UTM für Schüler

23.06.2006
Surfen, Chatten und Unterricht per PC gehören heute zum Alltag an deutschen Schulen. Dass die Kontrolle und das Bereitstellen von Lehrmaterial dabei keinen Mehraufwand für die Lehrer bedeuten muss, beweist das Münchener Systemhaus Rösner Consulting Group in einem spannenden Projekt, an dem gleich vier Schulen beteiligt sind.

Von Alexander Roth

Ein Fall aus der jüngeren Kriminalgeschichte Bayerns hätte mit einer vernünftigen IT-Lösung sicherlich verhindert werden können: Am 16. Juli 2004 wurde im Kreis Donau-Ries ein 15-jähriger Schüler von einem Mann, mit dem er sich von seiner Schule aus per Internet-Chat verabredet hatte, sexuell missbraucht und anschließend ermordet.

So tragisch der Fall war, rechtfertigt er möglicherweise nicht gleich das Installieren von Internetschutzsystemen in allen Schulen Deutschlands. Zu einer anderen Auffassung kann man jedoch kommen, wenn man einen Blick auf das Leistungsspektrum wirft, das eine moderne Gateway-Schutzlösung mit "Unified Threat Management (UTM)"-Hardware (UTM) mittlerweile bietet: Laut inoffizieller Definition beeinhaltet UTM die Funktionen Firewall, Schwachstellenanalyse, Virenschutz, URL-Filter sowie oftmals die Möglichkeit, Virtual Private Networks (VPN) einzurichten. In Verbindung mit einem zusätzlichen Server, der Lehrinhalte bereitstellt, scheint sich somit das ganze Schulnetz oder möglicherweise sogar ein Netzwerk aus mehreren Schulen unter Kontrolle bringen zu lassen. Die VPN-Funktion ermöglicht es Lehrern wie Schülern, von daheim aus sicher zu arbeiten.

So sind es auch nicht die potenziellen Straftaten, sondern eher die Möglichkeiten einer solchen Netzwerklösung, die Verkaufsargumente für die Sicherheitsanbieter liefern: In diesem Fall ist es der deutsche Hersteller Telco Tech, der mit dem hauseigenen Produkt "Liss Security Server" Schulen im gesamten Bundesgebiet beliefert, und das Münchener Systemhaus Rösner Consulting Group (RCG), das sich auf IT-Security und das Einrichten von Netzwerken spezialisiert hat.

Beim Golf die zündende Idee

Doch wer ist eigentlich Käufer in so einem Projekt, und wie findet dieser zu seinen Lieferanten? Die Antwort liegt, wie so oft in diesen Zeiten, auf dem Platz - genauer gesagt: auf dem Golfplatz.

Eingeladen hatte der Bundesverband mittelständische Wirtschaft (BVMW) im Sommer 2005: Mit einem Charity-Turnier einer Münchener Hauptschule auf die Beine helfen, so der Hintergrund der Veranstaltung. Der eingeladene Geschäftsführer der RCG, Manfred Rösner, hatte gleich eine Idee: Man könne doch zusammen mit dem für Schulprojekte bekannten Hersteller Telco Tech, mit dem die RCG bereits in der Vergangenheit zusammengearbeitet hatte, der Schule kostenlosen Internetschutz zur Verfügung stellen.

Rösner traf sich nach Zustimmung seitens des BVMW mit Telco Tech, die Idee wurde ausgearbeitet - und scheiterte an der Münchener Verwaltung. Schulen in der bayerischen Hauptstadt administriere kein fremder Dienstleister, so die Begründung. Der betroffenen Schule in Berg am Laim half Rösner dann mit einem Scheck weiter (2.500 Euro Unterstützung für ein Projekt), suchte aber immer noch einen neuen Abnehmer für die neu entworfene Dienstleistung.

Nach langem Hin und Her und dank finanziellem Entgegenkommen fand sich schließlich ein Abnehmer: die Stadt Unterschleißheim im Landkreis München, deren Bürgermeister Rolf Zeitler Rösner bereits kannte. Zeitlers Vorschlag: Die RCG Group erhält in Absprache mit dem Medienzentrum München-Land den Zuschlag für (vorerst) vier der sieben örtlichen Schulen. Die Kosten dafür trägt die Stadt Unterschleißheim.

Der Hintergrund: In der Gemeinde war 2005 gerade erst ein Glasfasernetz fertig gestellt worden, an das alle örtlichen Schulen sowie andere öffentliche Einrichtungen wie die Feuerwehr und Müllabfuhr angebunden worden waren. Schaltzentrale war das Rathaus.

Aus einer Schule wurden plötzlich vier

So wurde aus einer Dienstleistung für eine Schule plötzlich ein größeres Projekt mit zwei Haupt- und zwei Grundschulen. Der Umfang sollte aber noch größer werden: Im Rahmen des Projekt "Bildungs-Medien-On-Demand (BMOD)", das der Landkreis München vorantreibt, um Schulen mit virtuellem Unterrichtsmaterial zu versorgen, schlug das Amt vor, den Schulen zusätzlich zur Schutz-Appliance noch einen eigenen Medienserver bereitzustellen. Dessen Inhalte wie Lehrfilme oder andere Bildungsmedien sollten dann die Lehrer für ihren Unterricht verwenden können.

