Tablets: Über das Für und Wider eines MDMs. Horror-Szenario oder Chance? (War: Tablet-Koffer -- Dateiablage?)

Ist das bei Euch in BW so?? Hier nicht. Alle SuS benutzen natürlich ihr eigenes Gerät (das vorher auf Werkszustand gesetzt wurde)

Also mal unabhängig davon, ob/wann/wie diese Geräte prüfungsrelevant werden:

Irgendein Tablet mit irgendeiner Android Version mit irgendeinem MDM mit irgendwelchen Apps wird zur Prüfung zugelassen, aber ein mit Linbo recht sicher verschlossenes Linux-System mit Programmen, die sich genau an die Vorgaben anpassen ließen, ist nicht erlaubt?

Sollte das so kommen, hoffe ich, dass da irgendjemand eine Klage anstrengt.
Ich gehe davon aus, dass es irgendwann (herstellerneutrale) Vorgaben gibt, die man einhalten muss. Und ich gehe derzeit recht selbstbewusst davon aus, dass man das mit der Linbo/Linux-Kombination recht gut hinbekommt. Ich würde sogar soweit gehen, dass man dann zumindest in einem Bundesland alle Schulen versammelt bekäme, die mit diesem einen Image arbeiten könnten und würden (z.B. wenn so etwas zertifiziert werden muss).

Ich kann mir gut vorstellen, dass die großen Anbieter das gerne anders hätten - aber ich bezweifele, dass das im Ernstfall einer Überprüfung standhielte.

In NDS ist es m.W. so, dass man Abitur in der Umgebung schreiben darf/muss, die man vorher zur Verfügung hatte.
Wurde der GTR eingeführt, schreibt man damit (tatsächlich mit seinem eigenen, von Lehrern resetteten). Selbiges gilt für die Formelsammlung, aber auch für ein Tablet. Und ist es ein Rechner, würde sich die Logik nach dem, was ich so gehört habe, auch darauf übertragen.
Noch geht das nur per gesonderter Genehmigung - aber ich denke, da irgendwann mal für die Genialität von Linuxmuster zu werben, ist nicht völlig vergeblich :slight_smile:

Hi.

Ja, es wäre schön, wenn der Schritt gegangen wird. Technische Frage dazu: Kamera, Bluetooth…?! Darf imho nicht während einer Prüfung zur Verfügung stehen?!
Das, was du zur “Abitur-Umgebung für NDS” schreibst, kann ich so bestätigen.

Aber ok – wenn wir gleich den normalen Alltag und die Sondersituation “Prüfung” oder sogar “Abitur” in einen Topf werfen, wird’s vielleicht unnötig kompliziert … also bleiben wir mal beim Alltag.

Natürlich hast du Recht:

:+1:

Ich habe mittlerweile Antwort erhalten, welche Inhalte der Admin von derartig verwalteten Tablets einsehen kann und welche nicht. Hier eine Auflistung:

Nicht sichtbar für den Administrator:

  • Sämtliche Inhalte
  • Kalender
  • Adressbuch
  • Mails und Kontakte
  • Safari Browserverlauf
  • Namen gespeicherter Dateien
  • Inhalte gespeicherter Dateien
  • Nachrichten
  • Fotos & Videos

Sichtbar für den Administrator:

  • Gerätename
  • Modell: Nummer & Name
  • Seriennummer, MAC, IP
  • OS-Version
  • alle installierten Programme
  • Ladezustand
  • Speicher: gesamt / verfügbar
  • eingetragene Besitzer
  • Zeitpunkt der letzten Online-Verbindung
  • Datum der Installation
  • Installierte Profile
  • Steuerung durch Lehrkraft

Eine gesondert zu betrachtenden Punkt ist die Möglichkeit der Ortung für den Fall, dass ein
Gerät verloren ist. Wenn man das macht, wird das auf dem Gerät eingeblendet. Dort steht dann sowas wie: “Das Gerät wurde am 18.05.2019 um 08:55 von < Admin der Schule> geortet”.

Mit diesem Hintergrund zurück zu deiner Aussage:

Bleibst du dabei?

Schöne Grüße,
Michael

Hallo Michael,

Mit diesem Hintergrund zurück zu deiner Aussage:

ironiemix:

Wenn du mir so ein Gerät gibst, muss ich das als securitymäßig
kompromittiert betrachten und kann es für private Zwecke nicht mehr
verwenden.

