WLan ohne Kontrollzwang: Freifunk in der Schule

Hallo,

Ich verfolge die Diskussion aufmerksam und möchte eine alternative Herangehensweise darstellen (die hier etwas OffTopic ist) aber vielleicht ein Denkanstoß sein kann, den Gesamtkomplex nicht nur aus technischer Sicht zu beurteilen.

Bei uns an der Schule gibt es bereits seit 4 Jahren Freifunk für alle Schüler, und zwar mit sehr guter Bandbreite (ca. 60 Mbit) so dass ein problemloses Arbeiten mit mitgebrachten Geräten möglich ist, ohne das Datenvolumen der Schülerinnen zu belasten oder Ungerechtigkeit zwischen Menschen mit schnellen und langsamen Mobilfunkverträgen aufkommen zu lassen.

Die Schulordnung sieht ein Handyverbot mit Ausnahmeregelungen nach Erlaubnis der Lehrkraft für unterrichtliche Zwecke vor.

Das wird sehr gut genutzt und angenommen, was dadurch zu evaluieren ist, wie die Reaktionen der KuK ausfallen, wenn es, was selten vorkommt, mal eine Störung gibt. Natürlich nutzen die SuS das Netz auch „illegal“ vor dem Haus.

Um dem Datenschutz gerecht zu werden, gibt es eine zweite SSID für Lehrer, die mit WPA und Captive Portal abgesichert ist, eine Umstellung auf Radius ist geplant.

Gäste können natürlich jederzeit Freifunk nutzen, so erübrigen sich alle Voucher Überlegungen automatisch.

Freifunk und das Lehrer-Wlan werden über Unifis verteilt.

2016 habe ich dazu mal einen Vortrag bei der Tübix gehalten:

• Tübix - WLAN an der Schule - Ein Konzept mit Freifunk, Unifi und linuxmuster.net
• tuebix-downloads-2016/tuebix-2016-frank-schiebel-wlan-an-der-schule.pdf at master · tuebix/tuebix-downloads-2016 · GitHub

Ausgehend von dieser Installation an der Schule hat sich – zunächst, um ein per Richtfunk zu erreichendes Flüchtlingsheim anzubinden – die „Freifunk AG“ gegründet - nach Abschluss des Flüchtlingsprojekts hauptsächlich auf Betreiben der SuS.

https://freifunk-3laendereck.net/schueler-machen-freifunk-fuer-gefluechtete/

Anschließend begann ein Dialog mit der Stadt, im Verlauf dessen die AG im vergangenen Jahr das Freibad und den örtlichen Wohnmobilstellplatz mit Freifunk versorgt hat. Die SuS haben Vorträge bei der Mittelstandsvereinigung der CDU und den Freien Wähler gehalten, im Jugendgemeindarat vorgesprochen und gestern hat der Gemeinderat den weiteren, durch die Stadt finanzierten Ausbau von Freifunk an weiteren 4 Standorten beschlossen.

Im Lehrernetz logge ich die aufgerufenen Internetseiten nicht (das Freifunk Netz geht ja eh an mir vorbei zum Gateway). Die Gesetzeslage ist hier nach Abschaffung der Störerhaftung eindeutig: Ich muss nicht in der Lage sein, nachzuweisen, wer wann was gemacht hat. Ich übererfülle sogar, indem ich meine Nutzer sogar darauf hinweise, dass das Netz nicht für illegale Aktivitäten genutzt werden darf. Im Falle von Beschwerden muss man, wenn es dumm läuft, bestimmte Inhalte unerreichbar machen (aka „filtern“).

Ich möchte im Rahmen der Medienbildung an der Schule SuS so „erziehen“, dass sie Ihr Recht , anonym und/oder pseudonym zu kommunizieren wahrnehmen wollen. Das kann ich nicht, wenn ich sie ständig überwache und – schlimmer noch – von Klasse 5 an den Eindruck erwecke, das sei normal. Warum sollte jemand, der das so erlebt hat, jemals gegen Einschränkung der Bürgerrechte und der Meinungsfreiheit oder gegen Überwachung aufbegehren. Das ist meiner Einschätzung nach sehr unwahrscheinlich.

