Bastard Operator from Hell (BOFH)

Als Administrator schwelgt man hin und wieder in Allmachtsfantasien. Wenn man seine User soweit erzogen hat, dass sie die vage Möglichkeit verwerfen, der Administrator sei fehlbar und stattdessen de Fehler bei sich selbst suchen, hat man einiges erreicht. Man ist Zauberer, genial und die User wundern sich, wie ein einzelner Mensch so viel hinbekommen kann. Aber es ist keine Zauberei – es ist informatische Grundbildung, bzw. basiert darauf.

Diese Situation ist eine ihrer Struktur nach autoritäre und basiert auf Wissens- und Kompetenzunterschieden. Diese Struktur ist sehr, sehr gefährlich und nicht umsonst hat auch an Schulen der Gesetzgeber Instanzen ersonnen, die die Arbeit von Administratoren kontrollieren sollten – z.B. Datenschutzbeauftragte oder Schulleitungen. Wahrscheinlicher scheint mir, das viele Administratoren an Schulen im Prinzip Stakeholder in ideellen Machtpositionen sind, deren Einfluss in den nächsten Jahren expandieren wird. Auch das ist ein Problem. Vor allem auch für die Schulentwicklung, für die ich ohne IT-gestützte Verfahren keinen Freiraum sehe.

Ich arbeite daher in meinem Landkreis mit an einem Projekt, dieses Problem zu entschärfen durch Strukturen, die nicht auf dem Prinzip der ideellen Macht basieren. Ich arbeite im Prinzip mit daran, mich selbst in der Funktion eines Administrator abzuschaffen.

Wenn ich sehr böse wäre, könnte ich vielleicht versucht sein, folgende Dinge zu tun (in jeder Geschichte sind Fehler eingebaut).

Akt 1:

Das Ende der Sommerferien naht. Ich habe keinen Bock auf Unterricht. Mal überlegen. Ach, da gibt es ja die Schulbuchausleihe, die mittlerweile komplett IT-gestützt arbeitet. Ohne Bücher kein Unterricht. Klickediklickediklack – einfach mal ein MySQL-Statement, welches die Datenbank von der Konsole aus zerfetzt. Hihi.

Der Anruf dauert nicht lange: „Wir können überhaupt keine Daten mehr abrufen und verwalten! – Die SuS brauchen ihre Bücher, dringend“ Ich so: „Oh. Da hat wohl die Festplatte einen ihrer Schreibfehler gemacht, die statistisch ja immer auftreten. Da reicht ja schon ein Meson aus dem Weltall.“ Sie so: „Aha, UND JETZT?“ Ich: „Oach, ich rufe mal den Chef an, damit der mich für zwei Tage freistellt, damit ich das wieder flicken kann, das ist ja schon integral für die Schule.“

Zwei Tage später habe ich den neuen Egoshooter durch und spiele dann innerhalb von fünf Minuten eine der Sicherungen ein. Natürlich wird mir für meinen Einsatz auf der nächsten Dienstversammlung überschwänglich gedankt. Man, ich sah aber auch echt gerädert nach den zwei durchgezockten Nächten aus.

Akt 2:

Boah, was geht mir der Koordinator da auf den Sack mit seiner Penetranz, was das Ausfüllen dieser idiotischen Kurshefte angeht. Na, dann wollen wir mal seine Pension etwas kürzen. Sein häusliches WLAN strahlt in klarer Winternacht recht weit in die Natur. Mal schnell einen kleine Raspi mit Akku vor seinem Haus in die Botanik geworfen und den WLAN-Schlüssel bruteforcen. Langweilig. Dauert nicht mal zwei Tage. Jetzt noch die MAC-Adresse seines Rechners abfischen, ein wenig MAC-Spoofing und schon habe ich seine IP, unter der ich dann mal einschlägiges Material auf den Schulserver in seinen Account lade – das mit dem Passwort war nicht weiter schwierig, weil er den Datei- und Mailaustausch über unverschlüsselte Verbindungen abwickelt.

Mit betretener Miene klopfe ich zwei Tage später beim Chef. Das Monitoring hätte routinemäßig die Dateigrößen überprüft und sei dabei auf eine HD-Datei gestoßen, die … Dauerte keine Woche, dann saß der Knabe beim Dienstherrn. Sprach sich natürlich auch im Ort herum. Hat sich dann irgendwann versetzen lassen. Die Ehe hat es wohl überlebt.

Akt 3:

Die haben da so ein Bezahlterminal geliefert und in der Mensa aufgestellt. War erst nicht in meinem Netz, bis dann rauskam, dass einige SuS das Ding zum Surfen nutzten. Jetzt steht das Ding in meinem VLAN und mein Chip zum Bezahlen des Mittagessens ist ja chronisch leer. Mal ein wenig Wireshark laufen lassen – hm, eine verschlüsselte Verbindung. Oach, ich knalle dem Gerät einfach den Rootkey meiner eigenen CA rein und kann so die Kommunikation mit Man-in-the-middle aufbrechen. Was an einigen Schweizer Schulen zum Filtern des Internetverkehrs für SuS genutzt wird, kann ja nicht so böse sein. So. Der Marvin lädt gerade seinen Chip auf. Dank der dilletantischen Umsetzung des Sessionmanagements kann ich das Geld etwas umleiten. Jetzt aber schnell abmampfen, bevor Marvins Eltern merken, dass der Bankeinzug nicht zur Aufladung des Chips führte.

Die Geschichten machen aber klar, was ein gewiefter Autodidakt im Prinzip tun könnte. Die Opfer sind dem ohne informatisches Grundwissen wehrlos ausgesetzt. Besonders bitter finde ich die zweite Geschichte. Ein Anwalt müsste versuchen, die „Beweise“ zu entkräften und es steht die Aussage einer „kompetenten Person“ und es stehen Logdateien dagegen – zudem müsste man erst auf die Idee kommen, wie dieser Angriff funktioniert (es ist übrigens wahrscheinlich viel leichter, das über das Handy des Opfers zu machen). Außerdem hätte unser Administrator wahrscheinlich sogar auch Zeit, seine Taten noch weiter zu verschleiern.

Ich bin der Meinung, dass wir informatische Grundbildung flächendeckend benötigen.

„Ich muss doch auch nicht verstehen, wie der Motor eines Autos funktioniert, um von A nach B zu kommen!“

Das Argument halte ich für falsch. Autofahren betrifft einen Teilbereich der Mobilität – das Digitale bestimmt mittlerweile extrem viele Lebensbereich.

„Die Stundenpläne sind doch jetzt schon total voll. Welches Fach soll denn dafür entfallen?“

Keines. Um es mit Gunter Dueck zu sagen: „Dafür muss nichts weichen, das müssen wir jetzt eben auch noch machen!“, weil 

  • Wissen und Kompetenzen in diesem Bereich Standortfaktoren für jede Region in Deutschland sein werden.
  • Wissen und Kompetenzen in diesem Bereich wichtig für die Teilhabe an demokratischen Prozessen sein werden – warum lehnen Informatiker z.B. elektronische Wahlen vehement oft ab?
  • Informelle Selbstbestimmung als Grundrecht ohne Wissen und Kompetenzen in diesem Bereich ein Witz ist.

Ich finde, das reicht auch schon an Begründung.

Noch ein Seitenhieb: Medienkompetenz erscheint offenbar einigen Playern als Ersatz oder Möglichkeit, erstmal „realistisch“ zu beginnen. Ich halte Kompetenzen ohne solide Wissensgrundlage für weitgehend sinnbefreit – Gespräche mit Ausbildungsbetrieben und Verwaltungen bestärken mich in dieser Annahme.