Kein Teams für Schulen?

Covid-19 ist noch nicht vorbei und selbst wenn in Zukunft alle Schulen wieder normal besucht besucht werden, werden neue Kommunikationsformen weiterhin zum Schulalltag gehören. Die Schule meiner Kinder nutzten Google Classroom, andere Schulen in Paderborn arbeiten mit Teams und es gibt auch andere Lernplattformen. Ich selbst nutze natürlich neben Microsoft Software, Google Chrome auch Open Source Produkte. Linux, Samba, Jitsi, Kopano, LibreOffice und viele andere Produkte finde sehr interessant.

Ende für Microsoft 365?

Wie soll ich mich nun verhalten, wenn Lehrkräfte und Schulen mich um Unterstützung bei der Beantwortung von Fragen bitten? Ich bin kein Jurist und kann Sie nur an andere Stellen verweisen. Wie soll ein Es ist aber schon ein Trauerspiel denn anscheinend liefert Teams eine effektive und vor allem funktionierende Plattform, während andere Systeme anscheinend auch kostenfrei von Ministerien angeboten werden, z.B. moodle, itslearning, BigBlueButton aber vielleicht schlechter sind?

In Niedersachsen gab es wohl Anfang 2022 eine Abfrage, über welche Plattform die Lehrer ein Postfach erhalten (IServ oder eigene Plattform) oder externe Cloud (M365, 1&1, Strato etc.) Wer hier dann "andere" angewählt hat, bekam im April 2022 ein Rundschreiben, dass die Postfächer entweder auf dem schule-nds.de-Portal liegen sollten oder die Plattform die "wesentlichen Datenschutz- und Sicherheitsbedingungen" erfüllen müssen. Im Anhang sin dann neun Punkte aufgelistet, die positiv zu beantworten wären.

Darunter sind einige "einfache" Aufgaben wie die Bestellung eines "Datenschutzbeauftragter gem. Art. 37 DSGVO" enthalten. Bei den technischen Anforderungen wird z.B. "verschlüsselter Transport mindestens mit dem Standard TLS 1.2 möglich" gefordert. Microsoft 365 erzwingt mittlerweile sogar TLS 1.2. "mail.schule-nds.de" nutzt aktuell ein Let's Encrypt-Zertifikat, welches hoffentlich auch alle 2 Monate erneuert wird. Vorbildlich ist die Beschränkung auf TLS1.2 und TLS1.3.

Alle anderen Fragen sind allerdings nicht durch den Schulleiter in der Kürze der Zeit zu beantworten und zeigen wieder das Dilemma auf:

  • Der Schulleiter ist für die Einhaltung verantwortlich
    Auch wenn er eigentlich von der Bildung her ein Pädagoge mit Leitungsfunktion ist aber sicher kein Jurist, IT-Fachkraft oder Datenschützer
  • Bildungsministerium muss Bildungsauftrag sichern
    Dazu gehört auch die Durchsetzung der Schulpflicht (Landesgesetz) und Bereitstellung der Plattform. Was waren früher dann die Gebäude, Lehrkräfte, Papier, Bücher etc. und mittlerweile auch Online-Plattformen und Software
  • Landesdatenschutz
    Die einen bezeichnen diese Position als "Spielverderber" oder Berufsbedenkenträger, aber das sehe ich nicht so. Ansonsten müssten Sie auch den TÜV in Frage stellen. Beim TÜV gibt es aber messbare Prüfkriterien und eine Zulassungsordnung, die beim Datenschutz so nicht vorliegen. Ansonsten könnte ein Hersteller ja seine Produkte darauf ausrichten oder die Konformität bestätigen.

Dennoch sehe ich es als originäre Aufgabe des jeweiligen Bildungsministeriums an, für eine adäquate Ausstattung der Schulen zu sorgen und damit auch die Produkte auszuwählen und vorzugeben. Nur dann lassen sich ja die Synergieeffekte erreichen. Das kann natürlich bedeuten, dass nicht Microsoft Teams propagiert wird und man sich der Kritik stellen muss. Die Delegierung dieser Fragen an jede einzelne Schule ist für mich aber eher eine Leistungsverweigerung aus Angst für negativer Auswirkungen auf die nächste Landtagswahl.

Letztlich kann es mir egal sein, denn es gibt genug Arbeit mit Firmen, die Microsoft 365 nutzen wollen und ich nicht über zu viel Freizeit klagen kann. Dennoch höre ich schon die Klagen über alternative Plattformen.

Datenschutz

Ich würde ich freuen, wenn die Datenschutzfrage unabhängig vom Produkt endlich sauber geklärt wäre. Aber ich habe den Eindruck, dass es gar nicht um eine seriöse Auseinandersetzung mit dem Thema geht sondern vielmehr "Unsicherheit" gesät werden soll. Was soll denn eine Schule machen, wenn Teams oder Google Classroom nicht genutzt werden darf? Wer bestimmt denn überhaupt, was benutze werden darf, wenn jeder selbst berufene Experte oder selbst Datenschutzbehörden, Ministerien, Richter u.a. keine belastbaren Aussagen machen. Es ist jetzt November 2020 und seit 9 Monaten passiert einfach nichts, was hier für Klarheit sorgen könnte.