Der CDU Politiker Krings schlägt ja in die gleiche Kerbe, wenn er sagt:

„Ich verstehe, warum das Darknet einen Nutzen in autokratischen Systemen haben kann. Aber in einer freien, offenen Demokratie gibt es meiner Meinung nach keinen legitimen Nutzen“
Innenministerium will Darknet verbieten: Alles soll durchleuchtbar sein - taz.de

Und mit dem Rundumschlag will der Bundesrat VPNs und was auch sonst noch alles verbieten:

Ohne anonyme/pseudonyme Kommunikation ist es eben keine „freie, offene Demokratie“ mehr, und unsere Schüler müssen die Verteidigen, und dafür müssen Sie wissen, dass es nicht o.k. ist, wenn ihnen immer einer über die Schulter schaut.

Im übrigen passiert diesbezüglich nahezu nichts: Das ist ein gutes Beispiel für einen vollkommen schrägen Bias - man denkt immer nur an die, die „Böses“ tun, obwohl das nahezu keiner ist, bestraft aber alle mit Komplettüberwachung.

Nachzulesen z.B. im Transparenzbericht von Freifunk Dreiländereck:

https://freifunk-3laendereck.net/transparenzbericht/

Für das Jahr 2018 sind da etwa 60 Vorfälle gelistet, bei 2200 Zugangspunkten und täglichen Nutzerzahlen zwischen 4000-8000.

Die inhärente Unsicherheit des FF Netzes als „offenes Wlan“ ist im übrigen ein hervorragender Anknüpfungspunkt für Medienbildung. Wie funktioniert SSL, was ist das Problem an Apps, wie nutze ich ein VPN u.v.m.

Eine notwendige Voraussetzung für ein solches Setup ist natürlich, dass die Schule mit ausreichender bandbreite ans Internet angebunden ist, mit 20 Mbit für die Schule kann man nicht „Freifunk für alle“ machen.

VG

Frank

Hi Frank.
Schön, dass die Diskussion auch nochmal in die andere („unüberwachte“) Richtung geht. Freifunk für alle wäre bei uns (noch 50 MBit Leitung … demnächst aber evtl 200 Mbit) im Moment noch nicht machbar. Die SuS fordern schon länger freies Netz für alle (und wenn es nur im Oberstufenraum ist) … Zweifel gibt es aber auch immer wieder. Die Jüngeren kann man fast nicht unbeaufsichtigt ins Netz schicken. Wir haben fast täglich mit irgendeinem Mist in Sachen WhatsApp und Co zu tun. Da wir sehr ländlich liegen, ist der Empfang bei uns ohne WLAN grottig.
Später mehr.
Michael

Warum eigentlich? Nutzen die Lehrer das als Transfer für personenbezogene Daten? Ich steh grad auf dem Schlauch. Warum nicht auch die per Freifunk?

hm, präziser: gibt es rechtlich einen Unterschied, ob:

• lehrer mit schulgerät ins WLAN
• Schüler mit SChulgerät ins WLAN
• Lehrer mit BYOD ins WLAN
• Schüler mit BYOD ins WLAN

geht? gehen die ersten zwei bei euch ins Lehrer-WLAN, die letzten beiden über FF? oder die Lehrer ins Lehrer-WLAN und die Schüler ins FF?

muss mir ansonsten erstmal deine Links durcharbeiten Danke für den Hinweis.

Erstmal: Ich stimme dir zu.

Trotzdem: hole ich mir jetzt schon ein Trojanisches Pferd ins Haus, was evtl. erst mit 5G kommt?

• wie normal sind denn (cyber) Mobbingfälle an der Schule?
• was macht ihr denn in Sachen Medienbildung für Eltern und 5t.-Klässler?

die Themen sind zwar unabhängig. Aber Freifunk ohne (überhaupt erstmal eine) Medienkulturbildung bei uns einzuführen, traue ich mich noch nicht: Wir haben sehr schlechten Mobilfunkempfang im Haus…

außerdem:

was ist denn mit Klasse 1-4?

Hättest du Skrupel, wenn das eine Gesamt/Gemeinschafts-schule wäre?

