Kathrin Stuhldreher: 29.08.2013

MEDIENENTWICKLUNGSPLAN. INFO - unser neuer Blog

Wie können Schulen und Schulträger den Herausforderungen durch den Medien- und Kommunikationswandel begegnen? Wie lassen sich mobile oder auch private Endgeräte in die schulische Infrastruktur integrieren? Können aufwendige dezentrale IT-Strukturen durch zentral betriebene Systeme in der Cloud abgelöst werden? Über aktuelle Entwicklungen rund um den Medieneinsatz im Bildungswesen möchten wir Sie mit unserem neuen Blog MEDIENENTWICKLUNGSPLAN.INFO auf dem Laufenden halten.

Weitere Beiträge zum Thema: Neue Medien und Schulentwicklung
Adressaten: Schulen und Schulträger

(0) Kommentare • Permalink

---

Stefan Welling: 14.08.2013

Gelingensbedingungen für das Lernen mit persönlichen Endgeräten

Bereits zum vierten Mal veranstalten wir in Zusammenarbeit mit Christoph Derndorfer (Technische Universität Wien), Beat Döbeli Honegger (Pädagogische Hochschule Schwyz) und  Richard Heinen (Universität Duisburg-Essen)  einen Workshop zum Thema Lerninfrastrukturen in Schule. Diesmal gehen wir in einem ganztägigen Workshop im Rahmen der diesjährigen GMW Jahrestagung in Frankfurt a. M. der Frage nach, welche Gelingensfaktoren das Lernen mit persönlichen Endgeräten in der Schule begünstigen. Der Vormittag steht im Zeichen von vier Vorträgen, die den Einsatz von Tablets und unterschiedlichen persönlichen Endgeräten in verschiedenen Schulen beleuchten. Am Nachmittag soll die Diskussion von Gelingensfaktoren weiter vertieft werden. Die Veranstalter schlagen dafür die Themenbereiche Schulentwicklung, Content, Unterrichtsgestaltung und juristische Aspekte vor. Eine Anpassung der Themen an die Wünsche der TeilnehmerInnen ist möglich.

Ort:                Campus Riedberg der Goethe-Universität Frankfurt

Zeit:               Montag, 2. September 2013, 10:00 bis 17:00

Kosten:          70 Euro / 40 Euro für Studierende

Anmeldung:    https://www.conftool.com/gmw2013/

(0) Kommentare • Permalink

---

Günther Diederich: 13.08.2013

Mehr Sicherheit im Nachrichtenaustausch

Kurz gefasst:

Der Hersteller von Threema hat bereits viel unternommen, um eine sichere Kommunikation so nutzerfreundlich wie möglich anzubieten. Beim Ausprobieren des Programms sind uns jedoch noch zwei Probleme aufgefallen: Unter ungünstigen Umständen kann ein Angreifer die Identität eines Nutzers übernehmen (geräteunabhängig) und ein Beenden des Threema-Prozesses sowie -Dienstes kann unter Android die sichere Handhabung der Passphrase für den Hauptschlüssel erschweren. Einige Verbesserungsvorschläge hat der Hersteller Kasper Systems bereits übernommen, andere befinden sich noch in der Umsetzung.

ifib hilft, die Sicherheit des Threema-Messengers zu verbessern

Seit Edward Snowden staatliche Abhöraktionen ins Licht der Öffentlichkeit gerückt hat, stehen auch Programme zur sicheren Kommunikation wieder im Fokus. Darunter auch sogenannte Messenger, wie zum Beispiel Threema von der Schweizer Firma Kasper Systems GmbH. Threema ist ein Programm für Mobiltelefone mit iOS oder Android, das den verschlüsselten Nachrichtenaustausch zwischen Endgeräten ermöglicht.

Der Hersteller von Threema hat bereits viel unternommen, um eine sichere Kommunikation so nutzerfreundlich wie möglich anzubieten. Beim Ausprobieren des Programms unter Android sind uns jedoch noch zwei Probleme aufgefallen: Unter ungünstigen Umständen kann ein Angreifer die Identität eines Nutzers übernehmen und ein Programmabsturz kann die sichere Handhabung der Passphrase für den Hauptschlüssel erschweren. Beide Probleme werden weiter unten kurz skizziert.

