Hallo Steffen,
ich denke auch wie Jürgen, dass es wichtig wäre zu prüfen, ob sich der
Stress wegen der dort verarbeiteten Daten lohnt.
Wenn es aber so ist, dass Schüler in diesem Raum eine Klassenarbeit
schreiben und auf den dort vorhandenen Rechnern personenbezogene Daten
verarbeitet werden, liegt m. E. ein Verstoß gegen §9 Abs. 2 LDSG vor:
Zitat: Werden personenbezogene Daten automatisiert verarbeitet, sind je
nach Art und Verwendung der zu schützenden personenbezogenen Daten und
unter Berücksichtigung des Standes der Technik Maßnahmen zu treffen, die
geeignet sind,
1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen zu verwehren
(Zutrittskontrolle),
2. zu verhindern, dass Datenträger unbefugt gelesen, kopiert,
verändert oder entfernt werden können (Datenträgerkontrolle),
....
(siehe Auch Abschnitt I Nr. 6.3 der VwV Datenschutz an öffentlichen Schulen)
Das müsste eigentlich schon reichen.
Wenn Du Deiner Remonstrationspflicht nachkommen willst (§36
Beamtenstatusgesetz), musst Du Deinem Chef Deine Bedenken mitteilen
(schriftlich oder mündlich ist egal). Stimmt er Dir nicht zu, Du bleibst
aber bei Deiner Auffassung, musst Du Dich an den nächsthöheren
Vorgesetzten wenden.
Das ist aber ein Schritt, den ich mir sehr gut überlegen würde, denn
dann bekommt Dein Chef zumindest einen Brief "von oben", auf den er
reagieren muss. Das wird ihn sicher nicht für Dich einnehmen.
Viele Grüße
Bernd
Am 17.12.2015 um 18:30 schrieb Steffen Auer:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Hallo zusammen,
im Thread "Klonen im Verwaltungsnetz" habe ich es schon vermutet, seit
heute ist es Realität:
An den PCs in den Lehrerarbeitsräumen und im Besprechungsraum (in dem
in Ausnahmefällen auch Schüler Klassenarbeiten nachschreiben), die
direkt ans Verwaltungsnetzwerk angeschlossen sind, stehen am
Bildschirm Benutzername und Passwort (das nebenbei den Namen nicht
verdient).
Eigentlich habe ich wenig Motivation, hier gegen Windmühlen zu
kämpfen. Zu meiner eigenen Absicherung als NWB und MMB an der Schule
möchte ich aber doch meinen sicherheits- und datenschutzrechtlichen
Bedenken gegen das ein oder andere zum Ausdruck bringen, damit ich bei
einer eventuellen Misere fein raus bin.
Da ich noch nie vor so einer Notwendigkeit stand meine Frage:
Wie mache ich das am Sinnvollsten, so dass meine Remonstration
(Einwände/Bedenken) auch dokumentiert sind?
Dem Chef ein Dokument zur Unterschrift vorzulegen halte ich für
fragwürdig.
E-Mail mit Übermittlungsbestätigung und Lesebestätigung?
Zeugen?
Hm....
Bei folgendem habe ich Einwände/Bedenken bzw. möchte eure Meinung dazu
wissen:
1. Benutzername und Passwort sind an den PCs angeschrieben
2. Die Passwörter sind auch ohne dies extrem schwach und leicht zu
erraten (ich dachte, als der Chef mir sein Papier zur Neugestaltung
des Verwaltungsnetzwerks gezeigt hat, das seien Platzhalter)
3. Von diesen PCs haben Lehrer Zugriff auf ein gemeinsames Share, in
dem auch die Ordner für Rektorat, Konrektorat usw. liegen.
Zugriffsbeschränkung erfolgt nur durch benutzerspezifische
Einschränkungen --> wird das Passwort z.B. des Schulleiters
herausgefunden, besteht die Möglichkeit des Vollzugriffs
4. Alle PCs sind "KISS-PCs" --> Lehrer können sich für AC-Profil u.ä.
im KISS-Intranet selbst anmelden
5. Die Benutzerkonten für die Lehrer sind Domänenbenutzer am Server
(Hauptbenutzer) und keine eingeschränkten Konten
6. Einzige Schutzmaßnahme gegen Kompromittierung der Rechner und damit
des Verwaltungsnetzwerks ist ein Virenschutz, obwohl diese PCs durch
ca. 60 Lehrkräfte "anonym" als LehrerX genutzt und USB-Sticks etc.
verwendet werden können und sollen, um das auf verlinkten
Worddokumenten basierende Schulportfolio "überall" verfügbar zu machen.
- --> Die Kompromittierung der Rechner und ggf. des Verwaltungsnetzwerks
ist nur eine Frage der Zeit, zumal der PC des Hausmeisters durch eine
angeblich von einer Kollegin stammende E-Mail letzte Woche erst mit
Schadsoftware kompromittiert wurde.