So kamen zwei Aufgaben auf die RCG zu: Erstens musste ein zentrales UTM-Sicherheits-Gateway im Glasfasernetz der Stadt Unterschleißheim eingerichtet werden und zweitens ein weiterer zentraler Server, der Lehrmaterial möglichst ausfallsicher liefert.

Nach Angaben von Manfred Rösner war der erste Teil binnen weniger Tage erledigt, obwohl er die vorhandene Infrastruktur des Glasfasernetzes auf die sechs Ethernet-Schnittstellen des Liss-Servers konvertieren musste. Als das gelungen war, stand der Telco-Tech-Server endlich für seine Aufgaben bereit. Dazu gehören Schutz vor Viren und Spyware auf Basis der Open-Source-Lösung Clam AV, eine Fire- wall, eine Gateway-Kontrolle auf Anwendungsebene (Application Level Gateway) in Kombination mit einem URL- und Spam-Filter von Cobion sowie ein sicherer VPN-Tunnel zum Medienzentrum München-Land.

Chatten und Online-Spiele verboten

Eine Besonderheit: Für jede der vier Schulen richtete die RCG gemeinsam mit dem Medienzentrum und den jeweiligen EDV-Verantwortlichen eine eigene Richtlinienstruktur ein, die sich an der vorherrschenden Verzeichnisstruktur, über die sich die Schüler einloggen, orientiert.

Während das Surfen bei älteren Schülern etwas weniger eingeschränkt wurde, ist es den Kindern aus den niedrigeren Klassen nicht möglich, Internetseiten mit jugendgefährdenden oder politisch bedenklichen Inhalten zu besuchen sowie im Internet zu chatten oder zu spielen. Will eines der Kinder eine unerlaubte Site besuchen, so erhält es laut Policy eine Nachricht, die entsprechende Site sei geblockt. Diese Vorgänge werden dem Administrator, in diesem Fall den Vertretern des Medienzentrums München, sowie der RCG zwar nicht direkt mitgeteilt, aber für einen möglichen Abruf geloggt.

So belegte die RCG vier der sechs Schnittstellen des Liss-Servers mit den Zugängen zu den Schulen, eine mit dem Internetzugang, und die sechste schließlich hielt der Dienstleister für den so genannten "Schulmedienserver" frei. Das war aus Sicht von Rösner die größte Herausforderung: einen Server bereitzustellen, der möglichst ausfallsicher von vier Schulen gleichzeitig für den Unterricht genutzt werden kann und dabei nicht in direkter Verbindung mit dem Internet steht.

Hilfe fand er beim PC-Hersteller und Distributor Wortmann AG: Das Unternehmen entwickelte eigens für Rösner eine geeignete Hardware, auf die sich ein gehärtetes Linux-Betriebssystem aufspielen ließ. Die Festplatte des Servers musste Rösner noch kopiersicher machen, andernfalls hätte das Institut für Film und Bild in Wissenschaft und Unterricht (FWU), das die Lehrinhalte bereitstellt, nicht mitgemacht. Doch auch dieses Problem löste Rösner. Insgesamt war er mit dem Schulmedienserver zwölf Tage beschäftigt.

VPN-Verbindung noch nicht genutzt

Das Ergebnis kann sich sehen lassen: Die Lehrer können sich nun im Stile eines Online-Shops aus einer Liste von 150 Filmen einzelnes Material "ausleihen" und im Unterricht vor Ort zeigen. Dabei bleiben der Film und die entsprechende Anwendung auf dem Server. Für den Fall, dass die Appliance ausfällt, kann sich der Lehrer über eine Administratoren-GUI auf den Server einloggen und ihn neu starten. Dafür war eine Schulung von wenigen Stunden nötig, wie Rösner berichtet.

Ein theoretisches Highlight, das erstaunlicherweise noch nicht genutzt wird, ist die VPN-Funktionalität des Liss-Servers. Durch diese könnten sich etwa die Lehrer von zu Hause aus auf den Schulmedienserver einloggen, um die Filme als Unterrichtsvorbereitung im Vorfeld zu sehen. Überhaupt sei die Möglichkeit für Lehrer und Schüler, über VPN-Tunnel mit dem Schulnetz zu kommunizieren, seitens der Schulen noch nicht nachgefragt worden, obwohl sich dies ohne großen Aufwand einrichten ließe, wie Rösner betont.

Ein nettes "Schmankerl" ergab sich im Rahmen des Auftrags: Zwei der vier Schulen forderten gleich ein komplettes "Medienkit" an, da sie den PC-Raum in ihrem Gebäude für untauglich hielten. Das Kit beinhaltete jeweils einen Beamer, einen PC, eine Leinwand sowie einen Transportwagen - ein Paket, das die für ihre Schulaktionen bekannte Wortmann AG gerne mitlieferte.

Insgesamt dauerte das Projekt - vom ersten Gespräch Rösners mit Bürgermeister Rolf Zeitler bis zum Abspielen des ersten Lehrfilmes über den Schulmedienserver in der Umgebung des Liss-Servers - acht Wochen. Bis auf weiteres übernimmt die RCG die Rolle des Administrators und den Service. Das automatische Update der Viren-Pattern und des URL-Filters endet im Herbst 2008. Dann wird die Stadt Unterschleißheim auch entscheiden, ob sie möglicherweise noch ihre restlichen drei Schulen an den Liss-Server anbindet.

Zur Startseite