NAS Server in Schule

    Ich mache hier mal ein neues Thema auf, um die Problematik zu besprechen.

    Ich plane im Sommer ab der 5. Klasse einer Gemeinschaftsschule eine Laptopklasse zu leiten. Am unserer Schule haben wir einen Server (IServ), der datenschutzrechtlichen Ansprüchen mit Zugriff aus dem Internet gerecht und offiziell ist. Die Betreiber von IServ haben mir die Möglichkeit angeboten, einen NAS über eine Subdomain über das Internet verfügbar zu machen. Genau möchte ich folgendes :

    Einen webdav Server über das Internet verfügbar machen, der über ein komplexes Benutzername/Passwort für Schüler zugänglich ist (dieser Kombination ist nur mit bekannt und soll von dem Schulen gar nicht eingegeben werden müssen. Lehrer sollen zu all diesen Ordnern ebenfalls Zugriff haben. Ich denke soweit ist das mit den Rechten machbar. Der Iserv Server ist nicht in der Lage so ein Rechtesystem zur Verfügung zu stellen.

    Ich habe einige Fragen, was dieses Vorhaben angeht.

    1. Ist es möglich die Schüler mit einer 2-Wege-Autorisation für webdav zu autorisieren? Müssen Schüler dann bei jedem Zugriff die zwei Wege Authorisierung machen oder erfolgt diese pro Gerät einmal?

    2. Habt ihr eine generelle Meinung zu dem Projekt?

    Ist das generell umsetzbar oder sind die sicherheitsprobleme da zu gravierend.

    3. Wäre ein bestimmtes Gerät für 30-60 Schüler empfehlenswert? Normalerweise werden nicht allzu große Datenmengen von nicht allzu vielen benutzen gleichzeitig hin und hergeschoben.

    Idee war der ts-251b 4gb...

    2 Mal editiert, zuletzt von Cloud77 ()

    So eine Laptopklasse finde ich eine super gute Idee. Wie das aber mit WebDAV-Konten aussieht, die die Schüler auch von Extern aus erreichen können, hat vermutlich ein paar datenschutzrechtliche Aspekte. Wer ist außerdem dafür verantwortlich wenn Schüler über die Konten unerwünschte Daten verteilen? Vielleicht sehe ich das zu eng. Aber alleine einige Erfahrungen aus dem WhatsApp-Schulalltag meiner Kids machen mich skeptisch. ;)


    Nachtrag:


    Zitat von Cloud77

    Der Iserv Server ist nicht in der Lage so ein Rechtesystem zur Verfügung zu stellen.

    Wirklich? Ich habe mir interessehalber den Wikipedia-Artikel über IServ durchgelesen. Nach dem was da steht soll das aber möglich sein. Vielleicht ist es nur dem Anbieter zu "heiß".


    Ganz schön mächtig das Schulserver-System.

    Einmal editiert, zuletzt von phoneo ()

    Ich finde eine Laptop Klasse auch Super. Letztlich hätte ich mir das schon zu meiner Schulzeit gewünscht, aber naja das ist ein anderes Thema und ich scheinbar zu früh geboren.


    Wie sich das ganze mit WebDav verhält weiß ich nicht, aber ich weiß, dass einige Hochschulen etwas ähnliches via Cloud anbieten. Durch aus möglich, dass die auch ein WebDav mit verwenden. Ich glaube die Uni Tübingen war eine dieser Hochschulen, ich könnte mich aber auch täuschen. Aber vielleicht kann dir eine Uni die so etwas anbietet entsprechende Ratschläge bei der Umsetzung geben. Oder vielleicht entwickelt sich daraus auch ein Semesterprojekt, die waren bei uns damals heiß umkämpft. Nur die Roboter Programier Projekte waren noch begehrter.

