Über das Ausspähen von Daten

Ich nut­ze gera­de infla­tio­när güns­ti­ge WLAN-Rou­ter von TP-Link, die ich mit einer alter­na­ti­ven Firm­ware aus­stat­te, um das WLAN-Netz der Schu­le zu opti­mie­ren. Die Firm­ware ver­fügt über eine SNMP-Funk­ti­on, mit der ich so eini­ges aus den Gerä­ten mit Hil­fe von Cac­ti – einem kom­for­ta­blen Front­end für RRD­Tool – aus­le­sen kann. Da kommt dann z.B. so etwas her­aus (kli­cken zum Ver­grö­ßern):

Auf der y‑Achse ist im ers­ten Dia­gramm die Anzahl der in die­sen Acces­s­point ein­ge­buch­ten Cli­ents auf­ge­tra­gen, im zwei­ten der ein- und aus­ge­hen­de Gesamt­traf­fic (Daten­ver­kehr). Die x‑Achse bil­det einen Zeit­strahl der zurück­lie­gen­den Woche. Der WLAN-Teil des Rou­ters ist außer­halb der Schul­zeit deak­ti­viert. Was sagen mir die­se Daten?:

  • Die­ser Rou­ter­typ ver­sorgt pro­blem­los elf mobi­le Gerä­te gleich­zei­tig (aus Par­al­lel­mes­sun­gen weiß ich, dass es bis zu 18 sein kön­nen)
  • Der Rou­ter hat ein Pro­blem mit der kor­rek­ten Mel­dung der Basis­li­nie (ein Phan­tomcli­ent bleibt auch nach der Abschal­tung des WLAN-Chips)
  • Die­ser Rou­ter ist über einen Zeit­raum x am Leben gewe­sen
  • Wir haben viel out­bound-Traf­fic (was für das Inter­net eher unge­wöhn­lich ist, sich aber durch die Schul­cloud erklärt, über die der Datei­aus­tausch läuft)
  • Die Daten­men­ge, die die­ser Acces­s­point bewäl­tigt, ist doch eher gering

Die­se Daten brau­che ich, um zu ent­schei­den, wo ein wei­te­rer Aus­bau des WLAN not­wen­dig ist. Ich kann so recht früh­zei­tig Aus­fäl­le von Acces­s­points oder das Auf­tre­ten von merk­wür­di­gen Daten­men­gen iden­ti­fi­zie­ren. Die­se Daten sind über alle Nut­zer des WLAN gemit­telt und daher nicht per­so­na­li­sier­bar, selbst wenn ich es woll­te. Ich kann z.B. sagen, dass zu einem Zeit­punkt x extrem viel „gesaugt“ wur­de, aber nicht von wem oder ob das schlicht und ergrei­fend die ISO-Datei für den Kol­le­gen oder ein aktu­el­ler Kino­film war. Die­se Mes­sun­gen die­nen allein dazu, pro­ak­tiv auf Stö­run­gen und Eng­päs­se reagie­ren zu kön­nen, bevor der Frust mei­ner „Kun­den“ zu groß wird.

Wäre ich die Con­tent-Indus­trie, müss­te ich, um mei­ne Rech­te 100%ig zu schüt­zen, wei­te­re Daten erhe­ben – tech­nisch mög­lich, aber eine gan­ze Ecke auf­wen­di­ger, da ver­schie­de­ne Daten­be­stän­de ver­knüpft wer­den müs­sen (z.B. DHCP‑, Pro­xy- und SNMP-Daten):

  • die MAC-Adres­se des ein­ge­buch­ten Geräts
  • die von die­sem Gerät abge­ru­fe­nen Inter­net­sei­ten
  • die Inhal­te von jedem Daten­pa­ket, wel­ches zwi­schen Acces­s­point und End­ge­rät aus­ge­tauscht wird
  • usw.

