Netzwerk

Mit der grösseren Anzahl mobiler Geräte in der Schule steigen die Anforderungen an das Netzwerk. Es bietet allen Lehrpersonen, Mitarbeitenden, Schülerinnen und Schülern einen schnellen Zugang ins Internet. Das Netzwerk verbindet die Endgeräte (Smartphones, Tablets und Laptops) über die Accesspoints in den Unterrichtsräumen, das lokale Netzwerk und einen breitbandigen Internetanschluss mit dem Internet. Ein störungsfrei funktionierendes und schnelles Netzwerk ist ein zentraler Baustein aller Digitalisierungsbestrebungen in der Schule.

Zur Kontrolle des Netzwerks und des Internetzugangs setzt die Schule eine pragmatische Mischung aus sozialer und technischer Kontrolle ein. 

Download der Grafik mitt CC-Lizenz "BY"

Auf dem Weg vom Internet bis zum Endgerät durchlaufen die Daten verschiedene Abschnitte und Komponenten des Netzwerkes:

• Internetanbindung und Standortvernetzung (WAN)
• Lokales Netzwerk (LAN)  
• Funknetzwerk (WLAN)  

Eine zusätzliche Möglichkeit der Internetverbindung bietet das 

• Mobilfunknetzwerk (4G/5G)

Die Daten passieren die folgenden Netzwerkkomponenten:

• Modem 
• Firewall/Router 
• Switches 
• Accesspoints

Beim Netzwerk unterscheidet man typischerweise zwischen zwei Ebenen 

• Physisches Netzwerk (Netzwerkkabel und Netzwerkkomponenten) 
• Logisches Netzwerk (IP-Adressen, Virtuelle Netzwerke, SSID etc.)

Diese werden in den folgenden Abschnitten beschrieben.

Physisches Netzwerk

Das physische Netzwerk eines Schulstandortes sieht typischerweise wie folgt aus

Download der Grafik mit CC-Lizenz "BY"  

---

Das physische Netzwerk besteht aus aktiven und passiven Netzwerkkomponenten. 

Zu den aktiven Netzwerkkomponenten zählen Router, Firewall, Switches, Accesspoints, etc. Sie gehen zu Lasten des ICT-Budgets der Schule. Die Netzwerkkomponenten werden vom ICT-Dienstleister beschafft, montiert und konfiguriert. 

Zu den passiven Netzwerkkomponenten zählen die Bestandteile der Verkabelung (Netzwerkdosen, Installationskabel, Netzwerkschränke (Rack) und Rangierfeld (Patchpanel)). Sie sind Teil des Baubudgets des Gebäudes. Die Netzwerkverkabelung wird vom Elektroplaner geplant und vom Elektriker installiert. Der Elektroplaner benötigt digitalisierte Pläne der Schulhäuser.
 

Internetanbindung 

Die Internetanbindung ist an vielen Schulstandorten der primäre Engpass. Als Grundsatz soll pro Schulstandort die maximal verfügbare Bandbreite eingekauft werden. 

Es gibt drei Typen von Internetanbindungen. Über die klassische Telefonleitung (x-adriges-Kupfer-Kabel), die klassische TV-Leitung (Koaxial-Kabel) oder eine neue FTTx-Leitung (Glasfaser-Kabel).  

An den Schulstandorten, an denen eine Glasfaser-Leitung (FTTx) vorhanden ist, soll die Internetanbindung über die Glasfaser-Leitung erfolgen. Falls (noch) keine Glasfaser-Leitung vorhanden ist, sollte ein Anschluss über die TV-Leitung gewählt werden. Das Kupferkabel der klassischen Telefonleitung ermöglicht für Schulstandorte (mit wenigen Ausnahmen) nicht genug Bandbreite. Einzelne externe Standorte oder Kindergärten kann die Schule über eine klassische Telefonleitung anschliessen.
 
Tipp: Überprüfen Sie regelmässig die Angebote. Typischerweise sollte sich die Bandbreite alle zwei Jahre verdoppeln oder der Preis – bei gleicher Leistung – halbieren.

