Dieser Artikel wendet sich an die IT-Abteilungen unserer Lehrbetriebe, wo Lernende ihr Arbeitsgerät für den Unterricht verwenden.
Schweizweit wird die Strategie verfolgt, dass Lernende und Studierende in der beruflichen- und universitären Aus- und Weiterbildung mit einem persönlichen Geräte (BYOD) den Unterricht bestreiten. In den Bildungsinstitutionen schreitet die Digitalisierung voran und immer mehr Anwendungsfälle bewegen sich weg von der Papierwelt hin zu IT-Services. Hier macht die WKS KV Bildung keine Ausnahme.
Mit der fortschreitenden Digitalisierung bekommt das Thema Cybersicherheit eine immer grössere Bedeutung. Dies führt verständlicherweise dazu, dass Firmen die Benutzerrechte auf Arbeitsgeräte immer mehr einschränken. Auch die WKS KV Bildung tut dies und erweitert fortlaufend ihre IT-Sicherheitsmassnahmen.
Damit Lernende ohne Einschränkungen am Unterricht und an digitalen Prüfungen teilnehmen können, müssen gewisse Programme installiert, und Zugriffe möglich sein. Dabei gibt es verschiedene Lösungsansätze die zum Ziel führen können.
Benötigte Applikationen für die Aus- und Weiterbildung
Hier listen wir auf, welche Applikationen im Unterricht aktiv eingesetzt werden an der WKS KV Bildung. Grundsätzlich benötigen die Lernenden die Berechtigung, Applikationen auf ihrem Gerät zu installieren und zu aktualisieren. Dies kann mit lokalen Administratoren-Rechten oder mit eingeschränkten Lokalen Administratoren-Rechten realisiert werden.
Microsoft 365
Als Schule für Kaufleute setzen wir auf Microsoft 365, da dieses Produkt in den Betrieben am weitesten verbreitet ist. Die Lernenden erhalten zum Start ihrer Ausbildung einen Microsoft 365 Account. Dieser Account wird zentral verwendet für die Anmeldung an allen WKS IT-Services. Die Multifaktorauthentifizierung wird erzwungen und kann über SMS oder Microsoft Authenticator bewerkstelligt werden. Die Lernenden benötigen daher folgende Berechtigungen:
- Anmeldung mit dem WKS M365 Account in Microsoft Teams Desktop-Client sowie dessen Installation.
- Anmeldung mit dem WKS M365 Account in den Office Applikationen (Word, Excel, PowerPoint usw.) sowie deren Installation, falls noch nicht vorhanden.
- Anmeldung mit dem WKS M365 Account im Online Portal von Microsoft.
- Anmeldung mit dem WKS M365 Account im Microsoft OneDrive.
- Zugriffe auf SharePoint Links der WKS KV Bildung.
- Anmeldung mit dem WKS M365 Account für Microsoft OneNote sowie die Installation, falls noch nicht vorhanden.
- Hinzufügen des WKS M365 Accounts im Microsoft Outlook. Das ist aber optional da sie auch den Outlook Web-Client nutzen können.
Internet Browser
Der grösste Teil der IT-Services an der WKS KV Bildung sind webbasiert. Wir nutzen aktuell zwei digitale Prüfungsplattformen, welche erhöhte Ansprüche an den Internet-Browser stellen. Die Erfahrung hat gezeigt das nicht jeder Internet-Browser diese Anforderungen erfüllt. Einer der folgenden Internet-Browser muss auf dem BYOD der Lernenden installiert sein:
- Google Chrome
- Microsoft Edge
Wenn ein geschäftlicher M365 Account vor konfiguriert ist, sollten die Lernenden die Berechtigung haben, ein Browser-Profil für den WKS M365 Account anzulegen, damit es beim Wechsel der Webapplikation keine Authentifizierungsprobleme gibt. Die Anleitung dazu finden Sie hier: Verschiedene Browser Profile anlegen.
