Tablets: Über das Für und Wider eines MDMs. Horror-Szenario oder Chance? (War: Tablet-Koffer -- Dateiablage?)

#18

Hallo Michael,

Möglicherweise gar nicht. Aber ich persönlich unterrichte auch nicht, um Sachen prüfen zu können, also sehe ich nicht ein, warum ein Konzept zum Einsatz zeitgemäßer Geräte im Unterricht sich an den 4 Stunden im Schuljahr orientieren soll, in denen ich eine Klassenarbeit schreibe.
Meine Informatik Klassenarbeiten schreibe ich alle mit Stift auf Papier, obwohl alle Inhalte in einem Wiki zur Verfügung gestellt werden. Dafür gehen andere Aspekte in die Bewertung ein, z.B. ein von den Schülern zu führendes Journal, das am Ende in einem offenen Format zur Verfügung stehen muss. Dabei mache ich keine Vorgaben zum verwendeten Werkzeug und erhalte von Joplin Notizbüchern über Word-PDF Dokumente bis zu Wiki-Bereichen alles mögliche.
Kurz: Möglicherweise muss man eben auch hier vorsichtig neue Gedanken denken und nicht nur den alten Stiefel mit dem Tablet kopieren. Mein persönliches Highlight ist da ja echt das “austeilen” von PDF Arbeitsblättern per AirDrop von Bankreihe zu Bankreihe, wie von meiner Frau erst diese Woche bei einem UB beobachtet - das ist so dermaßen hinrissig, dass ich gar nicht wirklich dran denken mag.

Das wäre das erste Mal, dass ein technisches Hilfsmittel ein pädagogisches Problem löst. Denn was der Schüler im Sinn hat, entzieht sich (derzeit noch) zu meiner großen Erleichterung meiner Kenntnis. Wenn man das ändern will, muss man wohl in Richtung des hier vor kurzem vorgestellten chinesischen Totalüberwachungssystems denken. In diesem Fall werde ich mir einen neuen Beruf suchen müssen. Das Ziel sollte IMHO sein, dass die SuS sehr wohl surfen können, genau wie Sie (nach wie vor) unter der Bank mit den Handy spielen oder zum Fenster rausgucken können, aber lernen, mit dieser Freiheit umzugehen.

Die MDM Applikation hat doch volle Geräteverwalterrechte, oder? Also geht auch alles. Ob die Anbieter das “offen implementieren” spielt für mich dabei keine Rolle mehr. Wenn du mir so ein Gerät gibst, muss ich das als securitymäßig kompromittiert betrachten und kann es für private Zwecke nicht mehr verwenden. Und das muss man den Eltern und SuS auch so erklären (und das würde ich auch machen). Mit anderen Worten: Sie müssen zwei Tablets kaufen, wenn es ihnen mit der Medienerziehung ihrer Kinder Ernst ist.

In der Airdrop Nachbarstadtklasse so geschehen: Anfang 2018 vor dem Abitur hat der städtische Admin im MDM den falschen Knopf gedrückt und alle iPads komplett gewipt. Weil die wie beschrieben keine Cloud verwenden, sondern alles lokal gespeichert ist, hatten die SuS alle ihre Mitschriebe verloren - da haben sie dann alle große Augen gemacht.

Nein, eben nicht für alles mögliche, sondern nur für das, was die Schule/das MDM erlaubt. Inakzeptabel. Ein Werkzeug haben die alle in der Hosentasche, aber die meisten wissen es nicht. Könnten das aber lernen. Zeig denen mal ne Scan2PDF App mit OCR, da gucken die aber :wink:

Die Prüfungssituation finde ich wie oben erklärt unmaßgeblich, die Schulbuchsituation stellt aus meiner Sicht kein Problem dar, das geht auch mit BYOD. Die SuS können bei mir in einigen Kursen eigene Geräte mitbringen (die meisten übrigens Laptops) und damit arbeiten.

Nein, natürlich nicht. Aber zwischen der Vorgabe eines Arbeitsauftrags und der Bevormundung durch technische Systeme, die für meine Begriffe ein nicht unerhebliches Maß an Misstrauen gegen die SchülerInnen transportieren liegen für mich Welten.

