TIME for kids Schulrouter Plus - Datenschutz
Sicherheits-Netztrennung

Unter Sicherheits-Netztrennung wird verstanden, dass einzelne Netze für eine bestimmte Anzahl stationärer und mobiler Endgeräte gebildet werden können. Aus Gründen der Sicherheit oder aus Gründen der Teilung der Aufsichtspflicht können zum Beispiel getrennte Netze für Schulverwaltung, Lehrerzimmer, Klassenzimmer, Pausenhof und Bereiche der schulnahen Kinder- und Jugendarbeit sowie der Unterrichtsvor- und -nachbereitung oder Bibliotheken gebildet werden. Daten, die in der Schulverwaltung bearbeitet werden, dienen der Zusammen-arbeit zwischen Schule, Schulträger, Schulaufsicht und Statistischen Ämtern. Diese Daten sind von den Daten des Schulbetriebs getrennt zu halten. Innerhalb des Schulbetriebes ist es sinnvoll, die Kommunikation im Lehrerzimmer, in den Klassenzimmern und im Pausenhof zu trennen.

Hierdurch sind Übergriffe aus den einzelnen Funktionsräumen auf andere Funktionsräume nur mit hoher krimineller Energie möglich. In Ganztagsschulen hat schulnahe Kinder- und Jugendarbeit einen wachsenden Stellenwert. Neben Lehrkräften der Schule kommen externe Pädagogen, Musiklehrer, Sportlehrer, Trainer, aber auch einfach Hilfskräfte von anderen Institutionen, wie zum Beispiel Sport- und Musikvereine oder Hilfsorganisationen in den Rechtstraum Schule. Da auch diese das Internet der Schule nutzen möchten, ist es sinnvoll, hierfür ein eigenes Netz zu schaffen, das bei Verstößen gegen bestehende Gesetze die Verantwortlichkeit für die Aufsichtspflicht den entsprechenden Träger, aber nicht die Leitung der Schule trifft. Diese Beispiele zeigen, warum eine Sicherheits-Netztrennung Sinn macht.

TIME for kids Consulting

Bei der der Sicherheits-Netztrennung berät Sie das TIME for kids Consulting als Schule und Schulträger in allen Fragen der Planung und Umsetzung. Da in Zukunft neben den stationären Endgeräten die Anzahl der mobilen Endgeräte schnell weiter wachsen wird, bedarf es eines Gesamtkonzeptes aus LAN für stationäre Endgeräte und WLAN für mobile Endgeräte. TIME for kids hält für beide Endgerätearten Lösungen bereit.
Aktuell werden stationäre Endgeräte über die Administrationsoberfläche des Schulrouter Plus und mobile Endgeräte über die Administrationsoberfläche des WLAN Plus gemanagt.
In naher Zukunft erfolgt das Management ausschließlich über die Administrationsoberfläche des Schulrouter Plus.

Ob LAN oder WLAN, der gesamte Datenverkehr ist über die IP- und MAC-Adresse sowie die Benutzerkennung des mobilen und stationären Endgerätes erkennbar. Die Aufzeichnung des Datenverkehrs erfolgt im Schulrouter Plus und kann im Einvernehmen zwischen Schule und Schulträger, unter Berücksichtigung des Datenschutzes, für organisatorische Zwecke der Schule genutzt werden.

Möglichkeiten der Administration bei der Netztrennung

Der Schulrouter Plus hat verschiedene Netzwerkkarten, hinter denen getrennte Netzwerke geschaltet werden können. Jedes geschaltete Netzwerk kann weiter kaskadiert werden durch sogenannte VLANs. Die einzelnen internen Netzwerkkarten sind über die Steckfarben GRÜN, BLAU, und ORANGE erkennbar. Die Steckfarbe ROT kennzeichnet die externen Schnittstellen zum Internet. Die Absicherung der einzelnen Netzwerke kann, wie nachstehend beschrieben, durchgeführt werden:

Die Trennung und/oder Freigabe der Netzwerke, Netzwerkbereiche oder einzelnen Arbeitsstationen sowie Server kann unter ‚Interne Verbindungsfirewall‘ durch die Anpassung der Regeln organisiert werden.

Wenn eine Freigabe eines Webservers aus einem Netzwerk für andere Netzwerke notwendig ist, kann man dies innerhalb des ‚Proxy-Servers‘ im Abschnitt "Interner Datenverkehr - Einstellungen" entsprechend einrichten.

Dienste- und Netzwerkregeln für einzelne Netzwerke

Im Schulrouter Plus können einzelne Dienste und Netzwerkregeln für einzelne Netzwerke konfiguriert werden.

Es besteht die Möglichkeit, die einzelnen internen Netzwerke über separate Internetleitungen zu führen. Das ist zum Beispiel sinnvoll, wenn die Schule über mehrere Internetleitungen verfügt und sicherstellen will, dass das Schulnetzwerk nicht die volle Bandbreite belegt, während die Verwaltung eine sehr langsame Internetverbindung hat. Unter Routing besteht die Möglichkeit, die Regeln für die Nutzung der Internetleitungen durch einzelne Netzwerke zu definieren.

Um die Sicherheit der einzelnen Netzwerke zu gewährleisten, kann zusätzlich die ‚Einbruchdetektierung‘ verwendet werden. Dieser Dienst ist für einzelne Netzwerke zuschaltbar und sorgt dafür, dass die eventuellen Angriffsversuche vom Internet, oder aus lokalen Netzwerken entdeckt und protokolliert werden.

Der Schulrouter Plus bietet die Möglichkeit, für die einzelnen Netzwerke, einige Proxy-Server zu betreiben, die auch die Sicherheit der Netzwerke erhöhen. Mithilfe von POP3-Proxy und SMTP-Proxy kann sichergestellt werden, dass die ankommenden und ausgehenden E-Mails auf Viren und Spam geprüft werden. Diese Funktion ist ebenso für die separaten Netzwerke zuschaltbar.

Bei einem Remote-Zugriff auf das Schulnetzwerk kann konfiguriert werden, welche internen Netzwerke von ausstehenden Netzwerken erreichbar sind. Dies ist besonders sinnvoll, wenn die Benutzer den Zugriff nur auf das Schulnetzwerk brauchen, aber das Verwaltungsnetzwerk geschützt bleiben soll. Die Konfiguration des Remote-Zugriffs kann unter OpenVPN Server und IPSec definiert werden.