Adobe Acrobat Reader
Im Unterricht werden Unterlagen auch im PDF-Format herausgegeben. Die Lernenden müssen in der Lage sein dieses Format zu öffnen auf ihrem Gerät. Natürlich kann dies auch mit einem alternativen PDF-Reader bewerkstelligt werden. Auch die Vollversion Adobe Acrobat ist natürlich zulässig.
Safe Exam Browser
Der Safe Exam Browser ist eine Voraussetzung für die Teilnahme an digitalen Prüfungen. Diese Software wurde von der ETH Zürich entwickelt und wird im Rahmen eines Open Source Projekts zur Verfügung gestellt. Wir verwenden diese Software in unseren Prüfungsplattformen "Moodle" und "SmartLearn". Wird eine digitale Prüfung gestartet, versetzt der Safe Exam Browser das BYOD in den sogenannten "Kiosk-Modus" und unterbindet während der Prüfung den Zugriff auf lokale Daten und Programme. Dabei gelten folgende Anforderungen:
- Der Safe Exam Browser muss mit lokalen Administrations-Rechten installiert werden. Die Applikation selbst benötigt diese Rechte ebenfalls, damit sie das BYOD in den Kiosk Modus versetzen kann.
- Die Lernenden müssen in der Lage sein den Safe Exam Browser zu aktualisieren. Da auch dort immer wieder neue Sicherheits-Lücken bekannt werden, die es den Lernenden ermöglichen den "Kiosk-Modus" zu umgehen, verwenden wir stehts die aktuellste Version.
- Der Safe Exam Browser muss auf dem BYOD direkt installiert sein. Eine Nutzung in einer Virtuellen Maschine (VM) ist per Konfiguration unterbunden. Würden wir dies nicht tun, könnte der Prüfungsmodus mit einer lokalen VM zu einfach umgangen werden.
Die Software kann hier frei heruntergeladen werden: Download Safe Exam Browser.
WKS-WLAN und VPN
Die Lernenden müssen in der Lage sein sich mit dem "Public-WLAN" der WKS zu verbinden. Eine Verbindung mit diesem WLAN ist zwingend notwendig, da digitale Prüfungen nur in diesem WLAN absolviert werden können. Unsere Prüfungssysteme überprüfen die IP-Adresse der Internetverbindung des Gerätes. Entspricht diese nicht der IP-Adresse des WKS-WLAN, wird die Verbindung mit dem Prüfungssystem nicht zugelassen. Die Massnahme ist notwendig, damit nicht jemand Externes die Prüfung für die Lernenden remote absolviert.
Der "Public-WLAN" Service an der WKS wird von der Firma onway AG bereitgestellt. Details dazu finden Sie hier. Bei der Verbindung mit dem WLAN wird eine Authentifizierungs-Webseite aufgerufen wo die Lernenden sich entweder via SMS-Code oder mit ihrem WKS M365 Account authentifizieren können. Die Authentifizierung wird anschliessend 6 Monate auf dem Gerät gespeichert, bevor die Lernenden den Prozess wiederholen müssen. Die Verbindungsanleitung zum WKS-WLAN finden Sie hier.
Die Lernenden müssen eventuell auch in der Lage sein, die VPN Verbindung zum Firmennetzwerk zu trennen. Dies kommt jedoch darauf an, wie das Firmen-VPN konfiguriert ist.
Es besteht die Möglichkeit für die Lernenden, den Follow-Me Druckertreiber auf dem BYOD zu installieren, um komfortabler drucken zu können. Das ist aber nicht zwingend notwendig, da die Lernenden alternativ das Dokument, welches sie drucken möchten, auch einfach per Mail an den Druckserver senden können. Die Drucker Anleitung finden Sie hier.
Bekannte Lösungsansätze
Es gibt Lösungsansätze, welche bereits bekannt sind und die zum Teil gut und zum Teil weniger gut funktionieren in der Praxis.