VG

Frank

#19

Hi Frank. Vielen Argumenten kann ich durchaus viel abgewinnen … und ich wiederhole mich: ich habe (bisher) weder hier zu Hause noch in der Schule auch nur ein einziges Gerät, auf dem ein Apfel zu sehen ist.

Ja, das ist ja auch richtig so – bei Klassenarbeiten kannst du das auch gestalten wie du willst. Aber ganz am Ende steht aber nunmal im Regelfall das Abitur. Was hilft es, wenn vorher Laptops und alles andere frei zur Verfügung standen und ganz am Ende plötzlich wieder Rauchzeichen gegeben werden müssen? Ich habe übrigens gefragt, wie groß der Anteil der Tablet-Stunden ist. So immens groß war das gar nicht. Das meiste läuft offenbar auch dort noch “klassisch/analog” ab…

wurde dort auch gezeigt … allerdings nicht von Bankreihe zu Bankreihe sondern gleich für eine ganze Klasse: Dateien zur Verfügung stellen und wieder einsammeln. Ging in beide Richtungen – würde aber auch über eine NextCloud funktionieren.

Was hindert die Schüler denn daran, das zu tun – auch wenn sie dennoch ein gesperrtes Tablet vor der Nase haben?? Oder was hindert sie daran, trotz gesperrter Tablets z.B. mit der Taschenrechnerapp etwas völlig anderes zu tun als vom Lehrer vorgesehen?? Ich sehe das gar nicht so schwarz-weiß…

Nein – eben nicht voll. Ich versuche an die Grafik heranzukommen, die das veranschaulicht. Man kann weit weniger als es den Anschein hat … immernoch genug aber bei weitem nicht alles.

Das musst du aber doch bei jeder zweiten App, die was weiß ich für Rechte haben will ebenfalls, oder? Dann darf Win10 in der Schule auch nirgendwo laufen – die greifen da auch so viele Daten ab wie nie…

Klar – ich sage auch nicht, dass so ein System unfehlbar ist … aber die iCloud ist offenbar ein no-go in Sachen DSGVO?!

Wie gesagt – ich sehe das viel entspannter als du denkst. Es ist ungefähr die gleiche Diskussion wie vor einiger Zeit die Frage “Facebook in der Schule per Firewall (oder durch andere Maßnahmen) sperren oder nicht?”. Da würde ich jederzeit sagen: Ja – und zwar um sich um wesentlichere Dinge kümmern zu können und nicht jeden Tag von neuem Zeit, Mühe und Diskussionen um dieses leidliche Thema zu haben … (facebook kann von mir aus jetzt durch instagram oder $whatever ersetzt werden).

Alles in allem aber: eine interessante Diskussion :+1:
Michael

#20

Hallo Michael,

Aber ich persönlich unterrichte auch nicht, um Sachen prüfen zu können,

Ja, das ist ja auch richtig so – bei Klassenarbeiten kannst du das auch
gestalten wie du willst. Aber ganz am Ende steht aber nunmal im
Regelfall das Abitur. Was hilft es, wenn vorher Laptops und alles andere
frei zur Verfügung standen und ganz am Ende plötzlich wieder
Rauchzeichen gegeben werden müssen? Ich habe übrigens gefragt, wie groß
der Anteil der Tablet-Stunden ist. So immens groß war das gar nicht. Das
meiste läuft offenbar auch dort noch “klassisch/analog” ab…

im Mathe ABI bekommen die ja auch einen Schuleigenen Taschenrechner
gestellt und dürfen nicht ihren eigenen verwenden (obwohl man mit dem
WTR viel weniger “mitnehmen” kann).
Warum sollte das bei Tablets anders sein?

LG

Holger

#21

Ist das bei Euch in BW so?? Hier nicht. Alle SuS benutzen natürlich ihr eigenes Gerät (das vorher auf Werkszustand gesetzt wurde)

#22

Also mal unabhängig davon, ob/wann/wie diese Geräte prüfungsrelevant werden:

Irgendein Tablet mit irgendeiner Android Version mit irgendeinem MDM mit irgendwelchen Apps wird zur Prüfung zugelassen, aber ein mit Linbo recht sicher verschlossenes Linux-System mit Programmen, die sich genau an die Vorgaben anpassen ließen, ist nicht erlaubt?

