Schulen ans Internet (SAI)

UPC Business gewährt auf ihren und auf Partnernetzen einen Edu-Rabatt für Schulen und bietet Bandbreiten von 50/5 bis 1000/1000Mbit/s an. Zudem werden folgende Zusatzleistungen kostenlos angeboten:

• Persönlicher Ansprechpartner

• Installation durch einen Techniker vor Ort

• Netzanschlussgerät

• Business Hotline: Störungsannahme rund um die Uhr (24 x 7)

• Störungsbehebung innerhalb von 24 Stunden während der Bürozeiten (Mo bis Fr 07.00–18.00 Uhr)

UPC bietet keine eigene Sicherheitslösung an. Firewall und ein Webcontentfilter müssen von der Schule selbst betrieben werden. Als Filterlösung bietet sich ein Filterabo der Firewall an. Alternativ kann die Supportfirma der Schule Unterstützung beim Betreiben der von UPC empfohlenen Filterlösungen Cisco Umbrella oder Monzoon leisten.

Seit Ende September 2017 können Schulen auch von «Schulen ans Internet» profitieren, wenn sie alternativ über einen individuellen Anschluss von Swisscom verfügen und das Produkt «Smart Business Connect» beziehen. Die möglichen Bandbreiten ergeben sich aus der Profilwahl und der vor Ort verfügbaren Maximalbandbreite. Wichtige Unterschiede zu den konventionellen SAI-Anschlüssen sind:

• Zurzeit ist keine Anbindung an das kantonale Bildungsnetz möglich.

• Je nach kantonaler Bestimmung ist diese Anschlussform nur für bestimmte Schulen und Schultypen möglich. Weitere Informationen bei der kantonalen Koordinationsstelle.

Die Realisation erfolgt jeweils über einen lokalen Swisscom-Partner. Die Kosten für die Leistungen des Swisscom-Partners sind von der Schule zu tragen.
Für alle Fragen inklusive Bandbreitenabklärungen steht der lokale Swisscom-Partner oder Swisscom unter 0800 055 055 (gratis) zur Verfügung.

Swisscom bietet unter dem Label «Schulen ans Internet» landesweit allen Schulen und Kindergärten kostenlose Internetzugänge. Das Angebot beinhaltet einen Router und den permanenten Internetzugang für Schulen bis und mit Sekundarstufe II.

Weiter bietet Swisscom professionellen Support und den Schutz des Netzes durch eine kantonale Firewall sowie einen Webfilter (Cloud Security Service).
Der Vertrag läuft auf unbestimmte Zeit. Im Fall einer Kündigung seitens Swisscom wird der Anschluss noch drei Jahre über das Kündigungsdatum hinaus aufrechterhalten.

Da Google ihre Suche über das HTTPS-Protokoll versendet, musste Swisscom das Web Content Screening auf «https-Filtering» erweitern. Dieses Filtering wirkt sich laut Swisscom nur auf Suchanfragen über Google in folgenden Kategorien aus:

• Adult Material (Pornografie etc.)

• Legal & Liability (mögliche strafrechtlich relevante Inhalte)

• Web Search (Suchanfragen auf Suchseiten bzw. deren Resultate)

Die HTTPS-Filterung findet nur in der Google-Suche ihre Anwendung, das heisst alle anderen Seiten, die über HTTPS kommunizieren, werden nicht gefiltert. Falls die Schule eine komplette HTTPS-Filterung wünscht, sollte sie sich über ihren lokalen PC-Support beraten lassen.
 

• SAI – Infoblatt Swisscom: Schutzmassnahmen für Ihren Internetzugang

Ein Filter bietet keinen hundertprozentigen Schutz. Das Internet ist sehr dynamisch. Gerade fragwürdige Sites wechseln oft die URL oder den Namen der Domain und sind damit vorübergehend nicht korrekt kategorisiert. Pro Woche kommen zudem Tausende neuer Sites hinzu, die neu zu kategorisieren sind.

Deshalb empfehlen wir den Schulen ein Benutzerreglement zu erstellen, worin man sich verpflichtet, keine pornografischen, rassistischen und gewaltverherrlichenden Inhalte aufzurufen. Diese Erklärung sollte sich am Schulstandort auf alle Computer und persönlichen Geräte beziehen.

Die Verantwortung für den Umgang mit dem Internet liegt nach wie vor bei der Schule respektive bei der Lehrperson.
Die Schulen sind verantwortlich für die Einhaltung der Jugendschutzbestimmungen. Sie übernehmen die Verantwortung für einen sachgerechten Einsatz des Internets im Unterricht. Die Einhaltung von Urheberrechten und Copyrights liegt ebenfalls in der Verantwortung der Schule. Die Koordinationsstelle berät und unterstützt Schulen bei der Umsetzung einer geeigneten Nutzungsordnung.