Wo ist das Bildungsministerium, welches Office 365 verbietet? Wo ist das Justizministerium, die allen Cloud-Anbietern vorschreibt, dass die Daten in Europa liegen müssen UND ein Zugriffe für ausländische Geheimdienste unterbunden sein muss. Egal ob die Mutter nun Microsoft (Office365/Teams), Google (Classroom/Suche/G-Drive), Facebook, Amazon (Hosting), Cisco (WebEx) , Zoom (Konferenz), Slack, Twitter o.a. heißt? Dann würde endlich Bewegung in die Sache kommen. In negativer Hinsicht machen andere Staaten aber vor. Wenn wir Europäer aber nicht mal eine einheitliche Besteuerung hinbekommen und die großen Firmen in z.B. Irland, Luxemburg und Malta ihre Steuern optimieren, dann wird das beim Datenschutz erst recht nichts.

Aber es gibt andere Gründe, die einen schnellen Start eigener Dienste sehr schwer machen. Und das sind handfeste technische und organisatorische Fakten, die zumindest jetzt Teams oder Classroom als "alternativlos" erscheinen lassen. Das muss aber nicht auf Dauer so bleiben.

Cloud-Dienste sind besser weil...

Aber es gibt handfeste technische Gründe, warum keine Schule und nicht mal ein Landkreis eine Plattform für "Home Schooling" bereitstellen kann. Es scheiter schon an Personal und Bandbreite. Das möchte ich gerne beschreiben. Cloud-Dienste wie Office 365/Teams und Google Classroom haben drei wichtige Faktoren.

  • Sie sind erprobt und funktionieren
    Microsoft und Google haben mehrere Jahre Erfahrung und konnten ihre Umgebungen in Ruhe aufbauen, optimieren, verbessern und auch mit Covid19 sehr schnell skalieren. Sie funktionieren schon mit Millionen von Anwendern.
  • Hoch automatisiert und damit günstige Betriebskosten
    Diese Einsparungen kommen sicher nicht komplett bei den Kunden an, denn beide Firmen sind AGs. Aber alles selbst machen ist zumindest am Anfang deutlich teurer bezüglich der Arbeitskraft. Open Source hat ja gerade das Problem, dass es viele Forks gibt, weil mehrere Personen meinen es besser machen zu können.
  • Sehr gute Internet-Anbindungen
    Das ist aus meiner Sicht aber der Schlüsselpunkt, auf den ich weiter unten noch eingehe.

Zum ersten Punkt gibt es nicht viel mehr zu sagen, aber die beiden nächsten Punkte sollten beschrieben werden.

Zeit und Betrieb

Selbst wenn eine einzelne Schule, eine Stadt oder ein Kreis oder sogar das ganze Bundesland sich auf eine einheitliche Lösung verständigt, muss sie geplant, getestet und umgesetzt werden. Natürlich kann man mal schnell einen Linux-Server mit SAMBA als DC/LDAP/Kerberos-Service aufsetzen, NextCloud als Dateidienst nutzen, einen Postfix unter Kopano als Collaboration-Server betreiben, mit Jitsi o.ä. eine Konferenzplattform schaffen. Es gibt sogar fertige Produkte von kommerziellen Anbietern auf dieser oder ähnlicher Basis, die man in einer deutschen Cloud nutzen oder selbst On-Premises betreiben kann.

Aber es muss gemacht werden und überlegen Sie sich mal, wie das für die drei unterschiedlichen Bereitstellungen aussieht:

  • Pro Schule
    Allein die Stadt Paderborn hat >30 Schulen. Jeder Schule bekommt ein oder mehrere Server mit fester IP-Adresse, Zertifikat, Firewall, Backup. Das wird dann durch den lokalen Informatik-Lehrer betreut? Realistisch ist das wohl nicht, denn es fehlt einfach an der Arbeitszeit und auch dem 2nd-Level und den Räumen um diese Dienste mit Lehrer/Schüler-Daten sicher zu betreiben
  • Pro Stadt/Kreis
    Also könnte die nächst größere Einheit die Server betreiben. In Paderborn gibt es die Lernstatt, die zufällig die IT für alle Schulen bereitstellt. Hier gibt es auch Know-how und Räumlichkeiten. Das wäre durchaus denkbar hier eine eigene Lösung aufzuwerten. Wenn da nicht die Bandbreite wäre, auf die ich später noch komme.
  • Pro Bundesland
    Auch hier gibt es schon entsprechende Lernplattformen bei verschiedenen Bundesländern. Bislang war aber Audio/Video-Konferenz keine geplante Workload sondern eher Mail und Dateien. Aber auch das wäre schon seit vielen Monaten möglich gewesen. Zumindest bei mir ist aber nichts angekommen, dass es hier voran geht.

Aber selbst wenn es eine Plattform gäbe und qualifiziertes Personal zum Betrieb bereitstünde, gibt es immer noch die Frage der Netzwerkverbindung.

