Minigrundschule mit IT ausstatten

Die Aus­gangs­la­ge einer klei­nen Grundschule:

  • Rech­ner­raum, zwölf Pen­ti­um 4‑Rechner, Win­dows XP, Office XP
  • Kein WLAN
  • DSL1000, t@school der ers­ten Generation
  • Arbeits­rech­ner im Lehrerzimmer
  • Note­book für die Klassen
  • mobi­ler Beamer
  • sofort abruf­ba­res Bud­get: 2500,- Euro

 Die Lösung:

  1. drei­zehn HP Com­paq DC7900, Core2Duo 3Ghz, 2GB RAM, Win­dows7-Pro­fes­sio­nal-Lizenz, 160 GB HDD
  2. zwei HP Work­sta­tion xw6400, 2x Intel Xeon 5130, 2GB RAM, Win­dows7-Pro­fes­sio­nal-Lizenz, 80 GB
  3. vier neue 1TB HDDs
  4. 3x TP-Link WR1043ND WLAN-Rou­ter mit DD-WRT-Firm­ware
  5. 1x Jah­res­ge­bühr Schul­netz­werk­lö­sung IServ
  6. 1x Ein­rich­tungs­ge­bühr Schul­netz­werk­lö­sung IServ
  7. Upgrade des t@school-Anschlusses auf DSL6000

Die Kos­ten:

  1. 90 Euro / Stck. = 1170,- Euro
  2. 99 Euro / Stck. = 180,- Euro
  3. 60 Euro / Stck. = 240,- Euro
  4. 30 Euro / Stck. = 90,- Euro
  5. 230,- Euro / Jahr
  6. 595,- Euro (ein­ma­lig)
  7. kos­ten­los

Gesamt­sum­me: ca. 2500,- Euro

Arbeits­lohn bei Durch­füh­rung durch eine Fachfirma:

ange­nom­me­ner Stun­den­satz:  80,- Euro (brut­to)

24 Mann­stun­den kom­plett, Leistungen:

  • Recher­che geeig­ne­ter Rech­ner­sys­te­me (Beschaf­fung in Ver­ant­wor­tung der Schu­le, um Garan­tie­an­sprü­che abzu­weh­ren) (zwei Stun­den)
  • Instal­la­ti­on und Ser­ver- und Back­up­sys­tem inkl. Ein­rich­tung der Nut­zer (vier Stun­den)
  • Vor­in­stal­la­ti­on aller Cli­ents und Acces­s­points (ser­ver­ge­steu­er­te Bespie­lung mit Soft­ware, Absi­che­rung und Kon­fi­gu­ra­ti­on des BIOS) (zwölf Stun­den)
  • Doku­men­ta­ti­on (Pass­wör­ter, IP-Adres­sen etc.) (eine Stun­de)
  • Auf­bau und Ver­ka­be­lung vor Ort inkl. Anfahrt (fünf Stun­den)

Gesamt­sum­me: ca. 1920,- Euro

Ver­gleich:

Bei ent­spre­chen­der Vor­be­rei­tung und Vor­wis­sen benö­ti­ge ich als unge­lern­te Kraft  für der­ar­ti­ge Arbei­ten ca. 12 Stun­den (schnel­ler Inter­net­an­schluss und ent­spre­chend kon­fi­gu­rier­te Arbeits­um­ge­bung vor­aus­ge­setzt). Bei der Zeit­be­rech­nung sind daher Ein­le­se­zei­ten und Sup­port­kon­tak­te mit eingerechnet.

Das Resul­tat:

  • Schul­netz­werk von außen erreich­bar unter voll­wer­ti­ger Domain
  • Datei­aus­tausch über http, https, ftp, ftps, dav, davs
  • voll­wer­ti­ger E‑Mailserver
  • voll­wer­ti­ger Kalen­der­ser­ver nach dem CalDAV-Standard
  • Soft­ware­ver­tei­lung per Klick, inkl. auto­ma­ti­sier­te OS-Installation
  • Auto­ma­ti­sches Update aller Rech­ner inklu­si­ve der instal­lier­ten Soft­ware per WOL nachts
  • Schul­wei­tes WLAN (RADIUS)
  • Inhouse-Hos­ting aller Dienste
  • exter­nes Monitoring
  • Remo­te Sup­port per E‑Mail und Telefon

Kri­tik:

Es ist nicht Auf­ga­be der Schu­le oder der Medi­en­be­ra­tung, der­ar­ti­ge Pro­zes­se zu initi­ie­ren, son­dern die des Schul­trä­gers. Poli­ti­sche Wege sind lang. Schü­le­rin­nen und Schü­ler gibt es aber jetzt genau wie die zuneh­men­de Digi­ta­li­sie­rung unse­res All­tags. Durch ver­läss­li­che Infra­struk­tur ent­ste­hen nach mei­ner Erfah­rung Ideen. Die­se fan­gen immer so an, dass Unter­richt sich nicht ver­än­dert, son­dern zunächst Schul­or­ga­ni­sa­ti­on und Schul­kom­mu­ni­ka­ti­on. Durch Infra­struk­tur und Opti­mie­rung von Kom­mu­ni­ka­ti­ons­pro­zes­sen ent­ste­hen dann oft genug Frei­räu­me für die kon­zep­tio­nel­le Arbeit, die Auf­ga­be der Schu­le ist.

