Bastard Operator from Hell (BOFH)

Als Admi­nis­tra­tor schwelgt man hin und wie­der in All­machts­fan­ta­si­en. Wenn man sei­ne User soweit erzo­gen hat, dass sie die vage Mög­lich­keit ver­wer­fen, der Admi­nis­tra­tor sei fehl­bar und statt­des­sen de Feh­ler bei sich selbst suchen, hat man eini­ges erreicht. Man ist Zau­be­rer, geni­al und die User wun­dern sich, wie ein ein­zel­ner Mensch so viel hin­be­kom­men kann. Aber es ist kei­ne Zau­be­rei — es ist infor­ma­ti­sche Grund­bil­dung, bzw. basiert dar­auf.

Die­se Situa­ti­on ist eine ihrer Struk­tur nach auto­ri­tä­re und basiert auf Wis­sens- und Kom­pe­tenz­un­ter­schie­den. Die­se Struk­tur ist sehr, sehr gefähr­lich und nicht umsonst hat auch an Schu­len der Gesetz­ge­ber Instan­zen erson­nen, die die Arbeit von Admi­nis­tra­to­ren kon­trol­lie­ren soll­ten — z.B. Daten­schutz­be­auf­trag­te oder Schul­lei­tun­gen. Wahr­schein­li­cher scheint mir, das vie­le Admi­nis­tra­to­ren an Schu­len im Prin­zip Sta­ke­hol­der in ide­el­len Macht­po­si­tio­nen sind, deren Ein­fluss in den nächs­ten Jah­ren expan­die­ren wird. Auch das ist ein Pro­blem. Vor allem auch für die Schul­ent­wick­lung, für die ich ohne IT-gestütz­te Ver­fah­ren kei­nen Frei­raum sehe.

Ich arbei­te daher in mei­nem Land­kreis mit an einem Pro­jekt, die­ses Pro­blem zu ent­schär­fen durch Struk­tu­ren, die nicht auf dem Prin­zip der ide­el­len Macht basie­ren. Ich arbei­te im Prin­zip mit dar­an, mich selbst in der Funk­ti­on eines Admi­nis­tra­tor abzu­schaf­fen.

Wenn ich sehr böse wäre, könn­te ich viel­leicht ver­sucht sein, fol­gen­de Din­ge zu tun (in jeder Geschich­te sind Feh­ler ein­ge­baut).

Akt 1:

Das Ende der Som­mer­fe­ri­en naht. Ich habe kei­nen Bock auf Unter­richt. Mal über­le­gen. Ach, da gibt es ja die Schul­buch­aus­lei­he, die mitt­ler­wei­le kom­plett IT-gestützt arbei­tet. Ohne Bücher kein Unter­richt. Kli­ckedikli­ckedik­lack — ein­fach mal ein MyS­QL-State­ment, wel­ches die Daten­bank von der Kon­so­le aus zer­fetzt. Hihi.

Der Anruf dau­ert nicht lan­ge: „Wir kön­nen über­haupt kei­ne Daten mehr abru­fen und ver­wal­ten! — Die SuS brau­chen ihre Bücher, drin­gend” Ich so: „Oh. Da hat wohl die Fest­plat­te einen ihrer Schreib­feh­ler gemacht, die sta­tis­tisch ja immer auf­tre­ten. Da reicht ja schon ein Meson aus dem Welt­all.” Sie so: „Aha, UND JETZT?” Ich: „Oach, ich rufe mal den Chef an, damit der mich für zwei Tage frei­stellt, damit ich das wie­der fli­cken kann, das ist ja schon inte­gral für die Schu­le.”

Zwei Tage spä­ter habe ich den neu­en Egoshoo­ter durch und spie­le dann inner­halb von fünf Minu­ten eine der Siche­run­gen ein. Natür­lich wird mir für mei­nen Ein­satz auf der nächs­ten Dienst­ver­samm­lung über­schwäng­lich gedankt. Man, ich sah aber auch echt gerä­dert nach den zwei durch­ge­zock­ten Näch­ten aus.

Akt 2:

Boah, was geht mir der Koor­di­na­tor da auf den Sack mit sei­ner Pene­tranz, was das Aus­fül­len die­ser idio­ti­schen Kurs­hef­te angeht. Na, dann wol­len wir mal sei­ne Pen­si­on etwas kür­zen. Sein häus­li­ches WLAN strahlt in kla­rer Win­ter­nacht recht weit in die Natur. Mal schnell einen klei­ne Raspi mit Akku vor sei­nem Haus in die Bota­nik gewor­fen und den WLAN-Schlüs­sel bru­teforcen. Lang­wei­lig. Dau­ert nicht mal zwei Tage. Jetzt noch die MAC-Adres­se sei­nes Rech­ners abfi­schen, ein wenig MAC-Spoo­fing und schon habe ich sei­ne IP, unter der ich dann mal ein­schlä­gi­ges Mate­ri­al auf den Schul­ser­ver in sei­nen Account lade — das mit dem Pass­wort war nicht wei­ter schwie­rig, weil er den Datei- und Mail­aus­tausch über unver­schlüs­sel­te Ver­bin­dun­gen abwi­ckelt.