Die Kasper Systems GmbH nahm direkt nach Eingang der Hinweise Kontakt zum ifib auf. In einem offenen und freundlichen Austausch konnten wir unseren Beitrag zur Verbesserung von Threema vorstellen. Unsere Vorschläge zur Bestätigung eines ID-Wechsels wurden schnell aufgegriffen, erste Änderungen wurden binnen 14 Tagen umgesetzt. Eine so konstruktive und schnelle Reaktion auf sicherheitsrelevante Probleme ist nicht selbstverständlich, unserer Meinung nach jedoch ein zentrales Vertrauensmerkmal in der Herstellung sicherer Systeme. Kasper Systems zeigte hier erfreulicherweise, dass das selbst gewählte Threema-Motto „seriously secure mobile messaging“ in der Tat ernst genommen wird.

Ein beinahe heimlicher ID-Wechsel

Jedem Threema-Nutzer ist eine eindeutige Kennung zugeordnet, die sogenannte Threema-ID oder kurz ID. Diese ID können Nutzer freiwillig um ihre E-Mailadresse und ihre Handynummer ergänzen, um von anderen Threema-Nutzern gefunden zu werden. Geht das alte Gerät samt Threema-Client verloren, kann eine bestehende ID durch eine neue ID ersetzt werden. Hierzu empfiehlt die FAQ-Liste des Herstellers, die neue ID mit derselben E-Mailadresse und Handynummer zu verknüpfen, welche für die alte ID benutzt wurden. Da diese Angaben jeweils nur mit einer ID verknüpft werden, wird die Verknüpfung mit der alten ID automatisch aufgehoben. Somit wird die alte ID bei Chatpartnern nicht mehr angezeigt. Ein Angreifer kann dies ausnutzen, wenn er die E-Mailadresse kennt, die mit dem Kontakt eines Nutzers verknüpft ist. Dabei ist es egal, ob man Threema unter Android oder iOS verwendet, der Fehler liegt im Verfahren selbst.

Dazu erzeugt der Angreifer zunächst eine neue Threema-ID und verknüpft diese mit der E-Mailadresse des Nutzers. Diese Änderung wird jedoch nicht sofort übernommen, denn Kasper Systems sendet grundsätzlich eine Rückfrage per E-Mail an den Nutzer, um sich den Wechsel auf eine neue Threema-ID bestätigen zu lassen. Das bietet bereits ein gewisses Maß an Sicherheit, es sei denn der Nutzer missversteht die E-Mail oder der Angreifer hat selbst Zugriff auf das E-Mailkonto. Dabei genügt bereits ein unachtsamer Klick auf den in der E-Mail enthaltenen Link, um die Änderung der Threema-ID zu bestätigen. Danach tritt die ID des Angreifers endgültig an die Stelle der vermeintlich alten ID des Nutzers und ist mit der E-Mailadresse des Nutzers verknüpft.

Führt ein Bekannter des Nutzers nun eine Synchronisation seiner Kontaktliste durch, stellt der Client für die E-Mailadresse des Nutzers fest, dass eine neue ID vorliegt und ersetzt die vermeintlich alte ID des Nutzers durch die ID des Angreifers. Der Bekannte wird also zukünftig seine verschlüsselten Nachrichten an den Angreifer schicken und nicht an den Nutzer. Der Austausch der ID erfolgt ohne besonderen Hinweis, kann jedoch von sehr aufmerksamen Nutzern trotzdem bemerkt werden. Zum einen werden die IDs unter den Kontaktnamen angezeigt, so dass hier die ID-Änderung auffallen kann. Zum anderen verlieren Kontakte mit der höchsten Vertrauensstufe, angezeigt durch 3 grüne Punkte, mindestens eine Vertrauensstufe, da die neue ID des Angreifers nicht über die Funktion „ID scannen“ ausgetauscht wurde.

Ursprünglich war der Text der Nachfrage so kurz und allgemein gehalten, dass Konsequenzen der Bestätigung nicht sehr deutlich erkennbar waren. Wir schlugen daher vor, sowohl den Text als auch den Ablauf der Bestätigung aussagekräftiger zu gestalten. Der Nutzer erhält weiterhin eine E-Mail mit Überprüfungslink, um die Änderung zu bestätigen, der Link führt nun jedoch zu einer Internetseite von Threema mit einem Bestätigungsdialog. Diesen Dialog gibt es in zwei Varianten: Greift der Nutzer von derselben Internetadresse auf den Überprüfungslink zu, von der aus auch die Änderung angestoßen wurde, wird die neue ID zusammen mit der E-Mailadresse angezeigt, mit der sie verknüpft werden soll. Erfolgt der Zugriff von einer anderen Internetadresse, muss der Nutzer zusätzlich noch die alte ID eingeben. Der Wert dieser Maßnahme liegt dabei nicht in einer vermuteten Geheimhaltung der alten ID, sondern vielmehr darin, dass dem Nutzer die ID-Änderung von alter zu neuer ID deutlich präsentiert wird.