VG, Tobias

Da wird dir das hier auch gefallen:
https://www.golem.de/news/openbook-ausprobiert-wie-facebook-nur-anders-1904-140377.html?utm_source=pocket-newtab

Hallo,

das ausschlaggebende Kriterium ist (zumindest in BW) nicht die Art des Geräts, sondern der Sachverhalt, ob du auf diesem Gerät personenbezogene Daten verarbeitest. Wenn du das machst, ist derzeit (trotz DSGVO) noch die Verwaltungsvorschrift zum Datenschutz aus 2015 massgeblich, weil das KuMi noch keine Aktualisierung vorgelegt hat.

Nun muss man davon ausgehen, dass auf lehrereigenen Geräten personenbezogene Daten verarbeitet werden, also biete ich eine Möglichkeit an, diese verwaltungsvorschriftskonform in einem verschlüsselten Netz zu betreiben, die VwV sagt dazu nämlich:

Auswahl_007744×635 98.2 KB

Dass das letztlich nur eine Risikoverringerung ist, wenn sich alle das Passwort teilen, weil du natürlich auch in einem verschlüsselten WLan von jedem angegriffen werden kannst, der sich mit diesem verbindet, lasse ich ebenso unter den Tisch fallen, wie der Umstand, dass sicherlich sehr viele KuK ihren Laptop sowohl im Freifunk Netz als auch bei Starbucks in Betrieb nehmen. Ein verschlüsseltes Wlan in einem Cafe, bei dem das Passwort an der Wand hängt ist, was die Angriffsszenarien angeht, praktisch genauso unsicher wie eines, das nicht verschlüssel ist.

Einen wirklich spürbaren Sicherheitsgewinn bekommst du erst mit WPA Enterprise, weil es damit für einen Angreifer schwerer wird, einen Fake-AP aufzusetzen, aber ohne valides Zertifikat ist natürlich auch das möglich.

VG

Frank

[1] Anlage: Anlage zur VwV von 2015: anlage1_zur_vwv_datenschutz-final-2015.pdf (157,6 KB)

Hallo,

da das System nicht föderiert und derzeit nicht selbst gehostet werden kann, finde ich das nicht sehtr attraktiv.

Wir experimentieren derzeit mit Mattermost [1], das kann in der freien Variante leider kein LDAP Auth, ist ansonsten aber ein valider Ersatz für einen schulisches Chatsystem, weil es auch brauchbare Apps für alle BS hat. Zugang wird über die Maildomains geregelt, mit denen man sich registrieren muss.

Und heute ist HumHub [2] durch meine Mastodon Timeline gehuscht:

VG

Frank

[1] https://mattermost.com/
[2] HumHub – Putting People and Pieces together

Hallo,

Kann ich natürlich nur fürs QG was zu sagen: Kommt vor ist aber bei uns nicht das zentrale Problem. Das Problem sind Grenzüberschreitungungen, vor allem in der Unterstufe (5-7/8), ab dann entspannt sich das sehr.

In der Unterstufe wird von den einschlägigen Deppen relativ regelmäßig Pornografie und Gewalt in die praktisch immer existierenden WhatsApp Klassengruppen geteilt.
Pornographie ist dabei erfahrungsmemäß minderschlimm, denn alle SuS wissen heute, dass man sich fortpflanzt, das berührt dann hauptsächlich schüchterne Gemüter. Beim Pornofilmchen verrät meist auch schon das Vorschaubild, was einen erwartet, und man kanns dann auch löschen.
Ein echtes Problem sind Gewaltvideos, denn wenn du einen Film auf dein Handy bekommst und nach dem Öffnen wird da einem der Kopf abgeschlagen, live und in Farbe, hat das u.U. sehr nachhaltige Auswirkungen auf die Kinderseele, weil man damit eben überhaupt nicht rechnet.

Der wichtigste Punkt ist: Das hat in keiner Weise was damit zu tun, obs an der Schule Wlan hat oder nicht, die SuS haben heute alle Internet, auch die bei denen die Eltern auf abstruse Weise glauben, das verhindert zu haben.

Bei uns gibt es eine Poolstunde für Medienbildung in Klasse 5, wir machen den ach so tollen Medienbasiskurs also eigentlich gar nicht, sondern die SuS haben 14tägig eine Doppelstunde „ITG und Medien“, da bringt man schon einiges unter, es hängt aber natürlich auch arg von der Lehrperson ab.