Bleibst du dabei?

ja, muss er.
Da du keine Argumente dagegen gegeben hast.
Der administrator kann Programme installieren und deinstallieren: somit
kann er jederzeit eine spyapp installieren und alle Dinge auslesen, die
er Lust hat.

und es bleibt die Unsicherheit, dass der admin jederzeit das Gerät
zurück setzen kann: dann ist alles weg, was du dran gearbeitet hast.

LG

Holger

Das kann er bei einem Ubuntu Client mit Laptop aber doch genauso!? Rootkits und was es da alles gibt.
Wenn ich jeder Zeile Code misstraue, muss ich entweder alles selbst coden oder offline bleiben, oder? Oder anders gesagt: Dem Admin kommt eine besondere Vertrauensstellung zu. Das ist aber nix neues…

Hallo Holger,

ich denke, wir wissen alle, dass, wer Admin- oder Root-Rechte hat überall rein sehen kann. Hier kommt dann die Frage des Vertrauens ins Spiel.

Andererseits. Was fällt auf schulischen Geräten an Daten an die jemand außenstehenden interessieren könnte?

Bei Schülern könnten es z.B. Daten aus dem Lebenslauf sein (da kann man den Schülern beibringen, dass man falsche Daten einträgt und nur beim Ausdruck kurzzeitig die richtigen) . Lehrer dürfen im pädagogischen Bereich sowieso keine Schülerdaten ablegen. Wo also liegt das Problem?

Gruß

Alois

Hallo Michael,

Der administrator kann Programme installieren und deinstallieren: somit
kann er jederzeit eine spyapp installieren und alle Dinge auslesen, die
er Lust hat.

Das kann er bei einem Ubuntu Client mit Laptop aber doch genauso!?
Rootkits und was es da alles gibt …

das ist kein korrekter Vergleich, den während ich unter linux mir als
admin vielleicht einen remotezugang legen kann (trivial ist das nicht),
so ist das beim MDM immer und ganz natürlich dabei.

LG

Holger

Hi Holger!

Aber in beiden Fällen muss man die Energie aufbringen und bewusst etwas installieren, von dem einem der gesunde Menschenverstand sagt, dass das nicht auf das Gerät gehört. Mit den o.g. Einschränkungen, was ein Admin sehen kann und was nicht, könnte ich jedenfalls beruhigt schlafen, denn das ist weit weniger als befürchtet, meine ich?!?

Ich will übrigens gar nicht in Abrede stellen, dass mir ein MDM-Ansatz komplett über OSS sehr viel besser gefallen würde – nur habe ich noch keinen gefunden, der das leisten kann. Das liegt natürlich maßgeblich auch daran, dass man es bei Android mit einem Hardware-Zoo zu tun hat und bei Apple nicht.
Vielleicht ist es höchste Zeit mal wieder bei https://puri.sm vorbeizuschauen?!

Schöne Grüße.
Michael

Hallo,

das Problem ist, dass der auf dem Tablet installierte Softwareagent, der das MDM ermöglicht alles kann. Die von dir genannten Einschränkungen werden dann erst von der Serverseite implementiert, darum ist das letztlich eine Backdoor.

Außerdem ist ein zentraler Punkt meiner Gegenrede, dass es ja eben keine “schulischen” Geräte sind, sondern welche die sich die SuS bzw. deren Eltern von ihrem eigenen Geld kaufen.

Wenn du mir ein unter MDM stehendes Tablet “schenkst”, dann nehme ich das vielleicht schon, um mal ne PDF zu beamen, aber da käme mir kein privates Konto jedweder Art drauf, denn es ist eben inhärent unsicher. Das ist das, was ich oben geschrieben habe, als ich sagte, die Eltern müssten zwei Tablets kaufen, wenn sie Medienerziehung machen wollen, die über reine Beruhigunspillen hinausgeht.

VG

Frank

Sowas passiert regelmaessig und alleine das spricht schon dagegen solche Agenten auf “eigenen” Geraeten zu installieren, da viel zu maechtig.
Wir haben ja Kopano als Groupware laufen, da gibt es ein Zusatzfeature (z-push), welches einem Mailclient quasi einen Exchangeserver vorgaukelt, also tut acttve sync oder wie man das nennen will. Da ist per default “provisioning” aktiviert, das musste der Benutzer beim Einrichten des Mailclients akzeptieren. Ich hab da mal auf dem Server mit rumgespielt und mir dabei das ganze Smartfon vom Server aus auf Werkszustand zurueckgesetzt, war nicht so geil.