Kasper Systems wird zukünftig eine zusätzliche Threema-Nachricht über die Deaktivierung an eben jene ID schicken, die deaktiviert werden soll. Dies sollte einen Nutzer wirksam alarmieren, der keine Änderung veranlasst hat, und so wesentlich zur Verbesserung der Sicherheit beitragen. Hierfür ist jedoch eine passende Schnittstelle zwischen Internetanwendungen und dem Threema-Chat-Netzwerk erforderlich, die derzeit von Kasper Systems entwickelt wird. Es ist noch nicht entschieden, ob Änderungen von IDs und Vertrauensstufen künftig mit einer Nachricht oder einer gesonderten Auflistung angezeigt werden. Sollten hier zu viele Nachrichten in einem kurzen Zeitraum eintreffen, könnte dies den Nutzer desensibilisieren und so gerade der sicheren Nutzung entgegen wirken.

Passphrase „An“ oder „Aus“?

Das Passwort für den Hauptschlüssel zur Ver- und Entschlüsselung wird in Threema unter Android als Passphrase bezeichnet und unter iOS als Code. Dieses Passwort muss vor der Verwendung des Hauptschlüssel eingegeben werden und bietet somit zusätzlichen Schutz. Diese Funktion ist nach der Installation zunächst deaktiviert. Aktiviert man diese Funktion und setzt ein Passwort, sollte die spätere Deaktivierung nur nach Eingabe dieses Passwortes möglich sein. Man kann das Programm an dieser Stelle jedoch unter Android ins Stolpern bringen, wenn man alle Threema-Prozesse und -Dienste beendet.

Nachdem man den Schalter für den Hauptschlüssel in den Threema-Einstellungen wieder auf „Aus“ gesetzt hat, ignoriert man die Passwortabfrage und verlässt das Programm über den Home-Button. Nun ruft man über die Systemeinstellungen die Prozessübersicht auf und beendet sowohl den zugehörigen Threema-Prozess als auch den Threema-Dienst. Startet man anschließend wieder Threema, ist die Passwortabfrage verschwunden und der zugehörige Schalter steht auf „Aus“.

Aktiviert man diese Einstellung wieder, kann man ein neues Passwort eingeben. Danach ändert sich jedoch der Status des Schalters nicht, er zeigt weiterhin an, das der Hauptschlüssel nicht durch ein Passwort geschützt wird. Beendet man Threema (anstatt es nur zu suspendieren) und ruft es erneut auf, wird ein Passwort abgefragt – gültig ist jedoch nur das zuerst eingegebene, alte Passwort. Das zweite, neu eingegebene Passwort wird nicht akzeptiert, so dass hier kein gravierendes Sicherheitsproblem vorliegt. Dieses Verhalten konnten wir unter Android 4.3 und 4.2.2 herbeiführen, unter iOS 6.1.2 war dieses Verhalten nicht zu beobachten.

Solche Fehler beruhen in den meisten Fällen auf falsch gesetzte Prioritäten in der Abfolge von Programmschritten, so dass uns hier nur eine ausführliche Beschreibung der Schritte zur Reproduktion des Fehlers blieb. Wir hoffen jedoch, dass sie Kasper Systems ebenfalls bei der Fehlerbehebung unterstützen.

Nachtrag vom 14.08.2013: Das Problem der Code-Abfrage war unter iOS 6.1.2 nicht zu beobachten. Die Angaben zu den Android-Versionen wurden nachgetragen.

Letzte redaktionelle Änderungen: 15.08.2013

Weitere Beiträge zum Thema: Informationsfreiheit • IT-Management
Zuordnung: Nachrichten
Adressaten: Öffentliche Verwaltung • Schulen und Schulträger • Hochschulen • Vereine und Verbände • Gesundheitseinrichtungen

(0) Kommentare • Permalink

---

B. E. Stolpmann: 02.08.2013

Das Windows XP Problem in Schulen

Am 08. April 2014 endet der erweiterte Support von Microsoft für das Betriebssystem Windows XP, so dass ab diesem Datum auch keine Sicherheitsupdates des Herstellers mehr bereitgestellt werden. Windows XP erschien Ende 2001 und basiert auf einer Sicherheitsarchitektur, die inzwischen anfällig für aktuelle Schadsoftware ist. Das Auslaufen des Supports durch Microsoft wird daher das jetzt schon hohe Risiko von Angriffen noch deutlich steigern. Viele öffentliche Verwaltungen empfehlen daher aus Sicherheitsgründen, dass Windows XP Clients ab April 2014 keine direkten Zugriffe mehr in das Internet erhalten dürfen. In den meisten Kernverwaltungen laufen inzwischen die Migrationsprojekte auf eine neuere Betriebssystemversion (meist Windows 7) auf Hochtouren.

