Schul-IT Hardware des Landes macht Schulnetze langsam

Ein großer Mann mit Locken und Brille steht vor einer Betonwand.
Bildrechte: MDR/Viktoria Schackow

18 Millionen Euro hat die Landesregierung von Sachsen-Anhalt dafür ausgegeben, damit Schulnetze sicher betrieben werden können. Das Problem: Die Geräte machen die Schulnetze langsam. In manchen Schulen verstauben sie deshalb im Schrank. Schulträger werfen der Landesregierung vor, dass sie nicht gefragt wurden und möglicherweise müssen Schulen für den Betrieb der ungewollten Geräte bald auch noch zahlen.

Schultalfel mit LAN-Kabel
Bildrechte: imago images/Daniel Schäfer

Zwei Wochen lang sei er ständig zu den fünf Schulen seiner Stadt unterwegs gewesen, berichtet ein IT-Verantwortlicher einer Stadt im Landkreis Wittenberg. Der Grund: Drucker funktionierten nicht oder die Internetgeschwindigkeit der Schulnetze war zu lahm. Die Probleme seien aufgetreten, nachdem eine Hardware-Firewall im Auftrag des Landes an den Schulen installiert worden war.

Nach zwei Wochen hat der IT-Experte die Nase voll: Er klemmt die Firewall-Geräte wieder ab. Ein anderer Schul-IT-Verantwortlicher berichtet, dass er – direkt nachdem er Erhalt und Installation des Gerätes quittiert hatte – noch im Beisein des Installateurs das Gerät von seinem Netz getrennt habe.

Eine unendliche Geschichte: Netzausbau und Computer an Sachsen-Anhalts Schulen. Im Mai hatte MDR SACHSEN-ANHALT berichtet, dass viele Lehrer ihre Dienstlaptops nicht nutzen würden und dass manche auch aus Gründen der IT-Sicherheit damit nicht ins Schulnetz dürfen.

Firewall steht ungenutzt auf dem Boden in einer Schule
Eine Schule in Sachsen-Anhalt: Die blaue Hardware-Firewall von Palo Alto "PA-820" steht ungenutzt auf dem Boden. Bildrechte: MDR/Marcel Roth

Bei der Anfrage an Städte, Gemeinden und Landkreise kam außerdem heraus: Auch andere, teuer bezahlte Geräte stehen an Schulen herum – die Hardware-Firewalls, mit denen auch im Landkreis Wittenberg gerungen wurde. Es sind Geräte des Herstellers Palo Alto in einem blauen Gehäuse.

Diese sogenannten UTM-Geräte (Universal Threat Management) vom Typ Palo Alto 820 sind dem Schulnetz vorgeschaltet. Sie filtern mögliche Angriffe aus dem Internetverkehr und blocken das Aufrufen von schädlichen oder verbotenen Inhalten.

Schulträger kritisieren fehlende Kommunikation

Bei Schulen als Teil öffentlicher Verwaltungen scheint es immer wieder zu Unstimmigkeiten zu kommen, wenn es um IT geht. Wohl ein Grund: Die Ausstattung von Schulen liegt eigentlich in den Händen der Schulträger, also der Städte, Gemeinden und Landkreise. Und die sagen seit Jahren, dass sie zu wenig Geld hätten.

Deshalb springt mitunter die Landesregierung ein und hat die Geräte von Palo Alto beschafft: An bislang 345 Schulen wurden die Geräte geliefert. 933 Schulen gibt es im Land, die einen Internetanschluss haben oder noch bekommen sollen und die auch eine IT-Sicherheits-Komponente brauchen. Aber manche Schulträger bitten wohl bereits darum, die weiteren Lieferungen der Geräte zu stoppen.

Landkreise und Gemeinden unzufrieden mit Firewalls

Sachsen-Anhalts Landesregierung hat die Geräte offenbar beschafft, ohne mit den Schulträgern ausreichend gesprochen zu haben.

  • Der Landkreis Anhalt-Bitterfeld wünscht sich, bei Entscheidungen zur Schul-IT mehr berücksichtigt zu werden und nennt die Firewall-Lösung als Beispiel.
  • Die Stadt Ballenstedt schreibt von "Firewall-Systemen, die niemand haben will".
  • Die Stadt Halberstadt teilte mit, es gebe wiederkehrende Störungen bei den Glasfaseranschlüssen, "weil die IT-Sicherheitskomponenten des Landes und der Kommune inkompatibel" seien.
  • Der Landkreis Harz schreibt: "Das Land hat für alle Schulen Firewalls inklusive Wartungsverträge beschafft. Die Schulträger erhalten keinen Zugriff auf diese Geräte." Dabei hätte der Landkreis bereits eigene Sicherheitskomponenten integriert.