Bandbreite ist ein Faktor

Ich möchte mit einem Beispiel aufzeigen, welche Herausforderungen Schulklassen in einer Konferenzsituation für die Umgebung bedeuten.

  • Stellen Sie sich eine durchschnittliche Schule mit 1000 Schülern vor.
    Bei einer Klassenstärke von 25 Schülern sind das 40 Klassen in den Jahrgangsstufen 5-12. Grundschulen sind meist kleiner, Universitäten deutlich größer.
  • Die Übertragung von Audio
    Um Sprache zu übertragen sind ca. 100kbit erforderlich, bei denen 50 Pakete pro Sekunde mit 20ms "Sprache" a 160 Byte übertragen werden. Codex komprimieren und optimieren aber 100kbit ist eine gute Basis.
  • Bilder und Video vom Lehrer
    Der Lehrer muss natürlich etwas zeigen. Es geht nicht um ein Briefmarkenbild, sondern ein Whiteboard oder Tafel, auf der Schrift erkennbar sein sollte. DAs darf schon 720p oder Full HD sein, was in etwa mit 2 Mbit/S anzusetzen ist.
  • Rückkanal
    Um die Rechnung nicht zu erschweren, unterschlagen wir den Rückkanal, d.h. die Schüler sagen und zeigen nichts und der Lehrer "sieht" seine Schützlinge nicht
  • Lehrer "nahe dran"
    zudem nehmen wir an, dass der Lehrer in der Schule über das LAN arbeitet, wenn der Service von der Schule erbracht wird. Wenn der Service in der "Stadt-Cloud" oder der "Bundesland-Cloud" steht, kann der Lehrer auch von zuhause arbeiten.
  • Nun werden 50%, also ca. 500) der Schüler nehmen von "zuhause" teil
    d.h. entweder die die ganze Klasse "zuhause" oder nur eine Teilklasse. Ich werde auch nur 50% der Lehrer als "Präsenter" ansetzen, dh. 20 Kurse finden parallel "online" statt.

Technisch bedeutet dies:

  • 20x Audio-Stream vom Lehrer zum Konferenzserver a 100Kbit/s = 2 Mbit/s
  • 20x Video-Stream vom Lehrer zum Konferenzserver a 2Mbit/s = 40Mbit/s
  • 500x Audio-Stream vom MediaServer zu den Schülern a 100Kbit/s = 50 Mbit/s
  • 500x Video-Stream vom MediaServer zu den Schülern a 2Mbit/s= 1Gbit/s

Das ist ganz schön viel Last auf einem Server und den Wegen zum Server:

Kennen Sie eine Schule die 1.040 GBit/s Downstreams als "Dauerlast" ohne größere Verzögerungen liefern kann? Die 42 Mbit/s aus der Schulklasse zum Server kann ein LAN noch problemlos verkraften. Mit WLAN sollten Sie es besser nicht versuchen. Aber denken Sie nun an den Server, der diese Datenmenge dauerhaft umsetzen muss. Ich bin sicher, dass es keine Schule gibt, die heute diese Bandbreite hat und auch keinen passenden Server.

Nun rechnen Sie das auf eine Stadt wie Paderborn hoch mit über 30 Schulen und vielleicht 20.000 Schüler von denen "nur" ein Viertel, also 5.000, zuhause beschult werden. Dann sind wir bei 100GBit Video/out und 5GBit Audio. Welches kommunale Rechenzentrum kann Bandbreiten bereitstellen?

Das Problem mit dem Peering

Die wenigsten Schulen, Städte, Kreise oder Länder betreiben eigenen WAN-Netzwerke. Selbst der lokale Glasfaserausbau wird der "Privatwirtschaft" überlassen oder stockt. Bei den kommerziellen Angeboten mit den kostenfreien EDU-Versionen von Office365/Teams und Google Classroom gibt es ganz viele gewerbliche Kunden, die für die Leistung bezahlen während Privatkunden mit ihren Daten bezahlen. Um das zu verstehen, müssen wir etwas in die Vergangenheit des Internets zurück. Das Internet begann als Verbundnetz von Militär und sehr schnell auch Forschungseinrichtungen. Es gab keine "kommerzielle" Nutzung und der Schwerpunkt was auf der Funktion und Ausfallsicherheit. Daher haben immer mehr Schulen und Universitäten sich "vernetzt". Die meisten Nutzer waren "Fachleute" und Bandbreite war kostbar. Daher waren kurze Wege ebenso wichtig wie überhaupt eine Erreichbarkeit. Jeder hat die Pakete der anderen weitergeleitet.


Quelle: https://en.wikipedia.org/wiki/ARPANET

Es gab nicht wirklich eine Hierarchie. Aber dann kam die Kommerzialisierung des Internets und es bildeten sich verschiedene Provider aus, die teilweise nur Datenübertragungen geliefert haben während andere mehr Content beisteuern und wieder andere die Kunden und Firmen anbinden.