Mit betre­te­ner Mie­ne klop­fe ich zwei Tage spä­ter beim Chef. Das Moni­to­ring hät­te rou­ti­ne­mä­ßig die Datei­grö­ßen über­prüft und sei dabei auf eine HD-Datei gesto­ßen, die … Dau­er­te kei­ne Woche, dann saß der Kna­be beim Dienst­herrn. Sprach sich natür­lich auch im Ort her­um. Hat sich dann irgend­wann ver­set­zen las­sen. Die Ehe hat es wohl über­lebt.

Akt 3:

Die haben da so ein Bezahl­ter­mi­nal gelie­fert und in der Men­sa auf­ge­stellt. War erst nicht in mei­nem Netz, bis dann raus­kam, dass eini­ge SuS das Ding zum Sur­fen nutz­ten. Jetzt steht das Ding in mei­nem VLAN und mein Chip zum Bezah­len des Mit­tag­essens ist ja chro­nisch leer. Mal ein wenig Wire­shark lau­fen las­sen — hm, eine ver­schlüs­sel­te Ver­bin­dung. Oach, ich knal­le dem Gerät ein­fach den Root­key mei­ner eige­nen CA rein und kann so die Kom­mu­ni­ka­ti­on mit Man-in-the-midd­le auf­bre­chen. Was an eini­gen Schwei­zer Schu­len zum Fil­tern des Inter­net­ver­kehrs für SuS genutzt wird, kann ja nicht so böse sein. So. Der Mar­vin lädt gera­de sei­nen Chip auf. Dank der dil­le­tan­ti­schen Umset­zung des Ses­si­onma­nage­ments kann ich das Geld etwas umlei­ten. Jetzt aber schnell abmamp­fen, bevor Mar­vins Eltern mer­ken, dass der Bank­ein­zug nicht zur Auf­la­dung des Chips führ­te.

Die Geschich­ten machen aber klar, was ein gewief­ter Auto­di­dakt im Prin­zip tun könn­te. Die Opfer sind dem ohne infor­ma­ti­sches Grund­wis­sen wehr­los aus­ge­setzt. Beson­ders bit­ter fin­de ich die zwei­te Geschich­te. Ein Anwalt müss­te ver­su­chen, die „Bewei­se” zu ent­kräf­ten und es steht die Aus­sa­ge einer „kom­pe­ten­ten Per­son” und es ste­hen Log­da­tei­en dage­gen — zudem müss­te man erst auf die Idee kom­men, wie die­ser Angriff funk­tio­niert (es ist übri­gens wahr­schein­lich viel leich­ter, das über das Han­dy des Opfers zu machen). Außer­dem hät­te unser Admi­nis­tra­tor wahr­schein­lich sogar auch Zeit, sei­ne Taten noch wei­ter zu ver­schlei­ern.

Ich bin der Mei­nung, dass wir infor­ma­ti­sche Grund­bil­dung flä­chen­de­ckend benö­ti­gen.

Ich muss doch auch nicht ver­ste­hen, wie der Motor eines Autos funk­tio­niert, um von A nach B zu kom­men!”

Das Argu­ment hal­te ich für falsch. Auto­fah­ren betrifft einen Teil­be­reich der Mobi­li­tät — das Digi­ta­le bestimmt mitt­ler­wei­le extrem vie­le Lebens­be­reich.

Die Stun­den­plä­ne sind doch jetzt schon total voll. Wel­ches Fach soll denn dafür ent­fal­len?”

Kei­nes. Um es mit Gun­ter Dueck zu sagen: „Dafür muss nichts wei­chen, das müs­sen wir jetzt eben auch noch machen!”, weil 

  • Wis­sen und Kom­pe­ten­zen in die­sem Bereich Stand­ort­fak­to­ren für jede Regi­on in Deutsch­land sein wer­den.
  • Wis­sen und Kom­pe­ten­zen in die­sem Bereich wich­tig für die Teil­ha­be an demo­kra­ti­schen Pro­zes­sen sein wer­den — war­um leh­nen Infor­ma­ti­ker z.B. elek­tro­ni­sche Wah­len vehe­ment oft ab?
  • Infor­mel­le Selbst­be­stim­mung als Grund­recht ohne Wis­sen und Kom­pe­ten­zen in die­sem Bereich ein Witz ist.

Ich fin­de, das reicht auch schon an Begrün­dung.

Noch ein Sei­ten­hieb: Medi­en­kom­pe­tenz erscheint offen­bar eini­gen Play­ern als Ersatz oder Mög­lich­keit, erst­mal „rea­lis­tisch” zu begin­nen. Ich hal­te Kom­pe­ten­zen ohne soli­de Wis­sens­grund­la­ge für weit­ge­hend sinn­be­freit — Gesprä­che mit Aus­bil­dungs­be­trie­ben und Ver­wal­tun­gen bestär­ken mich in die­ser Annah­me.