Mit Infra­struk­tur pas­sie­ren selt­sa­me Din­ge, z.B. das auf ein­mal schul­über­grei­fen­de Fach­schafts­sit­zun­gen jetzt an einem Stand­ort statt­fin­den, weil die­ser auf ein­mal über die ent­spre­chen­de Aus­stat­tung ver­fügt. Davon wird erzählt.

  • Wie? Ihr könnt die Online­me­di­en des Lan­des und des Medi­en­zen­trums jetzt über­all nutzen?
  • Wie? Ihr braucht Soft­ware jetzt nicht mehr Rech­ner für Rech­ner aufspielen?
  • Wie? Ihr habt über­all WLAN? Zu dem Preis?

Par­al­lel:

Par­al­lel muss poli­ti­sche Arbeit erfol­gen, z.B. die Imple­men­tie­rung von Medi­en­ent­wick­lungs­plä­nen, deren Ziel es ist, Sup­port, Pla­nung, Beschaf­fung und Instal­la­ti­on zen­tral zu orga­ni­sie­ren. Das ist Kern­auf­ga­be mei­ner Tätig­keit als Medienberater.

Das geht nur mit einer kri­ti­schen Schü­ler­zahl ver­läss­lich und erfor­dert gera­de in einem Flä­chen­land wie Nie­der­sach­sen Zeit. Die­se Zeit geht den jet­zi­gen Schü­le­rin­nen und Schü­lern sowie Lehr­kräf­ten verloren.

Daher arbei­te ich von unten nach oben, in ich dem Schu­len, die sich jetzt auf den Weg machen wol­len, zu einer ver­läss­lich Infra­struk­tur ver­hel­fe. Finan­zie­rungs­we­ge fin­den sich da immer. Ich schaf­fe ca. drei bis vier Schu­len pro Jahr.

Gleich­zei­tig führt kein Weg dar­an vor­bei, auch von oben nach unten, also poli­tisch zu arbei­ten, damit wir irgend­wann zu neu­er Hard­ware, ver­läss­li­chen Sup­port­kon­zep­ten, ver­nünf­ti­gem Lizenz­ma­nage­ment und pro­fes­sio­nel­lem WLAN kom­men – und zu einem fai­ren Wett­be­werb der Schul­netz­werk­lö­sun­gen. IServ ist nach mei­ner Erfah­rung für die Arbeit im Jetzt vor allem bud­get­tech­nisch alter­na­tiv­los gemes­sen am Preis-/Leis­tungs­ver­hält­nis. Es gibt m.E. her­vor­ra­gen­de Lösun­gen, die vor allem im Blick auf eine zu ent­wi­ckeln­de Zukunft eine bes­se­re Figur machen, jedoch Hard­ware, Ver­ka­be­lung und Lizenz­kos­ten vor­aus­set­zen, die im Jetzt nicht rea­lis­tisch zu finan­zie­ren sind.

Schmerzen – für Administratoren

Wenn wir Admi­nis­tra­to­ren von „Schmer­zen“ reden, mei­nen wir damit oft Set­ups, die recht kom­plex sind und sich nur durch extrem viel Durch­hal­te­ver­mö­gen rea­li­sie­ren las­sen. Ein gutes Bei­spiel sind Ver­zeich­nis­diens­te - durch mei­ne Linux­nä­he ins­be­son­de­re openLDAP. Bei die­sem Dienst hat man das Gefühl, als ob die Ent­wick­ler nor­ma­les „Fuß­volk“ gar nicht wollen.

Den­noch feie­re ich hier einen Durch­bruch nach dem ande­ren. Im Prin­zip läuft das zunächst für mich dar­auf hin­aus, dass ich Sin­gle-Sign-On (ein Pass­wort für alles) jetzt extrem aus­wei­ten kann, z.B. mei­ne Klas­sen­blogs und -wikis jetzt auch recht sicher mit den Anmel­de­da­ten nut­zen kann, die die SuS auch im Schul­netz­werk ver­wen­den. In Own­cloud kann ich sogar Grup­pen aus dem Schul­netz­werk über­neh­men. Oder ein schul­über­grei­fen­des WLAN auf­span­nen. Davon mache ich nahe­zu nichts. Aber ich könn­te jetzt schon auf eine Anfor­de­rung reagie­ren, die mit zie­im­li­cher Sicher­heit irgend­wann kom­men wird.

