Datenschutzkonforme Einführung von Office 365 für Fuldaer Schulen

153

Der Magistrat der Stadt Fulda ist für die Betreuung und den Betrieb der IT für 23 Schulen in Fulda – davon 2 berufliche Schulen und 2 Gymnasien – mit 13.000 Schülern und 1.000 Lehrkräften zuständig.

Anders als im übrigen Hessen profitieren wir als kleiner städtischer Schulträger von einem gut ausgebauten, stadteigenen Glasfaser-Netzwerk. Ein Großteil der Schulen sind an das stadtweite Glasfasernetzwerk angebunden. So konnten wir schon früh auf den dezentralen Einsatz von Servern in den Schulen verzichten und stattdessen auf ein zentrales IT-Konzept setzen. Daher läuft die komplette Schul-IT in Fulda auf zentralen Servern, die bei uns in der Verwaltung stehen. Auf ihnen läuft eine von uns selbst aufgebaute Active Directory Domäne mit zentralen Domänen Controllern, an denen eine Terminalserverfarm bestehend aus Windows und Citrix Servern und die zentralen Fileserver angebunden sind.

An dieser Domäne melden sich sämtliche Rechner in den Schulen – zu einem großen Teil handelt es sich dabei um kostengünstige Thin Clients – an, um auf Daten und Services zuzugreifen. Zu dem Netzwerk gehören fast 1.500 Windows PCs und Notebooks plus 850 Thin Clients. Der Zugang zum Schülernetzwerk wird über 130 Accesspoints geregelt, über die während der Unterrichtszeiten bis zu 3.500 Nutzern gleichzeitig auf das Netz zugreifen.

Schaubild über die Einführung von UCS@school in Fuldas Schulen

Automatisierung sollte Administrationsaufwände reduzieren

Im vergangenen Jahr haben wir beschlossen, einen weiteren Schritt in Richtung Zentralisierung unserer IT Infrastruktur zu machen. Ziel dabei war es, einerseits die administrativen Aufwände weiter zu reduzieren und gleichzeitig neue Services für unsere Nutzer in das zentrale Konzept einzubinden. Dafür brauchten wir im ersten Schritt ein starkes, zentrales Identity Management, an das weitere Anwendungen angebunden werden können.

Auf unserer Anforderungsliste standen dabei unter anderem, dass:

  • wir sämtliche Schülerdaten aus dem Verwaltungsprogramm LUSD, in dem sämtliche hessischen Schüler registriert sind und das im Rechenzentrum des HZD Wiesbaden läuft, importieren können. Dieser Import sollte automatisiert und verschlüsselt in unser Active Directory erfolgen;
  • die Benutzerkonten von Lehrern manuell und einfach über ein Webinterface von den IT-Beauftragten an den jeweiligen Schulen gepflegt werden können;
  • die Pflege aller Nutzergruppen, Verzeichnisse und Freigaben automatisiert aus den aus LUSD importierten XML-Dateien erfolgen kann;
  • die Schulen über ein Self-Service-Portal verfügen, um Passwörter von Schülern selber zurücksetzen und persönliche Daten wie E-Mail oder Mobilnummern einpflegen zu können;
  • es einfache und sichere Anbindung zusätzlicher Services für die Nutzer wie Office 365 oder Private Cloud Anwendungen gibt.

UCS@school sorgt für zentrales Identity Management

Nach dem wir uns eine Weile umgeschaut hatten, sind wir im Frühjahr 2016 auf UCS und UCS@school gestoßen. Nach einer eingehenden Prüfung war schnell klar, dass wir mit dem zentralen Identity und Zugangsmanagement von UCS unsere Grundsätze Zentralisierung bei gleichzeitiger Offenheit gut verwirklichen könnten. Im Anschluss an das Kick-off im Februar 2016 konnten wir bereits bis zum Ende der Sommerferien im Juli den Roll-out von UCS umsetzen und sämtliche Schüler- und Lehrer-Identitäten über das Identity Management von UCS verwalten. Der Großteil der Benutzer merkte davon erst etwas, als die Benutzeranmeldung unter Windows auf „Named Accounts“ umgestellt wurde.