Sollte das so kommen, hoffe ich, dass da irgendjemand eine Klage anstrengt.
Ich gehe davon aus, dass es irgendwann (herstellerneutrale) Vorgaben gibt, die man einhalten muss. Und ich gehe derzeit recht selbstbewusst davon aus, dass man das mit der Linbo/Linux-Kombination recht gut hinbekommt. Ich würde sogar soweit gehen, dass man dann zumindest in einem Bundesland alle Schulen versammelt bekäme, die mit diesem einen Image arbeiten könnten und würden (z.B. wenn so etwas zertifiziert werden muss).

Ich kann mir gut vorstellen, dass die großen Anbieter das gerne anders hätten - aber ich bezweifele, dass das im Ernstfall einer Überprüfung standhielte.

#23

In NDS ist es m.W. so, dass man Abitur in der Umgebung schreiben darf/muss, die man vorher zur Verfügung hatte.
Wurde der GTR eingeführt, schreibt man damit (tatsächlich mit seinem eigenen, von Lehrern resetteten). Selbiges gilt für die Formelsammlung, aber auch für ein Tablet. Und ist es ein Rechner, würde sich die Logik nach dem, was ich so gehört habe, auch darauf übertragen.
Noch geht das nur per gesonderter Genehmigung - aber ich denke, da irgendwann mal für die Genialität von Linuxmuster zu werben, ist nicht völlig vergeblich :slight_smile:

#24

Hi.

Ja, es wäre schön, wenn der Schritt gegangen wird. Technische Frage dazu: Kamera, Bluetooth…?! Darf imho nicht während einer Prüfung zur Verfügung stehen?!
Das, was du zur “Abitur-Umgebung für NDS” schreibst, kann ich so bestätigen.

Aber ok – wenn wir gleich den normalen Alltag und die Sondersituation “Prüfung” oder sogar “Abitur” in einen Topf werfen, wird’s vielleicht unnötig kompliziert … also bleiben wir mal beim Alltag.

Natürlich hast du Recht:

:+1:

Ich habe mittlerweile Antwort erhalten, welche Inhalte der Admin von derartig verwalteten Tablets einsehen kann und welche nicht. Hier eine Auflistung:

Nicht sichtbar für den Administrator:

  • Sämtliche Inhalte
  • Kalender
  • Adressbuch
  • Mails und Kontakte
  • Safari Browserverlauf
  • Namen gespeicherter Dateien
  • Inhalte gespeicherter Dateien
  • Nachrichten
  • Fotos & Videos

Sichtbar für den Administrator:

  • Gerätename
  • Modell: Nummer & Name
  • Seriennummer, MAC, IP
  • OS-Version
  • alle installierten Programme
  • Ladezustand
  • Speicher: gesamt / verfügbar
  • eingetragene Besitzer
  • Zeitpunkt der letzten Online-Verbindung
  • Datum der Installation
  • Installierte Profile
  • Steuerung durch Lehrkraft

Eine gesondert zu betrachtenden Punkt ist die Möglichkeit der Ortung für den Fall, dass ein
Gerät verloren ist. Wenn man das macht, wird das auf dem Gerät eingeblendet. Dort steht dann sowas wie: “Das Gerät wurde am 18.05.2019 um 08:55 von < Admin der Schule> geortet”.

Mit diesem Hintergrund zurück zu deiner Aussage:

Bleibst du dabei?

Schöne Grüße,
Michael

#25

Hallo Michael,

Mit diesem Hintergrund zurück zu deiner Aussage:

ironiemix:

Wenn du mir so ein Gerät gibst, muss ich das als securitymäßig
kompromittiert betrachten und kann es für private Zwecke nicht mehr
verwenden.