Weitere Information zum eingesetzten Web Content Screening sind auf der Swisscom-Seite zu finden.

Alle Geräte, die im Schulnetz Internetzugang brauchen (inkl. mobile Geräte), müssen mit einem Zertifikat ausgestattet sein. Das Zertifkat ist bei den meisten Schulen bereits in Gebrauch.

• Zertifikate und Installationshilfe (ZIP, 575 KB) (Verteilung ist auch über die Gruppenrichtlinie möglich)

• Zertifikat entpackt

Seiten, die nicht mehr funktionieren, können unter nachfolgendem Link eingetragen werden. Die URL wird dann in die Exceptionlist aufgenommen.

• Formular für Exceptionlist

Für das Schulnetz steht das Web Content Screening der Swisscom zur Verfügung. Diese technische Lösung filtert Inhalte aus folgenden Kategorien:

• Pornography

• Violence

• Extreme (dient zur Einordnung von Inhalten, die in Bereiche des Menschenverachtenden, Perversen und Abstossenden gehen)

• Anonymizer (Seiten, die anonymes Surfen über einen Proxy anbieten)

• Security (Malware, Phishingseiten, etc.)

Es muss jeder Schule bewusst sein, dass sie zwar durch eine kantonale Firewall der Swisscom vor Zugriffen aus dem Internet ausserhalb des kantonalen Bildungsnetzes geschützt ist, dass aber zwischen den Schulen keine weiteren Sicherheitsmechanismen existieren. Das bedeutet, dass sämtliche freigegebenen Ressourcen (Ordner, Drucker usw.) innerhalb des kantonalen Bildungsnetzes zur Verfügung stehen. (Solche, die durch Passwörter geschützt sind, sind nur so gut geschützt, wie es die benutzten Passwörter sind.)

Dieses offene Netz bietet Möglichkeiten zur schulübergreifenden Zusammenarbeit, birgt aber auch ganz klar die Gefahr des Missbrauchs und der Manipulation von Daten und Geräten. Die Koordinationsstelle empfiehlt den Schulen, ihr Netzwerk durch eine weitere Hardware-Firewall zu schützen.

Für das Thurgauer Schulnetz steht ein Web Content Screening im Einsatz. Weiterführende Informationen dazu sind unter SAI-Filter aufgeführt.

Die kantonale Koordinationsstelle ist in Zusammenarbeit mit der Swisscom für die Konfiguration der kantonalen Firewall verantwortlich. Zugänge zu verschiedenen Diensten, die spezielle Ports verwenden, sind bereits freigeschaltet worden.

Werden spezielle Ports für bestimmte Applikationen benötigt, so kann eine Freischaltung bei der kantonalen Koordinationsstelle beantragt werden. In Absprache mit Swisscom wird über die Öffnung entschieden.

1. Verfügbarkeit prüfen.

Vorgängig muss beim abgeklärt werden, ob am Standort überhaupt VDSL möglich ist. Dafür kann das Formular Machbarkeitsabklärung ausgefüllt und per E-Mail an die Koordinationsstelle gesendet werden. Sofern in den letzten zwei Jahren eine Machbarkeitsprüfung erfolgt ist, kann dieser Punkt übersprungen werden.

2. Sicherheitslösungen evaluieren

Klären Sie vorgängig die möglichen Sicherheitsleistungen ab und lassen Sie sich diese offerieren.

3. Anmeldung

Folgende Formulare müssen ausgefüllt und unterschrieben an die kantonale Koordinationsstelle (E-Mail)  gesendet werden:

• Sponsoringantrag Extra exkl. Security

• Haftungsausschluss

4. Weiterleitung

Die kantonale Koordinationsstelle kontrolliert die Formulare und leitet diese an Swisscom weiter.

5. Entscheid und Vertrag

Swisscom entscheidet über die Genehmigung des Sponsoringantrages und versendet die Verträge. Nach der Vertragsunterzeichung vergehen etwa 8 bis 10 Wochen Implementationszeit, bis der Anschluss in Betrieb genommen werden kann. Falls noch bauliche Massnahmen nötig sind, kann sich die Implementationszeit entsprechend verlängern.