Außerdem ist die Medienerziehung der SuS fester Bestandteil der Klassenlehrerstunde, die in 5 & 6 als Klassenrat umgesetzt wird.

Für die Eltern gabs bislang einen Infoabend von der Polizei, der war diese Mal aber so schlecht, dass wir das ab nächstem Jahr selber machen. Der Polizist hat 90 Minuten „Schauergeschichten aus dem Internet“ erzählt und sich dann mit den Worten „bleiben Sie mit ihrem Kind im Gespräch“ von den Eltern verabschiedet. Ich würde da gerne doch noch den einen oder anderen Ratschlag mitgeben. Das testen wir im Mai, dass wir dann im kommenden Jahr ready to go sind.

Parallell wollen wir Mittelstufenschüler zu Medienmentoren ausbilden, die sollen an das bereits vorhandene Streitschlichterkonzept angedockt werden. Das ist grade in der Anschubphase.

Das kann ich nicht beurteilen, neige hier aber der Idee zu, dort Filterung mit Whitelists zu betreiben und den Spielplatz mit dem Alter zu erweitern. Also durchaus weniger liberal

Nö. Die Problemstellung ist dieselbe. Wir haben nebenan eine GMS, die haben kein Freifunk aber auch kein Handyverbot. Die pilgern dann öfter mal zu uns rüber, aber denen nehm ich das Ding auch ab, wenns sein muss.

Man hat IMHO letztlich nur die Wahl, das alles „aus der Schule rauszufiltern“, indem man maximal restriktiv vorgeht, dann passieren solche Sachen im Schulnetz und in der Schule nicht, sondern eben außerhalb. Ob man damit wirklich was erreicht hat, muss man dann für sich entscheiden.

Ich hatte so einen Streit mal exemplarisch mit meinem ehemaligen stellvertretenden SL:

Er: „Die Handys müssen ausgeschaltet im Ranzen sein, ich will die Dinger nicht sehen“
Ich: " Warum"
Er: „Die verprügeln sich und Filmen das“
Ich: „Dann machen sie das eben auf dem Nachhauseweg, wir müssen den SuS einen verantwortungsvollen Umgang vorleben und beibringen“
Er: „Mir egal, auf dem Heimweg sollen die machen was sie wollen, Hauptsache die Schule kommt nicht in ein schlechtes Licht“.

Keine weiteren Fragen.

VG

Frank

Das wollen wir uns auch anschauen. Mich würde Deine Meinung dazu interessieren. Was kann es mehr/besser/schlechter als z.B. die Tools, die letzte Woche im Workshop angesprochen wurden. Ergänzt oder ersetzt es sie zum Teil?

Viele Grüße,
Jochen

Ich habe auf drei APs Freifunk immer offen, wird auch rege genutzt, muss aber dazusagen, dass wir eine Berufsschule sind und eigentlich auch nur erwachsene Schueler haben.
Ab demnaechst sind 8 APs frei, da wir im grossen Rahmen die Schule abdecken, die werden dann auch Freifunk anbieten, denke aber darueber nach ob ich nicht gleich den ganzen Kram direkt raus- bzw. reinkippe, die Freifunkinstanz sollte man sich als Schule eigentlich sparen koennen, wird ja zweimal Netzlast erzeugt, einmal zum Freifunkgateway ueber das Internet und dann wieder raus. Die entstehende Latenz ist eigentlich unnoetig.

Vom Handyverbot halte ich grundsaetzlich nichts, sie sollen ja lernen damit umzugehen, Verbote bringen da irgendwie nix und im Unterricht kann man das Handy allemal nutzen.
Manche Lehrer pienzen rum, dass sie keinen PC-Raum haben, das laesst sich entspannen indem die Klassen ihre Handys nutzen, fuer Recherche allemal.

Gruss Harry

Hallo,

Das verstehe ich nicht.

