Follow

Deine stellt dir als Lehrkraft ein oder als Leihgerät?

Stellt sich heraus: das Konzept ist offenbar nicht zu Ende gedacht. Anfrage, ob bei Rückgabe eine Datenträgerbereinigung durchgeführt wird, wurde immer noch nicht beantwortet.
In ein paar Jahren dürfte das zu Problemen führen, wenn beispielsweise ausgemusterte Leihgeräte zu tausenden über Kleinanzeigen verkloppt werden.

@kuketzblog @ironiemix @datenschutzratgeber

@fossdd Nein, eine Antwort auf die Fragen gab es bisher nicht. Aus meiner Sicht eine echte Offenbarung...

@z3jvehhvcmch @kuketzblog @datenschutzratgeber
Das kann tatsächlich ein Problem sein, aber kein uösbares, wenn man vorher nachdenkt.

Ich gehe davon aus, dass das bei Geräten, die per MDM gemanagt werden (das dürften die meisten iPads sein) kein Problem vorliegt, weil man die per MDM zurücksetzen kann.

1/

@z3jvehhvcmch @kuketzblog @datenschutzratgeber

Wir haben bei uns an Schule Lenovo Convertibles mit Linux, bei denen die Festplatten vollverschlüsselt sind - da ist das Problem also nicht vorhanden. Das sollte bei Windows mit Bitlocker das Problem auch lösen können.

2/

@z3jvehhvcmch @kuketzblog @datenschutzratgeber Schülergeräte (Notebooks mit Linux) sind nicht vollverschlüsselt, werden aber bei Rückgabe mit einem frischen Image überschrieben.

Man sollte sich das aber natürlich vorher überlegen, und wenn eine Schulleitung da über eine Antwort lange nachdenken muss, ist das kein so gutes Zeichen.

#FediLZ
3/

@ironiemix Bei dem Gerät, um das es geht, handelt es sich um ein Lenovo Yoga Gen2 mit Windows und ohne MDM. Neben dem vorkonfiguriertem Admin-Account (Wartung durch Dienstleister) wurde bei Ersteinrichtung ein weiterer Account (ebenfalls Admin) für die jeweilige Lehrkraft angelegt.

Ich persönlich hätte mir ebenfalls ein verschlüsselte Linux-Installation gewünscht, war vom Schulträger nicht gewünscht.

1/2

@ironiemix Ich habe das Gerät bereits zurück geben müssen. Weil immer noch keine Antwort der Schulleitung bzw. des Dienstleisters vorliegt, habe ich ich mit versucht alles soweit wie möglich zu bereinigen... mehr blieb mir leider nicht übrig.

In der Tat ist es ein bisschen Besorgniserregend, dass zwei derart einfache Fragen unbeantwortet bleiben. Hoffentlich nur ein Einzelfall...

2/2

@z3jvehhvcmch @kuketzblog @ironiemix @datenschutzratgeber Vorbeugend würde ich da auf Vollverschlüsselung von Anfang an setzen, statt darauf zu vertrauen, dass irgendjemand nach Jahren noch Zeit oder Geld in eine Bereinigung investieren wird.

@z3jvehhvcmch @kuketzblog @datenschutzratgeber @ironiemix Wie war das?

In österreich wurde alte PCs vom Finanzministerium im Justizministerium weiterverwendet. Die mit der Datenlöschung beauftragte Firma kam ihrem Auftrag nicht nach... und die Justizler konnten z.T. äußerst heikle Daten auf ihren Festplatten finden.

Dann - man lernte aus der Geschichte - wurden andere ausgemusterte PCs eine Firma übergeben, die die Festplatten mit starken Magneten löscht. Die nahm auch gutes Geld dafür... und die Kunden auf den Kleinanzeigenmärkten freuten sich über heikle Dokumente aus der Österreichischen Verwaltung.

Dann - man lernte aus der Geschichte - (ich war auf ein Praktikum im Bundeskanzleramt) wurden im Bundeskanzleramt die PCs getauscht. Die Aufforderung war "Alle Daten in den Papierkorb ziehen und dann den Papierkorb leeren"... ich hab denen dann geschrieben, dass das aber nix brächte... bekam keine Antwort. Hab dann die Typen gefragt die die alten PCs holten, was damit jetzt geschähe... Na, die holt eine Firma und löscht die Festplatten...

kopf-tisch

@z3jvehhvcmch @kuketzblog @ironiemix @datenschutzratgeber bei uns hat der Schulträger weitblickend vorgelegt: im Leihvertrag ist festgelegt, dass die entleihende Lehrkraft dafür verantwortlich ist und vor Rückgabe alles zu löschen hat. 🤪🤯🥳

@chbmeyer @z3jvehhvcmch @kuketzblog @datenschutzratgeber Brilliant. Ist bei der Medienkompetenz des durchschnittlichen iPad-Tatschers sicher gar kein Problem.