Und weil die Firewalls dem Land gehören und die Schulen darauf nicht zugreifen können, müssen sie dafür eine Firma aus Schönebeck beauftragen. Sie kann das Gerät speziell für ein Schulnetz konfigurieren. Das kostet den Schulen angeblich 100 Euro pro Stunde – ein Mitarbeiter der Schönebecker Firma setzt sich dafür an seinen Rechner und richtet die Firewall aus der Ferne ein.

Firewall drosselt die Internetgeschwindigkeit deutlich

In Magdeburg sind die Geräte von Palo Alto an 32 Schulen im Einsatz. Dort verlangsamen die Geräte die Geschwindigkeit des Breitbandanschlusses der Schulen enorm. "Festgestellt wurde, dass von den vertraglich zugesicherten einem Gigabit oftmals nur 100 bis maximal 300 Megabit pro Sekunde ankommen", schreibt die Stadt.

Auch aus Schulen im Salzlandkreis und im Saalekreis berichtet ein IT-Experte, dass die eingerichteten Firewalls die Schulnetze enorm verlangsamen.

Wenn tatsächlich nur ein Drittel oder gar ein Zehntel der Bandbreite zur Verfügung steht, wird die Firewall zu einem Flaschenhals – mehrere Schulklassen können so kaum gleichzeitig sinnvoll mit dem Internet arbeiten. IT-Experten halten es für plausibel, dass die Firewall die Internetgeschwindigkeit in diesem Maße verringern kann.

Digitalministerium sieht Firewalls nicht als Bremse der Schulnetze

Das Digitalministerium sieht auf Anfrage von MDR SACHSEN-ANHALT nicht, dass die Landes-Firewall die Geschwindigkeit der Schulnetze drosselt: "Die Bandbreite der bereitgestellten Internetanschlüsse war eine wesentliche technische Anforderung für die Auswahl geeigneter Hardwarekomponenten." Deshalb könne grundsätzlich davon ausgegangen werden, dass die Geräte die geforderten Übertragungsgeschwindigkeiten vollständig abbilden könnten.

18 Millionen Euro: Vor den Kosten wurde bereits 2020 gewarnt

Die Landesregierung hat für die Firewall mehr als 18 Millionen Euro ausgegeben: 16 Millionen für Kauf und Einrichtung und zwei Millionen für den Betrieb, also für Wartung und Lizenzen. Der Vertrag darüber läuft allerdings im kommenden April aus – ab dann müssten Städte, Gemeinden und Landkreise für den Betrieb der ungeliebten Geräte selbst zahlen. Derzeit prüft die Landesregierung, ob sie die Wartung weiter bezahlt, schreibt das Digitalministerium.

Auf die Folgekosten wurde das Bildungsministerium allerdings bereits 2020 hingewiesen: Ein Schreiben des Landesinstituts für Schulqualität und Lehrerbildung, das MDR SACHSEN-ANHALT vorliegt, enthält eine Tabelle mit einer Übersicht über die Kauf- und Folgekosten für Firewall-Lösungen. Die Schlussfolgerung in dem Schreiben: Die Lösung von Palo Alto ist eine der teuersten. In dem Schreiben wird außerdem dringend darum gebeten, "den Schulträgern Entscheidungsfreiheit beim Kauf der Sicherheitskomponente zu lassen."

Das Digitalministerium hat sich Ende Juni mit einigen Schulträgern ausgetauscht. Angeblich will das Ministerium die Schulträger nicht dazu verpflichten, die Firewalls zu nutzen.

Weitere Kosten für Schulen: Breitbandanschlüsse

Sachsen-Anhalts Digitalministerium schreibt, dass der Breitbandanschluss der Deutschen Telekom zwischen 120 und 155 Euro kostet. Monatlich und pro Schule. "Diese Kosten werden für die Dauer von 24 Monaten, beginnend mit Anschluss des jeweiligen Schulstandorts, vom Land übernommen." Nach zwei Jahren werden das wohl die Schulträger bezahlen müssen. Wenden sich Schulen direkt an die Telekom, kosten die Anschlüsse etwa 90 Euro, berichtet ein IT-Verantwortlicher.

Warum wurden die Firewalls ohne Ausschreibung angeschafft?

Auf Anfrage von MDR SACHSEN-ANHALT betont das CDU-geführte Bildungsministerium, dass es "nie für die zentrale Beschaffung einer Hardware-Lösung verantwortlich" war und zu IT-Themen in "relativ regelmäßigem, guten und produktiven Austausch" mit den Schulträgern stehe. Beschafft hat die Geräte noch in der vergangenen Legislaturperiode tatsächlich das CDU-geführte Finanzministerium, das damals für den Digitalausbau zuständig war.