Bleibst du dabei?

ja, muss er.
Da du keine Argumente dagegen gegeben hast.
Der administrator kann Programme installieren und deinstallieren: somit
kann er jederzeit eine spyapp installieren und alle Dinge auslesen, die
er Lust hat.

und es bleibt die Unsicherheit, dass der admin jederzeit das Gerät
zurück setzen kann: dann ist alles weg, was du dran gearbeitet hast.

LG

Holger

#26

Das kann er bei einem Ubuntu Client mit Laptop aber doch genauso!? Rootkits und was es da alles gibt.
Wenn ich jeder Zeile Code misstraue, muss ich entweder alles selbst coden oder offline bleiben, oder? Oder anders gesagt: Dem Admin kommt eine besondere Vertrauensstellung zu. Das ist aber nix neues…

#27

Hallo Holger,

ich denke, wir wissen alle, dass, wer Admin- oder Root-Rechte hat überall rein sehen kann. Hier kommt dann die Frage des Vertrauens ins Spiel.

Andererseits. Was fällt auf schulischen Geräten an Daten an die jemand außenstehenden interessieren könnte?

Bei Schülern könnten es z.B. Daten aus dem Lebenslauf sein (da kann man den Schülern beibringen, dass man falsche Daten einträgt und nur beim Ausdruck kurzzeitig die richtigen) . Lehrer dürfen im pädagogischen Bereich sowieso keine Schülerdaten ablegen. Wo also liegt das Problem?

Gruß

Alois

#28

Hallo Michael,

Der administrator kann Programme installieren und deinstallieren: somit
kann er jederzeit eine spyapp installieren und alle Dinge auslesen, die
er Lust hat.

Das kann er bei einem Ubuntu Client mit Laptop aber doch genauso!?
Rootkits und was es da alles gibt …

das ist kein korrekter Vergleich, den während ich unter linux mir als
admin vielleicht einen remotezugang legen kann (trivial ist das nicht),
so ist das beim MDM immer und ganz natürlich dabei.

LG

Holger

#29

Hi Holger!

Aber in beiden Fällen muss man die Energie aufbringen und bewusst etwas installieren, von dem einem der gesunde Menschenverstand sagt, dass das nicht auf das Gerät gehört. Mit den o.g. Einschränkungen, was ein Admin sehen kann und was nicht, könnte ich jedenfalls beruhigt schlafen, denn das ist weit weniger als befürchtet, meine ich?!?

Ich will übrigens gar nicht in Abrede stellen, dass mir ein MDM-Ansatz komplett über OSS sehr viel besser gefallen würde – nur habe ich noch keinen gefunden, der das leisten kann. Das liegt natürlich maßgeblich auch daran, dass man es bei Android mit einem Hardware-Zoo zu tun hat und bei Apple nicht.
Vielleicht ist es höchste Zeit mal wieder bei https://puri.sm vorbeizuschauen?!

Schöne Grüße.
Michael

#30

Hallo,

das Problem ist, dass der auf dem Tablet installierte Softwareagent, der das MDM ermöglicht alles kann. Die von dir genannten Einschränkungen werden dann erst von der Serverseite implementiert, darum ist das letztlich eine Backdoor.

Außerdem ist ein zentraler Punkt meiner Gegenrede, dass es ja eben keine “schulischen” Geräte sind, sondern welche die sich die SuS bzw. deren Eltern von ihrem eigenen Geld kaufen.

Wenn du mir ein unter MDM stehendes Tablet “schenkst”, dann nehme ich das vielleicht schon, um mal ne PDF zu beamen, aber da käme mir kein privates Konto jedweder Art drauf, denn es ist eben inhärent unsicher. Das ist das, was ich oben geschrieben habe, als ich sagte, die Eltern müssten zwei Tablets kaufen, wenn sie Medienerziehung machen wollen, die über reine Beruhigunspillen hinausgeht.

VG

Frank

#31

Sowas passiert regelmaessig und alleine das spricht schon dagegen solche Agenten auf “eigenen” Geraeten zu installieren, da viel zu maechtig.
Wir haben ja Kopano als Groupware laufen, da gibt es ein Zusatzfeature (z-push), welches einem Mailclient quasi einen Exchangeserver vorgaukelt, also tut acttve sync oder wie man das nennen will. Da ist per default “provisioning” aktiviert, das musste der Benutzer beim Einrichten des Mailclients akzeptieren. Ich hab da mal auf dem Server mit rumgespielt und mir dabei das ganze Smartfon vom Server aus auf Werkszustand zurueckgesetzt, war nicht so geil.