Das mag auf Firmengeraeten sinnvoll sein, falls diese geklaut werden bzw. verloren gehen, aber auf Geraeten, die selbst bezahlt wurden?
Die Schaeden bei Fehlbedienung duerften schwer zu beziffern sein und das alles rechtlich abzufangen umfangreiche Unterschriftensammlungen notwendig machen.

Ich persoenlich wuerde niemals Geraete rausgeben, die die Schueler nicht vollkommen selbstaendig verwalten, das muessen sie lernen, fertig aus.

Hi. Mir leuchten Eure Argumente natürlich ein …

An der Schule, hätten die Eltern jedoch kein “freies” Gerät, das nicht per MDM verwaltet wird, gekauft. Deren Argument: Kein Gerät zum (unkontrollierten) Daddeln sondern ein Arbeitsgerät soll angeschafft werden. Es wurde dort sogar ausdrücklich befürwortet, dass man zentral alles sperren und einzeln freigeben kann…

Auch deren Admin hätte da nicht mitgemacht, denn dann hätte er ständig zugemüllte Tablets resetten müssen und keine einheitliche Infrastruktur, da ständig irgendwas fehlt, nicht läuft, entfernt wurde etc …

Eine Konsequenz scheint zu sein: Wenn man die Dinger zentral mit MDM verwalten will, aber den Schülern so ein Gerät nicht “andrehen” will, kann man das entweder nur als Ausleih-/Mietgeräte bzw Tabletkoffer machen oder gleich ganz darauf verzichten?

Und wenn man das macht, hat man das Problem mit der Dateiablage, um die sich der Thread ja ursprünglich gaaaanz oben mal drehte :wink:

Schöne Grüße,
Michael

Dass er das nicht mitgemacht haette, mag stimmen, ob Teil 2 des Satzes aber zutrifft duerfte eine Frage der Vorbereitung sein.

Hier konkurrieren zwei grundsaetzliche Denkweisen.

  1. Meine Schueler schaffen das nie.
  2. Wir kriegen das gemeinsam hin.

Sind beide in diesem Thread vertreten.
Wir werden seitenweise darueber diskutieren koennen, die beiden Lager bleiben unvereinbar.
Das ist auch eine Frage des grundsaetzlichen Bildes welches ein Lehrer von seinen Schuelern hat.

1 „Gefällt mir“

Das bezweifle ich. Meiner Meinung ist das eher eine Frage der Effektivität, denn bei MDM-verwalteten Geräten kann es direkt losgehen während man bei offenen Geräten eher auf uneinheitliche Infrastruktur stößt und dann uU viel Zeit ins Land gegangen ist, bis man endlich mit der eigentlichen Aufgabe starten kann.

Dann kann man sich schon berechtigterweise die Frage stellen, ob Tablets überhaupt irgendeinen Mehrwert bringen?

Hallo,

Das ist einfach nicht richtig, oder vielmehr ist es nur dann richtig, wenn ich will, dass alle SuS zur gleichen Zeit, mit demselben Werkzeug dieselben Dinge tun. Aber wenn ich genau denselben Unterricht mache wie bisher, nur halt mit einem Tablet und einer App statt Papier, dann lohnt der technische Overhaed IMHO nicht, dann ist es besser einfach weiter Arbeitsblätter zu kopieren.

Ich finde es geht sogar noch weiter:

Hier bin ich aus tiefstem Herzen entsetzt und es graut mir davon, in was für einer Welt und Gesellschaft wir mit Menschen, die eine solche Haltung haben, in 15 Jahren leben werden. Es ist die originäre Aufgabe der Eltern, ihre Kinder auf ihrem Weg – auch in die digitale Welt – zu begleiten und eine solche Haltung ist eine bedingungslose Kapitulation. Die freuen sich sicherlich über folgenden Tooltip: https://www.mspy.com.de/ – so sieht das nämlich dann aus, wenn der Management Agent auch alles anzeigt, was er auf dem Gerät technisch darf.

VG

Frank

Darum würde ich meine Hand immer nur für ein Linux-basiertes Image ins Feuer legen. Ich weiß, man kann über GPOs bei Windows eine Menge machen - aber damit kenne ich mich inzwischen nicht mehr besonders gut aus.
Unter Linux wüsste ich, wie ich bestimmte Hardware als root abstelle, so dass ein normaler Benutzer sie nicht wieder herbekommt.
Und wenn ich vor einer Prüfung dann synchronisiert starte, klingt das für mich doch recht sicher.