Mittlerweile ist das FDP-geführte Infrastruktur- und Digitalministerium zuständig. Es schreibt, dass die jetzige Firewall-Lösung den Anforderungen des Bildungsministeriums folgte. Ziel sei es gewesen, die "Schulen des Landes mit schnellen glasfaserbasierten Internetanschlüssen zu versorgen und eine zentrale Datensicherheitsinfrastruktur zu schaffen".

Ein Detail in der Antwort des Digitalministeriums allerdings macht stutzig: Der Kauf der Hardware-Firewall wurde offenbar nicht ausgeschrieben oder zum Beispiel über den "Digitalpakt Schule" finanziert, bei dem Schulen ihren Technik-Bedarf oft selbst formulieren können. Denn das Digitalministerium schreibt: "Die Beauftragung erfolgte im Rahmen vertraglicher Änderungen des Vertrages zu Los 1 ITN-XT".

Als ITN-XT bezeichnet die Landesregierung ihr eigenes Daten- und Sprachnetz, das T-Systems betreibt und dessen Vertrag 2016 geschlossen wurde. Einen Teil des Vertrages hat die Internetplattform fragdenstaat.de veröffentlicht, die sich der Informationsfreiheit verschrieben hat.

IT-Experten: Sinnloses, teures Stück Netzwerkkabel

Dass Firewalls die Internetgeschwindigkeit bei den Nutzern bremsen können, ist für IT-Experte Frederik Kramer nicht ungewöhnlich. "Je nachdem, wie tief in den Datenverkehr geschaut wird, kann das beim Surfen stören und sich sehr deutlich bemerkbar machen."

Er ergänzt: "Auch der Code, die Software kann einen Unterschied machen. Aber das kann man nur beurteilen, wenn man sich wie bei Open Source Software den Code auch anschauen kann.“ Kramer arbeitet unter anderem für den Landkreis Harz und ist Geschäftsführer der Magdeburger Firma initOS, die Open-Source-Lösungen anbietet.

Wenn – wie wohl im vorliegenden Fall – die Hauptinvestition in Hardware und nicht in Wartung, Update und Anpassung geht, dann ist das eher ein teurer Mercedes, der in der Ecke steht, ohne dass es einen fahrtauglichen Fahrer dafür gäbe. Eine eher sinnlose Investition.

Frederik Kramer, Geschäftsführer initOS, Magdeburg

Experten: Firewalls müssen fachkundig betreut werden

Natürlich könnten die Verantwortlichen für die Schul-IT die Geschwindigkeit beeinflussen, das hänge aber von den Rechten ab, die Hersteller und die betreuende Firma den Nutzern einräumten. "Ohne eine vernünftige Schulung und IT-Sicherheitsmanagement ist das ein teures Grab für Steuergeld", so Kramer. Er kenne zwar Ausschreibung, Ziel, Auswahlprozess und handelnde Personen nicht, aber: "Meiner Kenntnis nach können die Schulen nur schwer Einfluss nehmen. Das Vorgehen ist entweder schlecht kommuniziert oder schlecht durchdacht."

Auch IT-Sicherheits-Experte Marian Kogler aus Halle ist skeptisch. Grundsätzlich sei es sinnvoll, als ein Aspekt der IT-Sicherheit auf Firewalls zu setzen, sagt Kogler, Geschäftsführer von syret, einer Firma, die unter anderem die IT-Sicherheit von Firmen testet.

Penetrationstester Marian Kogler steht en einem Computer. Er vershclüsselt Dateien.
IT-Sicherheitsexperte Marian Kogler von syret aus Halle: Hardware-Firewalls sind ein sehr teures Stück Netzwerkkabel, wenn es nicht richtig gemacht wird. Bildrechte: MDR/Maximilian Fürstenberg

"Allerdings ist dafür notwendig, dass die Firewalls nach den Anforderungen des jeweiligen Schulstandorts fachkundig konfiguriert und langfristig gewartet werden. Eine nicht oder schlecht konfigurierte und gewartete Firewall ist nur ein sehr teures Stück Netzwerkkabel."

Mehr zum Thema: Digitales aus Sachsen-Anhalt

MDR (Marcel Roth)

Dieses Thema im Programm: MDR SACHSEN-ANHALT – Das Radio wie wir | 28. Juli 2022 | 05:30 Uhr

404 Not Found

Not Found

The requested URL /api/v1/talk/includes/html/b4fd91b4-20db-4170-ad94-8934f6cc73ae was not found on this server.

Mehr aus Sachsen-Anhalt