Das mag auf Firmengeraeten sinnvoll sein, falls diese geklaut werden bzw. verloren gehen, aber auf Geraeten, die selbst bezahlt wurden?
Die Schaeden bei Fehlbedienung duerften schwer zu beziffern sein und das alles rechtlich abzufangen umfangreiche Unterschriftensammlungen notwendig machen.

Ich persoenlich wuerde niemals Geraete rausgeben, die die Schueler nicht vollkommen selbstaendig verwalten, das muessen sie lernen, fertig aus.

#32

Hi. Mir leuchten Eure Argumente natürlich ein …

An der Schule, hätten die Eltern jedoch kein “freies” Gerät, das nicht per MDM verwaltet wird, gekauft. Deren Argument: Kein Gerät zum (unkontrollierten) Daddeln sondern ein Arbeitsgerät soll angeschafft werden. Es wurde dort sogar ausdrücklich befürwortet, dass man zentral alles sperren und einzeln freigeben kann…

Auch deren Admin hätte da nicht mitgemacht, denn dann hätte er ständig zugemüllte Tablets resetten müssen und keine einheitliche Infrastruktur, da ständig irgendwas fehlt, nicht läuft, entfernt wurde etc …

Eine Konsequenz scheint zu sein: Wenn man die Dinger zentral mit MDM verwalten will, aber den Schülern so ein Gerät nicht “andrehen” will, kann man das entweder nur als Ausleih-/Mietgeräte bzw Tabletkoffer machen oder gleich ganz darauf verzichten?

Und wenn man das macht, hat man das Problem mit der Dateiablage, um die sich der Thread ja ursprünglich gaaaanz oben mal drehte :wink:

Schöne Grüße,
Michael

#33

Dass er das nicht mitgemacht haette, mag stimmen, ob Teil 2 des Satzes aber zutrifft duerfte eine Frage der Vorbereitung sein.

Hier konkurrieren zwei grundsaetzliche Denkweisen.

  1. Meine Schueler schaffen das nie.
  2. Wir kriegen das gemeinsam hin.

Sind beide in diesem Thread vertreten.
Wir werden seitenweise darueber diskutieren koennen, die beiden Lager bleiben unvereinbar.
Das ist auch eine Frage des grundsaetzlichen Bildes welches ein Lehrer von seinen Schuelern hat.

1 Like
#34

Das bezweifle ich. Meiner Meinung ist das eher eine Frage der Effektivität, denn bei MDM-verwalteten Geräten kann es direkt losgehen während man bei offenen Geräten eher auf uneinheitliche Infrastruktur stößt und dann uU viel Zeit ins Land gegangen ist, bis man endlich mit der eigentlichen Aufgabe starten kann.

Dann kann man sich schon berechtigterweise die Frage stellen, ob Tablets überhaupt irgendeinen Mehrwert bringen?

#35

Hallo,

Das ist einfach nicht richtig, oder vielmehr ist es nur dann richtig, wenn ich will, dass alle SuS zur gleichen Zeit, mit demselben Werkzeug dieselben Dinge tun. Aber wenn ich genau denselben Unterricht mache wie bisher, nur halt mit einem Tablet und einer App statt Papier, dann lohnt der technische Overhaed IMHO nicht, dann ist es besser einfach weiter Arbeitsblätter zu kopieren.

Ich finde es geht sogar noch weiter:

Hier bin ich aus tiefstem Herzen entsetzt und es graut mir davon, in was für einer Welt und Gesellschaft wir mit Menschen, die eine solche Haltung haben, in 15 Jahren leben werden. Es ist die originäre Aufgabe der Eltern, ihre Kinder auf ihrem Weg – auch in die digitale Welt – zu begleiten und eine solche Haltung ist eine bedingungslose Kapitulation. Die freuen sich sicherlich über folgenden Tooltip: https://www.mspy.com.de/ – so sieht das nämlich dann aus, wenn der Management Agent auch alles anzeigt, was er auf dem Gerät technisch darf.