6. Installation

Während der Implementation erhält der auf dem Antragsformular aufgeführte Elektroinstallateur Informationen von Swisscom, auf welcher Klemme der Hauseinspeisung das Signal geschaltet wird. Die Arbeiten des Elektroninstallateurs gehen zulasten der Schule. Wenn es möglich ist, wird der neue Anschluss parallel zum bestehenden aufgebaut. Der Wechsel produziert dann nur einen kurzen und planbaren Unterbruch.

7. Konfiguration

Die Schule konfiguriert ihr Netzwerk und setzt die Sicherheitsmassnahmen um.

8. Haftungsausschluss

Damit die Sicherheitslösung überprüft wird, muss jährlich der Haftungsausschluss neu unterzeichnet werden.

Downloads

• SAI Haftungsausschluss

• Machbarkeitsabklärung

• Sponsoringantrag Extra exl. Security

Folgende Mindestanforderungen muss die Schule erfüllen:

Firewall

• Schutz vor unberechtigten An- und Zugriffen

• Laufende Aktualisierung der Firewall-Lösung, damit diese dem aktuellen Industriestandard entspricht

• Aktive Überwachung des Internet Traffic

Web Content Screening

• Sperrung von Webseiten mit unerwünschten Inhalten

• Periodische Aktualisierung des Filters

• Aktive Überwachung des Internet Traffic 

Der bestehende Anschluss wird in ein offenes Netz (Open Net) migriert, das nicht mehr durch eine Firewall und das Web Content Screening unterstützt wird. Der bestehende Router wird durch einen neuen Router mit einer neuen IP-Adresse ersetzt. Das interne Netz der Schule muss deshalb auch neu konfiguriert werden.

Eine direkte Verbindung mit bestehenden Anschlüssen aus dem SAI-Netz ist nicht mehr möglich. Eine bestehende öffentliche IP kann nicht mehr weiter genutzt werden, da sich bei einer Migration in ein anderes Netz die IP-Adresse immer ändert.

Eine neue IP wird zugeordnet, dafür wird kein separates Antragsformular benötigt. Einen RAS-Zugang für das Open Net gibt es nicht.

Die Schule ist für die Sicherheitslösung selber verantwortlich. Sie stellt sicher, dass die einschlägigen Jugendschutzvorschriften, namentlich Artikel 197 des Schweizerischen Strafgesetzbuches, eingehalten werden.

Das SAI-Angebot «Open Net» steht im Thurgau zur Verfügung. Der bestehende Schulanschluss wird auf ein spezielles Netz migriert (Open Net), das den Schulen eine höhere Bandbreite garantiert. Der Anschluss ist kostenlos, jedoch muss die Security (Firewall und Content-Filter) von der Schule übernommen werden. Die Bandbreiten-Angaben sind «Best Effort».

Grundsätzlich empfehlen wir den Schulen aus Sicherheits- und Kostengründen die Security-Leistungen von Swisscom zu übernehmen. Je nach Situation kann aber auch ein Wechsel durchaus Sinn machen. Eine Aufstellung der laufenden und zukünftigen Kosten ist zu empfehlen.

Das Standardangebot von Swisscom beinhaltet einen Anschluss von <100/20 MBit/s (Kupfer/FTTH/Mobile). Die Security (Firewall und Web Content Screening) ist kostenfrei. Es ist möglich, dass die Distanz zwischen dem Kundenanschluss und der Anschlusszentrale nicht die maximale Bandbreite zulässt. In diesem Fall erhält die Schule die technisch grösstmögliche Bandbreite geliefert (Best Effort).

Swisscom unterstützt auch hochbreitbandige Anschlüsse (VDSL, Glasfaser) im Rahmen von «Schulen an Internet». Die Sicherheitslösungen mit der zentralen Firewall und dem Content Filter gehören bei diesen Anschlüssen nicht zum Sponsoring und müssen durch die Schulen finanziert werden. Die Kosten belaufen sich auf Fr. 55.— pro Monat (Kupfer/FTTH/Mobile, >100/20 MBit/s).

1. Verfügbarkeit prüfen.

Vorgängig muss abgeklärt werden, ob am Standort überhaupt VDSL möglich ist. Dafür kann das Formular Machbarkeitsabklärung ausgefüllt und per E-Mail an die kantonale Koordinationsstelle gesendet werden. Sofern in den letzten zwei Jahren eine Machbarkeitsprüfung erfolgt ist, kann dieser Punkt übersprungen werden.