Wer mei­ne „Schmer­zen“ live erle­ben will, kann sich mei­ne Doku­men­ta­ti­on dazu zu Gemü­te füh­ren. Als Anwen­der muss man dafür schon sehr hart sein :o)… Viel­leicht fin­det der eine oder ande­re tech­nisch inter­es­sier­te auch auf der Haupt­sei­te etwas.

Verzeichnisdienste

Weit­ge­hend unbe­merkt von uns Nor­mal­sterb­li­chen ver­rich­ten unzäh­li­ge Ver­zeich­nis­diens­te ihr Werk in ver­schie­de­nen Insti­tu­tio­nen. Wenn man Netz­wer­ke etwas wei­ter denkt als auf einen Stand­ort bezo­gen, kommt man um die­ses The­ma irgend­wann nicht mehr her­um. Ver­zeich­nis­diens­te gel­ten als sper­rig, nur für Ein­ge­weih­te zu admi­nis­trie­ren und haben immer die Aura des Mys­te­riö­sen um sich. Das stimmt übri­gens bei­des. Gleich­zei­tig sind Ver­zeich­nis­diens­te das zen­tra­le Ele­ment, um Zugän­ge, Grup­pen­zu­ge­hö­rig­kei­ten, Rech­te u.v.m. zu mana­gen. Bei Micro­soft heißt der Dienst Acti­ve­Di­rec­to­ry (AD), bei unixo­iden Betriebs­sys­te­men openLDAP. Die Spra­che (das Pro­to­koll), mit dem Ver­zeich­nis­diens­te ange­spro­chen wer­den, nennt sich LDAP.

Bei­spiel­vi­si­on:

Die Schul­se­kre­tä­rin gibt einen neu­en Schü­ler in die Schul­ver­wal­tung ein, der die Schu­le gewech­selt hat. Gleich­zei­tig sind damit ein Account auf dem Schul­ser­ver, eine E‑Mailadresse und ein WLAN-Zugang ange­legt und sämt­li­che Zugän­ge und Zugriffs­be­rech­ti­gun­gen auf der alten Schu­le deak­ti­viert. Selbst­re­dend ist unser Schü­ler damit auch gleich den rich­ti­gen Grup­pen auf der Lern­platt­form der Schu­le zuge­wie­sen, in die Schul­sta­tis­tik ein­ge­pflegt und in der Lehr­mit­tel­ver­wal­tung mit den kor­rek­ten Attri­bu­ten ver­se­hen (z.B. Geschwis­ter­er­mä­ßi­gung bei der Schulbuchausleihe).

Das ist kei­ne Zau­be­rei und erst recht kein Daten­schutz­gau, son­dern der Grund, war­um Ver­zeich­nis­diens­te erfun­den wor­den sind. Sche­ma­tisch sieht so etwas so aus:

verzeichnisdienst

Wir fan­gen mal unten an: In einem Ver­zeich­nis­dienst sind ver­schie­de­ne Insti­tu­tio­nen ange­legt, die z.B. jeweils Nut­zer, Grup­pen und z.B. Gerä­te besit­zen. Wir schau­en uns mal einen Nut­zer­ein­trag an:

---------------------------------------------------------------------
| Objektname: Maik Riecken => Nutzer => Schule => Verzeichnisdienst |
|-------------------------------------------------------------------|
| Attribute:  Name                                                  |
|             Nachname                                              |
|             Benutzername                                          |
|             E-Mailadresse                                         |
|             Passwort (verschlüsselt)                              |
---------------------------------------------------------------------

Maik, der zur Insti­tu­ti­on „Schu­le“ gehört, möch­te jetzt ger­ne mit sei­nem Han­dy im Rat­haus sur­fen. Ein Acces­s­point im Rat­haus muss jetzt prü­fen, ob Maik das auch darf. Dazu fragt er Maik erst­mal nach sei­nem Nut­zer­na­men und sei­nem Pass­wort und gibt bei­des an einen Ver­mitt­ler­dienst wei­ter – im WLAN-Bereich über einen wie­der­um ver­schlüs­sel­ten Weg oft an einen soge­nann­ten RADI­US-Ser­ver. Der RADI­US-Ser­ver lei­tet die Anfra­ge an den Ver­zeich­nis­dienst wei­ter und bekommt eine 1 oder eine 0 zur Ant­wort. Ist die Ant­wort 1, bekommt Maik jetzt Zugriff auf das Inter­net, ist sie 0, muss er lei­der wei­ter UMTS oder LTE nut­zen. Der Witz an der Sache ist, dass außer sehr weni­gen und dar­über­hin­aus auch noch ver­schlüs­sel­ten Daten nur sehr wenig über das Netz geht (Daten­schutz).