    Von mir nur ein paar generelle Gedanken zu dem Thema:


    So wie es aussieht, musst Du das ja selbst einrichten und verwalten. Am besten wäre es natürlich, man hätte schon eine Nutzerverwaltung ( Active Directory / LDAP ), auf die man setzen könnte. Dann könnte man in einer VM bspw. Nextcloud aufsetzen und an das Nutzerverzeichnis binden, mit dem man die Rechte vergibt. Das wäre aus meiner Sicht die sinnvollste Vorgehensweise. 2-Faktor Authentifizierung unterstützt Nextcloud meines Wissen auch. Allerdings habe ich mit den Details dazu bisher nicht auseinandergesetzt. Ich weiß nur, dass diese Möglichkeiten existieren.


    Trotzdem bleibt die Frage der Gewährleistung der IT-Sicherheit. Wenn Du das selbst einrichtest bleibt es komplett an Dir hängen. Die Frage wäre, ob es nicht einfacher ist, eine Nextcloud Instanz einfach bei einem Dienstleister einzurichten. Der würde dann ggf. auch dafür sorgen, dass die Installation auf dem aktuellen Stand ist.


    Ich weiß, prinzipiell kann man das alles schon selbst machen und wahrscheinlich wäre die 351 auch leistungsfähig genug ( Enstsprechende Netzanbindung vorausgesetzt). Aber es ist halt immer ein Risiko, so was ins Netzt zu hängen. Ich will jetzt keine unnötige Paranoia streuen, aber wenn aus irgendeinem Grund der Speicherplatz missbraucht wird um zweifelhafte Daten zu hosten hast erstmal Du das Problem. Deswegen muss man da schon höllisch aufpassen und auch ziemlich restriktiv vorgehen aus meiner Sicht, einfach um die Angriffsfläche klein zu halten.

    Ich stimme phoneo zu, das was du willst, sollte iServ laut Beschreibung können. Somit gibt es keinen Grund eine NAS zu verwenden, der Schulserver kann das alles schon, und damit hast du auch das Rechteproblem/Benutzerproblem gelöst, das macht der Schulserver! Alles andere ist eine Frickellösung die komplett von dir abhängt.

    Hallo nochmal zurück, ich schildere mal etwas zu den Überlegungen:


    Folgendes zu IServ -> ich habe mich inzwischen sehr eingehend mit Iserv beschäftigt, da bei dem Server auch seit einigen Jahren der Administrator bin.

    Iserv ist wirklich sehr mächtig und wird regelmäßig erweitert. Es zur Zeit z.B. möglich jedem Schüler einen eigenen Dateibereich zu geben, der auch über den Browser und mehrere Protokolle (etwa FTP, Webdav) erreichbar sind. Außerdem gibt es einen Dateibereich für Gruppen, die erstellt werden können. Die Gruppe regelt aber auch alles andere (wie E-Mailverteiler, Kalender, Rechte E-Mails zu schrieben und vieles weitere). Es lässt sich vor allem nicht steuern, wer Schreib- und Lesezugriff bekommt. Normalerweise ist eine Gruppe vorhanden wie z.B. "Klasse 6a", die dann ihren gemeinsamen Dateibereich hat. Jeder als Mitglied Gruppe hat dort Schreib bzw. Löschrecht. Nun wäre es also möglich für jeden Schüler eine Gruppe anzulegen, in dem der Schüler und die Lehrer wären. Dies würde aber zu einer Vielzahl von zu konfigurierenden Gruppen führen und vor allem sehr unübersichtlich werden. Insbesondere dann, wenn es nicht bei einer Laptopklasse bleibt, sondern jährlich welche dazu kämen.


    Ein Rechtesystem eines NAS wäre da um einiges sinnvoller, da gezielt den Lehrern und Schülern ein gemeinsamer Dateibereich gewährt werden kann. Mitschüler können auch nicht auf die Arbeiten der anderen Schüler zugreifen - (z.B. um Arbeiten zu kopieren). Es ist für die Zukunft geplant, dass IServ eine "Freigabe" von Ordern für bestimmte Benutzer noch nachreicht, aber das ist im Moment noch nicht mal in der Entwicklung. Es gesatltet sich auch nicht ganz einfach, da ja alle Protokolle unterstützt werden müssten.