Standortvernetzung (WAN)

Da die Miete von einer Glasfaserverbindungen (Dark Fiber) zwischen zwei Standorten oft recht teuer ist (um die 10 000 Franken pro Jahr) lohnt sich die Vernetzung verschiedener Standorten in den meisten Fällen nicht, ausser die Gemeinde besitzt selbst Glasfaserverbindungen zwischen den Schulstandorten. Sobald die Schule mehrere Standorte via Dark Fiber vernetzt, soll eine Internetanbindung mit mindestens 1/1 Gbit/s genutzt werden. Falls keiner der Standorte mittels Glasfaserverbindung ans Internet angeschlossen werden kann, ist es ratsam, aus Gründen der Bandbreite jeden Standort einzeln ans Internet anzuschliessen.

Lokales Netzwerk (LAN) 

Das lokale Netzwerk besteht aus den

• Verbindungen zwischen den einzelnen Gebäuden eines Schulstandortes. Die Verbindung zwischen den Gebäuden sind meist Glasfaserverbindungen (Multimode), da sie oft grössere Strecken von 100 bis 300 Metern überwinden und auch höhere Bandbreiten ermöglichen. Diese Verbindung zwischen den Gebäuden wird als Backbone bezeichnet. 
• Verbindungen innerhalb des Schulgebäudes. Diese Verbindungen sind Ethernet-Kupferkabel (mindestens CAT5, idealerweise CAT7). Für typische kleinere Schulgebäude gibt es einen Verteil-Switch-Stack pro Gebäude, für grössere Gebäude können es auch mehrere sein, zum Beispiel ein Verteil-Switch pro Stockwerk oder pro Gebäudeteil.
• Verbindungen innerhalb des Schulzimmers. Von Ethernet-Dosen (RJ45) führen Kabel zu Drucker, AV-Empfänger und Accesspoints.

Funknetzwerk (WLAN) 

Typischerweise wird ein Accesspoint pro Unterrichtszimmer eingebaut. Dieser wird meist in der Mitte der Decke oder oben-mittig an einer langen Wand platziert. Durch die Accesspoints in den Unterrichtszimmern können die vielen Endgeräte das WLAN nutzen.

Weitere Accesspoints werden so platziert, dass das Schulhaus flächendeckend mit WLAN versorgt ist,  also beispielsweise auch im Bandkeller. Die Flächendeckung ist sinnvoll, um Wi-Fi-Calling (siehe Abschnitt über Telefonie) und andere Dienste nutzen zu können. Um die Flächenabdeckung mit möglichst wenig Accesspoints zu garantieren, ist eine WLAN-Ausmessung der Schule sinnvoll.

Die Accesspoints werden über das Netzwerkkabel (Power over Ethernet (PoE)) mit Strom versorgt. 

Mobilfunknetzwerk (5G)

Die Schule begrenzt den Netzwerkzugang, den sie den Lehrpersonen anbietet, nicht auf die Schulstandorte. Lehren und Lernen findet überall statt. Für eine Schule kann es deshalb interessant sein, den Lehrpersonen ein Datenabo für den mobilen Internetzugang zur Verfügung zu stellen. Die Lehrpersonen können mit dem Datenabo auf Schulreisen beispielsweise  einen Hotspot für die Schülerinnen und Schüler einrichten oder von überall aus der Schweiz auf Klassenchats etc. reagieren. Als erste Stufe wären auch einige ausleihbare Geräte denkbar, die als Hotspot überall eingesetzt werden könnten.

Die Schule kann beim Kanton Zürich zu interessanten Konditionen Datenabos für die Lehrpersonen beziehen. 

Das Mobilfunknetzwerk (5G) macht weder den Glasfaseranschluss noch das lokale Netzwerk (LAN + WLAN) in der Schule überflüssig, auch wenn zurzeit dafür geworben wird.

Fussnoten (nicht sichtbar)

• 5G und die Physik: Was kann 5G Wireless wirklich leisten und was ist Marketing Hype. Ein paar Fakten.

Logisches Netzwerk

Verschiedene logische Netzwerke (VLANs und SSIDs) werden im Schulkontext heute meist für verschiedene Formen der Authentisierung (siehe Digitale IDs) verwendet. Oft gibt es ein eigenes logisches Netzwerk (VLAN und SSID) pro Authentisierungsmethode. 

• Persönliche Geräte (Laptop, Smartphone) mit individueller Authentisierung (WPA-Enterprise) 
• Geteilte und gemanagte Schulgeräte (z.B. Tablets) mit Preshared Key (WPA-PSK)   
• Gäste-WLAN mit Voucher oder Mobile-Authentisierung. 
• Gebäude- und Alarmierungstechnik mit MAC-Adressen-Authentisierung.  