Die Ansage hier war ja: "Hier, 35.000€, was wollen Sie kaufen, suchen Sie mal Angebote - aber damit eins gleich klar ist, mit der Verwaltung der Geräte wollen wir nichts zu tun haben".

1/

@chbmeyer @z3jvehhvcmch @kuketzblog @datenschutzratgeber
Musste ich halt selber nachdenken, dafür ist der Leihvertrag knapp, im wesentlichen:

"Mach, was du willst, die Festplatte muss verschlüsselt sein. Wenn das Ding zurückkommt, kommt ein neues Linux-Image drauf".

Ich glaub eh nicht, dass die nennenswert zurückkommen werden, höchsten bei den paar Schulwechslern und Pensionäre, aber deren Zahl ist überschaubar.

2/

@ironiemix @kuketzblog @datenschutzratgeber @chbmeyer @z3jvehhvcmch

Da kann ich mir eine Setuproutine vorstellen:

Ich setze einen Laptop vollverschlüsselt mit einem großen zufälligen Key auf. Vergebe einen Schlùssel den ich dem User aushändige. Wenn der dann seinen ersten User anlegt, wird LUKS das Loginpasswort hinzugefügt und der erste Key automatisch verworfen.

Krieg ich den Laptop zurück, verwerfe ich sofort alle weiteren keys in LUKS per skript.

Et voila, ein jungfräulicher Laptop ist augenblicklich wieder vor mir.

@jakob @kuketzblog @datenschutzratgeber @chbmeyer @z3jvehhvcmch

Hab ich so ähnlich gemacht, aber mit einem luschigen Dafault Key, den die Benutzer ändern müssen - wenn du mir deine Skripte zur Profi-Version schickst, baue ich das sofort ein.

Und: Ich will 80 Laptops aufsetzen.

Und einen kleinen Denkfehler sehe ich: dein Laptop ist nach dem Verwerfen aller Keys nicht jungfräulich sondern unbenutzbar - da ist das überbügeln mit einem neuen funktionierenden Image praktikabler.

@ironiemix @kuketzblog @datenschutzratgeber @chbmeyer @z3jvehhvcmch

Für viele Computer zum Aufsetzen:

wiki.debian.org/FAI

kennst du das?

Und nein... kein Denkfehler. Natürlich ist der Laptop unbenutzbar.

Aber wenn du das key verwerfen in so ein FAIhSkript mit einbaust, Kommt der Rechner zurück. Du bootest ihn übers Netzwerk damit FAI zum Einsatz kommt, musst nix tun und hast am Ende einen neuen jungfräulichen Rechner, so wie du ihn als Admin einst definiert hast.
@kuketzblog @datenschutzratgeber @ironiemix @chbmeyer @z3jvehhvcmch

noch ein workflow fiele mir ein:

Bei so vielen Geräten tät ich mich in jedem Falle mit FAI auseinandersetzen.
Zum Verschlüsseln der HD nimmst du Hardware-Token. 2 Stück pro ausgegebenem Gerät (falls einer verloren oder kapuutgeht). Und damit entsperrst du via LUKS die HD.
Kriegst du den Rechner zurück, werden die zugehörigen Token resettet. Dann wieder FAI wie vorhin.

@jakob @kuketzblog @datenschutzratgeber @ironiemix @z3jvehhvcmch ja, super. FAI kenne ich und nutze es auch - mit PXE vom Windows-Server aus.

Bei meiner Config steht die Anbindung an das MNS+-Netz (Lösung aus RLP auf Basis eines MS Active Directory) im Vordergrund. D.h. für die AD-Nutzer wird immer nur ein temporäres Homeverzeichnis angelegt und bei der Abmeldung gelöscht. Die Daten liegen auf dem Windows-Server.

1/2

@jakob @kuketzblog @datenschutzratgeber @ironiemix @z3jvehhvcmch aber an Deiner Config (v.a. LUKS und den erwähnten Scripten - gerne mehr) hätte ich auch Interesse. ;)

2/2

@ironiemix @z3jvehhvcmch @kuketzblog @datenschutzratgeber ja, Linux habe ich auch bei uns eingeführt. Aber dann kam der Digitalpakt und mein Chef und der Schulträger wollten lieber in Win10, MS-Office und iPads installieren. ...
Jetzt sind es nur noch etwa 40 Debian-Rechner. ...

@chbmeyer @z3jvehhvcmch @kuketzblog @datenschutzratgeber Solche Tendenzen sind bei uns leider auch erkennbar. In schlechten Momenten bin persönlich unentschieden:

Jetzt bin ich überzeugt, ein gutes Konzept zu haben, das auch vom Kollegium breit mitgetragen wird, hab aber auch relativ viel Aufwand.

Wenn das umgestellt würde wie bei euch, hätte ich sehr viel Freizeit und zwei Stunden Unterricht mehr ;)

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!