2a. Neuanmeldung

Folgendes Formular muss ausgefüllt und unterschrieben an die kantonale Koordinationsstelle (E-Mail) gesendet werden:

• Standard-Sponsoringantrag (bis 100 Mbit/s) oder

• Extra-Sponsoringantrag (>100 Mbit/s, kostenpflichtig)

2b. Bandbreitenerhöhung

Folgendes Formular muss ausgefüllt und unterschrieben an die kantonale Koordinationsstelle (E-Mail) gesendet werden:

• Antrag Bandbreitenerhöhung

3. Weiterleitung

Die kantonale Koordinationsstelle kontrolliert die Formulare und leitet diese an Swisscom weiter.

4. Entscheid und Vertrag

Swisscom entscheidet über die Genehmigung des Sponsoringantrages und versendet die Verträge. Nach der Vertragsunterzeichnung vergehen etwa 8 bis 10 Wochen Implementationszeit, bis der Anschluss in Betrieb genommen werden kann. Falls noch bauliche Massnahmen nötig sind, kann sich die Implementationszeit entsprechend verlängern.

5. Installation

Während der Implementation erhält der auf dem Antragsformular aufgeführte Elektroinstallateur Informationen von Swisscom, auf welcher Klemme der Hauseinspeisung das Signal geschaltet wird. Die Arbeiten des Elektroninstallateurs gehen zulasten der Schule.

6. Konfiguration

Die Schule konfiguriert ihr Netzwerk.

Anträge zum Bezug einer öffentlichen IP-Adresse können ausschliesslich mit den entsprechenden Formularen gestellt werden.
Beide Anträge müssen ausgefüllt und von den Verantwortlichen unterschrieben sein. Die Antragsformulare müssen an die untenstehende Adresse gesendet werden (mit elektronischer Unterschrift signierte Anträge können auch direkt per Mail gesendet werden).
Anträge, welche die Teilnahmebedingungen erfüllen und alle benötigten Angaben beinhalten, werden nach einer Prüfung durch die kantonale Koordinationsstelle umgehend an die Swisscom weitergeleitet.

Immer mehr Schulen möchten auch in den Volksschulnetzen Zugriff von extern auf ihre Server. Deshalb können nun auch Schulen im Volksschulnetz (Standardangebot) öffentliche IP-Adressen beantragen.

Durch die Zuweisung einer öffentlichen IP-Adresse sind Server, welche sich im lokalen Netzwerk der Schule befinden, von aussen erreichbar. Dies erfordert entsprechende Sicherheitsmassnahmen, um das lokale Netzwerk zu schützen. Der Sicherheit ist grosse Beachtung zu schenken. Wir weisen auf folgende Punkte hin:

• Die öffentlichen IP-Adressen werden über die zentrale Firewall der Swisscom geführt. Ein Set an Standard-Ports ist freigeschaltet. Die auf Ihrem Antrag zusätzlich deklarierten Port- und Dienstfreischaltungen werden vorgenommen. Zusätzliche Ports können später mit einer Begründung über die kantonale Koordinationsstelle freigeschaltet werden.

• Es wird dringend empfohlen, in der Schule eine eigene Firewall einzusetzen. Diese muss entsprechend konfiguriert, regelmässig gewartet und überprüft werden (Protokollierung). Die Swisscom und die kantonale Koordinationsstelle übernehmen keine Verantwortung für Probleme, die aufgrund der öffentlichen IP-Adressen im Netzwerk entstehen können. Ein technischer Support steht nicht zur Verfügung.

• Der Einbau der öffentlichen IP-Adressen muss von einer Supportfirma durchgeführt werden, die über das notwendige Knowhow verfügt.

Die Swisscom stellt für das Schulnetz Thurgau (Standard) eine beschränkte Anzahl Lizenzen für Remote Access Services (RAS) zur Verfügung. Das IP-Tunneling ermöglicht einen sicheren Zugang ins Bildungsnetz zur Administration lokaler Netze. Der Zugang ist nur über das Internet möglich und erfolgt über eine Software (VPN-Client), die auf dem Gerät, von dem aus der Zugang erfolgen soll, installiert werden muss. Dieser Service ist kostenlos. Der Service steht ausschliesslich Firmen zur Verfügung, welche die Netze von Schulen im SAI-Netz für die Volksschule betreuen und auf eine Fernwartung, zum Beispiel zur externen Betreuung eines Servers, angewiesen sind. Die Benutzerverwaltung erfolgt durch die kantonale Koordinationsstelle. In erster Linie werden diejenigen Firmen berücksichtigt, welche mehrere Schulen zu betreuen haben.

Ein RAS-Zugang für Lehrpersonen wird im Kanton Thurgau nicht angeboten.

• Antrag RAS-Zugang

• Antrag öffentliche IP Kanton

• Antrag öffentliche IP Swisscom