In der Schule (eigentlich bei allen größeren Freifunk Installationen )hast du im wesentlichen zwei Möglichkeiten, Freifunk zu verteilen:

Variante A

Wenn du 8 Geräte mit Freifunk Software hast, hängst du eines ans VPN zum Gateway. Da werden die Daten dann nur einmal übertragen. Alle anderen APs hängst du mit Kabeln an diesen ersten AP dran, und zwar indem du auf dem LAN Meshst statt auf der Luftschnittstelle. Das Mesh-on-Wlan schältst du ab und lässt die APs idealerweise anschliessend auch auf verschiedenen Kanälen funken.

Mesh on Wlan hat mit vielen Clients keinen Sinn, weil die alle auf demselben Kanal funken müssen und dir die Airtime ausgeht.

Variante B

Du betreibst einen AP als Offloader und verteilst das Client Netz über per Kabel angeschlossene Aps, z.B. über die eh voorhandenen Unifi Aps.

Auch hier hast du nur einmal den Traffic zwischen Gateway und Schule, dazu kommt natürlich noch dass Grundrauschen von Batman, welchen Anteil das hat hängt von deiner FF Community und Ihrer Größe ab.

Was also keinen Sinn macht, ist mehrere VPN Verbindungen zum GW, denn damit holst du dir für jede das Grundrauschen an Bord, das kann dann irgendwann ein Problem sein.

VG

Frank

Das geht schon ueber einen offloader, das Problem bleibt aber, dass die Freifunkinstallation primaer die Aufgabe “Hotspot” hat, also freies Internet und dann kann ich die Daten auch direkt ins bzw. vom Internet rein-/rauskippen, ueber das eigenen Gateway. Damit spart man sich den ganzen Overhead und unnoetig lange Wege ins Internet, Stichwort “Balls of Steel”-Exit.
Hauptfrage ist, was passiert, wenn ueber den Exit Mist gebaut wird? Diese stellt sich aber in der Schule jetzt schon fuer jeden Schuelerrechner. Die Abmahnung oder Strafanzeige landet im Schulbriefkasten, irgendwer muss sich drum kuemmern - aussitzen ist nicht die beste Idee.

Hallo,

Nichts. Bei Freifunk Dreiländereck gibt es eine Zeile im Transparenzbericht, die sind als Provider eingetragen.

VG

Frank

Beim Freifunkexit passiert nix, um den geht es ja nicht, mir geht’s um den Schulexit, balls of steel quasi, der ist schneller, erzeugt weniger Overhead, weniger Grundrauschen, weniger Latenz.

Hai,

Ich würde davon ausgehen, dass auch hier die Abschaffung der Störerhaftung in vollem Umfang gilt, insbesondere dann, wenn du (wie in den meisten Schulen wohl üblich) per Benutzungsordung darauf hingewiesen hast, welche Nutzungen verboten sind.

Ich hafte jedenfalls nicht, wenn überhaupt wohl meine Chefin (oder die Stadt, die ist ja Anschlussinhaber?) - so what.

VG

Frank

Dann kannst Du Dir Freifunk ja auch sparen und kippst das Zeug direkt rein/raus. Mesh ist sowieso fuer’n Arsch, macht nur die Airtime dicht und dann bleibt die einzige Funktion von Freifunk, dass die Abmahnungen bzw. Polizeibesuche beim Freifunkexit landen.

Hallo,

Nein. Lies dir doch mal den Startpost durch, auch die verlinkten Infos.

VG

Frank

Ueberwachen tut ja dann ein anderer oder auch Du selbst. Derjenige, der auf dem Freifunkrouter sitzt hat umfaengliche Moeglichkeiten dazu. Ich habe mal ein Skript geschrieben, welches z.B. die Signalstaerke der angemeldeten Clients anzeigt, da faellt dann noch die MAC-Adresse be ab, das da:
https://w.ffrn.de/doku.php?id=de:anleitungen:signalstaerke_der_angemeldeten_clients_mit_iw_anzeigen

SSL/TLS bringt Dir bei offenem WLAN auch begrenzt etwas, die URL sieht man nicht, die Ziel-IP schon und die reicht ja eigentlich so gut wie immer schon. maxmind, whois, reverse lookup…laesst sich alles automatisieren, ist es auch schon.

Das ganze Layer2-Regelwerk auf den Gluonroutern ist ja auch etwas undurchsichtig, ich verstehe es zumindest nicht umfaenglich.