Mittlerweile hat sich das Netzwerk aber schon verändert. Es kommerzieller geworden und auf der einen Seite gibt es die große Anzahl der "Internet-Provider", die für ihre Endkunden den Zugang bereitstellen. In Deutschland sind das Firmen wie die Telekom ,Vodafone ,Deutsche Glasfaser aber auch Startwerke und Stadtprovider (EWE Tel, NetCologne, M-Net etc.), die tausende und Millionen von Menschen den Zugang zum Internet bereitstellen. Natürlich nicht kostenfrei und so bauen diese Firmen ihre eigenen Netzwerke Stück für Stück aus aber sie schauen natürlich auf die Kosten und denken erst einmal an sich und weniger an die Gemeinschaft. So existieren mehrere parallele Netzwerke über das Land, die erst einmal nicht miteinander verbunden sind.

So kann das Internet natürlich nicht funktionieren, denn die wenigsten Anwender stellen selbst Dienste bereit. Wir müssen das Bild um "Hoster" erweitern, bei denen die Server laufen und um die Verbindungen zwischen den so genannten "Autonomen Systemen (AS)". Da gibt es zwei Optionen

  • Peerings, die zwei Provider auf Gegenseitigkeit aufbauen
    Das war der Ursprungsgedanke des Internets, dass sich Provider verbinden und kostenneutral die Daten austauschen.
  • Exchange peering
    Da aber nicht jeder Provider mit jedem anderen Provider eine direkte Verbindung schalten kann und will, gibt es mehrere Punkte, zu denen jeder Provider seine eigene Leitung legt, Gebühren bezahlt und so die Erreichbarkeit gewährleistet wird.

Es gibt auch große Provider, die sich selbst als "Peering" bezeichnen und die Hand aufhalten, wenn andere Provider eigentlich nur einen Austausch anfragen. Das Bild erweitert sich und ist doch nicht ganz richtig, da die Tier-1 Carrier nicht erscheinen.

Auf dem Bild habe ich auch exemplarisch ein paar Serverstandorte platziert. Damit kommen die Webhoster mit ins Bild aber auch ein Server bei einer Uni im DFN oder das RZ eines kommunalen Betreibers, Natürlich stellen auch die größeren Provider wie Telekom, Vodafone u.a. Rackspace und Server bereit. Das macht auch Sinn, wenn z.B. Firmen wie Netflix entsprechende Caches nahe an den Kunden aufstellen können.

In dem Bild fehlen aber nun die große Anbieter wie Microsoft, aber auch Apple, Amazon (AWS), Google, Facebook, Akamai, Cloudflare u.a. die in einer ganz anderen Liga spiele. Diese Firmen verlassen sich nicht mehr auf Provider oder Hoster, sondern betreiben ihre Server aber auch die WAN-Verbindungen gleich selbst. Angeblich haben Google und Microsoft jeder für sich mehr eigene Leitungen als der nächste größere Tier-1-Provider. Wenn Sie sich das Peering an einem CIX anschauen, dann sehen Sie sehr gut, welche Anbieter die dicke Anbindung an z.B. das DECIX haben.


Quelle: https://www.peeringdb.com/ix/31 (25. Nov 2020)

Das macht auch Sinn, da diese Anbieter meist "Privatkunden" bedienen und über ein CIX sehr viele speziell kleinere Provider direkt erreichen können. Wenn es aber um die Schwergewichte mit ganz vielen Kunden geht, dann bauen die großen Provider bevorzugt "Peerings" direkt auf. So hat Microsoft eine öffentliche Policy und wenn Sie mögen, können Sie sich direkt verbinden und damit ihren Kunden einen sehr schnellen Weg zu Microsoft 365 eröffnen und ihre Verbindungen zum CIX entlasten.

Das Bild mit Microsoft sieht also etwas anders aus:

Microsoft, aber auch Google u.a., haben weltweit eigene WAN-Netzwerke und stellen nicht nur Server und Services sondern betreiben auch eigenes Peering. Sie umgehen dort, wo es sinnvoll ist, die klassischen Carrier oder Austauschpunkte. Die großen Anbieter wie Microsoft möchten ihren zahlenden Kunden die beste Performance bieten und haben entsprechend umfangreiche Peerings direkt zum Provider, der auch froh darum ist, diesen Verkehr schnell aus seinem Netz zu bekommen. Ihre Daten zu Office 365/Teams gehen von ihrem Arbeitsplatz über ihren Zugangsprovider mit wenigen Schritten ins Netzwerk des Cloud-Anbieters. Der Zugangs-Provider entlastet sein Netzwerk, wenn der die Daten zu Microsoft u.a. schnell ausleitet und Microsoft kommt dem Zugangsprovider hier entgegen.

Diese direkte, schnelle und leicht skalierbare Anbindung können sich kleinere Provider nicht so einfach leisten. Wenn Sie ebenfalls auf PeeringDB schauen, wie das DFN verbunden ist, dann sehen Sie zumindest die "öffentlichen" Peerings:


Quelle https://www.peeringdb.com/net/279 (7. Nov 2020)

Die Daten müssen nicht vollständig sein und die Bandbreite der "private peerings" ist nicht veröffentlicht. Hier fehlt z.B. das Peering zur Telekom, welches es laut Presseveröffentlichungen gibt. Es könnte aber auch "via" einem CIX wie z.B. dem HAM1 laufen.