Ansonsten sehe ich Linbo da eben auch als Angebot: im normalen Unterricht sollen die SuS ihr Gerät gerne selbst pflegen - so lange alles da ist, was ich gerne hätte. Aber Linbo schafft mir immer die Garantie, ein Gerät schnell in einen definierten Zustand zu bringen. Die Abwägung von Freiheit und Kontrolle (die ja faktisch gar keine ist) finde ich da sehr angenehm.

Auch im Vergleich zum MDM habe ich hier eben als Admin normalerweise KEINEN Zugriff auf das Gerät. Auf das Prüfungsimage kann ich mir den einrichten - das ist dann aber auch klar so kommuniziert.

Das mit den Eltern, die kein Daddel-Gerät wollen, kann ich nachvollziehen. Seltsam, dass Eltern sich dann oft so schwer tun, ein Linux-basiertes Gerät zu nutzen. Dass SuS das nicht wollen - logisch (kein Fortnite, etc.). Aber wenn ich mir anschaue, wie schnell es ging, ein für den Unterricht voll einsetzbares Linux-mit-Gnome-Image zu basteln, welches wir inzwischen für sämtliche Leihgeräte und eben auch die Demo-Covertibles nutzen, dann glaube ich nicht, dass eine MDM-Einbindung in der Summe schneller/stressfreier ist, als das Einbinden und synchronisieren in Linbo - mal von der Frage abgesehen, was mit diesem Gerät am Ende “geleh/ert” wird.

Hi.

Ich weiß ja nicht, wie offen der Unterricht bei dir abläuft – aber machen wir’s mal konkret: (relativ normaler) Mathe-Unterricht – die Schüler sollen ein Programm + Formelsammlung auf ihrem Gerät (egal ob Laptop oder Tablet) nutzen. Wenn ich dann feststellen muss, dass das auf 2 Geräten fehlt, auf 1 Gerät nicht läuft und auf noch einem kein Platz mehr ist, geht meiner Meinung nach mehr Zeit ins Land als wenn ich Hardware in einem identischen Zustand zur Verfügung habe, die sofort startklar ist?
(Das geht auch etwas in Richtung “BYOD” <–> “Get your own (“einheitliches”) device” )

(Also ich persönlich käme ja damit klar, wenn ich dann sagen müsste: Zunächst installieren alle Programm XY – aber was tut ein $Kollege, der kaum mehr als Word bedienen kann?)

Das kannst du aber auch nur dann gewährleisten, wenn du keinen Hardware-Zoo vor dir hast bzw nur dann, wenn du einheitliche Geräte mit möglichst identischer Hardware hast, oder? Alles andere sprengt den Rahmen, den man als Admin leisten kann.

Also bei uns machen jedes Jahr >120 Schüler Abitur. Wenn ich mir vorstelle, dass alle Laptops vor der Prüfung mit einem “Prüfungsimage” bestückt werden sollen (LAN --> PXE) dann sind das Stunden

Ich bin übrigens voll und ganz auf deiner Seite, wenn du sagst,

Das ist sicher ein guter Ansatzpunkt. Ich kann aber auch gut nachvollziehen, dass es einfach gehen muss. Für einen Großteil der Otto-Normal-User ist doch schon Anblick einer Konsole ein Graus…

LINBO ist schnell. Keine Frage. Ob DEP da mitkommt, kann ich nicht sagen…

So long,
Michael

Ich sage praktisch niemals: “Jetzt nehmt ihr mal das Programm”. Mein letzter AA in Physik war: Erstelle eine Mindmap (Wiederholung zum Thema Energie). Und es wurde schon vor langer Zeit mal besprochen, was es da so für Möglichkeiten gibt, Apps, Programme, draw.io in der Schulcloud - und dann nimmt jeder das, was er mag um die Aufgabe zu lösen - manche auch einfach einen Stift und Papier. Das funktioniert ganz wunderbar. Und jetzt kommt normalerweise das “Gegenargument”: Dann kann der Lehrer ja gar nicht helfen, wenns klemmt - muss ich auch nicht, denn das ist in der Verantwortung der Sus, und das verstehen die sehr schnell.

VG

Frank

Nachtrag: Das hat auch eine sehr praktische Seite: Ich bereite Unterricht nur sehr selten für eine bestimmte Weichware vor, denn einen solche Vorbereitung kann ich mit großer Wahrscheinlichkeit niemals wieder verwenden, denn die meisten Software/Apps sehen in zwei jahren völlig anders aus.

Hi Frank. Klingt gut und dass das bei dir so funktioniert glaube ich sofort. Aber das kann “$Kollege ohne Ahnung” doch so nicht :thinking:?!