Grundsätzlich entspricht das Szenario den datenschutzrechtlichen
Vorgaben im Schreiben vom 6. September 2004, Az. 11-0551.0/34
(sogenannter Netzbrief), den Ergänzungen im Schreiben vom 16. Juni
2014, Az. 15-0551.0/34 (sogenannter Netzbrief 2) sowie im Schreiben
vom September 2015, Az. 15-0551.0/34, da es keine Verbindung ins päd.
Netz gibt.
Zitat aus dem Netzbrief 2:
- ---
Alternativ ist auch eine Netzinfrastruktur zulässig, die lediglich aus
zwei Netzen besteht. Dabei ist jedoch zu beachten, dass nur die
Umgebung für die Schulleitungsumgebung und Lehrkräfte zusammengefasst
sein dürfen. Die Unterrichtsumgebung muss getrennt realisiert sein,
ein Übergang in das andere Netz ist nicht zulässig.
- ---
Auch dürfen grundsätzlich alle PCs KISS-PCs sein.
Zitat aus dem Netzbrief 2:
- ---
Sämtliche Computer dieser Arbeitsumgebung dürfen in dem an die KISS
angeschlossenen Datennetz arbeiten. Es ist keine Trennung von KISS-PC
und den anderen Verwaltungsrechnern erforderlich, insbesondere bei
Schulleitung, Stellvertreter oder Sekretariat.
- ---
Ob allerdings
1. die Absicherung datenschutzrechtlich kritischer personenbezogener
Daten (Lehrerbeurteilungen etc.) ausreichend erfüllt sind
2. die Nutzung von KISS-Anmeldedaten durch Lehrkräfte erlaubt ist
dazu schweigen die Netzbriefe.
Da man imho ja nicht nur meckern, sondern auch produktive Vorschläge
machen sollte, stelle ich mir die Frage, wie weitreichend die
Remonstration und Vorschläge zur Absicherung gegen unerlaubten Zugriff
und Kompromittierung sein sollten.
Sprich, gegen welche der o.g. 6 Punkte soll ich remonstrieren?
Imho muss ich das wenigstens gegen 1 und 2 tun.
Wegen Kompromittierung wohl auch gegen 5 und 6.
Was soll ich vorschlagen?
- - getrennte Shares für Rektorat, Konrektorat, Sekretariat, Lehrer?
- - Absicherung des Rechners gegen Kompromittierung mit Abschaltung
Autostart, sichere Passwörter, eingeschränkte Benutzerkonten (keine
Softwareinstallation u.ä.), was noch?
Was die Kompromittierung angeht wäre sicher ein synchronisierter
Rechnerstart das Beste. Problem ist nur, dass der Win2012 Server ja
mit dem Client immer wieder neue Passwörter aushandelt und dann nach
einem Sync-Start die Domänenanmeldung nicht mehr klappt.
Ich hätte ja echt bis vor kurzem nicht gedacht, dass ich mir mal über
solche Dinge wie Remonstration den Kopf zerbrechen muss...
In Hoffnung auf zahlreiche Meinungen und inhaltlich-produktive
Unterstützung
viele Grüße
Steffen
- --
Wir sind nicht nur nett, wir sind sogar linuxmuster.net
Mein System:
- - virtualisiert mit Proxmox 3.4
- - linuxmuster.net 6.1
- - IPFire 2.17 Core 94
- - Linbo 2.2.16-0
- - Ubuntu 12.04-Client
- - Erweiterungen: Chillispot, Pykota, MRBS und OpenSchulportfolio
- - Moodle extern (Belwue) per ldaps angebunden
Note:
No Microsoft programs were used in the creation or distribution of
this message. If you are using a Microsoft program to view this
message, be forewarned that I am not responsible for any harm you may
encounter as a result.
- ----------------------------------------
Diese E-Mail ist mit OpenPGP signiert. Der öffentliche Schlüssel zur
Überprüfung der Signatur ist hier hinterlegt:
pool.sks-keyservers.net
- ----------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iQEcBAEBAgAGBQJWcvEkAAoJEBhc6lDKYVtJVOMH/3zuJBxHVNAU5FL/IAwG5EQc
KWiM6oAwdsNp8297BlLY5A+zHT8PE+vWA6QkILRJip5qhpgbm63vC7sn3P+eJIP9
OgyIbFxEahjCwScQ35RCnlyyRVOKR4M1ZoDW8BmPUf4Hv198I49ILu3tkLxyeUGl
PLTYEV43GamQrB/OZ2QDnBIsF4ddqWW9/5ovCstugSDsnlju5XdYh/Evf2G/b5gX
52afDFfS7wWwk9RTfhzuAnMEm8qkZIWXWoXx9aNPxHc2A3Yg2BA615bt9ywGnjq+
oDFO+O3Bf8c2UMlAQi4DKOIguvTJfVTXKeLdZeYNSESuxpos868xzudq44uCZD8=
=i5Xz
-----END PGP SIGNATURE-----
_______________________________________________
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
_______________________________________________
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