Wo steht die MCU?

Wenn Sie nun ire Konferenz selbst hosten, dann müssen Sie sich die Frage stellen, wie denn ihr Netzwerk mit dem eigenen Server an die Zugangsprovidern der Schüler gekoppelt ist. Das ist in der Regel ein Peering zwischen Providern oder über das DE-CIX. Auch Microsoft und Co haben natürlich Anbindungen an das DE-CIX aber der meiste Verkehr geht doch daran vorbei. Der Konferenzserver der Schule, der Stadt oder des Kreises kann gerne bei ihnen geografisch in der Nähe stehen. Das bedeutet aber nicht, dass die Daten damit automatisch einen kurzen Weg haben.

In der Immobilienbranche gibt es den Spruch , dass für den Wert eine Immobilie nur drei Kriterien relevant sind: "Die Lage, die Lage und die Lage". Ähnlich verhält es sich mit der zentralen Komponente bei einer Konferenz. Der Standort ist neben der Verbindung die Schlüsselkomponente.

Wo würden Sie aus technischer Sicht dann die Konferenzzentrale aufstellen ?

Nr Position Beschreibung
1

An der Uni oder der Schule?

Ja gerne, wenn die meisten Teilnehmer an der Schule oder der Uni arbeiten. Aber in Covid-19-Zeiten sind die Nutzer zuhause. Wenn Sie in der Schule sind, dann werden sich sicher keine Audio/Video-Konferenz nutzen. Dann könnte ein lokaler NextCloud/Kopano-Server o.ä., eine Option sein.
2

Am kommunalen RZ

Kaum eine Schule wird einen Service unter dem Tisch des Rektors laufen lassen und gesicherte RZ-Räume gibt es meist auch nicht. Aber die kommunalen RZ-Betreiber können diese Dienste für eine Gruppe von Schulen anbieten und tun das heute auch. Aber hier ist dann zu prüfen, ob die A/V-Video-Bandbreite zur Schule und erst recht zu den anderen Providern mit den Schülern und Lehrern vorhanden sind.
3

Bei Microsoft

Die Dienste von Microsoft sind nur für "EDU" sehr günstig aber das Geschäftsmodell ist natürlich umfangreicher. Also baut Microsoft Leitungen und Verbindungen was das Zeug hält, damit die Kunden auch zufrieden sind. Zugegeben, am Anfang von Covid-19 hat es sogar hier manchmal gewackelt aber das Problem hatten alle. Nur Microsoft konnte sehr schnell nachrüsten.
4

Bei einem anderen Hoster

Sie könnten auch einen selbst verantworteten Service bei einem Hoster in Deutschland aufbauen. Da gibt es ja doch eine ganze Menge und Gaia-X könnte irgendwann ja auch verfügbar sein. Aber wie schon geschrieben, ist das nicht für "lau".

Das Problem ist real und ist in der Anfangszeit von Corona bei den Universitäten aufgefallen, die über das DFN ans Internet angebunden sind. Wenn nun sehr viele Studenten "zuhause" z.B. über die Telekom auf die Server der Universität zugreifen, dann gab es deutliche Probleme. Das Peering zwischen Telekom und DFN war darauf einfach nicht ausgelegt und eine "Aufrüstung" lassen sich die Provider natürlich gut bezahlen.

"Der DFN-Verein hat für die Zeit der Corona-Krise einen entgeltpflichtigen global Upstream bei der DTAG beauftragt."
Quelle: https://www.dfn.de/newsticker-covid19/ , Meldung vom 01.04.2020

Das gilt noch umso mehr, wenn Sie ihren Server in der Schule oder der Region aufstellen. Ehe Sie nun auf die Idee kommen, einfach einen Server bei einem großen WebHoster zu platzieren, dann sollten sie auch hier nicht nur die Anbindung zu anderen Providern, insbesondere den Zugangsprovidern  prüfen und zudem das "Kleingedruckte" bezüglich der Bandbreiten lesen. Viele Angebote sind "günstig" weil der Hoster eine Mischkalkulation macht. Die meisten Webseiten haben ganz wenig Belastung. Wenn Sie da aber nun einen Server mi 1-10 GBit Dauerlast auf dem Netzwerkinterface betreiben, dann wird das entweder sehr schnell sehr teuer oder die Bandbreite wird nach einem "Fair Use"-Prinzip gedrosselt.

Kleine Routingkunde

Daten und Verbindungen ändern sich kontinuierlich aber am 7. Nov 2020 habe ich folgende Daten ermittelt: Ich bin in Hövelhof an einem Anschluss der Deutschen Glasfaser. Die meisten Schulen in Paderborn habe eine Domains, die auf "@<schulname>.lspb.de" endet. Wenn ich annehme, dass die Schulen ihre Mailserver nicht bei einem großen Provider wie 1und1/Straot/HostEurope/Hetzner/etc hosten sondern eigene Server nutzen, dann dürfte dessen IP-Adressen sehr nahe an einem Standort einer Schul-Cloud stehen. Eine DNS-Abfrage nach dem Mailserver liefert dann das IP-Netzwerk und damit das Routing. Das gleiche funktioniert mit der Uni-Paderborn.de.