Univention Corporate Server übernimmt seitdem in unserem zentralen Rechenzentrum die Synchronisierung der Benutzerdaten zwischen dem Active Directory und UCS, die Bereitstellung der Heimatverzeichnisse sowie Self-Services-Funktionalitäten. Eine weitere wichtige Funktion, die UCS übernimmt, ist der automatische Import der Nutzerdaten aus dem bereits erwähnten LUSD-Verzeichnis des Landes Hessen. Dabei importiert UCS Name, Klassen- und Schulzugehörigkeit der Nutzer und vergibt für jeden Nutzer ein Passwort, das später individuell angepasst werden kann. Mit diesem einen Passwort kann auf alle Services, Daten und das Schul-WLAN zugegriffen werden. Für das Zurücksetzen der Passwörter ist in UCS beispielsweise das Hinterlegen einer privaten E-Mail Adresse des Nutzers möglich, die von dem Self-Service in UCS genutzt wird, um jedem Schüler zu ermöglichen, selbstständig, ohne dass ein Lehrer involviert ist, ein Token zum Zurücksetzen des Passworts zu verschicken. Dieser Prozess reduzierte die administrativen Aufwände signifikant. Sie können sich sicherlich vorstellen, wie häufig bei 14.000 Nutzern – davon einige gedanklich mit ganz anderen Themen beschäftigt – das Zurücksetzen von Passwörtern nötig ist.

Screenshot vom Fulda Schulportal auf UCS@school

Sehr wichtig für uns ist außerdem auch das automatische Lifecycle-Management, das UCS mitbringt. Scheidet ein Schüler oder eine Lehrkraft aus dem Schulsystem aus oder wechselt zu einer anderen Schule, wird diese Information im LUSD eingepflegt und hat die entsprechenden Auswirkungen auf sämtliche von ihm genutzten Ressourcen und Rechte. Ein Punkt, auf den ich gleich noch weiter eingehen möchte, wenn es um die Nutzung von Office 365 geht.

Kostengünstige Nutzung von Office 365 für Schüler und Lehrer dank Rahmenvertrag

Im Rahmen der Weiterentwicklung unseres Service-Angebots für die Schulen haben wir uns auch mit dem Thema Nutzung von Office Anwendungen von Schülern und Lehrern beschäftigt, da dies immer wieder von unseren Schulen angefragt worden ist und wir sie dabei unterstützen wollten.

Dabei stellte sich heraus, dass neben dem eh in Fulda bestehenden Rahmenvertrag der Verwaltung mit Microsoft nur geringe Zusatzkosten entstehen würden, um eine ausreichende Zahl an Lizenzen für die Nutzung von Office 365 für die Schulen zur Verfügung stellen zu können. Über eine Erweiterung des Rahmenvertrags dürfen pro Lizenz ohne Zusatzkosten auf bis zu fünf Geräten plus fünf weiterer, mobiler Geräte die Office Programme direkt installiert und genutzt werden. In dem Rahmen des Vertrags ist für die Schüler die Nutzung von Office 365 Pro Plus und für die Lehrer zusätzlich auch noch der Einsatz von OneDrive und Office Online abgedeckt. Neben den bereits bestehenden Vertragskosten für den FWU-Rahmenvertrag kamen für den Einsatz von Office 365 Pro Plus je Schüler und Lehrer nur jeweils noch 0,05 Euro Kosten pro Jahr hinzu. Eine preisgünstigere Möglichkeit war wohl schwerlich zu finden. Bei der Umsetzung der unterschiedlichen Lehrer- und Schülerzugriffsrechte kam uns das hierarchisch abstufbare Rollenmodell, das UCS@school mitbringt, sehr entgegen. Dazu gleich noch mehr.

Herausforderung: Datenschutzkonformer Zugriff auf Office 365

Nachdem wir nun diese kostengünstige Lösung gefunden hatten, galt es als Nächstes einen datenschutzkonformen Zugriff auf Office 365 zu ermöglichen. Denn unser Datenschutzbeauftragte signalisierte früh, dass Office 365 als Webservice sowohl die Inhalte als auch die Nutzerdaten in der eigenen Microsoft Azure Cloud speichert – ein Szenario, das den deutschen Datenschutzbedingungen für den Umgang mit Schülerdaten grundsätzlich widerspricht. Deshalb ist nach momentanem Stand ein normaler Einsatz von Office 365 in Fulda nicht möglich, bis eine datenschutzkonforme Möglichkeit, wie zum Beispiel der Einsatz über die Deutschland Cloud, die sich momentan aber noch in einem recht frühen Planungsstadium zu befinden scheint, gefunden ist. Daher mussten wir uns eine andere Möglichkeit überlegen, mit der wir das finanziell attraktive Angebot doch noch als Dienst verfügbar machen konnten.

