17.05.2011
1
LAN Support im pädagogischen Netz
der allgemeinbildenden Schulen
Informationsveranstaltung, 12. Mai 2011
Behörde für Schule und Berufsbildung
Referat Schulische Medienausstattung, Fachverfahren und Beratung – V11 –
Behörde für Schule und Berufsbildung
Agenda
1. Kundenzentrum Schul-IT
2. LAN Support im pädagogischen Netz
• Vorstellung des Support-Modells
• Ergebnisse der Pilotierung
• Vorstellung LAN-Management durch dataport
• Vorstellung des Schul-Support-Services (3S)
3. Gefährdungen der IT- und Netzwerksicherheit
• Verletzlichkeit der IT-Infrastruktur
• Cyber Kriminalität
4. Fragen und Diskussion
LAN Support 12.05.2011 2 von 28
17.05.2011
2
Behörde für Schule und Berufsbildung
1. Kundenzentrum Schul-IT – V112
Kundenzentrum als
• Zentrale Steuerungs- und Koordinierungsinstanz
über alle schulischen IT-Dienstleister
• Zentrale Anlaufstelle für alle Fragen zur IT und zu
digitalen Medien
Aufgabenbereiche
• Beratung der Schulen zum Thema IT-Ausstattung in
der Schulverwaltung
• Unterstützung der Anwender bei Fragen oder
Problemen in den IT-Fachverfahren (LuSD, ZSR,
PbOn, VOrM, KSP)
Fragen zur Schul-IT im pädagogischen Bereich
werden z.Zt. durch Frau Traub (LI) beantwortet.
LAN Support 12.05.2011 3 von 28
Behörde für Schule und Berufsbildung
1. Kundenzentrum Schul-IT
LAN Support 12.05.2011 4 von 28
http://schul-it.hamburg.de
öffentlich zugänglich
Geschützter Bereich:
Kennung: bsb.schul-it
Passwort: it250310!
17.05.2011
3
Behörde für Schule und Berufsbildung
2. LAN Support im pädagogischen Netz
Ausgangslage:
Sonderinvestitionsprogramm (SIP-2010)
• LAN-Vernetzung der Schulen
• schulinterne pädagogische Vernetzung
• WAN Anschluss an das FHH-Netz
• Leistungsfähige 10MBit Anbindung an
das FHH-Netz und Internet
• Interaktive Whiteboards
• Moderne neue Medien im Unterricht
Ziel:
Verbesserter Standard und Qualität der IT-
Infrastruktur für Verwaltung und Pädagogik
LAN Support 12.05.2011 5 von 28
FHH-
Netz
Internet
Behörde für Schule und Berufsbildung
2. LAN Support im pädagogischen Netz
SIP 2010 Vernetzung
• standardisierte, strukturierte Verkabelung
• Einbau hochwertiger Cisco-Komponenten
• aktuelle LAN-Dokumentation
• zentrales Netzwerk-Management
(Verwalten und Überwachen der Konfiguration)
Wartungsumfang LAN-Support
• Netzwerkdosen
• LAN-Verkabelung
• Aktive Komponenten
LAN Support ist verbindlich!
LAN Support 12.05.2011 6 von 28
17.05.2011
4
Behörde für Schule und Berufsbildung
2. LAN Support im pädagogischen Netz
Zentrales Supportmodell:
• Schnelle Hilfe „aus einer Hand“ für die Schulen
• Schulen werden von Netzwerkaufgaben entlastet
• Einheitlicher Standard an allen Schulen
Pilotierungsphase
• Pilotierung mit ca. 90 Schulen
• Zeitraum: 12/2009 – 04/2011
• Anzahl Ticket: 49
Regelbetrieb
• Alle Schulen, die SIP2010 Standard vernetzt sind
LAN Support 12.05.2011 7 von 28
Behörde für Schule und Berufsbildung
Supportfälle in der Pilotierungsphase
LAN Support 12.05.2011 8 von 28
2. LAN Support im pädagogischen Netz
Netzdose43%
Netzwerkeinstellungen
10%
Aktive Komponten
25%
WAN Anbindung
8%
Verkabelung6%
Dienste / DHCP
8%
17.05.2011
5
Behörde für Schule und Berufsbildung
2. LAN Support im pädagogischen Netz
LAN Support - Prozess
LAN Support 12.05.2011 9 von 28
Schule
Störungsannahme und Vorklärung- Ist es tatsächlich ein Netzproblem?
- Welche Komponente ist ausgefallen?