Ziel Schulen in Paderborn Uni Paderborn Office 365

MX

 
Resolve-DnsName `
   -Type MX lspb.de | fl

Name         : lspb.de
Type         : MX
TTL          : 3501
NameExchange : hell.lspb.de
Preference   : 10
Resolve-DnsName `
   -type A hell.lspb.de | fl

Name : hell.lspb.de
Type : A
TTL : 2838
DataLength : 4
Section : Answer
IPAddress : 80.66.9.206
 
Resolve-DnsName `
   -Type MX uni-paderborn.de | fl

Name         : uni-paderborn.de
Type         : MX
TTL          : 3468
NameExchange : mail.uni-paderborn.de
Preference   : 5
Resolve-DnsName `
   -type A mail.uni-paderborn.de | fl

Name       : mail.uni-paderborn.de
Type       : A
TTL        : 1429
DataLength : 4
Section    : Answer
IPAddress  : 131.234.142.9
 
Resolve-DnsName `
   -Type A teams.microsoft.com | fl

Name       : s-0005.s-msedge.net
QueryType  : A
TTL        : 105
Section    : Answer
IP4Address : 52.113.194.132

ASN

Die IP-Adresse 80.66.9.206 gehört zur EWE

Die IP-Adresse 131.234.142.9 gehört wie erwartet zum DFN

Die IP-Adresse 52.113.194.132 gehört wie erwartet zum Microsoft

Traceroute
(verkürzt)

 
PS C:\> tracert -4 edison.lspb.de

Routenverfolgung zu edison.lspb.de
[80.66.9.183]
über maximal 30 Hops:

 1  1 ms  192.168.178.1 fritz.box 
 2  9 ms  100.68.0.1
 3 10 ms  100.127.1.13
 4 12 ms  185.22.46.72
 5 17 ms  194.146.118.115 ewetel.dus.ecix.net 
 6 25 ms  80.228.90.33 .ewe-ip-backbone.de 
 7 24 ms  212.6.114.30 .ewe-ip-backbone.de 
 8 26 ms  80.228.98.26 .ewe-ip-backbone.de 
 9  *     Zeitüberschreitung
10 29 ms  edison.lspb.de [80.66.9.183]

Leider war der Mailserver nicht per "ICMP" erreichbar aber der Webserver steht ja nebendran.

 
PS C:\> tracert -4 mail.uni-paderborn.de

Routenverfolgung zu mail.uni-paderborn.de 
[131.234.142.9]
über maximal 30 Hops:

1  2 ms  fritz.box [192.168.178.1 fritz.box 
2 10 ms  100.68.0.1
3 11 ms  100.127.1.13
4 13 ms  185.22.46.72
5 10 ms  194.146.118.60 dfn1.dus.ecix.net
6 19 ms  188.1.244.94 uni-paderborn.de 
7 16 ms  131.234.3.12 uni-paderborn.de
8 14 ms  131.234.0.227 uni-paderborn.de 
9 16 ms  131.234.142.9 mail.uni-paderborn.de
 
PS C:\> tracert -4 teams.microsoft.com

Routenverfolgung zu s-0005.s-msedge.net 
[52.113.194.132]
über maximal 30 Hops:

 1  2 ms  fritz.box [192.168.178.1]
 2 16 ms  100.68.0.1
 3  8 ms  100.127.1.13
 4 12 ms  185.22.46.72
 5  *     80.249.209.20 ams.microsoft.com
 6 14 ms  104.44.232.164 ams21.ntwk.msn.net
 7 14 ms  104.44.239.82 a.ntwk.msn.net 
 8  *     Zeitüberschreitung 
 9  *     Zeitüberschreitung
10  *     Zeitüberschreitung
11  *     Zeitüberschreitung
12 17 ms  52.113.194.132

DG geht beim 5ten Hop schon direkt zu MIcrosoft

Sie sehen schon an diesem Beispiel sowohl an der Anzahl der Hops, den Sprüngen bei den Verzögerungen in Millisekunden und den Bezeichnungen, dass meine Daten einen längeren Weg durch Deutschland nehmen. Nun sind 23ms oder 13ms natürlich vollkommen ausreichend. Die Messung wurde aber am Samstag abend gemacht und es fand kein Unterricht statt.

Ich hatte auch schon Verbindungen z.B. bei Vodafone-Kunden gesehen, die über London als "Peering" gelaufen sind. Auch bei der Telekom ganz es Zeiten, , an denen Verbindungen zwischen deutschen Firmen über Paris liefen.