Für die­se Auf­ga­be kann man auch theo­re­tisch eine Daten­bank wie MyS­QL nut­zen. In der Tat ern­tet man oft Stirn­run­zeln, wenn man Leu­ten vor­schlägt, auf einen Ver­zeich­nis­dienst umzu­stei­gen. Eine Daten­bank kann die glei­chen Auf­ga­ben erle­di­gen – aber:

  1. Für Ver­zeich­nis­diens­te exis­tie­ren stan­dar­di­sier­te Sche­ma­ta für Objektklassen
  2. Für Ver­zeich­nis­diens­te exis­tie­ren genau wegen die­ser Sche­ma­ta in sehr vie­len Pro­duk­ten stan­dar­di­sier­te Schnitt­stel­len (Mood­le, Own­cloud, Word­Press, Drup­al, Joom­la! – fast jedes grö­ße­re Pro­jekt unter­stützt LDAP und damit Sin­gle-Sign-On = ein Pass­wort für alles). Ich kann platt­form­über­grei­fend jeden Dienst mit LDAP betrei­ben, der das LDAP-Pro­to­koll unter­stützt. Sogar Apple.
  3. Die Orga­ni­sa­ti­on von Insti­tu­tio­nen in hier­ar­chi­schen Bäu­men ermög­licht eine sehr gra­nu­la­re und stan­dar­di­sier­te Rech­te­zu­wei­sung, z.B. bekom­men Poli­zei und Schul­trä­ger dann nur die Daten, die das jewei­li­ge Lan­des­da­ten­schutz­recht vor­sieht – dafür aber jeweils immer tages­ak­tu­ell. Auch die belieb­ten Schul­sta­tis­ti­ken gehö­ren bei ent­spre­chen­der Imple­men­ta­ti­on der Ver­gan­gen­heit an und lie­gen eben­falls tages­ak­tu­ell vor. Nie­mand kann mehr „ein­fach so“ Lis­ten mit Daten erstel­len, die dem Gebot der Daten­spar­sam­keit nicht genü­gen – weil es kei­nen Export mehr gibt und der auch nicht not­wen­dig ist.
  4. Das Pro­to­koll ist „light­weight“ und damit äußerst performant
  5. Wenn man den Ver­zeich­nis­dienst als Haupt­da­ten­quel­le imple­men­tiert, bekommt man über ihn eine Ver­net­zung ver­schie­de­ner Appli­ka­tio­nen und Insti­tu­tio­nen ganz automatisch.

Die Lage in Deutsch­land sieht lei­der so aus:

  1. Es gibt kaum Schul­ver­wal­tungs­soft­ware, die das kann.
  2. Es ist unklar, wo und von wem ein Ver­zeich­nis­dienst betrie­ben wer­den kann.
  3. Durch 16 unter­schied­li­che Daten­schutz- bzw. Schul­ge­set­ze in den Bun­des­län­dern ist es für Anbie­ter nahe­zu unmög­lich, eine Lösung anzu­bie­ten, die sich wirt­schaft­lich abbil­den lässt.
  4. Ein Ver­zeich­nis­dienst gehört m.E. gene­rell nicht in die Hand eines Anbie­ters, son­dern ist eine öffent­li­che Auf­ga­be – gera­de wegen der Kumu­la­ti­on der ver­schie­dens­ten Daten an einer Stel­le – also z.B. in ein kom­mu­na­les oder Landesrechenzentrum.
  5. Die wenigs­ten Anbie­ter sind dar­an inter­es­siert, stan­dar­di­sier­te Schnitt­stel­len anzu­bie­ten (oder las­sen sich das teu­erst ver­gü­ten), weil pro­prie­tä­re Daten­hal­tung immer ein will­kom­me­nes Instru­ment der Kun­den­bin­dung ist – man muss sich nur mal anschau­en, wel­cher Mist (z.B. SCORM in mei­nen Augen) in der Bil­dungs­in­dus­trie zum „Indus­trie­auss­tausch­stan­dard“ erklärt wird – obwohl es gut doku­men­tier­te und stan­dar­di­sier­te For­ma­te und Pro­to­kol­le gibt.
  6. Päd­ago­gi­sche und Ver­wal­tungs­an­for­de­run­gen sind nicht immer klar zu tren­nen. Noten gehö­ren für mich z.B. nicht in einen zen­tral auf­ge­stell­ten Dienst.

Wer macht schon sowas in Ansätzen?

