Zur Hauptnavigation springen [Alt]+[0] Zum Seiteninhalt springen [Alt]+[1]

Virtuelle LANs - VLANs

Eine erlaubte Lösung zur Umgehung dieser teuren, inflexiblen Lösung wird durch Einrichtung und Verwendung sogenannter virtueller LANs - VLANs erreicht. Bei einer VLAN-bezogenen Lösung wird nur ein physikalisches Netz in der Schule installiert. Bei der Infrastruktur aus Verkabelung und Switches wird erneut auf guten physikalischen Zugangsschutz geachtet. Die verwendeten Switches müssen dabei konfigurierbar sein und VLANs unterstützen. Es wird anschließend per Software-Konfiguration für jeden Port definiert, zu welchem der beiden Netze

  • Verwaltungsnetz oder
  • pädagogisches Netz
der Port gehört. Die nachfolgende Grafik versucht dies durch farbliche Kennzeichnung der angeschlossenen Rechner dazustellen.

Trennung der schulischen Netze mit VLANs

Es wurden hier beispielsweise vier getrennte Netze - rot, grün, blau und gelb - eingerichtet. Durch eine gezielte Konfiguration der Switchports ist dadurch jeder Rechner exakt einem dieser Netze zugeordnet. Der Switch trennt die möglichen Kommunikationspfade nun akribisch. Ein Rechner aus dem grünen Netz kann, obwohl er mit dem gleichen Switch verbunden ist, nicht mit einem Rechner aus dem roten Netz kommunizieren! Obwohl die Rechner am gleichen Switch eingesteckt sind, verhält sich die Anordung, als wären es zwei getrennte Switches.

Im obigen Beispiel wurde dies gleich mit vier Netzen demonstriert. Durch die getrennte Konfiguration können blaue Rechner nur mit blauen Rechnern, rote Rechner nur mit roten Rechnern ... kommunizieren. Faktisch sind hier also vier getrennte Netze eingerichtet. Da die Netztrennung nun nicht mehr physikalisch durchgeführt wird, spricht man von virtuellen LANs - VLANs . Die Trennung der Netze wird auch über den Backbone beibehalten. Die Switches auf beiden Seiten des Backbones können die Kommunikation weiterhin auseinanderhalten und realisieren auch switchübergreifend eine saubere Trennung der VLANs.

Diese Art der Trennung einzelner, schutzbedürftiger Netze ist

  • kostengünstig, da die Netzstruktur nur einmal vorgehalten werden muss,
  • flexibel, da jeder Port jedem beliebigen Netz zugeweisen werden kann und eine Büroverlegung dadurch nur per Software-Umkonfiguration realisiert wird, und
  • sicher, sofern das eingesetzte Personal eine fachgerechte, sorgfältige Konfiguration durchführt.
Die im "Netzbrief" vorgeschriebene Trennung des Verwaltungs- und pädagogischen Netzes ist explizit auch mittels VLANs erlaubt.

Schulische Netze mit VLANs

Folgt man der Idee von VLANs konsequent, sind weitere Lösungen denkbar. Insbesondere für größere Schulnetze sind über virtuelle LANs auch Gebäude, Stockwerke bzw. sogar einzelne Klassenzimmer als VLAN definierbar. Dies führt netzwerktechnisch zu einer gesteigerten Leistungsfähigkeit und Ausfallsicherheit der einzelnen Netze, unterbindet unabsichtiliche sowie beabsichtigte Störungen und erhöht somit auch hier die Sicherheit.

An welcher Stelle dieser Infrastruktur sind nun die Arbeitsplätze von Lehrkräften bzw. Rechner, die Lehrkräften zur Nutzung zur Verfügung stehen, zu finden? Aktuell (Stand 2011/12) ist folgende Situation vorherrschend:

  • An Schulen existieren zwei Netze - Verwaltungsnetz und pädagogisches Netz
  • Arbeitsplätze für Lehrkräfte werden an den allermeisten Schulen im pädagogischen Netz eingerichtet

Die physikalische Platzierung der Arbeitsplätze für Lehrkräfte ist somit in die folgenden Hauptfälle zu unterscheiden:

  1. Das als Arbeitsplatz nutzbare Gerät ist in einem Klassenraum im pädagogischen Netz untergebracht.
  2. Für das Arbeitsplatzgerät steht ein eigener Raum zur Verfügung (Lehrerstützpunkt, Lehrerzimmer). Die Netzanbindung erfolgt weiterhin im pädagoischen Netz.
  3. Arbeitsplatzgeräte für Lehrkräfte sind in Räumen platziert, zu denen SchülerInnen keinen Zugang haben (Lehrerstützpunkt, Lehrerzimmer, Sekretariatsbereich), und an das Verwaltungsnetz angebunden.