Schmerzen — für Administratoren

Wenn wir Admi­nis­tra­to­ren von „Schmer­zen” reden, mei­nen wir damit oft Set­ups, die recht kom­plex sind und sich nur durch extrem viel Durch­hal­te­ver­mö­gen rea­li­sie­ren las­sen. Ein gutes Bei­spiel sind Ver­zeich­nis­diens­te - durch mei­ne Linux­nä­he ins­be­son­de­re openLDAP. Bei die­sem Dienst hat man das Gefühl, als ob die Ent­wick­ler nor­ma­les „Fuß­volk” gar nicht wol­len.

Den­noch feie­re ich hier einen Durch­bruch nach dem ande­ren. Im Prin­zip läuft das zunächst für mich dar­auf hin­aus, dass ich Sin­gle-Sign-On (ein Pass­wort für alles) jetzt extrem aus­wei­ten kann, z.B. mei­ne Klas­sen­blogs und -wikis jetzt auch recht sicher mit den Anmel­de­da­ten nut­zen kann, die die SuS auch im Schul­netz­werk ver­wen­den. In Own­cloud kann ich sogar Grup­pen aus dem Schul­netz­werk über­neh­men. Oder ein schul­über­grei­fen­des WLAN auf­span­nen. Davon mache ich nahe­zu nichts. Aber ich könn­te jetzt schon auf eine Anfor­de­rung reagie­ren, die mit zieim­li­cher Sicher­heit irgend­wann kom­men wird.

Wer mei­ne „Schmer­zen” live erle­ben will, kann sich mei­ne Doku­men­ta­ti­on dazu zu Gemü­te füh­ren. Als Anwen­der muss man dafür schon sehr hart sein :o)… Viel­leicht fin­det der eine oder ande­re tech­nisch inter­es­sier­te auch auf der Haupt­sei­te etwas.

Friendly fire

Fri­end­ly Fire (engl. befreun­de­ter Beschuss) bzw. Freund­be­schuss ist ein euphe­mis­ti­scher Aus­druck aus dem US-ame­ri­ka­ni­schen Mili­tär­jar­gon, der den irr­tüm­li­chen Beschuss eige­ner oder ver­bün­de­ter Streit­kräf­te in einer krie­ge­ri­schen Aus­ein­an­der­set­zung bezeich­net. (Wiki­pe­dia)

… dabei klingt die ver­meint­lich direk­te Über­set­zung so hübsch. Ich hal­te „fri­end­ly fire” für die Ursa­che Num­mer 1, war­um Hob­by-Admins so oft an ihren Auf­ga­ben ver­zwei­feln. Aber wel­che Art des Beschus­ses gibt es denn in die­sem Auf­ga­ben­feld?

An den Schu­len in Deutsch­land enga­gie­ren sich unzäh­li­ge Leh­rer- und Leh­re­rin­nen für ihre Schu­le (eigent­lich ihren Schul­trä­ger, der das eigent­lich bezah­len müss­te), um das Schul­netz für Kol­le­gin­nen und Kol­le­gen am Lau­fen zu hal­ten. Ich wür­de vor allem letzt­ge­nann­te Per­so­nen­grup­pe ein­mal als Ana­lo­gie zu den „eige­nen bzw. ver­bün­de­ten Streit­kräf­ten” sehen. „Beschuss” kommt nach mei­ner Wahr­neh­mung prin­zi­pi­ell aus die­ser Rich­tung, weil z.B.

  1. nichts wie zu Hau­se ist
  2. die eigens ange­schaff­te Lern­soft­ware mit dem Netz nicht will (nicht dass man den Admin vor­her gefragt hät­te, ob das gin­ge)
  3. Open­Of­fice benutzt wer­den muss, wo doch zu Hau­se das Paket von Klein­weich läuft
  4. das Netz wegen der Eigen­ad­mi­nis­tra­ti­on doch auch ein­mal, wenn auch sel­ten aus­fällt
  5. alles sowie­so viel zu lang­sam geht — das ADmin macht ja schließ­lich nichts „Sicht­ba­res” (muss even­tu­ell an dem Prin­zip von Rechnern/Software lie­gen)

Schü­ler soll man ja immer loben und bestä­ti­gen, damit sie ori­en­tiert sind. Für den Admin bleibt da oft nix mehr nach mit dem Lob — allein „fri­end­ly fire” schwelt immer wie­der vor sich hin — dum­mer­wei­se nicht aus­schließ­lich im Hin­blick auf die Sphä­re der Admins (so man­che Schul­lei­tung, man­cher A14er wird da auch ein Lied von sin­gen kön­nen) — aber das ist eine ganz ande­re Geschich­te.