Einrichtung der Tablets & Sicherheit

Bei der Einrichtung der Tablets gab es zwei große Themen, die berücksichtigt werden wollten:

1. wie kann ich es schaffen, mehrere Geräte identisch einzurichten ohne dies mehrfach manuell zu tun?

2. wieviel Sicherheitsvorkehrungen sind notwendig zum Schutz der Schüler und der Geräte?

Bezüglich der Frage der Einrichtung, stand für mich relativ schnell fest, dass die Installation aller Apps natürlich über ein gemeinsames Konto bei GooglePlay recht zügig vom Computer aus erledigt werden kann, jedoch hätte dies dennoch bei einer Anzahl von ca. 50 Apps recht viel Zeit und eine gute W-Lan-Verbindung gebraucht. Die W-Lan-Verbindung zu meinem Router war zwar ganz passabel, jedoch hingen mit den 5 Tablets die es einzurichten galt insgesamt 10 Geräte plus W-Lan-Drucker an einem Gerät, was zu Einschränkungen geführt hätte. Das Rooten der Geräte stand von vorne herein nicht zur Debatte.

Nachdem ich Meraki ausgeschlossen hatte, weil es die Funktionalität des App-Managements nur für iPads gibt, fand ich folgende Lösung, die zwar etwas provisorisch und nicht ganz kostenlos ist, jedoch durchaus zeitsparend:

1. Anmeldung aller 5 Geräte mit einem Google-Konto um nachträgliches Installieren von neuen Apps einfach zu gestalten und ggf. über Google Chrome die Browserverläufe einsehen zu können.

2. My Backup Pro zum Kopieren der Einstellungen (die Migrierfunktion erlaubte leider nicht die Migration von allen Geräteinhalten + Einstellungen)

3. Helium Backup Premium zum Kopieren der Apps incl. App-Einstellungen auch ohne Root.

Und damit sahen in weniger als 30 Minuten die Geräte so aus

Credits: PetiteProf79 | CC BY-SA 4.0 International

Die Installation von diversen Sicherheitsmaßnahmen habe ich vor der Übertragung von Einstellungen und Apps auf einem Gerät erledigt, sodass ich im Prinzip ein Gerät von A-Z eingerichtet und dann im Anschluss diese Einstellungen mit übertragen habe. So musst ich lediglich Feineinstellungen auf allen 5 Geräten machen und auf jedem Gerät die teilweise unterschiedlichen Nutzungsdaten einmalig eingeben.

Beim Thema Sicherheit ging es sowohl darum, die Geräte vor Diebstahl und Beschädigung zu schützen, jedoch natürlich auch um den Schutz der Schüler im Umgang mit den Tablets, sei es im Hinblick auf Cybermobbing oder auf die Ablenkung durch Apps, die nicht für den schulischen Gebrauch gedacht waren, sich jedoch nicht deinstallieren ließen.

Bezüglich des Diebstahlschutzes bietet der Android Geräte-Manager die Möglichkeit, jederzeit den Aufenthaltsort des Geräts festzustellen, es bei Diebstahl zu sperren, klingeln zu lassen, dem Dieb eine Nachricht anzeigen zu lassen oder sogar den kompletten Geräteinhalt zu löschen. Allerdings endet die Überwachung hier.

Lokalisierung ist natürlich auch über die meisten mobilen Virenschutz-Apps inzwischen möglich, allerdings gibt es meist eine Beschränkung der Anzahl an registrierten Geräten. Diese liegt bei Lookout auch bei der Premium-Version bei 2. Avira Antivirus Security Free erlaubt bis zu 5 Geräte, weshalb ich diese App ausgewählt habe. Sie schützt die Geräte vor Viren und Adware (auf Wunsch), außerdem kann man durch sie die Geräte orten, klingeln lassen und Fernlöschen.

Da ich eher nicht davon ausgehe, dass die Geräte über Nacht oder über die Ferien in der Schule abhanden kommen, wollte ich jedoch vermeiden, regelmäßig das Online-Dashboard von Avira aufrufen zu müssen, um zu sehen, ob die Geräte noch an ihrem Platz sind. Daher habe ich letztendlich doch Meraki installiert, da es erlaubt, einen bestimmten Radius anzugeben, in dem sich die Geräte aufhalten dürfen. Wenn sie den Radius verlassen, bekomme ich automatisch eine Email mit einer Warnung. Der akzeptable Radius ist der zwischen meiner Schule und meiner Wohnung, weil es manchmal erforderlich ist, dass ich die Geräte mit nach Hause nehme.