Uni­ven­ti­on ist sehr weit auf die­sem Feld und betreut z.B. die Schul­ver­wal­tung in Bre­men. Die Schles­wig-Hol­stei­ner den­ken Dank des ULD und der Pira­ten­frak­ti­on auch stark in die­se Rich­tung. Ich selbst ver­su­che, die­se Lösung immer gleich mit im Blick für die Bera­tung und Kon­zep­ti­on von Netz­wer­ken zu haben. Sie müs­sen es jetzt heu­te nicht kön­nen, aber spä­ter die Mög­lich­keit dafür bieten.

 

 

Googles Macht (prevalence)

Goog­le hat etwas ange­kün­digt: Die Tat­sa­che, dass eine Sei­te Inhal­te auch ver­schlüs­selt per TLS ereich­bar ist, wird sich zukünf­tig posi­tiv auf das Ran­king aus­wir­ken. Auch die­ses Blog ist durch­gän­gig über https erreich­bar. Tes­ten lässt sich das für die eige­ne Home­page hier. riecken.de bekommt heu­te, am 31. Dezem­ber 2014 ein „A-“-Rating (vor­wie­gend, weil kei­ne älte­ren Refe­renz­brow­ser unter­stützt werden).

ssllab_2014-12-31

Die Reak­tio­nen auf Goo­gles Vor­stoß sind unterschiedlich.

Welche Vorteile ergeben sich dadurch?

  • ver­schlüs­sel­ter Inter­net­ver­kehr kann nicht ohne Wei­te­res mit­ge­le­sen wer­den, d.h. ein Admin wie ich hät­te – selbst wenn er es woll­te – kei­nen Zugriff auf die Inhal­te, die bei einer Inter­net­sit­zung über­tra­gen wer­den – ledig­lich die auf­ge­ru­fe­nen Sei­ten sehe ich im Log. In Fir­men- und Schul­netz­wer­ken kann man aber durch­aus trick­sen, wenn man die Kon­trol­le über die Cli­ents hat.
  • Orga­ni­sa­tio­nen, die im gro­ßen Stil Inter­net­ver­kehr mit­schnei­den wol­len, bekom­men über kurz oder lang das Pro­blem, dass immer mehr Rechen­ka­pa­zi­tät zur Ent­schlüs­se­lung not­wen­dig wird. Mas­sen­über­wa­chung wird damit also teu­rer - wenn die Ver­bin­dung durch geeig­ne­te Ein­stel­lun­gen ent­spre­chend gesi­chert ist.
  • Man erzwingt, dass Log­in- und Anmel­de­da­ten – z.B. wenn ich mich hier ein­log­ge, um einen Arti­kel zu schrei­ben – auch ver­schlüs­selt über­ge­ben wer­den. Das ist ein Sicherheitsgewinn.

Warum macht man das also nicht schon lange?

Das ist eine span­nen­de und gar nicht so leicht zu beant­wor­ten­de Fra­ge. Es gibt eini­ge Fall­stri­cke dabei.

1. Identität

Durch ver­schlüs­sel­te Ver­bin­dun­gen kann man ledig­lich sicher­stel­len, dass die Ver­bin­dung eben ver­schlüs­selt ist. Man weiß bei den aller­meis­ten Ver­bin­dun­gen nicht, ob man wirk­lich mit der im Zer­ti­fi­kat hin­ter­leg­ten Stel­le kom­mu­ni­ziert. Man bekommt heu­te pro­blem­los Zer­ti­fi­ka­te für Domains ohne Whois-Ein­trag – meist wird nur rudi­men­tär geprüft, ob Zugriff auf eine bestimm­te Sys­tem-E-Mail­adres­se besteht. Ledig­lich bei EV-Zer­ti­fi­ka­ten (grü­ne Adress­zei­le) kann man sich recht sicher sein, z.B. wirk­lich mit der eige­nen Bank zu sprechen.

2. Entschlüsselung

Ich als Geheim­dienst wür­de ver­schlüs­sel­te Ver­bin­dun­gen auf­zeich­nen und dar­auf hof­fen, dass irgend­wann mei­ne Rechen­ka­pa­zi­tä­ten für eine Ent­schlüs­se­lung aus­rei­chen. Dem kann man nur ent­ge­gen­wir­ken, indem man ser­ver­sei­tig bestimm­te Ver­schlüs­se­lungs­ver­fah­ren erzwingt, z.B. Dif­fie-Hell­mann. Das geht wie­der­um oft zu Las­ten der Unter­stüt­zung älte­ren Brow­ser und Betriebs­sys­te­me. Der Kom­pro­miss bei den Ein­stel­lun­gen – gera­de bei Ban­ken – ist eben ein Kompromiss.