Störungsbehebung bei Netzproblemen- Austausch von Komponenten (z.B. LAN-Dose)
- Konfiguration von aktiven Komponenten
Netzproblem
Behörde für Schule und Berufsbildung
2. LAN Support im pädagogischen Netz
LAN Support - Endgerätefehler
LAN Support 12.05.2011 10 von 28
Schule
Störungsannahme und Vorklärung- Ist es tatsächlich ein Netzproblem?
Nein, Endgerätefehler
Störungsbehebung
Schul-Support von 3S
Netzproblem
Dienstl. Störungsbehebung
Schule Rückmeldung
17.05.2011
6
Behörde für Schule und Berufsbildung
2. LAN Support im pädagogischen Netz
LAN Support 12.05.2011 11 von 28
LAN Management
• Proaktive Überwachung der Komponenten
• Komponenten liefern Informationen, u.a.
• Antwortzeitverhalten
• CPU Auslastung
Behörde für Schule und Berufsbildung
2. LAN Support im pädagogischen Netz
Voraussetzungen für den zentralen Support
• Vernetzung vor Ort muss mit der hinterlegten Dokumentation
des Netzwerkmanagements übereinstimmen
• Netzänderungen müssen zentral gesteuert, dokumentiert
und in das zentrale Netzwerk-Management eingepflegt
werden
• Keine Kaskadierung von Netzwerkkomponenten
Netzwerkänderungen / -erweiterungen
• Anträge an das Kundenzentrum Schul-IT
LAN Support 12.05.2011 12 von 28
17.05.2011
7
Behörde für Schule und Berufsbildung
2. LAN Support im pädagogischen Netz
Zwischenfazit
• Einheitlicher Standard der LAN-Vernetzung an Schulen
• Zentrale Wartung des pädagogischen Netzes
• Störungsmeldung an den Schul-Support-Service (3S)
• Netzwerkänderungen zentral über die BSB
LAN Support 12.05.2011 13 von 28
Behörde für Schule und BerufsbildungSchul-Support-Service
Exkurs: 3S - Kooperationsprojekt
HAMBURGER INFORMATIK
TECHNOLOGIE-CENTER
Behörde für Schule
und Berufsbildung
17.05.2011
8
Behörde für Schule und BerufsbildungSchul-Support-Service
Exkurs: 3S - Aufgaben
Entlastung der Schulen bei Systembetreuung und Wartung
NEU: Netzwerksupport (LAN*) für Hamburger Schulen
* LAN = Local Area Network
Behörde für Schule und Berufsbildung
3. Gefährdung der IT- und Netzwerksicherheit
Viren Würmer Trojaner
Gefährdungen der IT- und Netzwerksicherheit – auch an Schule?
LAN Support 12.05.2011 16 von 28
17.05.2011
9
Behörde für Schule und Berufsbildung
IT Sicherheitsrisiken an Schulen?
• 64% aller IT-Verantwortlichen an Schulen haben
mindestens zwei Mal im Jahr schwerwiegende
Systemausfälle / unautorisierte Zugriffe
• 90% nutzen AntiViren Software
(Umfrage an Schulen in der USA, Februar 2011)
• 37 Sicherheitsvorfälle an Hamburger Schulen
(11/2010-02/2011)
• Gründe:
• Kein Anti-Viren-Schutz Programm im Einsatz
• Nutzung verseuchter USB-Sticks
• Schulfremde PCs eingebunden
• Integration in Bot-Netzen
LAN Support 12.05.2011 17 von 28
3. Gefährdung der IT- und Netzwerksicherheit
Behörde für Schule und Berufsbildung
3. Gefährdung der IT- und Netzwerksicherheit
1. Verletzlichkeit der IT Infrastruktur
• Wireless LAN (W LAN)
• Private Endgeräte
2. Cyber Kriminalität
• Botnetz (Botnet)
• Malware (Viren, Würmer & Trojaner)
Aufbau der Betrachtung
1. Definition & Bedeutung
2. Risikoklassifizierung
3. Gegenmaßnahmen
LAN Support 12.05.2011 18 von 28
17.05.2011
10
Behörde für Schule und Berufsbildung
3. Gefährdung der IT- und Netzwerksicherheit
1. Verletzlichkeit der IT Infrastruktur- WLAN (1/3)
Vorteile
• Höhere Mobilität im Vergleich zum LAN
• Bessere Interkonnektivität
Nachteile
• Geringe Übertragungsrate
• Geringere Sicherheit
• Schwierige Abgrenzung nach draußen
LAN Support 12.05.2011 19 von 28
