Kein Teams für Schulen?

Covid-19 ist noch nicht vorbei und selbst wenn in Zukunft alle Schulen wieder normal besucht besucht werden, werden neue Kommunikationsformen weiterhin zum Schulalltag gehören. Die Schule meiner Kinder nutzten Google Classroom, andere Schulen in Paderborn arbeiten mit Teams und es gibt auch andere Lernplattformen. Ich selbst nutze natürlich neben Microsoft Software, Google Chrome auch Open Source Produkte. Linux, Samba, Jitsi, Kopano, LibreOffice und viele andere Produkte finde sehr interessant.

Datenschutz

Ich würde ich freuen, wenn die Datenschutzfrage unabhängig vom Produkt endlich sauber geklärt wäre. Aber ich habe den Eindruck, dass es gar nicht um eine seriöse Auseinandersetzung mit dem Thema geht sondern vielmehr "Unsicherheit" gesät werden soll. Was soll denn eine Schule machen, wenn Teams oder Google Classroom nicht genutzt werden darf? Wer bestimmt denn überhaupt, was benutze werden darf, wenn jeder selbst berufene Experte oder selbst Datenschutzbehörden, Ministerien, Richter u.a. keine belastbaren Aussagen machen. Es ist jetzt November 2020 und seit 9 Monaten passiert einfach nichts, was hier für Klarheit sorgen könnte.

Wo ist das Bildungsministerium, welches Office 365 verbietet?, Wo ist das Justizministerium, die allen Cloud-Anbietern vorschreibt, dass die Daten in Europa liegen müssen UND ein Zugriffe für ausländische Geheimdienste unterbunden sein muss. Egal ob die Mutter nun Microsoft (Office365/Teams), Google (Classroom/Suche/G-Drive), Facebook, Amazon (Hosting), Cisco (WebEx) , Zoom (Konferenz), Slack, Twitter o.a. heißt? Dann würde endlich Bewegung in die Sache kommen. In negativer Hinsicht machen andere Staaten aber vor. Wenn wir Europäer aber nicht mal eine einheitliche Besteuerung hinbekommen und die großen Firmen in z.B. Irland, Luxemburg und Malta ihre Steuern optimieren, dann wird das beim Datenschutz erst recht nichts.

Aber es gibt andere Gründe, die einen schnellen Start eigener Dienste sehr schwer machen. Und das sind handfeste technische und organisatorische Fakten, die zumindest jetzt Teams oder Classroom als "alternativlos" erscheinen lassen. Das muss aber nicht auf Dauer so bleiben.

Cloud-Dienste sind besser weil...

Aber es gibt handfeste technische Gründe, warum keine Schule und nicht mal ein Landkreis eine Plattform für "Home Schooling" bereitstellen kann. Es scheiter schon an Personal und Bandbreite. Das möchte ich gerne beschreiben. Cloud-Dienste wie Office 365/Teams und Google Classroom haben drei wichtige Faktoren.

  • Sie sind erprobt und funktionieren
    Microsoft und Google haben mehrere Jahre Erfahrung und konnten ihre Umgebungen in Ruhe aufbauen, optimieren, verbessern und auch mit Covid19 sehr schnell skalieren. Sie funktionieren schon mit Millionen von Anwendern.
  • Hoch automatisiert und damit günstige Betriebskosten
    Diese Einsparungen kommen sicher nicht komplett bei den Kunden an, denn beide Firmen sind AGs. Aber alles selbst machen ist zumindest am Anfang deutlich teurer bezüglich der Arbeitskraft. Open Source hat ja gerade das Problem, dass es viele Forks gibt, weil mehrere Personen meinen es besser machen zu können.
  • Sehr gute Internet-Anbindungen
    Das ist aus meiner Sicht aber der Schlüsselpunkt, auf den ich weiter unten noch eingehe.

Zum ersten Punkt gibt es nicht viel mehr zu sagen, aber die beiden nächsten Punkte sollten beschrieben werden.

Zeit und Betrieb

Selbst wenn eine einzelne Schule, eine Stadt oder ein Kreis oder sogar das ganze Bundesland sich auf eine einheitliche Lösung verständigt, muss sie geplant, getestet und umgesetzt werden. Natürlich kann man mal schnell einen Linux-Server mit SAMBA als DC/LDAP/Kerberos-Service aufsetzen, NextCloud als Dateidienst nutzen, einen Postfix unter Kopano als Collaboration-Server betreiben, mit Jitsi o.ä. eine Konferenzplattform schaffen. Es gibt sogar fertige Produkte von kommerziellen Anbietern auf dieser oder ähnlicher Basis, die man in einer deutschen Cloud nutzen oder selbst OnPremises betreiben kann.