Falls es Endgeräte (Laptops, Desktops etc.) gibt, die auf Ressourcen im «Verwaltungs-Netzwerk» der Gemeinde zugreifen müssen, wird dies typischerweise entweder

• über eine sichere Tunnelverbindung (VPN) oder
• über ein separates virtuelles Netzwerk (VLAN) 

umgesetzt. 
 

Gäste-WLAN

Das Gäste-WLAN ermöglicht Gästen einen öffentlichen Zugang ins Internet. Sie erhalten jedoch keinen Zugang zu Ressourcen der Schule (wie Drucker, Dateiablagen etc.). Der öffentliche Zugang ins Internet ist bekannt von Städten, Hotels, Spitälern oder Bahnhöfen. Ein Gäste-WLAN kann sinnvoll sein, wenn zum Beispiel Sportveranstaltungen an Wochenenden oder Weiterbildungskurse an Abenden stattfinden und den Teilnehmenden ein niederschwelliger Zugang geboten werden soll. Der Zugang zum Internet über das Gäste-WLAN wird typischerweise mittels eines Vouchers oder über die Mobiltelefonnummer des Gastes autorisiert.
  
Bei der Anmeldung mittels Voucher kann beispielsweise die Schulverwaltung Vouchers ausdrucken, die den Zugang für eine definierten Zeitraum (1 Tag, eine Woche etc.) ermöglichen. Bei der Voucher-Autorisierung findet die Authentisierung durch soziale Kontrolle statt, indem der Voucher persönlich an die Person übergeben wird. 

Bei der Anmeldung mittels Mobilnummer muss der Gast seine Mobilnummer angeben. Er erhält den Zugang zum Internet mittels eines Bestätigungscodes und nach Akzeptieren der Nutzungsbestimmungen. Bei der Authentisierung via Smartphonenummer findet eine technische Authentisierung statt, der Benutzende sind durch ihre Telefonnummer eindeutig identifizierbar. Bei dieser Variante können alle Personen im Umfeld der Schule über Eingabe ihrer Smartphonenummer das Internet der Schule nutzen. 
 

Netzwerksicherheit 

Der Begriff Netzwerksicherheit wird hier in einem umfassenderen Sinne, als dies in der Informatik üblich ist, verwendet. Unter Netzwerksicherheit verstehen wir alles, was Netzwerkkomponenten, Firewalls, Switches, Netzwerkports, Protokolle (auf verschiedenen Ebenen), Filter etc. betrifft.  

Die stetig zunehmende Verschlüsselung des Datenverkehrs stellt die Schulen vor neue Herausforderungen. Die Verschlüsselung bietet einen viel umfassenderen Schutz der Daten als bisher – mit der Kehrseite, dass immer weniger Datenfetzen zur Erkennung von Schadsoftware und zur Erkennung gezielten Missbrauchs verfügbar sind. Dies bedeutet, dass sich die Art und Weise, wie eine Schule Inhalte filtert, ändert. Die Netzwerksicherheit und die Filterung funktionieren heute nicht mehr so wie in den letzten Jahren und müssen neu angegangen werden. Deshalb bieten wir Ihnen im Folgenden ein kurzes Update.

Die Änderung kann man sich bildlich gesprochen etwa so vorstellen: In Zukunft wird nicht mehr in erster Linie an der Grenze (der Firewall) überwacht und gefiltert, sondern im ganzen Netzwerk – vergleichbar mit den Passkontrollen in Europa, die irgendwo auf den Autobahnen stattfinden können und nicht mehr unbedingt nur an der Grenze.

Im Zentrum der Netzwerksicherheit steht nicht mehr die Firewall, sondern die Kontrolle

• an den Endpunkten und
• des Netzwerkflusses.

Sicherheit an den Endpunkten

Die Endpunkte sind dort, wo die Kommunikation verschlüsselt und entschlüsselt wird. Also einerseits auf den Servern der Inhaltsanbieter und anderseits in den Apps und im Browser der Endgeräte (Tablets, Laptops etc.). 