Mal so nebenei wuerde ich auch keinen Freifunkrouter zuhause so einfach an meinen Plasterouter haengen, obwohl das ja empfohlen wird.
Der haengt bei mir in einer DMZ, denn kein Mensch weiss wirklich, wer darauf Zugriff hat, aber viele wissen, wie man diesen im Falle eines Zugriffes beliebig manipulieren kann, LEDE oder OpenWRT sei Dank. Immerhin steht das Ding zuhause mit einem Fuss im LAN und mit dem anderen per IPv6 in der Wolke Internet, kein „NAT-Schutz“, das wird aus meiner Sicht viel zu selten erwaehnt.

Fuer wirkliche (im Rahmen des Machbaren) anonyme Kommunikation mache ich mit meinen Schuelern Tor/Darknet mitsamt der Moeglichkeiten selbst Dienste in .onion zu platzieren. Das Konzept dahnter eignet sich auch prima fuer den Kryptografieunterricht und ich weiss auch, dass das nah am Boesen ist.

Gruss Harry

Hallo,

die Aussage zur Anonymität/Pseudonymität hat sich nicht auf Freefunk bezogen, sondern generell auf den im anderen Thread geäußerten Standpunkt, dass jede Aktion jedes Benutzers in einem Netz geloggt werden soll.

Das ist dennoch sehr viel datenschutzfreudlicher als kommerzielle Hotspots oder WiFi4 EU:

• Das dürften die allerwenigsten Knotenbetreiber machen. Und wenn, dann hat der Knotenbetreiber deine MAC - so what. Er sieht ja nur seinen Knoten, kann also damit vergleichsweise wenig anfangen. Wohingegen die Telekom oder Unitymedia oder gar Wifi4Eu mit dieser MAC ein ziemlich vollständiges Bewegungsprofil anfertigen können, weil die ja Zugriff auf alle ihre Hotspots haben.
• Es findet keine zentrale Datensammlung statt.

Das wird doch nicht „so empfohlen“. Meine Schüler und ich weisen immer auf das Problem hin, dass der FF Router „im eigenen Netz ist“.
Einigen Knotenbetreibern haben wir den Node ins Gastnetz der Fritzbox gemacht (und das auch mal erklärt: Freifunk Mössingen -)
In besonders Datenschutzbedürftigeen Umgebungen (Ärzte o.ä.) stellen wir die Router nur gemeinsam mit dem ITler und nur in getrennte Netzsegmente auf. Und zumindest bei FF3L dürfte ein solches Vorgehen die Norm sein.

Wenn wir Fernwartung aktiviert haben, geht das nur mit einem SSH Key (den nur ich habe) und der Knotenbetreiber wird darüber vollständig aufgeklärt was dass bedeutet und unterschreibt das bei Überlassung des Routers (wenn wir den eingerichtet haben, wenn er das selber macht, geht mich das alles ja eh nix an).

Das ist stimmt doch nicht. Ein selbst geflashter gluon Router einer vertrauenswürdigen Community ist IMHO sicherer als alles, was die Tekekom bei dir aufstellt.

Das ist schön, dazu komme ich nicht.

Ich finde beim Freifunk Projekt mit den Schülern besonders schön, dass das aus der Schule in die Gesellschaft reinreicht, allerdings ist der Zeitaufwand erheblich (unnötig zu sagen, dass ich für diese „AG“ der Schule keinerlei Kompensation erfahre, obwohl das als AG geführt wiord…)
Es ist für die Schülerinnen (Klasse 9/10) sehr wertvoll, wenn Sie bei der CDU oder im Gemeinderat ihr Konzept vorstellen, dort ernst genommen werden und sehen, dass sich da was bewegt.

VG Frank

Soweit ich das beurteilen kann gibt es in den Communities jeweils einen einzelnen, der die Gluonimages fuer die unterschiedliche Hardware baut, da sind meistens nicht einmal 4 Augen beteiligt. Ob man diesem trauen kann, weiss ich nicht - Du vermutlich auch nicht.
Ebenfalls weiss niemand ob nicht sein System kompromitiert ist - das Problem haben wir aber immer.