    Konkret sollen Schüler Onenote2016-Dateien über das WebDav Protokoll (Raidrive) auf den Server speichern. (Raidrive ist nötig, damit nicht bei jeder Verbindung über webdav bei MS Office Dateien nach Benutzername und Passwort gefragt wird.)

    Ich würde eine Benutzername - Kennwort Kombination auf dem NAS einrichten, die den Schülern nie bekannt gemacht werden soll. Diese trage ich dann vor Ausgabe der Laptops/Convertibles in das jeweilige Raidrive ein. So können Hausaufgaben schon zu Hause gemacht werden und vor allem kann der Lehrer immer sehen, wie der Zustand des Fachorders des jeweiligen Schülers ist. Ein weiterer Vorteil ist, dass ich vom NAS bzw den Schülerdaten regelmäßig Backups machen kann.


    Klar ist das einmalig relativ viel Aufwand - aber wenn es dann läuft sollte es eine großartige Möglichkeit für alle Beteiligten darstellen. Über Aktualisierungen der Firmware etc. mache ich mir keine allzu großen Sorgen, da ich sowieso täglich auf den Server zugreifen werde als Klassenlehrer.


    Noch zu IServ - IServ bietet keine 2-Wege-Authentifizierung und ist trotzdem offiziell als Schulserver erlaubt. Das wundert mich eigentlich, aber es scheint den Datenschützern hier zu genügen, dass das Passwort relativ komplex sein muss.

    Einmal editiert, zuletzt von Cloud77 ()

    2FA: Braucht man nicht, so lange da drauf keine Personenbezogenen Daten gesichert werden. Ist bei euch vermutlich auch so der Fall. Falls ihr aber von Bereichen, in denen auch Schüler unterwegs sind, auf Noten zugreifen wollt, dann ist das nur per 2FA erlaubt.


    Ich verstehe deinen Beitrag nicht. Du willst jedem Schüler ein Verzeichnis auf der NAS geben, damit die Schüler dort ihre Daten darauf ablegen können, per WebDAV, was iServ laut deiner Aussage schon kann:

    Zitat von Cloud77

    Es zur Zeit z.B. möglich jedem Schüler einen eigenen Dateibereich zu geben, der auch über den Browser und mehrere Protokolle (etwa FTP, Webdav) erreichbar sind.

    Auf diese Verzeichnisse wirst du als Lehrer sicherlich auch Zugriff erhalten können.

    D.h. die Schüler loggen sich mit ihren bisherigen Daten ein, du musst nicht irgendwelche PCs fest zuweisen, keine neue Nutzerdaten erstellen, Backups werden sicherlich auch schon erstellt, ....


    Also ich verstehe nicht, warum nun eine NAS benötigt wird.

    Zitat von UpSpin

    Auf diese Verzeichnisse wirst du als Lehrer sicherlich auch Zugriff erhalten können.

    Genau das ist das Problem! Das geht (noch) nicht.

    Backups werden vom gesammten IServ täglich gemacht, aber ich habe darauf kein direkten Zugriff (läuft über die Reseller Firma). Wenn ich nur ein bestimmten Dateibereich wiederherstellen möchte, dann wäre das nicht ohne Weiteres möglich. Per NAS schon.

    2 Mal editiert, zuletzt von Cloud77 ()

    Du musst dazu ja auch keinen Zugriff auf die Backups haben.


    Das heißt, ihr als Lehrer habt keinen Zugriff auf die Home Verzeichnisse eurer Schüler. Nicht mal du als Admin. D.h. ihr habt keinerlei Ahnung was eure Schüler auf eurem lokalen Server treiben.


    Da kann ich die so nicht glauben, bzw. glaube ich nicht, dass dir eure betreuende Firma keine r/w Rechte auf die Schüler Verzeichnisse einräumen kann.