VG

Frank

#36

Darum würde ich meine Hand immer nur für ein Linux-basiertes Image ins Feuer legen. Ich weiß, man kann über GPOs bei Windows eine Menge machen - aber damit kenne ich mich inzwischen nicht mehr besonders gut aus.
Unter Linux wüsste ich, wie ich bestimmte Hardware als root abstelle, so dass ein normaler Benutzer sie nicht wieder herbekommt.
Und wenn ich vor einer Prüfung dann synchronisiert starte, klingt das für mich doch recht sicher.

Ansonsten sehe ich Linbo da eben auch als Angebot: im normalen Unterricht sollen die SuS ihr Gerät gerne selbst pflegen - so lange alles da ist, was ich gerne hätte. Aber Linbo schafft mir immer die Garantie, ein Gerät schnell in einen definierten Zustand zu bringen. Die Abwägung von Freiheit und Kontrolle (die ja faktisch gar keine ist) finde ich da sehr angenehm.

Auch im Vergleich zum MDM habe ich hier eben als Admin normalerweise KEINEN Zugriff auf das Gerät. Auf das Prüfungsimage kann ich mir den einrichten - das ist dann aber auch klar so kommuniziert.

Das mit den Eltern, die kein Daddel-Gerät wollen, kann ich nachvollziehen. Seltsam, dass Eltern sich dann oft so schwer tun, ein Linux-basiertes Gerät zu nutzen. Dass SuS das nicht wollen - logisch (kein Fortnite, etc.). Aber wenn ich mir anschaue, wie schnell es ging, ein für den Unterricht voll einsetzbares Linux-mit-Gnome-Image zu basteln, welches wir inzwischen für sämtliche Leihgeräte und eben auch die Demo-Covertibles nutzen, dann glaube ich nicht, dass eine MDM-Einbindung in der Summe schneller/stressfreier ist, als das Einbinden und synchronisieren in Linbo - mal von der Frage abgesehen, was mit diesem Gerät am Ende “geleh/ert” wird.

#37

Hi.

Ich weiß ja nicht, wie offen der Unterricht bei dir abläuft – aber machen wir’s mal konkret: (relativ normaler) Mathe-Unterricht – die Schüler sollen ein Programm + Formelsammlung auf ihrem Gerät (egal ob Laptop oder Tablet) nutzen. Wenn ich dann feststellen muss, dass das auf 2 Geräten fehlt, auf 1 Gerät nicht läuft und auf noch einem kein Platz mehr ist, geht meiner Meinung nach mehr Zeit ins Land als wenn ich Hardware in einem identischen Zustand zur Verfügung habe, die sofort startklar ist?
(Das geht auch etwas in Richtung “BYOD” <–> “Get your own (“einheitliches”) device” )

(Also ich persönlich käme ja damit klar, wenn ich dann sagen müsste: Zunächst installieren alle Programm XY – aber was tut ein $Kollege, der kaum mehr als Word bedienen kann?)

Das kannst du aber auch nur dann gewährleisten, wenn du keinen Hardware-Zoo vor dir hast bzw nur dann, wenn du einheitliche Geräte mit möglichst identischer Hardware hast, oder? Alles andere sprengt den Rahmen, den man als Admin leisten kann.

Also bei uns machen jedes Jahr >120 Schüler Abitur. Wenn ich mir vorstelle, dass alle Laptops vor der Prüfung mit einem “Prüfungsimage” bestückt werden sollen (LAN --> PXE) dann sind das Stunden

Ich bin übrigens voll und ganz auf deiner Seite, wenn du sagst,

Das ist sicher ein guter Ansatzpunkt. Ich kann aber auch gut nachvollziehen, dass es einfach gehen muss. Für einen Großteil der Otto-Normal-User ist doch schon Anblick einer Konsole ein Graus…

LINBO ist schnell. Keine Frage. Ob DEP da mitkommt, kann ich nicht sagen…

So long,
Michael