. Zitat aus dem Netzbrief 2: - --- Sämtliche Computer dieser Arbeitsumgebung dürfen in dem an die KISS angeschlossenen Datennetz arbeiten. Es ist keine Trennung von KISS-PC und den anderen Verwaltungsrechnern erforderlich, insbesondere bei Schulleitung, Stellvertreter oder Sekretariat. - --- Ob allerdings 1. die Absicherung datenschutzrechtlich kritischer personenbezogener Daten (Lehrerbeurteilungen etc.) ausreichend erfüllt sind 2. die Nutzung von KISS-Anmeldedaten durch Lehrkräfte erlaubt ist dazu schweigen die Netzbriefe. Da man imho ja nicht nur meckern, sondern auch produktive Vorschläge machen sollte, stelle ich mir die Frage, wie weitreichend die Remonstration und Vorschläge zur Absicherung gegen unerlaubten Zugriff und Kompromittierung sein sollten. Sprich, gegen welche der o.g. 6 Punkte soll ich remonstrieren? Imho muss ich das wenigstens gegen 1 und 2 tun. Wegen Kompromittierung wohl auch gegen 5 und 6. Was soll ich vorschlagen? - - getrennte Shares für Rektorat, Konrektorat, Sekretariat, Lehrer? - - Absicherung des Rechners gegen Kompromittierung mit Abschaltung Autostart, sichere Passwörter, eingeschränkte Benutzerkonten (keine Softwareinstallation u.ä.), was noch? Was die Kompromittierung angeht wäre sicher ein synchronisierter Rechnerstart das Beste. Problem ist nur, dass der Win2012 Server ja mit dem Client immer wieder neue Passwörter aushandelt und dann nach einem Sync-Start die Domänenanmeldung nicht mehr klappt. Ich hätte ja echt bis vor kurzem nicht gedacht, dass ich mir mal über solche Dinge wie Remonstration den Kopf zerbrechen muss... In Hoffnung auf zahlreiche Meinungen und inhaltlich-produktive Unterstützung viele Grüße Steffen - -- Wir sind nicht nur nett, wir sind sogar linuxmuster.net Mein System: - - virtualisiert mit Proxmox 3.4 - - linuxmuster.net 6.1 - - IPFire 2.17 Core 94 - - Linbo 2.2.16-0 - - Ubuntu 12.04-Client - - Erweiterungen: Chillispot, Pykota, MRBS und OpenSchulportfolio - - Moodle extern (Belwue) per ldaps angebunden Note: No Microsoft programs were used in the creation or distribution of this message. If you are using a Microsoft program to view this message, be forewarned that I am not responsible for any harm you may encounter as a result. - ---------------------------------------- Diese E-Mail ist mit OpenPGP signiert. Der öffentliche Schlüssel zur Überprüfung der Signatur ist hier hinterlegt: pool.sks-keyservers.net - ---------------------------------------- -----BEGIN PGP SIGNATURE----- Version: GnuPG v1 iQEcBAEBAgAGBQJWcvEkAAoJEBhc6lDKYVtJVOMH/3zuJBxHVNAU5FL/IAwG5EQc KWiM6oAwdsNp8297BlLY5A+zHT8PE+vWA6QkILRJip5qhpgbm63vC7sn3P+eJIP9 OgyIbFxEahjCwScQ35RCnlyyRVOKR4M1ZoDW8BmPUf4Hv198I49ILu3tkLxyeUGl PLTYEV43GamQrB/OZ2QDnBIsF4ddqWW9/5ovCstugSDsnlju5XdYh/Evf2G/b5gX 52afDFfS7wWwk9RTfhzuAnMEm8qkZIWXWoXx9aNPxHc2A3Yg2BA615bt9ywGnjq+ oDFO+O3Bf8c2UMlAQi4DKOIguvTJfVTXKeLdZeYNSESuxpos868xzudq44uCZD8= =i5Xz -----END PGP SIGNATURE----- _______________________________________________ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