Auf der Serverseite ist darauf zu achten, dass die Schule Cloud-Dienste auswählt, die ihre Server auf Schadsoftware überwachen und entsprechende Inhaltsfilter anbieten.

Für die Endgeräte bedeutet dies, dass einerseits auf der Betriebssystemebene und andererseits im Browser Schadsoftware-Erkennung und Inhaltsfilterung aktiv sein sollten. Einen wesentlichen Beitrag zur Sicherheit kann die Schule dadurch leisten, indem sie dafür sorgt, dass auf den Endgeräten ein aktuelles Betriebssystem und ein aktueller Browser mit aktuellen Sicherheitsupdates laufen.

Flussüberwachung

Aufgrund dessen, dass immer mehr Netzwerkverkehr gut verschlüsselt ist , ändert sich die Art und Weise, wie in Netzwerken unerwünschter Netzwerkverkehr  detektiert wird. Im Zentrum steht nicht mehr die Firewall, sondern die Analyse des Netzwerkflusses im gesamten Netz der Schule.

Protokollieren des Netzwerkflusses: Die Schlüsselkomponenten ihres Netzwerkes (Router, Firewalls und Switches) sollten aktuelle Netzwerkfluss-Protokolle (z.B. IPFIX) unterstützen. 

Analyse des protokollierten Netzwerkflusses: Diese wird teilautomatisiert und/oder KI-basiert durchgeführt. Die Analyse des Netzwerkflusses wird als Dienst angeboten.

Intervention bei Detektion: Wird unerwünschter Datenverkehr festgestellt, muss der technische Support entsprechende der Art des unerwünschten Datenverkehrs intervenieren.

Wichtiger als eine Firewall mit vielen Funktionen ist ein guter Dienst, der die Datenflüsse analysiert. 

Datenschutzrechtliche Anmerkungen:

• Bei der Weitergabe der Flussdaten an einen Analysedienst muss die Schule datenschutzrechtliche Aspekte berücksichtigen.
• Bei der Überwachung des Netzwerkflusses sollten keine personalisierten, sondern nur aggregierte Daten zur Verfügung gestellt werden.

Filterung 

Die Schulen haben ein Interesse, verschiedene Dinge zum Schutz der Kinder, der Jugendlichen und der ICT-Anlage herauszufiltern, beispielsweise  

• Unerwünschte Inhalte 
• Schadsoftware 
• Werbung 
• Benutzertracking  

Grundsätzlich bestehen grob drei Möglichkeiten, Inhalte zu filtern

• auf der Firewall respektive im lokalen Netzwerk 
• auf den Endgeräten
• auf den Servern der Inhaltsanbieter

Im Folgenden werden die drei Orte der Filterung genauer erläutert: 

Filterung auf der Firewall

Heutzutage wird in der Schule ein Grossteil der Inhaltsfilterung (Filterung von unerwünschten Inhalten) über die Firewall der Schule oder über die Firewall des Internet Service Providers durchgeführt. Für die Inhaltsfilterung kommen dabei sogenannte URL- und IP-Filter (z.B. Sophos Web Protect), DNS-Filter (z.B. Cisco Umbrella) oder MITM-Filter (z.B. Zscaler von Schulen ans Internet der Swisscom) zum Einsatz. 

• URL-Filter heissen oft auch Webfilter, weil sie einzelne Web-URLs (z.B. ein einzelnes Bild) blockieren können. Dadurch, dass ein Grossteil des Webverkehrs verschlüsselte (https-)Verbindungen nutzt, ist die URL nicht mehr sichtbar. Die URL-Filter auf der Firewall sind heute bedeutungslos.
• IP-Filter blockieren den Verkehr von spezifischen IP-Adressen. IP-Filter können mit Tunnel-Verbindungen (VPN, Wireguard, Tor) relativ einfach umgangen werden.
• DNS-Filter sperren bei der Abfrage des Domainnamens ganze Domains. Dies ist möglich, da die DNS-Anfragen meistens noch nicht verschlüsselt sind. Die Protokolle für die Verschlüsselung der DNS-Abfragen (z.B. DoH, DoT) sind bereits nutzbar; in den neusten Versionen von Android 9, Linux (z.B. Ubuntu 18.10) und Firefox (ab Version 62) kann sie einfach aktiviert werden (Artikel Heise Magazin). Deshalb ist davon auszugehen, dass in den nächsten Jahren ein Grossteil der DNS-Abfragen standardmässig verschlüsselt sein wird und damit DNS-Filter bedeutungslos werden.  
• MITM-Filter (Man-In-The-Middle-Filter) brechen die verschlüsselte Verbindung auf, um die URL oder und die versendeten Inhalte zu untersuchen. Immer mehr Cloud-Dienste überprüfen die Integrität der Verschlüsselung, was zu Problemen bei der Nutzung von MITM-Filtern führt. Zudem unterlaufen MITM-Filter das Vertrauen der Menschen in die Verschlüsselungstechnik. Die letzten Jahre haben gezeigt, dass die Verteilung von Zertifikaten in der Anwendung fehleranfällig und aufwendig ist.  