Behörde für Schule und Berufsbildung
3. Gefährdung der IT- und Netzwerksicherheit
1. Verletzlichkeit der IT Infrastruktur- WLAN (2/3)
Gesetzeslage:
• Im Zweifel haftet für jeden Missbrauch immer
derjenige, der den Zugang zur Verfügung stellt
und dem die ermittelte IP-Adresse zugeordnet
werden kann (BGH, Az. I ZR 121/08)
• Störerhaftung besteht nur in zivilrechtlichen
Verfahren, insbesondere in „Filesharing-Fällen“
• Im Bereich des Strafrechts muss der jeweilige
Up- oder Download konkret nachgewiesen
werden. Aber: Anfangsverdacht gegen den
Anschlussinhaber
LAN Support 12.05.2011 20 von 28
17.05.2011
11
Behörde für Schule und Berufsbildung
3. Gefährdung der IT- und Netzwerksicherheit
1. Verletzlichkeit der IT Infrastruktur- WLAN (3/3)
Sicherheitsmaßnahmen
• Ändern des werkseitig eingestellten Passwortes
• nur temporäres, pädagogisches WLAN-Netz
• WPA2 Verschlüsselung mit AES
• 32 Zeichen langes Passwort mit Zahl, Sonderzeichen, Groß- & Kleinschreibung
• nur registrierte Geräte den Zugang erlauben (Access Control List)
• Serverauthentifizierung von Benutzer
• Portsperre
• Protokollierung des Zugriffs
LAN Support 12.05.2011 21 von 28
Behörde für Schule und Berufsbildung
3. Gefährdung der IT- und Netzwerksicherheit
1. Verletzlichkeit der IT Infrastruktur- private Endgeräte
Rechtslage
• „Richtlinie zur Verwendung privater Datenverarbeitungsgeräte (z. B.
Personalcomputer) für dienstliche Verarbeitung personenbezogener
Daten durch Lehrkräfte außerhalb von Diensträumen“
• 3 Datensicherheit: „ […] Ausnahmslos unzulässig ist eine Vernetzung mit
Datenverarbeitungsgeräten, die für Unterrichtszwecke verwendet werden. Gleiches
gilt für den Austausch von Datenträger. […]“
• 6 Private Datenverarbeitungsgeräte in Diensträumen: „ Die Verwendung privater
Datenverarbeitungsgeräte von Bediensteten für die Verarbeitung
personenbezogener Daten in Diensträumen ist grundsätzlich unzulässig […]“
• Novellierung der Schuldatenschutzverordnung
LAN Support 12.05.2011 22 von 28
17.05.2011
12
Behörde für Schule und Berufsbildung
3. Gefährdung der IT- und Netzwerksicherheit
2. Cyber Kriminalität - Botnetze (1/2)
Definition:
• Bot: erledigt selbständig sich wiederholende Aufgaben z.B. Webcrawler
von Internet-Suchmaschinen
• Bots kommunizieren untereinander, über Netzwerkanbindung der
Rechner
• Bots stellen für den Betreiber eines Netzes verschiedene Dienste zur
Verfügung
Bedrohungslage:
• 473.480 gezählte Bots (2010)
• Netzwerk-Verbund zur Verteilung von Viren, Spam und Phishing-Mails
• Jeder fünfte europäische Bot steht in Deutschland (Q: Spiegel Online)
LAN Support 12.05.2011 23 von 28
Behörde für Schule und Berufsbildung
3. Gefährdung der IT- und Netzwerksicherheit
LAN Support 12.05.2011 24 von 28
2. Cyber Kriminalität - Botnetze (2/2)
Entstehung und Verwendung von Botnetzen
1. Infizieren ungeschützter Rechner
2. Eingliederung in das Botnetz
3. Verkauf des Botnetz-Dienstes
4./5.Ausnutzen des Botnetzes
Beispiel: Mariposa Botnet (2009)
•Verbreitung: Tauschbörsen & USB-Sticks
•Größe: 13 Mio. Rechner (190 Länder)
•Ziel: Datenklau (800.000 Anwender)
•Online-Banking, Zugangsdaten
•Dienstleistung, DoS-Attacke
•Verhaftet: 3 Spanier & 3 Slowaken (2010)
17.05.2011
13
Behörde für Schule und Berufsbildung
3. Gefährdung der IT- und Netzwerksicherheit
2. Cyber Kriminalität – Malware (1/5)
Viren
• Einbettung in Bootbereich oder andere Dateien
• Virus wird Mithilfe des Anwenders verbreitet
• Bekannt seit 1984 (Fred Cohen)