Aber es muss gemacht werden und überlegen Sie sich mal, wie das für die drei unterschiedlichen Bereitstellungen aussieht:

  • Pro Schule
    Allein die Stadt Paderborn hat >30 Schulen. Jeder Schule bekommt ein oder mehrere Server mit fester IP-Adresse, Zertifikat, Firewall, Backup. Das wird dann durch den lokalen Informatik-Lehrer betreut? Realistisch ist das wohl nicht, denn es fehlt einfach an der Arbeitszeit und auch dem 2nd-Level und den Räumen um diese Dienste mit Lehrer/Schüler-Daten sicher zu betreiben
  • Pro Stadt/Kreis
    Also könnte die nächst größere Einheit die Server betreiben. In Paderborn gibt es die Lernstatt, die zufällig die IT für alle Schulen bereitstellt. Hier gibt es auch Know-how und Räumlichkeiten. Das wäre durchaus denkbar hier eine eigene Lösung aufzuwerten. Wenn da nicht die Bandbreite wäre, auf die ich später noch komme.
  • Pro Bundesland
    Auch hier gibt es schon entsprechende Lernplattformen bei verschiedenen Bundesländern. Bislang war aber Audio/Video-Konferenz keine geplante Workload sondern eher Mail und Dateien. Aber auch das wäre schon seit vielen Monaten möglich gewesen. Zumindest bei mir ist aber nichts angekommen, dass es hier voran geht.

Aber selbst wenn es eine Plattform gäbe und qualifiziertes Personal zum Betrieb bereitstünde, gibt es immer noch die Frage der Netzwerkverbindung.

Bandbreite ist ein Faktor

Ich möchte mit einem Beispiel aufzeigen, welche Herausforderungen Schulklassen in einer Konferenzsituation für die Umgebung bedeuten.

  • Stellen Sie sich eine durchschnittliche Schule mit 1000 Schülern vor.
    Bei einer Klassenstärke von 25 Schülern sind das 40 Klassen in den Jahrgangsstufen 5-12. Grundschulen sind meist kleiner, Universitäten deutlich größer.
  • Die Übertragung von Audio
    Um Sprache zu übertragen sind ca. 100kbit erforderlich, bei denen 50 Pakete pro Sekunde mit 20ms "Sprache" a 160 Byte übertragen werden. Codex komprimieren und optimieren aber 100kbit ist eine gute Basis.
  • Bilder und Video vom Lehrer
    Der Lehrer muss natürlich etwas zeigen. Es geht nicht um ein Briefmarkenbild, sondern ein Whiteboard oder Tafel, auf der Schrift erkennbar sein sollte. DAs darf schon 720p oder Full HD sein, was in etwa mit 2 Mbit/S anzusetzen ist.
  • Rückkanal
    Um die Rechnung nicht zu erschweren, unterschlagen wir den Rückkanal, d.h. die Schüler sagen und zeigen nichts und der Lehrer "sieht" seine Schützlinge nicht
  • Lehrer "nahe dran"
    zudem nehmen wir an, dass der Lehrer in der Schule über das LAN arbeitet, wenn der Service von der Schule erbracht wird. Wenn der Service in der "Stadt-Cloud" oder der "Bundesland-Cloud" steht, kann der Lehrer auch von zuhause arbeiten.
  • Nun werden 50%, also ca. 500) der Schüler nehmen von "zuhause" teil
    d.h. entweder die die ganze Klasse "zuhause" oder nur eine Teilklasse. Ich werde auch nur 50% der Lehrer als "Präsenter" ansetzen, dh. 20 Kurse finden parallel "online" statt.

Technisch bedeutet dies:

  • 20x Audio-Stream vom Lehrer zum Konferenzserver a 100Kbit/s = 2 Mbit/s
  • 20x Video-Stream vom Lehrer zum Konferenzserver a 2Mbit/s = 40Mbit/s
  • 500x Audio-Stream vom MediaServer zu den Schülern a 100Kbit/s = 50 Mbit/s
  • 500x Video-Stream vom MediaServer zu den Schülern a 2Mbit/s= 1Gbit/s

Das ist ganz schön viel Last auf einem Server und den Wegen zum Server:

Kennen Sie eine Schule die 1.040 GBit/s Downstreams als "Dauerlast" ohne größere Verzögerungen liefern kann? Die 42 Mbit/s aus der Schulklasse zum Server kann ein LAN noch problemlos verkraften. Mit WLAN sollten Sie es besser nicht versuchen. Aber denken Sie nun an den Server, der diese Datenmenge dauerhaft umsetzen muss. Ich bin sicher, dass es keine Schule gibt, die heute diese Bandbreite hat und auch keinen passenden Server.