    So ist es aber. Das ist wirklich ein Nachteil. Klar kann der Schüler entsprechende Arbeiten per Mail verschicken oder in einem Aufgaben Modul einreichen. Aber Einsicht in die Ordner haben wir nicht. Als admin kann ich ggfls. das Passwort ändern und hätte dann Zugriff, aber dann müsste ich dem Schüler das neue Passwort mitteilen, damit er wieder an seine Daten kommt.

    Virenscanner schickt mir einen Alarm, dass ein Virus bei einem bestimmten Schüler gefunden wurde.

    Ich würde den Rat befolgen und das mit dem NAS aus Sicherheitsgründen ganz schnell vergessen. Willst du dafür deinen Kopf hinhalten wenn das NAS gehackt wird und die Dokumente deiner Schüler, sagen wir mal, Beine bekommen ... ? :)


    Ich würde an deiner Stelle dem iServ-Betreiber eurer Schule in den Hintern treten das er das einrichtet. Wenn ich das richtig gelesen habe ist iServ genau dafür entwickelt worden.

    Ich stehe schon im Kontakt mit dem Datenschutzbeauftragten unseres Landes wegen des NAS. Da bin ich allerdings im Moment noch wieder im Leerlauf. Wenn es von da ein ok gäbe, wäre das schon mal eine Sicherheit.


    Aber trotzdem: ich werde auch den Rat von euch nochmal aufgreifen und mit der Resellerfirma bzw. dem Betreiber des IServ in Kontakt treten. Vielleicht haben die eine Idee, wie das ohne NAS zu machen ist. Ich gehe aber davon aus, dass die Einrichtung (wenn denn möglich) mit ziemlichen Kosten verbunden sein würde. Ich werde mal von meinen Erfahrungen diesbezüglich hier berichten.


    Ich muss sagen, dass ich etwas erstaunt bin, dass ein NAS hier als so anfällig angesehen wird. Generell bin ich natürlich auch für Datenschutz und Sicherheit. Habt ihr aber alle schon "schlechte Erfahrungen" machen müssen, dass ein Hackerangriff ein zu großes Risiko birgt? Dies ist schließlich ein QNAPclub Forum ;).

    Zitat von Cloud77

    Generell bin ich natürlich auch für Datenschutz und Sicherheit. Habt ihr aber alle schon "schlechte Erfahrungen" machen müssen, dass ein Hackerangriff ein zu großes Risiko birgt? Dies ist schließlich ein QNAPclub Forum ;).

    Wenn Du hier ein wenig im Forum suchst wirst Du einige Leute finden, die sich bitterlich beklagen dass ihr NAS gehackt wurde weil sie es per HTTP ins Netz gehängt haben. Das Problem ist aber generell, dass man heutzutage einfach fundierte Kenntnisse haben muss, damit man die Angriffsfläche klein hält. Diese 3-Klick Optionen im NAS täuschen eine Sicherheit vor, die es so nicht gibt. Defacto muss man davon ausgehen, gehackt zu werden. Schon alleine deshalb sollte man auf dem Serversystem wirklich nur die benötigte Anwendung laufen haben bzw. diese bestmöglich isolieren für den Fall des Falles. Und da fangen dann schon die Probleme an, wenn man bspw. die internen Webdienste des NAS verwendet. Draussen sind permanent Bots unterwegs, die gängige Webanwendungen auf Schwachstellen aus Datenbanken abklopfen. Am verwundbarsten sind natürlich die Systeme, die eine weite Verbreitung haben. Und QNAP ist nicht so selten. Das ist inzwischen hochautomatisiert. Zu glauben, mich wird es schon nicht treffen ist da die denkbar ungünstigste Vorraussetzung. Man kann ein paar grundlegende Sachen tun, um nicht gleich ins Messer zu laufen. Aber einen Server zu hosten und auf einem hohen Sicherheitslevel zu halten ist nichts, was man mal so nebenbei mit durchlesen von ein paar Tutorials hinbekommt.