• Seit 2002 mehr im Nischenbereich, dafür mehr Würmer
Würmer
• Verbreiten sich durch Netzwerk / Wechselmedien
• Nutzt bestehende Infrastruktur, bspw. Versand per E-Mail
• Nicht kontrollierbare Veränderungen am System
Trojaner
• Tarnt sich als nützliche Anwendung, erfüllt im Hintergrund ohne
Wissen des Anwenders eine andere Funktion aus
LAN Support 12.05.2011 25 von 28
Behörde für Schule und Berufsbildung
2. Cyber Kriminalität – Malware (2/5)
Beispiele:
• 1999 – Melissa
• E-Mail-Wurm, Versand Millarden E-Mails
• 2003 – Slammer
• 75.000 Rechner in 10 Minuten infiziert
• 2007 – Storm-Virus
• E-Mail-Anhang; verspricht Film
• aber: Storm-Botnet Spam-Versand
3. Gefährdung der IT- und Netzwerksicherheit
LAN Support 12.05.2011 26 von 28
David L.Smith, Programmierer
20 Monate Gefängnis
Ausbreitung Slammer
30 Minuten nach
Veröffentlichung
17.05.2011
14
Behörde für Schule und Berufsbildung
3. Gefährdung der IT- und Netzwerksicherheit
2. Cyber Kriminalität – Malware (3/5)
Rechtliches
• SPAM-Versand ist sittenwidrig und verstößt gegen 1 UWG und stellt ein
Unterlassenbegehren ( 823 BGB) dar. Streitwert 3.000 EUR (LG HH, 2006)
• Malware: Vorbereiten des Ausspähens und Abfangens von Daten ( 202c
StGB):
Wer eine Straftat nach 202a oder 202b vorbereitet, in dem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten ermöglicht,
oder
2. Computerprogramm, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt,
verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder
mit Geldstrafe bestraft.
• Damit auch betroffen: sicherheitstechnische Prüfungen unter Einsatz von
Malware (Penetrationstests, Virenabwehr etc.)
LAN Support 12.05.2011 27 von 28
Behörde für Schule und Berufsbildung
3. Gefährdung der IT- und Netzwerksicherheit
2. Cyber Kriminalität – Malware (4/5)
Schutz durch Software
• Virenscanner spürt Viren, Würmer und Trojaner auf und versucht diese zu
blockieren & zu beseitigen
• Grenze: nur bekannte Schadsoftware wird erkannt
• Risiko: Schadsoftware kann AV-Software deaktivieren / manipulieren
Antiviren Software für die Schulen verfügbar:
• F-PROT Antivirus for Windows
• Lizenzkontingent der BSB
• Lizenzkosten trägt die BSB
• Ansprechpartner: Frau Traub
LAN Support 12.05.2011 28 von 28
17.05.2011
15
Behörde für Schule und Berufsbildung
3. Gefährdung der IT- und Netzwerksicherheit
2. Cyber Kriminalität – Malware (5/5)
Weitere Schutzmaßnahmen
• Firewall: verhindert ungewollten, bösartigen Zugriff von außen auf Netzwerk
• Wächter-Karte: schützt Betriebssystem und andere vor Manipulationen
• Benutzerkonten: eingeschränkter Zugriff auf das System
• Image: Einspielen eines „sauberen“ Abbildes der Festplatte
Image Software für Schulen verfügbar:
• Symantec Ghost Solution Suite 2.5
• Beschränktes Lizenzkontingent der BSB
• Nutzung nur mit Teilnahme an einer Einführung
Aktuell: Einführung 23.05. + 30.05.2011 (17-20h)
• Ansprechpartner: Frau Traub
LAN Support 12.05.2011 29 von28
Behörde für Schule und Berufsbildung
3. Gefährdung der IT- und Netzwerksicherheit
Fazit
• Latente Bedrohung der IT- und Netzwerk-Sicherheit
• Soviel Schutz wie möglich, durch den Einsatz von
• Anti-Viren Software
• Wächterkarte
• So wenig Öffnungen wie möglich, durch
• reglementierter Zugangs zum Netz
• umfassende Zugriffskontrolle
LAN Support 12.05.2011 30 von 28
17.05.2011
16
Behörde für Schule und Berufsbildung
Vielen Dank für Ihre Aufmerksamkeit …
LAN Support 12.05.2011 31 von 30
… und eine gute Heimfahrt!