3. Eingebettete Inhalte

Mein Brow­ser wird meckern, wenn auch einer ver­schlüs­sel­ten Web­sei­te unver­schlüs­sel­te Inhal­te nach­ge­la­den wer­den, also z.B. ein ein­ge­bet­te­tes Video von einer unver­schlüs­sel­ten Quel­le. Die­se War­nung sieht für den uner­fah­re­nen Nut­zer ziem­lich bedroh­lich aus. Er wird im Zwei­fel die­se Sei­te nicht besuchen.

Gleich­zei­tig erschwert es genau die­ser Mecha­nis­mus z.B. Schad­pro­gram­men unent­deckt zu blei­ben – wenn sich der jewei­li­ge Ser­ver­be­trei­ber nicht die Mühe macht, ein Zer­ti­fi­kat zu besor­gen. Das Glei­che gilt aber auch für Wer­be­netz­wer­ke, die sehr oft mit ein­ge­bet­te­ten Inhal­ten arbeiten.

Des­we­gen wird man heu­te kaum bekann­te Inter­net­por­ta­le fin­den, die über https erreich­bar sind.

4. Performance

Ver­schlüs­se­lung erfor­dert etwas mehr CPU-Power auf Sei­ten des Cli­ents und des Ser­vers. Groß­ar­ti­ge Unter­schie­de mer­ke ich bei mei­nen Last­mes­sun­gen aber nicht. Die Aus­sa­gen zum Caching­ver­hal­ten bei ver­schlüs­sel­ten Ver­bin­dun­gen sind wider­sprüch­lich. Alles in allem den­ke ich, dass die­ser Punkt ver­nach­läs­sig­bar ist.

Das sehen Fir­men, die Ange­bo­te für Bil­dungs­in­sti­tu­tio­nen machen, natur­ge­mäß oft anders. Da wird ger­ne noch die Mär von „über­flüs­sig außer beim Log­in“ (immer­hin) erzählt – weil oft genug ein CDN (Con­tent-Deli­very-Net­work) im Hin­ter­grund wer­kelt und sta­ti­sche Inhal­te cached oder gar Wer­be­ban­ner nach­lädt. Das umzu­stel­len ist dann schon Auf­wand, wenn man es nach­träg­lich ange­hen muss.

5. Aufwand und Kosten

Bei Zer­ti­fi­ka­ten muss jemand bestä­ti­gen, dass mei­ne Iden­ti­tät stimmt. Das machen Zer­ti­fi­zie­rungs­stel­len, die das nach bestimm­ten Kri­te­ri­en prü­fen. Zer­ti­fi­ka­te, die jähr­lich erneu­ert wer­den müs­sen, gibt es kos­ten­los bei Start­S­SL.

Die­ses Geschäfts­mo­dell ist vie­len ande­ren Händ­lern von Zer­ti­fi­ka­ten natür­lich ein Dorn im Auge – für eine pri­va­te Web­sei­te reicht ein sol­ches Zer­ti­fi­kat jedoch voll­kom­men aus. Güns­ti­ge Ein­stei­ger­zer­ti­fi­ka­te gibt es ab ca. 5,- Euro pro Jahr – und die­se Zer­ti­fi­zie­rungs­stel­len prü­fen dabei nach mei­nen Erfah­run­gen auch nicht bes­ser als Start­S­SL. Als Hos­ting­kun­de wird man etwas mehr anle­gen müs­sen. Gese­hen habe ich Ange­bo­te ab 15,- Euro pro Jahr – dafür hat man nichts mit Ser­ver­kon­fi­gu­ra­tio­nen zu tun.

Für Online­shops oder gar öffent­li­che Lern­platt­for­men soll­te man etwas mehr anle­gen – unter 300,- Euro pro Jahr ist da kaum etwas zu machen. Wenn mir da ein Anbie­ter ohne EV-Zer­ti­fi­kat kommt, ist das eigent­lich schon ein Ausschlussgrund.

Ein ein­fa­ches Zer­ti­fi­kat über Start­S­SL oder Como­do habe ich nach ca. fünf Minu­ten in den Hän­den und auf dem Ser­ver instal­liert. Eine EV-Vali­die­rung ist deut­lich auf­wän­di­ger. Dafür wird man einen Mit­ar­bei­ter wohl 1–2 Stun­den beschäf­ti­gen müssen.

Google

Goog­le nutzt eige­ne Wer­be­netz­wer­ke und kann für die­se recht pro­blem­los eine voll­stän­di­ge Ver­schlüs­se­lung ein­rich­ten. Goog­le zwingt ande­re Wer­be­netz­wer­ke jetzt qua­si dazu, es ihnen gleich­zu­tun. Wenn sich zudem höhe­re Stan­dards bei der Iden­ti­täts­va­li­die­rung durch­set­zen, wird es für Wer­be­trei­ben­de, die im Netz uner­kannt blei­ben wol­len, immer schwie­ri­ger, auch pro­mi­nent in Erschei­nung zu tre­ten – z.B. durch ein­ge­bet­te­te Bannerwerbung.