Hinsichtlich des Schutzes der Geräte vor physischer Beschädigung habe ich natürlich passende Schutzhüllen in verschiedenen Farben zur einfacheren Verteilung der Tabs an die jeweiligen Schülergruppen angeschafft. Ebenso Bildschirmschutzfolien, da nicht alle Schüler Erfahrung mit der Empfindlichkeit von Touchscreens haben und um zu verhindern, dass die Bildschirme von den vielen Kinderfingern allzu viele Abdrücke behalten.

Was die Sperrung bestimmter Apps angeht, so hatte ich mir eigentlich erhofft, dass die Samsung Note 8.0 – Geräte unter Android KitKat wie mein Note 10.1 über verschiedene Nutzerkonten verfügen, sodass ich User für jede Klasse erstellen und ihnen nur die Apps zugänglich hätte machen können, die sie brauchen. Leider wurde diese Option von Samsung offenbar bewusst ausgeblendet, womit eine Ersatzlösung her musste.

Damit die Schüler nur Zugang zu den für sie notwendigen Apps haben, wurde AppLock installiert, sowie die Erweiterung, die das simple Deinstallieren der App verhindert. AppLock erlaubt das Anlegen von verschiedene Benutzerprofilen, die über Shortcuts auf dem Homescreen aktiviert und deaktiviert werden können. Ich habe also ein Profil für Schüler angelegt, welches ihnen Zugang zu den Apps erlaubt, die wir im Unterricht verwenden. Wenn sie jedoch versuchen, Apps aufzurufen, die sie definitiv nicht brauchen, wird die Eingabe eines PIN-Codes verlangt, den nur ich habe. Gesperrt sind grundsätzlich der GooglePlay Store, die Einstellungen der Geräte, W-Lan (das Passwort wurde von mir eingespeichert), aber auch der Standardbrowser und GMail. Ebenso natürlich Spiele und vorinstallierte Apps, die wir nicht verwenden werden. Den Standardbrowser habe ich durch Google Chrome ersetzt, der mir eine gewisse Überwachungsmöglichkeit bietet. GMail möchte ich nicht zugänglich machen, da sonst die Emailadresse zugänglich wäre, über die ich viele Apps registriert habe (teilweise unter Verwendung von Dummy-Accounts). Stattdessen haben die Schüler Zugriff auf eine andere Emailapp, für die ich separate Emailadressen bei GMX angelegt habe – sie können die Schüler verwenden, um sich Dinge gegenseitig zuzuschicken und über sie sind auch manche Apps registriert, die sich nicht über Dummy-Accounts registrieren ließen. Prinzipiell bin ich bei den Apps so vorgegangen, dass ich überall den Masteraccount mit Master-Passwort verwendet habe, wo sich Passwörter speichern lassen, lediglich bei Anwendungen, bei denen jedes Mal ein Passwort eingegeben werden muss, habe ich ein Passwort gewählt, welches ich den Schülern anvertrauen kann und welches ihnen ohne Zugang zu den Tablets nichts bringt. Die Bluetoothverbindung habe ich freigegeben, weil es hin und wieder sein kann, dass die Schüler von ihren Geräten über den BT-Lautsprecher Ton streamen oder Dateien austauschen sollen. Screensharing habe ich ebenfalls zugänglich gemacht, da die Schüler so selbst das Screen-Mirroring starten können.

Anmerkung: Das einzige Problem, welches durch die Sperrung der W-Lan-Einstellungen aufgetreten ist, ist die Tatsache, dass die Schüler die Geräte nicht neu verbinden können, sollte die Verbindung einmal abbrechen oder Authentifizierungsfehler auftreten. Dies war in letzter Zeit des Öfteren der Fall, jedoch vermute ich, dass es daran lag, dass im Passwort ein Sonderzeichen enthalten war, mit was wohl Samsung-Geräte ein Problem habe. Ich hoffe, dass dies durch die Änderung des Passworts der Vergangenheit angehört.