Welche Konsequenzen hat dies für die Möglichkeit, personenbezogene Daten zu verarbeiten?

  1. An Geräten in einem Klassenzimmer dürfen unter keinen Umständen personenbezogene Daten verarbeitet werden! Da auch Namenslisten, Notenlisten, Sitzpläne mit Fotos ... klar personenbezogene Daten sind, bedeutet das im Alltag für viele Schulen / Lehrkräfte ein Umdenken der gängigen Praxis diese Art von Informationen auch an solchen Geräten zu bearbeiten.
  2. Geräte des pädagogischen Netzes, die in vor SchülerInnen zugangsgeschützten Räumen untergebracht sind, bieten eine bessere Sicherheit. Es ist aber weiterhin erschreckend leicht und ohne spezialisiertes Wissen möglich, auch diese Rechner über das Netzwerk anzugreifen. Sofern der Zugangsschutz für SchülerInnen und Dritte wirklich gewährleistet ist, können personenbezogene Daten verarbeitet werden . Die Speicherung der Daten hat aber auf jeden Fall - auch bei diesen Geräten - verschlüsselt zu erfolgen. Bei Speicherung auf dem pädagogischen Schulserver sind diese verschlüsselten Daten auch aus dem Klassenraum heraus zugänglich - dürfen dort aber nicht bearbeitet werden!
  3. Im abgetrennten Verwaltungsnetz ist eine Verarbeitung personenbezogener Daten unkritisch. Hier dürfen die Daten sogar unverschlüsselt gespeichert werden. Diese Variante ist derzeit allerdings eher selten anzutreffen. Außerdem stellt diese Lösung die Lehrkräfte vor die Problematik, wie pädagogische Arbeitsergebnisse in das für den Unterricht relevante pädagogische Netz übertragen werden.

Das für die IuK-Verfahren an Schulen und in der Schulverwaltung zuständige Referat des Ministeriums für Kultus, Jugend und Sport (Referat 15) empfiehlt, insbesondere falls VLAN-Fähigkeit bzw. -Konfiguration ohnehin schon eingerichtet ist, ein eigenes Netz für Lehrkräfte .

Getrenntes Netz für Lehrkräfte

Hinsichtlich der Möglichkeit personenbezogene Daten verarbeiten zu können, ist dieses Netz für Lehrkräfte dem Verwaltungsnetz gleichgestellt. Es können also personenbezogene Daten be- und verarbeitet werden! Für Lehrkräfte stellt sich aber auch bei dieser Lösung die Frage wie Dateien, die für die pädagogische Arbeit benötigt werden, in das pädagogische Netz transferiert werden können. Zur Lösung dieser Problematik sieht das Referat 15 (KM) folgende Möglichkeiten:

  • Das Netz für Lehrkräfte kann mit dem Server des pädagogischen Netzes verbunden werden. Die Trennung der Netze ist dabei entweder
    • über eine eigene Netzwerkkarte im Server oder
    • über VLAN-Unterstützung des Servers sicher zu stellen.
  • Optimal ist die zusätzliche Abschottung des Netzes für Lehrkräfte durch Lösungen aus der Netzwerksicherheit - z.B. eine Firewall, VPN-Lösungen usw.
  • Unter den selben Voraussetzung ist auch ein Zugriff vom Lehrernetz in das Verwaltungsnetz möglich. Die zugehörige Definition wird noch vom Referat 15 erarbeitet und den Schulen bekannt gegeben.

Die mögliche Kopplung schulischer Netze

 

Zugang zum Landesverwaltungsnetz