 

 

Inzwischen werden auch immer mehr kommunale Schulträger auf dieses Problem aufmerksam. Die Anfragen dazu häufen sich bei uns. Schulen haben zum Teil bewusst lange an Windows XP festgehalten, weil ein Großteil der bei Lehrkräften beliebten Lernsoftware selber veraltet und häufig noch nicht unter Windows 7 lauffähig ist. Dadurch entsteht jetzt ein enormer Handlungsdruck.

Ein Problem stellt dabei auch die überalterte Hardware in den Schulen dar, die vielfach ihre Nutzungsdauer überschritten hat und nicht mehr auf Windows 7 migriert werden kann. So kommt bei vielen Schulträgern neben den erheblichen Lizenzierungskosten zusätzlich auch ein hoher Ersatzbedarf für die Hardware auf die leeren Kassen der Kommunen zu.

Für die Softwarelizenzierung besteht zum einen die Möglichkeit, Lizenzen zu vergünstigten Bildungskonditionen zu erwerben. Soll eine Softwareverteilung eingesetzt werden, sollte ein Select-Vertrag geschlossen werden, der einen verteilfähigen Lizenzschlüssel (Volumen-Key) beinhaltet. Eine durchaus interessante Möglichkeit besteht darin, die Lizenzen zu mieten. Dazu können Schulen und Schulträger einen bundesweit gültigen Rahmenvertrag nutzen, den die FWU als Medieninstitut der Länder mit Microsoft für alle allgemein- und berufsbildenden Schulen geschlossen hat. Die Lizensierung erfolgt dabei auf Basis der Gesamtzahl der Mitarbeiter pauschal für die ganze Schule und unabhängig davon wie viele Rechner vorhanden sind. Wenn die Anzahl der zu lizensierenden Rechner ungefähr bei dem doppelten der Gesamtzahl der Mitarbeiter liegt, kann der FWU-Rahmenvertrag zumindest über die Laufzeit eines Medienentwicklungsplans (5 Jahre) gegenüber anderen Lizenzierungsmodellen für einen Schulträger günstiger ausfallen. Alle Mitarbeiter können zudem die Software gegen eine kleine Gebühr auch zu Hause nutzen und mögliche Updates und Upgrades auf neue Versionen sind während der gesamten Vertragslaufzeit inklusive.

Ist das Lizenzierungsmodell gefunden, stellt sich die Frage, ob gleich auf Windows 8 (bzw. das nächste Upgrade Windows 8.1) migriert werden soll oder zunächst ein Downgrade auf Windows 7 erfolgen soll. Die diskutierten Lizenzmodelle lassen beides zu. Die Entscheidung ist sowohl aus einem technischen als auch einem schulorganisatorischen Hintergrund heraus zu treffen:

Von den technischen Mindestanforderungen an den Prozessor, den Arbeits- und Festplattenspeicher sowie die Grafikkartenausstattung sind Windows 7 und Windows 8 scheinbar sehr nahe beieinander. Windows 8 setzt aber für den Schutz vor Schadsoftware einige Prozessorfunktionen voraus, die auf einigen älteren Rechnergenerationen in Schulen noch nicht vorhanden sind, so dass Windows 8 auf diesen Rechnern nicht installierbar wäre.

Aus schulorganisatorischer Sicht werden beide Betriebssysteme im Migrationsfall einen Fortbildungsbedarf bei Lehrkräften erfordern. Dieser fällt bei Windows 8 vermutlich deutlich höher aus, da Microsoft eine neue Bedienoberfläche eingeführt und die Benutzerführung grundlegend geändert hat, während die Grundprinzipien der Bedienung bei dem Wechsel von Windows XP auf Windows 7 zunächst noch erhalten geblieben sind. Zudem wird Windows 7 auch in den privaten Haushalten der Lehrkräfte noch weiter verbreitet sein als das neue Windows 8, sodass der Bekanntheitsgrad höher ist. Viele Schulträger werden daher einen ähnlichen Weg einschlagen wie die Kernverwaltungen und zunächst auf Windows 7 migrieren.