Wofür nutzt Goog­le also sei­ne Markt­macht? War­um lau­fen Ver­mark­ter gera­de Sturm gegen die­sen Vor­stoß Goo­gles? Wie wer­den Info­por­ta­le damit umge­hen, dass sie nun Gefahr lau­fen, im Ran­king von Goog­le zu sin­ken? Han­delt Goog­le auch aus Eigen­in­ter­es­se? Oder setzt sich Goog­le hier für unse­re Sicher­heit ein?

Es ist sehr inter­es­sant, wie Goog­le hier sei­nen Ein­fluss ein­mal mehr nutzt.

Hardwareempfehlungen

Ich emp­feh­le meist kei­ne Hard­ware. Ich habe eine Idee, was ein Schul­netz­werk kön­nen soll­te und for­mu­lie­re Anfor­de­run­gen, die dann Fach­leu­te umzu­set­zen haben. Lei­der set­zen sich dabei in den Aus­schrei­bun­gen oft Fir­men mit ent­spre­chen­dem Ver­triebs­ap­pa­rat durch – die ihr Zeug dann zu Prei­sen ver­ti­ckern, die die Kos­ten eben­die­ses Ver­triebs­ap­pa­ra­tes dann wie­der ein­spie­len müs­sen. In Fir­men ist das rela­tiv egal, weil dort ande­re Mög­lich­kei­ten für steu­er­li­che Abschrei­bun­gen bestehen. Wenn man dann den 600,- Euro Acces­s­point gegen das mit offe­ner Firm­ware ver­se­he­ne halb so teu­re Gerät legt und misst, ist der preis­li­che Abstand doch oft wesent­lich grö­ßer als der tech­ni­sche. Der 600-Euro-Acces­s­point mit sei­nem Cloud­con­trol­ler kos­tet dann oft zusätz­lich jähr­li­che Lizenz­ge­büh­ren – da muss man schon sehr genau rech­nen. Das ist nur ein Beispiel.

Oft habe ich mit Schu­len zu tun, die mög­lichst schnell ein Ergeb­nis und Ver­bes­se­run­gen sehen wol­len und das durch z.B. För­der­ver­ein finan­zie­ren. Auch wenn wir hier in der Regi­on par­al­lel einen Medi­en­ent­wick­lungs­plan vor­an­trei­ben, drängt dann oft die Zeit. Wenn ich bei knap­pen Bud­get in sol­chen Kon­tex­ten Emp­feh­lun­gen aus­spre­che, muss ich schau­en, wie viel päd­ago­gi­scher Mehr­wert mit der Sum­me mög­lich ist, die mir genannt wird.

Über die Jah­re lan­de ich dabei immer wie­der bei bestimm­ten Gerä­ten, die sich dar­über­hin­aus auch pro­blem­los in eine gro­ße Lösung eines Medi­en­ent­wick­lungs­pla­nes inte­grie­ren las­sen. Dabei han­delt es sich vor­wie­gend um Netz­in­fra­struk­tur­ge­rä­te wie Swit­che, Acces­s­points oder Ser­ver, teil­wei­se aber auch um End­ge­rä­te. Ich prä­sen­tie­re hier ein­mal eine klei­ne Auswahl:

1. WLAN-Kom­po­nen­ten

Cis­co WAP321 (Acces­s­point)

Der Cis­co WAP321 ( ca. 180,- Euro) und sein grö­ße­rer Bru­der, der WAP371 (ca. 240,- Euro), wer­den wahr­schein­lich von Link­sys in Lizenz für Cis­co gebaut ( lang­jäh­ri­ge Admins hören da die Alarm­glo­cken ). Sie haben fast alles, was man sich im schu­li­schen Bereich wünscht, z.B.:

  • VLANs + Mul­tiS­SID (sepa­rier­ba­re Net­ze für Lehr­kräf­te, Schü­ler, Gäs­te usw.)
  • Dual­band (2 und 5 Ghz)
  • eine hohe Reichweite
  • eine dyna­mi­sche Anpas­sung der Funkleistung
  • der WAP371 beherrscht zusätz­lich den neu­en ac-WLAN-Standard
  • Spe­zi­fi­zie­rung für 32 Gerä­te (mehr ist im schu­li­schen Umfeld oft auch nicht sinnvoll)
  • Spei­sung über das Netz­werk­ka­bel (PoE)

Die Beson­der­heit der Gerä­te ist ihre Clust­er­fä­hig­keit: Man kann acht APs zu einem Clus­ter zusam­men­schlie­ßen. Egal auf wel­chen Gerät ich Ände­run­gen vor­neh­me – die­se Ein­stel­lun­gen wer­den von allen Gerä­ten des Clus­ters über­nom­men. Wenn eine Schu­le mit maxi­mal acht Gerä­ten abzu­de­cken ist (z.B. eine zwei­zü­gi­ge Grund­schu­le), kön­nen die Cis­cos je nach Gebäu­de­to­po­lo­gie eine gute, kos­ten­güns­ti­ge Wahl sein.