Zu deutsch: Von jedem läge offen, was er/sie wann und wo im Netz gemacht hat. Ich bin froh, dass ich das nicht kann, will und darf. Ich bin froh, dass es im Fal­le von Straf­tat­be­stän­den eine Ermitt­lungs­be­hör­de gibt, die dafür vor­ge­se­hen und hof­fent­lich auch gut aus­ge­bil­det ist, ent­spre­chen­de Foren­sik zu betrei­ben. Die­se kann in einem begrün­de­ten Ver­dachts­fall einen rich­ter­li­chen Beschluss erwir­ken, nach dem ent­we­der ein paar Men­schen mit unse­rem Ser­ver unter dem Arm die Schu­le ver­las­sen oder hier zusätz­li­che Tech­nik auf­stel­len. Das ist nicht mei­ne Auf­ga­be, weil ich sowas wie ein tech­ni­scher Dienst­leis­ter bin – nicht mehr und nicht weni­ger.

Wel­che Aus­wir­kun­gen hät­te es auf mei­ne Schu­le, wenn bekannt wür­de, dass sys­te­ma­tisch Daten geloggt und aus­ge­wer­tet wer­den – wenn sich nie­mand mehr sicher sein kann, bei einer elek­tro­ni­schen Inter­ak­ti­on mit der Ver­trau­ens­leh­re­rin nicht „belauscht“ oder „auf­ge­zeich­net“ zu wer­den? Wie wäre es dann wohl um den Ein­satz „neu­er Medi­en“ im Unter­richt bestellt?

Wel­che Gesell­schaft hät­ten wir, wenn wir den Ansprü­chen von eini­gen Urhe­bern mit allen uns zur Ver­fü­gung ste­hen­den tech­ni­schen Mit­teln begeg­nen wür­den? Man kann das tech­nisch lösen. Das Pro­blem ist aber kein tech­ni­sches (wie mein Wunsch noch WLAN-Opti­mie­rung), son­dern ein sozio­lo­gi­sches: Wol­len wir wirk­lich in dem Bewusst­sein leben, dass unse­re gesam­te Kom­mu­ni­ka­ti­on stän­dig nach „Ver­bo­te­nem“ gescannt wird? Wol­len wir Pro­vi­dern und Dienst­leis­tern – als zivi­le Orga­ne – die­se Auf­ga­be wirk­lich über­tra­gen – schließ­lich hät­ten sie dann auch die „Daten­ho­heit“? Ich wür­de die­se Auf­ga­be nicht wol­len. Und die Urhe­ber wür­den bestimmt eine sol­che Gesell­schaft nicht wol­len.

WLAN-Planungen in der Schule

Plant man ein WLAN in der Schu­le, so hat man meh­re­re Mög­lich­kei­ten. Dabei set­ze ich ein­mal vor­aus, dass grund­sätz­li­che Funk­tio­nen, z.B. eine zen­tra­le War­tung (alle Acces­s­points zeit­ge­steu­ert deaktivieren/aktivieren, Gast­log­ins über z.B. Hot­spot­fä­hig­keit, mög­li­cher Auf­bau eines Mesh­net­zes – das ist übri­gens die Zukunft – usw.) umge­setzt wer­den. Außer­dem kal­ku­lie­re ich, dass irgend­wann zwi­schen 200–300 Gerä­te in die­sem Netz­werk gleich­zei­tig aktiv, d.h. nicht nur ange­mel­det sind.

Der Wunsch

Man lässt eine Fir­ma anrü­cken, die über ent­spre­chen­de Mess­tech­nik ver­fügt, um die gesam­te Schu­le aus­zu­leuch­ten. Auf die­se Wei­se ist rela­tiv schnell klar, wo wel­che Acces­s­points gesetzt wer­den müs­sen, um eine gute Abde­ckung zu errei­chen. Je nach Ergeb­nis des Mess­pro­to­kolls sind ggf. wei­te­re Instal­la­ti­ons­ar­bei­ten not­wen­dig. Nicht über­all lie­gen die erfor­der­li­chen Netz­werk­ka­bel und ggf. zusätz­li­che Strom­ver­sor­gun­gen. Ich bin übri­gens kein Freund von PoE-Lösun­gen, d.h. der Acces­s­point wird über das Netz­werk­ka­bel mit Strom ver­sorgt, da die dafür erfor­der­li­chen Swit­che nicht güns­tig sind und man sich eine mög­li­che Feh­ler­quel­le mehr auf das Netz­werk­ka­bel bringt. Ein schö­nes Nym-Kabel trans­por­tiert bis zu 3600 Watt und taugt dann auch für die Ver­sor­gung von Bea­mern, App­leTV oder sowas… Ein gute Fir­ma wird dann Busi­ness­ac­ces­s­points von Cis­co, Lan­com , Zyxel, Net­ge­ar usw. set­zen. Die Ein­stiegs­klas­se fängt bei sol­chen Gerä­ten um die 300–400 Euro je Gerät an – dafür neh­men sie aber auch wirk­lich 90–100 Cli­ents in ihre Funk­zel­le auf und hal­ten.