Angesichts der notwendigen hohen Investitionen in Hardware und Softwarelizenzen, stellt sich natürlich die Frage, ob ein Upgrade der meist noch in Computerräumen stehenden Hard- und Software überhaupt noch sinnvoll ist und nicht ein radikaler Neustart mit Tablets, Bildungsapps und webbasierter Software der zukunftsfähigere Weg ist?

Weitere Beiträge zum Thema: IT-Management • Neue Medien und Schulentwicklung
Zuordnung: Kommentare
Adressaten: Öffentliche Verwaltung • Schulen und Schulträger

(0) Kommentare • Permalink

---

Martin Wind: 01.08.2013

Facebook in Schulen und anderswo: kein Grund für Grabenkämpfe

An Facebook scheiden sich die Geister. Während es uns als Privatleuten selbst überlassen bleibt, ob wir soziale Netzwerke im Allgemeinen und Facebook im Besonderen nutzen, besteht in Unternehmen und Verwaltungen, Schulen und Universitäten durchaus Regelungsbedarf.

Und hier prallen dann die Welten aufeinander: Für die einen ist gerade Facebook unverzichtbar, um im digitalen Kosmos wahrgenommen zu werden. Für die anderen ist Facebook schon angesichts der Gleichgültigkeit des Unternehmens gegenüber europäischem Datenschutzrecht völlig inakzeptabel. 

In der vergangenen Woche sorgte nun eine „Handreichung“ des Kultusministeriums Baden-Württemberg zum Einsatz von sozialen Netzwerken an Schulen für Aufregung. Darin heißt es: „Aufgrund datenschutzrechtlicher Bestimmungen ist die Verwendung von Sozialen Netzwerken für die dienstliche Verarbeitung personenbezogener Daten generell verboten.“ Die Behandlung von sozialen Netzwerken im Unterricht bleibt hingegen ausdrücklich gestattet.

Die Bremer Landesbeauftragte für Datenschutz und Informationsfreiheit sieht selbst hier noch Risiken: Der in Bremen erscheinende Weser Kurier vom 29.7.2013 berichtet von ihren Bedenken, dass US-amerikanische Scan-Programme die am Unterricht beteiligten Schüler womöglich in Schwierigkeiten bringen könnten, sollte ein Lehrer im Unterricht Facebook nutzen und mit der Klasse über Terrorismus sprechen.

Spätestens seit den neuesten Enthüllungen über das NSA-System X-Keyscore können solche Bedenken auch von jenen nicht mehr leichtfertig vom Tisch gewischt werden, die – wie ich – zuvor  mit einer gewissen Leicht(sinn)igkeit im Netz unterwegs waren.

Sicherlich kann über Details der Baden-Württemberger Richtlinie trefflich diskutiert werden (s. hierzu z.B. den Beitrag von Philippe Wampfler im Blog schulesocialmedia.com). Alles in allem aber zeigt die Richtlinie einen vernünftigen Weg auf: Für die dienstliche Verarbeitung personenbezogener Daten sind Facebook & Co. tabu. Die Behandlung von Social Media im Unterricht bleibt davon unberührt. Dies zu verbieten wäre wohl auch außerordentlich kontraproduktiv. Allerdings ist selbst hier, die Bremer Datenschutzbeauftragte hat darauf hingewiesen, Problembewusstsein und  Fingerspitzengefühl gefragt.

Selbst gegen Fanpages der Schulen hat das Kultusministerium in Baden-Württemberg nichts einzuwenden. Allerdings wird empfohlen, „… statt der Fanpages in Sozialen Netzwerken konventionelle Homepages zu realisieren und Fanpages nur als Zugang zur eigenen Internetseite der Schulen zu nutzen.“

Auf diese Weise sollten sich auch die beruflichen Grabenkämpfe zwischen Befürwortern und Gegnern von Facebook bzw. Social Media entschärfen lassen. Ganz ähnlich hatte Ende letzten Jahres auch Johnny Haeusler, Mitbegründer der Internet-Konferenz re:publica, in seinem Blog Spreeblick argumentiert: Inhalte gehören auf die eigene Plattform, soziale Netzwerke weisen den Weg dorthin. Das mag ein wenig mehr Arbeit machen, löst aber viele Probleme, die sich spätestens nach den  Enthüllungen von Edward Snowden nicht mehr ignorieren lassen.

Weitere Beiträge zum Thema: Neue Medien und Schulentwicklung
Zuordnung: Kommentare
Adressaten: Öffentliche Verwaltung • Schulen und Schulträger • Hochschulen

(6) Kommentare • Permalink

---