Mein Nachbar hatte zur gleichen Zeit noch eine öffentliche IP-Adresse bei der Telekom per DSL und ein Traceroute von meinem Anschluss der "Deutschen Glasfaser" zum Telekom-DSL-Anschluss im Nachbarhaus ergab:

C:\>tracert  46.85.247.194

Routenverfolgung zu p2exxxx.dip0.t-ipconnect.de [46.85.247.194]

  1     2 ms     1 ms     1 ms  fritz.box [192.168.178.1]
  2    10 ms     5 ms     6 ms  100.68.0.1
  3    10 ms    10 ms     9 ms  100.127.1.13
  4    10 ms    14 ms     9 ms  185.22.46.72
  5    11 ms     9 ms    10 ms  ddf-b2-link.telia.net [62.115.38.12]
  6    26 ms    22 ms    26 ms  ffm-bb1-link.telia.net [62.115.112.60]
  7    22 ms    23 ms    22 ms  win-bb3-link.telia.net [62.115.137.203]
  8    24 ms    26 ms    25 ms  win-b2-link.telia.net [62.115.114.185]
  9    25 ms    26 ms    32 ms  80.156.163.253
 10    38 ms    38 ms    34 ms  87.137.214.121
 11    40 ms    37 ms    37 ms  p2e55f7c2.dip0.t-ipconnect.de [46.85.247.194]

Aus den Namen kann man gut sehen, dass die DG anscheinend kein direktes Peering zur Telekom hat aber nicht über ein CIX geht, sondern telia.net als Dienstleister nutzt. Dennoch sind es 11 Hops und 40ms in einer "ruhigen Zeit". Eigentlich müsste ich diesen Test kontinuierlich machen und so über die Zeit die Qualität messen.

Diese "Peerings" können nämlich schnell zum Flaschenhals werden, wenn viele Nutzer gleichzeitig online sind und größere Datenmengen übertragen. Wir sprechen hier nicht von ein paar Twitter-Feeds, E-Mails, Instagram-Bilder oder Surfen im Webshop der Anbieter. Das sind kleine und vor allem zeitunkritische Daten. Bei Audio/Video sind aber Verzögerungen von 100ms und mehr oder schwankenden Laufzeiten ein Problem und wenn pro Schule nur 1 GBit zusammen kommen, dann ist auch ein 100GBit-Peering schnell am Ende.

Realität HomeOffice

Im Januar 2021 waren auch meine Kinder mal wieder im "Homeschooling" und es bedurfte gar keiner besonderen Technik, um einer Fritz!Box die Auslastung zu entlocken, wenn zwei Kinder per Teams oder Google Classroom in ihrem eigenen Video-Meeting sind:

  • Obere Grafik (Downsteam = Empfang)
    Wie sprechen hier von einer Dauerlast von ca. 2 MBit im Downstream  ( = 2 Videostreams a 1 Megabit) und einigen Peaks z.B. durch Screensharing. Das kann auch eine klassische DSL-Verbindung leisten
  • Untere Grafik (Upstream = Senden)
    Auch hier sehen wir gut den Start einer Video-Sitzung, die letztlich 3,8 Megabit Dauerlast erzeugt. Das ist selbst für einen DSL16-Anschluss zu viel. Vodafone verspricht da "bis zu 1Megabit". Auch die "Bis zu 2,4MBit der Telekom sind nur unter optimalen Bedingungen erreichbar. Garantiert werden hier 700kBit

Der Upstream ist die Herausforderung für Provider, da die meisten "Consumer-Anschlüsse" auf "viele Empfangen, wenig Senden" ausgelegt sind. Surfen, IPTV- schauen etc. ist nun mal eine asymmetrische Auslastung. Home-Schooling mit aktivem Video der Schüler zuhause dreht diese Last um. Wenn alle Schüler eines Orts beim gleichen Provider ihr Video senden und jeder das gemeinsame Video empfängt, dann wird das auf dem Uplink interessant.

Leider werben die Firmen immer nur mit der Nenngeschwindigkeit am einzelnen Anschluss, aber legen nicht ihre Infrastruktur offen.

Übrigens schon gewusst? Der größte Provider verkauft DSL mit "bis zu", während "Entwicklungsländer" schon weiter sind.

Selbst wenn man das unterschiedliche Einkommensniveau berücksichtigt, ist die abbezahlte Kupferleitung in Deutschland immer noch teurer als Glasfaser in Rumänien.

Wunschdenken: Local Peering

Das Problem ist natürlich selbst gemacht, da jeder Provider "seine Kunden" am liebsten halten will und sicher nichts am Allgemeinzustand verbessern wird, solange er besser als ein Mitbewerber oder jemand, der gerade erst aufbaut. Auf der anderen Seite war das Internet ursprünglich auf "Erreichbarkeit" und Fehlerredundanz ausgelegt. Als RIP an seine Grenzen gestoßen ist, erlaubt mittlerweile BGP ein sehr effektives Peering von "Verbundnetzwerken". Es wäre also schon sehr einfach, auch regionaler die Netzwerke zu koppeln.