Schließlich war noch die Frage zu klären, wie ich die Schüler vor Inhalten schützen kann, die nicht für ihre Augen bestimmt sind, und wie ich sie davon abhalten kann, entgegen der Nutzungsregeln private Konten (z.B. Facebook, Emailaccounts) und Dienste, die sie nicht nutzen sollen (z.B. Google Translate) über den Browser aufzurufen. Prinzipiell hätte sich das Problem an meiner Schule leicht so regeln lassen, dass die Geräte ins Schulnetzwerk eingebunden werden, womit sie automatisch vom Jugendschutzfilter geschützt wären und auch jeder Internetzugriff protokolliert würde. Das Problem besteht jedoch darin, dass nicht jeder Schüler ein eigenes Tablet nutzt sondern in Gruppen von 3-5 Schülern gearbeitet wird und dass die Tablets an einem Vormittag teilweise durch die Hände von 6 Klassen gehen. D.h. es hätte sich jeweils ein Schüler der Gruppe anmelden können, unter dessen Account dann das Protokoll gespeichert wäre und die Schüler hätten daran denken müssen, sich jedes Mal am Ende der Stunde auszuloggen. Bei Schulstunden, die lediglich 45 Minuten dauern, wäre es vorprogrammiert gewesen, dass dies zu einem heillosen Durcheinander führt. Außerdem ist das Jugendschutzfilter der Schule teilweise für meine Verwendung etwas zu scharf eingestellt, da z.B. Wikipedia-Einträge zu Drew Barrymore gesperrt sind, weil es in den Berichten um Drogen geht. Daher bat ich unseren Netzwerkadministrator darum, mir die Möglichkeit zu geben, die Tablets über den lokalen W-Lan-Router mit dem gerätespezifischen Passwort einloggen zu können. Zur erweiterten Sicherheit wurden lediglich die MAC-Adressen der 5 zur Verfügung stehenden Geräte freigeschaltet, sodass auch das Passwort des Routers nicht allein den Zugriff auf das W-Lan-Netzwerk erlaubt.

Natürlich liegt die Verantwortung für den Schutz der Schüler und das Protokollieren der aufgerufenen Internetseiten dabei bei mir, jedoch arbeiten die Schüler in jeder Stunde mit demselben Tablet, sodass ich mit Hilfe einer Logdatei und der Uhrzeit des Zugriffs den Kreis der Schüler, die sich etwas zu Schulden kommen lassen könnten, durchaus auf maximal 5 Schüler eingrenzen kann. Zumal ich bei unseren Schülern ziemlich sicher bin, dass sie sich an meine Anweisungen halten werden – nicht nur, weil sie größtenteils sehr gut erzogen sind und sich an Anweisungen halten, sondern auch weil sie eine Nutzungsordnung für die Tablets unterschrieben haben, die Sanktionen bei Fehlverhalten vorsieht, und weil sie zudem wissen, dass ich sehr ressourcenreich bin, wenn es darum geht, Schuldige ausfindig zu machen. Es ging also nur noch darum, eine App zu finden, die mir die Internetzugriffe protokolliert und mir erlaubt bestimmte Seiten zu sperren.

Meine Suche beschränkte sich ziemlich schnell auf Kindersicherungsapps. Zuerst schaute ich mir Norton Family Parental Control an, welches offenbar auch in der kostenlosen Version keine Beschränkungen hinsichtlich der Anzahl der Geräte hat. Der größte Nachteil, den Norton als Kindersicherung zu haben scheint, ist die Tatsache, dass ein bestimmtes Nutzungslimit nicht geräteübergreifend eingerichtet werden kann. D.h. wenn das Kontingent auf einem Gerät aufgebraucht ist, kann das Kind zum nächsten wechseln. Da ich jedoch kein Zeitlimit einstellen wollte, schien mir die App eine geeignete Lösung zu sein. Leider stellte ich nach kurzer Verwendung fest, dass zwar Webseiten auf der Blacklist zuverlässig gesperrt werden, jedoch wurden Webseiten, bei denen ich eine Warnung einblenden ließ, die der Tabletnutzer auf eigene Verantwortung umgehen konnte, nach erstmaligen Umgehen der Warnung nicht mehr mit dem Warnhinweis versehen und auch auf die Benachrichtigung per Email wartete ich vergeblich. Eigentlich hatte ich mir diese Warnung (verbunden mit einer Email an mich) jedes Mal erhofft, sodass ich dank des Emailhinweises direkt mit dem Schüler sprechen hätte können um ihn zum vernünftigen Umgang mit bestimmten Webdiensten (wie z.B. Google Translate, welches ich außer zum Aussprachetraining verbiete) zu erziehen.