    Einmal editiert, zuletzt von nasferatu ()

    Zitat von UpSpin

    Das heißt, ihr als Lehrer habt keinen Zugriff auf die Home Verzeichnisse eurer Schüler. Nicht mal du als Admin. D.h. ihr habt keinerlei Ahnung was eure Schüler auf eurem lokalen Server treiben.

    Ich kann mir das gut vorstellen. Ich bin der Meinung, dass dieser Zugriff rechtlich sogar problematisch wäre. Schließlich geht es bei dieser Bereitstellung um den persönlichen Datenbereich des Schülers (so ist es deklariert) und auch Kinder haben ein Recht auf Privatsphäre. Deshalb wird man diesen Bereich nicht einfach zur Hausaufgabenablage umfunktionieren können und benötigt stattdessen eine saubere Trennung.


    Zitat von Cloud77

    vor allem kann der Lehrer immer sehen, wie der Zustand des Fachorders des jeweiligen Schülers ist.


    Ich meine, dass ein Schüler das Recht haben muss selbst zu entscheiden, wann ein Lehrer die Hausaufgabe/Fachaufgabe einsehen kann. Ich überspitze es bewusst etwas: Als Lehrer den Anspruch/die Möglichkeit zu haben, jederzeit den Fachordner einsehen zu wollen/können, klingt nach Orwells 1984. ;)


    Zitat von Cloud77

    Klar kann der Schüler entsprechende Arbeiten per Mail verschicken oder in einem Aufgaben Modul einreichen.


    Warum reicht das nicht?

    Das Arbeiten mit dem Laptop soll ab Klassenstufe 5 starten. Die Möglichkeit ohne zutun des Schülers auf seinen Hefter zugreifen zu können soll auch eine Vereinfachung sein, da es am Anfang schwierig sein könnte, die richtigen Dateien am der richtigen Stelle an den Lehrer zu senden.

    Ich kann mir gut vorstellen, dass diese Möglichkeit nach einiger Einarbeitungszeit (vielleicht an Klassenstufe 7-8) eingerichtet werden würde.

    Der NAS würde übrigens hinter dem IServ sitzen Router - > Iserv - > NAS.

    Einen privaten Dateibereich für sonstige Daten hat der Schüler natürlich nach wie vor.




    Ich hab mir heute morgen noch eine andere Möglichkeit überlegt, die sicherer erscheint und die Freigabe im Internet obsolet macht. Was haltet ihr davon:


    Der IServ bietet ebenfalls die Möglichkeit eine VPN Verbindung einzugehen.

    Wenn ich den NAS mit den entsprechenden Rechten nur lokal ins Netz hänge und nicht ins Internet "durchschleife", dann kann die Lehrkraft ja über ein VPN drauf zugreifen. NAS wäre also durch den IServ geschützt.


    Auf den Server werden die Notizbücher von OneNote 2016 gelegt. Man kann OneNote ja auch ohne Verbindung (also nur mit lokalen Dateien) nutzen. Diese würden dann Synchronisiert werden, wenn man in der Schule ist, OneNote öffnet und sich mit dem WLan verbindet. Hausaufgaben, die vor einer Stunde abgegeben werden müssen können dann ja anderweitig eingereicht werden.

    Einmal editiert, zuletzt von Cloud77 ()

    Zitat von Cloud77

    Der IServ bietet ebenfalls die Möglichkeit eine VPN Verbindung einzugehen.

    Wenn ich den NAS mit den entsprechenden Rechten nur lokal ins Netz hänge und nicht ins Internet "durchschleife", dann kann die Lehrkraft ja über ein VPN drauf zugreifen. NAS wäre also durch den IServ geschützt.

    Da wäre eine gute Lösung und die Verantwortung für den externen Zugang an den IServ Betreiber abgegeben. VPN ist auch hier im Forum immer eine gängige Empfehlung für Nutzer, die gerne von extern auf ihre Geräte zugreifen möchten.