Benö­tigt wird zu Spei­sung ein PoE-fähi­ger Switch oder ein Injek­tor (Switch wür­de ich vor­zie­hen). Bei Nach­rüs­tung z.B.: Net­gear GS108P (ver­sorgt vier APs). Die gesam­te Serie ist sta­bil verarbeitet.

Ubi­qui­ti Net­works (WLAN System)

Ubi­qui­ti ist eine soli­de, con­trol­ler­ba­sier­te WLAN-Lösung zu mode­ra­ten Prei­sen. Genau wie bei den Cis­cos (s.o.) kann man meh­re­re Gerä­te an einer Stel­le kon­fi­gu­rie­ren. Der Con­trol­ler ist in Soft­ware rea­li­siert, aber unli­mi­tiert was die Anzahl der ver­walt­ba­ren Gerä­te angeht und für Linux sowie Win­dows ver­füg­bar. Die Soft­ware wird nur für die Kon­fi­gu­ra­ti­on benö­tigt, nicht für den Betrieb, d.h. die APs ver­ges­sen ihre Ein­stel­lun­gen nicht, wenn der Con­trol­ler oder die Inter­net­ver­bin­dung zu ihm aus­fällt. Ubi­qui­ti ist damit sehr gut auch für grö­ße­re Schu­len erwei­ter­bar, jedoch völ­lig unge­eig­net, wenn meh­re­re Stand­or­te zen­tral gema­na­ged wer­den müs­sen (Schul­trä­ger­lö­sung). Die Acces­s­points kom­men in der Regel mit einem pas­sen­den Injek­tor, kön­nen aber auch über PoE+-fähige Swit­che ver­sorgt wer­den (PoE+ ist wich­tig). Durch den Ver­zicht auf teu­res Mar­ke­ting und den Ein­satz von Linux­firm­ware sowie den frei­en Con­trol­ler spart man viel Geld mit dem Nach­teil nur stand­ort­wei­se zen­tral mana­gen zu kön­nen. Preis für die Acces­s­points: 60–250 Euro.

2. Switch

Zyxel GS1910-24

Es gibt kei­nen mir bekann­ten Switch am Markt, der ein der­art abar­tig gutes Preis-/Leis­tungs­ver­hält­nis bie­tet. Er kos­tet ca. 110,- Euro. Features:

  • kann zwei 10GB-fähi­ge opti­sche Trans­cei­ver auf­neh­men (Glas­fa­ser)
  • ist voll gema­na­ged (eige­ne Ober­flä­che, kann in ver­schie­de­ne vir­tu­el­le Swit­che auf­ge­teilt wer­den, z.B. Verwaltung/pädagogisches Netz – ide­al für klei­ne Grundschulen)
  • ist lüft­ler­los und damit auch für Räu­me mit Publi­kums­ver­kehr geeignet

Die Kis­te kann mit den HPs, die ich im Ein­satz habe, voll mit­hal­ten. Zum Vergleich:

  • 10 GB-Ver­bin­dung mit HP-Hard­ware: 9000,- Euro (inkl. Switche)
  • 10 GB-Ver­bin­dung mit Zyxel-Hard­ware: weit unter 1000,- Euro (inkl. Switche)

Wenn das Ding in fünf Jah­ren aus­fällt, ist es fast egal, dass die HPs als deut­lich robus­ter gelten.

3. Gebraucht­wa­re

Es kom­men zur­zeit mas­sig her­vor­ra­gen­de Gebraucht­ge­rä­te auf den Markt. Die­se brin­gen einen i5-Pro­zes­sor der ers­ten Gene­ra­ti­on mit, haben 4GB RAM, sind mit Win­dows 7 Pro­fes­sio­nal aus­ge­stat­tet und viel bes­ser ver­ar­bei­tet als gän­gi­ge Con­sum­er­wa­re der heu­ti­gen 600-Euro-Klas­se.  Zu Prei­sen ab 250,- für Note­books (inkl. neu­em Akku) und ca. 200,- Euro für Desk­tops erhält man Gerä­te, die alles wich­ti­ge im Netz mit­ma­chen, ver­nünf­ti­ge BIOS-Fea­tures auf­wei­sen (z.B. WOL), das ver­schüt­te­te Getränk auf der Tas­ta­tur ver­tra­gen und, und, und … Für Video­schnitt und CAD wür­de ich natür­lich ande­re Gerä­te kaufen.

1 4 5 6 7 8 24