Je nach Grö­ße der Schu­le ist man recht flott bei 20–30.000 Euro – für ein gro­ßes Schul­zen­trum kön­nen es auch 50.000 Euro sein. Dafür hat man etwas Anstän­di­ges, um das man sich weder bei der Pla­nung noch bei der spä­te­ren War­tung groß­ar­tig küm­mern muss.Wenn man auf eine gute Doku­men­ta­ti­on ach­tet, kann man ggf. sogar die Fir­ma wech­seln, falls irgend­wann irgend­et­was nicht passt.

Die Rea­li­tät

  • Es gibt jen­seits grö­ße­rer Tech­no­lo­gie­zen­tren kaum Fir­men, die über ein ent­spre­chen­des Know-How ver­fü­gen, poten­ti­ell weit über 100 Gerä­te per WLAN zu ver­sor­gen. Sie ein­zu­flie­gen nützt nichts, da man immer noch Part­ner vor Ort für die War­tung braucht. Die Kos­ten für War­tungs­ver­trä­ge mit SLAs über­nimmt kaum ein Schul­trä­ger, weil das sei­ne finan­zi­el­le Mög­lich­kei­ten weit über­schrei­tet.
  • Ab 20.000 Euro Inves­ti­ti­ons­kos­ten – teil­wei­se deut­lich dar­un­ter – muss man schon sehr gut begrün­den, wenn man so etwas gebaut haben möch­te. Zwi­schen Antrag und Rea­li­sie­rung wer­den Jah­re mit Tech­no­lo­gie­sprün­gen lie­gen, die die vor­lie­gen­de Pla­nung bald über­ho­len.
  • Extern geplan­te Net­ze sind auf Zeit geplan­te Net­ze. Sie wer­den irgend­wann selbst von Tech­no­lo­gie­sprün­gen über­holt wer­den
  • Bei der Netz­werk­pla­nung sind oft meh­re­re Gewer­ke betei­ligt: Elek­tri­ker, Netz­werk­fir­men, Hard­ware­fir­men – oft passt hin­ter­her nix mehr zusam­men, kei­ner ist’s gewe­sen und Schuld hat immer der ande­re. Da es dann kei­ne Doku gibt, ver­ge­hen oft Stun­den, bis ein­fachs­te Pro­ble­me gelöst wer­den kön­nen – das fängt schon bei Pass­wör­tern für Kon­fi­gu­ra­ti­ons­ober­flä­chen an.
  • Als tech­nisch Ahnungs­lo­ser wird man die Zeit, die man sonst mit Bas­te­lei (und Lern­zu­wachs) ver­bracht hät­te, mit Tele­fo­nie­ren, Mah­nen, Hin­ter­her­lau­fen, Schimp­fen und Genervt­sein ver­brin­gen.

Unbe­ding­te Vor­aus­set­zung beim Auf­bau eines sol­chen Net­zes durch eine Fir­ma ist exter­ne Bera­tung. Die pro­jek­tiert ggf. auch kon­kre­te Pflich­ten­hef­te für die ein­zel­nen Gewer­ke und koor­di­niert wäh­rend der Bau­pha­se. Natür­lich sind da ent­spre­chen­de Stun­den­sät­ze zu kal­ku­lie­ren – aber das machen auch vie­le Haus­bau­er m.E. falsch: Der exter­ne Gut­ach­ter wird gespart, weil das Gut­ach­ten 3000–4000 Euro kos­tet. Bei einer ange­nom­me­nen Bau­sum­me von 200.000 Euro für ein EFH ist die­ser Betrag aber eher gering und spart unter Umstän­den durch Ver­mei­dung von Pla­nungs­feh­lern Nach­bes­se­run­gen, die schnell ein Viel­fa­ches der Kos­ten für einen Gut­ach­ter betra­gen.