    Also man sollte mal die Kirche im Dorf lassen. In jeder Firma hat der Admin Zugriff auf die Nutzerdaten. Das sind auch keine persönliche Daten, sondern das sind Firmendaten, die der Firma gehören und nicht dem Angestellten.

    Genauso in der Schule. Jede Lehrkraft sollte auf die Schülerverzeichnisse seiner Schüler Zugriff haben. Das sind keine privaten Ordner die nur den Schüler etwas angehen. Das sind Schuldaten und keine personenbezogene Daten. Die Schule haftet für die dort gespeicherte Daten, somit muss die Schule Zugriff darauf haben. Wenn ein Schüler im Schulnetz illegale Dateien hostet, ist die Schule dran!

    Im Analogen, die Lehrkräfte dürfen in die Hefte der Schüler schauen, sie müssen es, sonst kann man das unterrichten auch einfach ganz sein lassen. Die Lehrkraft darf natürlich nicht in das Smartphone des Schülers schauen, da da drauf persönliche Daten liegen. Wenn ein Schüler meint, er müsste Nacktbilder in sein Matheheft kleben, dann ist das das Problem des Schülers und ein Fall für die Schulleitung.


    Eine VPN Verbindung erfüllt nicht das, was Cloud77 will, nämlich, dass die Schüler von zu Hause darauf zugreifen können.


    Nocheinmal: Ihr habt einen Server, der laut Beschreibung genau das machen soll, was du willst. Dann tret denen mal oderntlich in den Hintern, dass sie dir eine Lösung erarbeiten sollen.


    Falls du natürlich deren Arbeit machen willst, unbezahlt, und alle Verantwortung und Arbeit auf dich umladen willst, kannst du natürlich eine NAS bei dir rein stellen. Auf der NAS sind wieder keine personenbezogene Daten, daher macht es wenig Sinn diese NAS hinter iServ zu stellen. Sie sollte direkt in der Firewall in einer DMZ laufen. Wenn die NAS gehackt wird, kann es einem vollkommen egal sein. Dann wird sie platt gemacht und neu aufgesetzt, fertig. Von den OneNote Notebooks hast du tägliche Backups, die der iServ Server abholt (wie auch immer, ist wieder das Problem eures Dienstleisters dies zu implementieren, wenn du als Admin Null Zugriff darauf hast).


    Und dann kannst du doch einfach auf der NAS jedem Schüler ein Benutzerkonto anlegen, denen das Passwort mitteilen und die müssen sich dann eben einloggen, ist ja nicht zu viel von den Schülern verlangt ein Passwort einzugeben. Dann können sie von der Schule über das Internet auf die NAS zugreifen, und von zu Hause über das Internet ebenso.

    Zitat von UpSpin

    Also man sollte mal die Kirche im Dorf lassen.

    Da muss ich Dir leider widersprechen. Ich weiß nicht welchen Kenntnisstand Du in dem ganzen Datenschutzkram hast, aber es gibt da die merkwürdigsten Regeln, so daß Du bspw. schlicht als Admin niemals E-Mails oder Dateien unter bestimmten Umständen etc. einsehen darfst. Wenn Du das beruflich machst und Dir jemand an den Karren fahren will kannst Du ganz schnell eine Abmahnung an den Hals kriegen. Das sollte, gerade auch wenn man das aus Freundlichkeit macht, nicht auf die leichte Schulter genommen werden. Insofern müssen die Verantwortlichkeiten etc. wirklich eindeutig geklärt sein. Es gilt zwar wie immer "Wo kein Kläger da kein Richter", trotzdem kann ich nur vor Hemdsärmeligkeit bei solchen Sachen warnen. Vor 20 Jahren war das alles entspannter, mittlerweile ist da ziemlich viel reguliert und man kann schlicht unwissentlich in diverse Fallen tapsen.