Datenschutzrechtliche Anmerkung zu MITM-Filtern:
Gemäss der Datenschutzbeauftragten des Kantons Zürich müssen die Nutzerinnen und Nutzer bei MITM-Filtern über das Aufbrechen der Verschlüsselung in jedem Fall aufgeklärt werden. Es muss ihnen die Möglichkeit geboten werden, im Fall des Aufbrechens die Verbindung nicht herzustellen. Der administrative und technische Aufwand, um MITM-Filter datenschutzkonform zu betreiben, ist im Kanton Zürich gross.

Filterung auf den Endgeräten

Die Filterung auf den Endgeräten (Laptops und Tablets) hat drei Ansatzpunkte: DoT-Filter, Filter im Browser, Filter der Anwendungen. Der Vorteil der Filterung auf den Endgeräten ist, dass sie nicht nur im Schulnetzwerk, sondern auch zuhause oder in anderen Netzen funktioniert. 

• DoT-Filter entsprechen den bisherigen DNS-Filtern auf der Firewall, laufen jedoch auf den Endgeräten. DoT-Filter sind geeignet bei der Verschlüsselung der DNS-Anfragen mittels DNS-over-TLS (DoT).
• Filterung im Browser: Einige Browser (z.B. Brave Browser, Firefox) bieten heute schon integrierte Schadsoftware-, Benutzertracking- und Werbe-Filterung an. Inhaltsfilterung kann mittels Browser-Erweiterungen (z.B. uBlock Origin) ergänzt werden. 
• Filterung der Anwendungen: Mittels MDM können die Schulen bestimmen, welche Anwendungen auf den Geräten der Lernenden installiert werden können. 

Mit grosser Wahrscheinlichkeit wird das Management der Filterung auf den Endgeräten eine Anforderung an die MDM-Systeme stellen. Einige aktuellen MDM-Systeme verfügen über erste Ansätze dazu.

Filterung bei den Inhaltsanbietern

Grössere Suchmaschinen wie Google-Search, DuckDuck-Go und Videoportale wie Youtube oder Vimeo bieten einen spezifischen Zugang für Schulen und Kinder an, der problematische Inhalte filtert. Die Umleitung auf diese speziellen Zugänge muss auf der Firewall und den Endgeräten für möglichst viele Suchmaschinen und Videoportale konfiguriert werden. Das Wechseln auf eine Suchmaschine oder auf ein Videoportal ohne Inhaltsfilterung beherrscht jedes Kind, sobald es eine Internetadresse tippen kann. Der Schutz ist somit minimal.
 

Schlussfolgerungen  

Da immer mehr Internetverkehr verschlüsselt ist, Cloud-Dienste die Integrität der Verschlüsselung prüfen und die Verschlüsselung der DNS-Abfragen in den nächsten Jahren zum Standard wird, haben DNS- und MITM-Filter keine Zukunft und sind nur noch für kurze Zeit als Übergangslösung geeignet. Deshalb raten wir den Schulen, sich neben der IP-Filterung auf der Firewall vor allem auf die Filterung auf den Endgeräten zu fokussieren. 

Technische Filterung ist nie umfassend und kann meist mit ein wenig Vorkenntnissen (z.B. durch Nutzung von Tunnel-Verbindungen) umgangen werden. Technische Filterung verhindert mehr ein zufälliges Darüber-stolpern. Filterung hindert selten Benutzende, die bewusst versuchen, die Filter zu umgehen. Deshalb sind neben den technischen immer auch pädagogische Massnahmen notwendig, wie Aufklärung der Benutzenden, Nutzungsvereinbarungen etc.