Wenn ich konkret verschiedene lokale Anbieter betrachte, z.B. Universitäten, kommunale Anbieter etc., dann wäre es ja zum Wohle aller, wenn die Daten den "kurzen Weg" gehen würden. Die Herausforderung ist natürlich, dass die Provider entsprechende "Kleinzellen", z.B. je Landkreis oder Region bereit stellt. Anscheinend gibt es durchaus Provider, die große Bereiche als Layer-2-Netzwerk betreiben. Das sehe ich z.B. bei meinem Provider "Deutsche Glasfaser", bei dem das interne LAN wohl die 100er Adressen sind und es einen zentralen "Übergang" gibt

Auszug aus dem traceroute
1  2 ms  fritz.box [192.168.178.1 fritz.box 
2 10 ms  100.68.0.1
3 11 ms  100.127.1.13
4 13 ms  185.22.46.72

Da ist es natürlich schwer, wenn jeder Provider nun in jedem Landkreis ein Peering samt Carrier Grade NAT unterhalten müsste. Aber Bandbreiten werden weiter zunehmen und als kommunale Instanz könnte jedes Landratsamt oder der kommunale Dienstleister sicher ein paar Höheneinheiten und einen Router für ein Peering bereitstellen. Dann müssten nur die Provider ihrerseits eine Verbindung schalten.

So ausgestattet könnte man sogar DDoS-Attacken einfacher Herr werden, wenn die legitimen Anwender in der Nähe sind und über bekannte Wege kommen, ist ein überlastetes Peering zur großen weiten Welt weniger schlimm.

So interessant diese Lösung technisch wäre so unrealistisch schätze ich diese ein. Und solange werden unsere Daten weiterhin über viele Stationen weiter geleitet und hunderte oder tausende Kilometer Ehrenrunden zurücklegen.

Zwischenstand

Der Ruf nach einer eigenen Lösung auf Open Source ist gerechtfertigt aber aus meiner Sicht rein technisch gar nicht in der Menge und Zeit umzusetzen. Das bedeutet nicht, dass wir nicht daran arbeiten sollten, dies zu verändern. Es darf auch nicht bedeuten, dass mit dem Unwort "Alternativlos" nun Microsoft Teams, Google Classroom, Zoom und Co einfach so nutzen, wie es sich der Anbieter wünscht.

Aber da ist dann wieder die Politik gefordert, klare Aussage und Vorgaben zu machen. Allein ein "man sollte es nicht nutzen", oder "es ist vermutlich nicht erlaubt" oder "mit 9 zu 8 Stimmen wurde Teams als nicht geeignet.." ist es leider nicht getan.

Ich würde auch lieber morgen als heute auf fossile Brennstoffe verzichten, Atomkraftwerke abschalten und mit einem Datenschutz arbeiten, der den Namen auch verdient.
Aber wir haben nicht die Zeit und nicht die Ressourcen heute kurzfristig eine Alternative bereit zu stellen. Ich bin sogar der Meinung, dass eine Planwirtschaft es nie hinbekommen wird. Als Gesellschaft sollten wir aber die Spielregeln für Anbieter so gestalten, dass der Amtseid "zum Wohle des Volkes" auch einen Sinn hat.

Ich schwöre, dass ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. (So wahr mir Gott helfe.)
Quelle: https://de.wikipedia.org/wiki/Amtseid

Ich erwarte nicht, dass kurz- oder mittelfristig auf der Ebene von Städten oder Landkreisen oder vielleicht sogar Metropolregionen ein Peering zwischen den dezentralen Netzwerken erfolgt. Jeder Peering-Punkt kostet ja Geld. Wer aber eine "Schulcloud" selbst betreiben will, muss er auch die Zugangsprovider der eigenen Schüler erreichen. Ein Weg könnte sein, dass der kommunale Dienstleister in seinem Rechenzentrum ein "Peering" anbietet oder vielleicht sogar fordern kann, so dass staatliche Infrastrukturdienste zuverlässig erbracht werden können. So ein dezentral vermaschtes Netzwerk könnte auch in Krisenzeiten das Internet "robuster" machen. Das kostet aber alles Geld.

Vielleicht ist es doch der einfachere Weg, die DSGVO nicht nur anzumahnen sondern einzufordern und den Vertrieb von "nicht zugelassenen" Produkten einfach zu bestrafen. Für Autos, Telefone, Elektrogeräte, Arzneimittel u.a. gibt es ja auch "Zulassungen". Ganz nebenbei würde sich sicher auch der ein oder andere Gewerbebetrieb freuen, wenn seine Daten tatsächlich "sicher" sind. Ich denke, dass Microsoft gar kein Problem damit hätte, die Systeme entsprechend zu konfigurieren oder notfalls auch eigene Betreiber-Firmen zu gründen. Aber dazu müsste unsere Regierung nu mal auch die Stirn den wenigen "falschen Freunden" bieten.

Weitere Links

Wie viele Ellas braucht es für eine funktionierende Bildungsplattform?
https://media.ccc.de/v/gpn20-88-wie-viele-ellas-braucht-es-fr-eine-funktionierende-bildungsplattform-

Stop&Go im deutschen Internet | ZDF Magazin Royale
https://www.youtube.com/watch?v=WDNYS_4dkAc