An diesem Punkt kam der Microsoft Office 365 Connector ins Spiel, den Univention im App Center zur Verfügung stellt. Dank einer Authentifizierung über die in UCS integrierte SAML-Technologie können sich alle Nutzer wie gewohnt mit ihrem Passwort bei UCS anmelden. Die Authentifizierung am Webdienst wird dann über UCS abgewickelt – Passwort und Nutzername verbleiben so im eigenen System und werden nicht an Office 365 übergeben und dort gespeichert. Nichtsdestotrotz blieb noch das Problem, dass die in den Office 365 Anwendungen erstellten Inhalte in der Azure-Cloud gespeichert werden, was eben auch nicht datenschutzkonform ist. Dieses Problem haben wir umgangen, indem sich nach der Registrierung am Webdienst unsere Lehrer und Schüler die on-premise Version der Office Programme herunterladen und auf dem eigenen Rechner installieren und lokal nutzen können. So bleiben sowohl die Nutzerdaten als auch die Inhalte im eigenen System und werden nicht bei Azure gespeichert.

Den Office 365 Connector haben wir direkt aus dem Univention App Center installiert und über eine Schnittstelle mit dem Azure Active Directory verknüpft. So konnten wir anschließend unsere UCS Umgebung mit Azure verbinden, sodass die an Office 365 nötige Nutzer-Authentifizierung über den Passwortdienst von UCS erfolgen kann.

Screenshot Office 365 Anbindung in UCS@school

Zentrale Steuerung der Office 365 Profile über den in UCS integrierten LDAP Server

Bei der initialen Einrichtung haben wir die Konfiguration der Office 365 Profile zentral über die UMC, also die Univention Management Console, das webbasierte Verwaltungstool von UCS, vorgenommen. Nachdem alle wichtigen Parameter eingetragen und Einstellungen vorgenommen wurden, konnten wir diese Profile Gruppen (beispielsweise SchülerInnen / LehrerInnen) im UCS zuweisen. So war es sehr einfach, der Gruppe Lehrer einer Schule A wie oben beschrieben den erweiterten Funktionsumfang von Office freizugeben, während Nutzer, die eine „Schüler-Identität“ haben, lediglich den Zugriff auf Office 365 gestattet bekamen.

Als Parameter für die eindeutige Identifizierung der Nutzer haben wir uns in Fulda für die Nutzung einer Dummy-E-Mail-Adresse des jeweiligen Nutzers entschieden. Auch wenn sie zur Zeit noch nicht genutzt wird, ließe sie sich später in weiteren Szenarien, zum Beispiel der Einführung einer Schulmail-Lösung, einsetzen.

Zentrale Verwaltung der Lizenzdaten ermöglicht effiziente Kontrolle

Da es wie weiter oben schon geschrieben gerade in größeren Schulumgebungen immer wieder zu personellen Wechseln kommt, war es für uns auch ein wichtiges Thema, die Anzahl der aktiv genutzten Lizenzen unter Kontrolle zu behalten. Auch hier bietet uns UCS@school eine komfortable Verwaltungsmöglichkeit. So konnten wir über das zentrale Identity Management von UCS jedem Nutzer eine eigene Office Lizenz zuweisen. Kommt es zum Ausscheiden des Schülers oder Lehrers, muss diese Information nur einmal zentral eingepflegt werden. Per Replikationsmechanismus wird die Information automatisch an alle Stellen verteilt und wirkt sich auch auf die Lizenznutzung des Nutzers aus. Für die Microsoft Lizenz des Schülers oder Lehrers bedeutet das, dass diese automatisch deaktiviert wird und innerhalb einiger Wochen automatisch erlischt. So sind wir in der Schulverwaltung ohne zusätzlichen Aufwand auf der sicheren Seite, was die Zahl der aktiven Lizenzen angeht und brauchen eine Unterlizensierung nicht zu befürchten.

Screenshot Lizenaktivierung für Office 365 eines Schülers

Und es geht weiter …..

Die Einführung des zentralen Identity- und Accessmanagements von UCS@school hat wie beschrieben nicht nur zur deutlichen Reduzierung von Verwaltungsaufwänden sowohl bei uns als Schulträger als auch in den Schulen geführt. Es hat uns auch einen Weg eröffnet, weitere Anwendungen wie Office 365 einzuführen, und das sogar datenschutzkonform.

Sicher werden wir in den nächsten Jahren hier noch weitere Schritte machen. So ist beispielsweise angedacht, eine eigene Private Cloud einzurichten, denn ob die geplante deutsche Bildungscloud tatsächlich in absehbarer Zeit umgesetzt wird, ist alles andere als sicher. Und warum sollen wir mit der Umsetzung warten, wenn wir, beispielsweise auch über das Univention App Center, einen Private Cloud Dienst in unsere IT Infrastruktur integrieren könnten. Ideen gibt es einige und wir freuen uns, dass wir den von uns betreuten Schulen eine moderne, anspruchsgerechte und effektive IT bieten können.