Der Prag­ma­tis­mus

Der Prag­ma­tis­mus – vor allem der finan­zi­el­le – besteht dar­in, Din­ge selbst zu tun, die man selbst tun kann. Dazu gehö­ren nicht:

  • das Ver­le­gen von 230V-Lei­tun­gen und Set­zen von Steck­do­sen
  • das Durch­boh­ren von (Brandschutz-)Wänden zur Ver­le­gung von Netz­werk­ka­beln
  • die gemein­sa­me Ver­le­gun­gen von Netz­werk­ka­beln und 230V-Lei­tun­gen in einem Kanal (es gibt aber Kabel­ka­nä­le mit Trenn­steg)

Vie­le Haus­meis­ter sind aber gelern­te Elek­tri­ker und wis­sen über die VDE-Nor­men Bescheid. Sie dür­fen in der Regel nicht selbst aktiv wer­den, kön­nen aber Arbei­ten von Fir­men kon­trol­lie­ren. Din­ge, die man selbst tun kann, beschrän­ken sich also dar­auf, bereits vor­han­de­ne Instal­la­tio­nen zu nut­zen. Ab Netz­werk- oder Steck­do­se darf man mit einem fer­tig gekauf­ten Gerät han­tie­ren.

Kern mei­nes Han­tie­rens ist für mich zur­zeit die kos­ten­lo­se Rou­ter­dis­tri­bu­ti­on DD-WRT. Es han­delt sich um eine weit­ge­hend freie Firm­ware, also eine Art Betriebs­sys­tem für Rou­ter. Es wer­den unzäh­li­ge Model­le unter­stützt. Hier kann man schau­en, ob die vor­han­de­ne Hard­ware dazu­ge­hört. Das Schö­ne ist, dass DD-WRT auf jedem Rou­ter gleich aus­sieht – die Bedie­nung hängt also nicht mehr vom Typ des Rou­ters ab. Mit DD-WRT erhal­ten vie­le güns­ti­ge Rou­ter Funk­tio­nen, von denen wesent­lich teu­re­re Busi­ness-Acces­s­points träu­men – ich zäh­le hier mal die offen­sicht­lichs­ten auf:

  • an den Switch eines modi­fi­zier­ten Rou­ters kön­ne wei­ter Rou­ter ange­steckt wer­den (wei­te­rer WLAN-Aus­bau)
  • der Rou­ter kann als Acces­s­point, als Repea­ter oder als Bridge kon­fi­gu­riert wer­den – das ist gera­de in schlecht aus­ge­bau­ten Alt­bau­ten von ful­mi­nan­ter Bedeu­tung
  • Man kann eine Hot­spot­funk­tio­na­li­tät wie an Unis oder Hotels rea­li­sie­ren (der IServ bringt übri­ges fast alles dafür schon mit)
  • Vie­le Rou­ter kön­nen mit DD-WRT zeit­ge­steu­ert wer­den, d.h. das WLAN ist z.B. nachts oder an Wochen­en­den inak­tiv
  • usw.

DD-WRT ist sehr gut in Eng­lisch doku­men­tiert – auch deutsch­spra­chi­ge Foren gibt es. Für Linu­xer ist es auch kein Pro­blem, eine Zeit­steue­rung für das WLAN zu inte­grie­ren. DD-WRT bringt eine Kon­so­le mit, über die man via Script den WLAN-Chip ein und aus­schal­ten kann. Ich habe dafür einen Cron­job auf unse­rem IServ erstellt, der das per Key-Auth auf fast jedem Rou­ter bei uns in der Schu­le erle­digt. Oder man kann den WLAN-Schlüs­sel für die gesam­te Schu­le zen­tral per Kon­so­le set­zen… Ich hal­te bei­des für einen Sicher­heits­ge­winn.