Privates Gerät für den Unterricht (Bevorzugte Lösung)
Einige Lehrbetriebe finanzieren Ihren Lernenden ein privates Gerät für den Unterricht oder stellen ein solches zur Verfügung. Auch Lösungen mit Kostenbeteiligungen haben sich hier bewährt (z.B. 50% - 50%). Da man auf einem privaten Gerät Administratorenrechte hat und keine einschränkende Software installiert ist, funktioniert dieser Ansatz für den Unterricht sehr gut. Die Lösung ist auch für den Lehrbetrieb die sicherste. Allerdings ist es auf den ersten Blick auch der kostspieligste Ansatz. Hier möchten wir aber zu bedenken geben in welcher Relation sich die Kosten bewegen. Ein gutes Windows-Gerät beläuft sich in einem Kostenrahmen von 800 - 1'300 CHF. Wenn dies nun verglichen wird mit den Ausgaben, welche Ihr Lehrbetrieb jedes Jahr in Cybersicherheit investiert, erscheinen die Kosten vielleicht nicht mehr ganz so hoch. Auch das Implementieren und Warten anderer Lösungsansätze kostet Arbeitszeit und Ressourcen. Dieser Lösungsansatz hat den Vorteil, dass die Kosten klar kalkulierbar sind. Das Risiko sowie die Aufwände für den Lehrbetrieb sind gering und die Lernenden können uneingeschränkt am Unterricht und an Prüfungen teilnehmen.
Firmengerät mit lokalen Administratorenrechten
Dieses Konzept funktioniert für den Unterricht gut. Allerdings beinhaltet es für die Lehrbetriebe auch ein Sicherheitsrisiko. Aus diesem Grund wird dieses Konzept von den meisten Firmen abgelehnt.
Firmengerät mit erhöhten Benutzerrechten
Diese Konzept funktioniert für den Unterricht gut. Grundsätzlich benötigen die Lernenden die Berechtigung um Applikationen auf ihrem Gerät zu installieren und zu aktualisieren. Die korrekte Konfiguration zu finden ist hier allerdings aufwändig und das Sicherheitsrisiko für den Lehrbetrieb ist ebenfalls hoch. Es besteht auch die Gefahr, das nach Major-Releases die benutzerdefinierte Konfiguration durch den Firmenstandard wieder überschrieben wird.
Firmengerät mit dedizierter Applikationsinstallation durch die IT
Dieses Konzept funktioniert mittelmässig gut für den Unterricht und ist für die Lehrbetriebe aufwändig. Gerade die Aktualisierung der Spezialapplikationen wie z.B. des Safe Exam Browsers führt im schulischen Alltag zu Problemen. Dabei kommt es sehr darauf an, mit welcher Lösung Ihre IT- Abteilung Applikationen zentral verteilt und verwaltet. Hinzu kommt, dass Lehrpersonen auch individuell Tools nutzen oder Tool-Empfehlungen abgeben, wie z.B. im Bereich Mathematik. Die Lernenden können, bei diesem Lösungsansatz, auch nicht Tools ausprobieren um z.B. ihren persönlichen Workflow zu optimieren.
Firmengerät mit VDI-Instanz für den Unterricht
Gewisse Lehrbetriebe haben das Problem zu lösen versucht, in dem sie den Lernenden eine Windows Instanz in einer VM (Virtuellen Maschine) mit Administratorrechten zur Verfügung stellten. Dieser Lösungsansatz funktioniert leider nicht für den Unterricht. Vor allem die digitalen Prüfungssysteme lassen das Absolvieren einer Prüfung in einer VM nicht zu aus den oben genannten Gründen.
Unterstützung und Fragen
Die ICT-Abteilung der WKS KV Bildung unterstützt Sie gerne bei der Lösungsfindung.
Sie können uns gerne zu den Bürozeiten kontaktieren unter:
Tel. +41 31 380 30 70
Mail: ict@wksbern.ch