Schließlich landete ich dann bei Quostodio, welches ähnliche Funktionen wie Norton hat, jedoch einfacher zu bedienen scheint. Die Gratisversion bietet lediglich die Möglichkeit ein Gerät zu überwachen. Da ich jedoch dank des TeleTandem-Förderpreises von 2013 ein kleines Budget zur Verfügung hatte, entschloss ich mich, 25 Euro zu investieren und den Dienst mit den 5 Geräten für ein Jahr zu testen, ggf. gäbe es Bildungstarife, die interessant sein könnten. Letztendlich ist es natürlich möglich, dass der Einsatz einer Kindersicherungsapp unnötig wird, sobald jeder Schüler ein eigenes Tablet zur Verfügung hat, weil die Tablets dann in das Schulnetz eingebunden werden könnten.  Ich halte es auf Dauer jedoch für unmöglich die vorhandenen Schutzmechanismen für PCs auf mobile Geräte anzuwenden, da sie die Verwendung von mobilen Geräten in manchen Fächern sicherlich zu starr und vom Lehrer nicht adaptierbar einschränken, was sich auf die Effektivität der Nutzung negativ auswirken kann. Schließlich sind Einschränkungen teilweise durchaus fachspezifischer Natur und auch abhängig vom einzelnen Lehrer.

Mein Dashboard im Reiter Webfilterregeln sieht momentan so aus

Credits: PetiteProf79 | Screenshot

 

D.h. ich werden bei den gelben Kategorien lediglich informiert, während die roten Kategorien gesperrt werden. Außerdem habe ich meine OwnCloud auf die Whitelist gesetzt, während Google Translate auf der Blacklist steht. Jeden Tag bekomme ich von Quostodio ein Protokoll, das die Aktivitäten jedes Tablets auflistet.  Ich gehe davon aus, dass die Schüler aus lauter Frustration darüber, dass beim Versuch Google Translate aufzurufen nicht nur die Seite gesperrt ist, sondern auch der Browser sich automatisch beendet und ich benachrichtigt werde, bald dazu übergehen werden, lieber mit Hilfe der Wörterbuch-App LEO selbst Texte zu schreiben.

Qustodio bietet in der Premium-Version auch die Möglichkeit, geräteübergreifend Zeitlimits einzustellen, Apps zu sperren, Facebookaktivitäten zu überwachen und den Standort des Geräts zu ermitteln. Die erste Option ist für mich in der Schule nicht notwendig, da die Schüler die Geräte lediglich in meinen Stunden zur Verfügung haben. Die Sperrung von Apps würde theoretisch die Nutzung von AppLock unnötig machen, wäre da nicht die Tatsache, dass die Apps, die gesperrt werden können mindestens ein Mal aufgerufen worden sein müssen. D.h. ich müsste alle Apps, die ich sperren möchte auf jedem Gerät einmal manuell aufrufen um sie anschließend zu sperren. Auch hier denke ich, dass die Frustration der Schüler über die PIN-Abfrage bei bestimmten Apps ausreicht, um ihnen anzutrainieren, die Apps erst gar nicht aufzurufen. Facebookaktivitäten muss ich nicht kontrollieren (zumal dies einen nicht unerheblichen Einschnitt in die Privatsphäre der Schüler darstellen würde), da zum einen die von den Schüler unterschriebenen Nutzungsregeln das Aufrufen privater Konten verbieten und zum anderen sowohl die Facebook-App als auch die Facebook-Webseite im Browser gesperrt sind. Die Ermittlung des Standorts schließlich ist m.E. nicht ausgereift genug um den Schutz über Avira überflüssig zu machen, da ich die Geräte nicht fernsteuern kann und der Virenschutz nach wie vor notwendig wäre.