Ich habe zur­zeit zwei Gerä­te­ty­pen mit DD-WRT hier im Schul­netz im Ein­satz: Den Link­sys WRT54GL als Para­de­ver­tre­ter von Sta­bi­li­tät und Robust­heit und den TP-Link TL-WR1043ND, den man mehr als „jun­gen Wil­den“ bezeich­nen kann. Bei­de wer­den von DD-WRT gut unter­stützt, beim TP-Link muss man die Zeit­steue­rung per Kon­so­le nach­rüs­ten, wäh­rend sie beim WRT54G über die Ober­flä­che ein­ge­stellt wer­den kann. Bei­de fun­ken nur m 2,4Ghz-Band – die nächs­ten Rou­ter bei mir wer­den auf jeden Fall dual­band­fä­hig sein, also auch 5Ghz unter­stüt­zen. Der TP-Link funkt auch im N‑Modus und erreicht hier übli­che Über­tra­gungs­ge­schwin­dig­kei­ten von 65–107Mbit/s, wäh­rend der Link­sys auf maxi­mal 54Mbit/s kommt (G‑Standard).

Kon­fi­gu­ra­ti­ons­tipps:

  1. Web­ober­flä­che nur per HTTPS zugäng­lich machen und auch die Sta­tus­sei­te von DD-WRT mit einem Pass­wort schüt­zen
  2. SSH-Zugriff nur über Key-Auth
  3. Alle Rou­ter einer Schu­le soll­ten unter einer ein­heit­lich SSID sen­den – dann klappt sogar „Han­do­ver“, bzw. man merkt nicht, dass man kurz­zei­tig beim AP-Wech­sel kei­ne IP hat. Ich kann fast durch das gan­ze Schul­ge­bäu­de lau­fen ohne die WLAN-Ver­bin­dung zu ver­lie­ren. Zudem ver­mei­den man bei uner­fah­re­nen Nut­zern, dass sie meh­re­re Netz­wer­ke ein­rich­ten müs­sen. Ist ein AP über­las­tet, sucht sich das Gerät zudem in der Regel einen ande­ren – wesent­lich(!) weni­ger Fra­gen von Benut­zern…
  4. N‑Router soll­ten nur die AES-Ver­schlüs­se­lung zulas­sen, da TKIP nur für WLAN‑G spe­zi­fi­ziert ist und man so nicht die N‑typischen hohen Daten­ra­ten erhält
  5. Die Rou­ter soll­ten ihre exter­ne IP nach Mög­lich­keit per DHCP bekom­men, weil ich so zen­tral am DHCP-Ser­ver bestim­men kann, wer wel­che IP erhält
  6. Ein extrem wich­ti­ger Hel­fer beim Set­zen der Acces­s­points ist ein Han­dy mit einem WLAN-Ana­ly­zer. Den gibt es für alle gän­gi­gen Mobil­platt­for­men.

Ande­res The­ma: Ist das mei­ne Auf­ga­be?

Nein. Aber wenn ich möch­te, dass mobi­les Ler­nen mög­lich wird, kann ich ent­we­der:

  • dar­auf war­ten, dass sich die uner­müd­li­cher For­de­rer poli­tisch durch­set­zen, so dass der Schul­trä­ger zum Han­deln gezwun­gen wird. Lei­der sehe ich wenig Einig­keit dar­über, was denn der Stan­dard sein soll oder in wel­chem Bereich er sich bewegt.
  • heu­te etwas tun, um die bestehen­de Situa­ti­on kon­kret zu ver­bes­sern. Dazu bedarf es nichts außer der Bereit­schaft in die­sem tech­ni­schen Bereich zu ler­nen – das Wis­sen dazu ist im Netz.
  • bei­des kom­bi­nie­ren

Rea­li­tät ist, dass sich ein­zel­ne Leh­rer zur­zeit aus Not selbst etwas bas­teln, z.B. mit dem mit­ge­brach­ten Hot­spot. Das kann ich auch und habe es lang so gemacht. Es nützt dem Sys­tem Schu­le m.E. aber über­haupt nichts. Die Abhän­gig­kei­ten wer­den nur ande­re. Daten müs­sen irgend­wo lie­gen, um aus­ge­tauscht zu wer­den. Eine Schul­cloud fin­de ich sym­pa­thi­scher als Web2.0‑Dienste oder im bes­te Fall ange­mie­te­ten Webspace.