Nun rechnen Sie das auf eine Stadt wie Paderborn hoch mit über 30 Schulen und vielleicht 20.000 Schüler von denen "nur" ein Viertel, also 5.000, zuhause beschult werden. Dann sind wir bei 100GBit Video/out und 5GBit Audio. Welches kommunale Rechenzentrum kann Bandbreiten bereitstellen?

Das Problem mit dem Peering

Die wenigsten Schulen, Städte, Kreise oder Länder betreiben eigenen WAN-Netzwerke. Selbst der lokale Glasfaserausbau wird der "Privatwirtschaft" überlassen oder stockt. Bei den kommerziellen Angeboten mit den kostenfreien EDU-Versionen von Office365/Teams und Google Classroom gibt es ganz viele gewerbliche Kunden, die für die Leistung bezahlen während Privatkunden mit ihren Daten bezahlen. Um das zu verstehen, müssen wir etwas in die Vergangenheit des Internets zurück. Das Internet begann als Verbundnetz von Militär und sehr schnell auch Forschungseinrichtungen. Es gab keine "kommerzielle" Nutzung und der Schwerpunkt was auf der Funktion und Ausfallsicherheit. Daher haben immer mehr Schulen und Universitäten sich "vernetzt". Die meisten Nutzer waren "Fachleute" und Bandbreite war kostbar. Daher waren kurze Wege ebenso wichtig wie überhaupt eine Erreichbarkeit. Jeder hat die Pakete der anderen weitergeleitet.


Quelle: https://en.wikipedia.org/wiki/ARPANET

Es gab nicht wirklich eine Hierarchie. Aber dann kam die Kommerzialisierung des Internets und es bildeten sich verschiedene Provider aus, die teilweise nur Datenübertragungen geliefert haben während andere mehr Content beisteuern und wieder andere die Kunden und Firmen anbinden.

Mittlerweile hat sich das Netzwerk aber schon verändert. Es kommerzieller geworden und auf der einen Seite gibt es die große Anzahl der "Internet-Provider", die für ihre Endkunden den Zugang bereitstellen. In Deutschland sind das Firmen wie die Telekom ,Vodafone ,Deutsche Glasfaser aber auch Startwerke und Stadtprovider (EWE Tel, NetCologne, M-Net etc.), die tausende und Millionen von Menschen den Zugang zum Internet bereitstellen. Natürlich nicht kostenfrei und so bauen diese Firmen ihre eigenen Netzwerke Stück für Stück aus aber sie schauen natürlich auf die Kosten und denken erst einmal an sich und weniger an die Gemeinschaft. So existieren mehrere parallele Netzwerke über das Land, die erst einmal nicht miteinander verbunden sind.

So kann das Internet natürlich nicht funktionieren, denn die wenigsten Anwender stellen selbst Dienste bereit. Wir müssen das Bild um "Hoster" erweitern, bei denen die Server laufen und um die Verbindungen zwischen den so genannten "Autonomen Systemen (AS)". Da gibt es zwei Optionen

  • Peerings, die zwei Provider auf Gegenseitigkeit aufbauen
    Das war der Ursprungsgedanke des Internets, dass sich Provider verbinden und kostenneutral die Daten austauschen.
  • Exchange peering
    Da aber nicht jeder Provider mit jedem anderen Provider eine direkte Verbindung schalten kann und will, gibt es mehrere Punkte, zu denen jeder Provider seine eigene Leitung legt, Gebühren bezahlt und so die Erreichbarkeit gewährleistet wird.

Es gibt auch große Provider, die sich selbst als "Peering" bezeichnen und die Hand aufhalten, wenn andere Provider eigentlich nur einen Austausch anfragen. Das Bild erweitert sich und ist doch nicht ganz richtig, da die Tier-1 Carrier nicht erscheinen.

Auf dem Bild habe ich auch exemplarisch ein paar Serverstandorte platziert. Damit kommen die Webhoster mit ins Bild aber auch ein Server bei einer Uni im DFN oder das RZ eines kommunalen Betreibers, Natürlich stellen auch die größeren Provider wie Telekom, Vodafone u.a. Rackspace und Server bereit. Das macht auch Sinn, wenn z.B. Firmen wie Netflix entsprechende Caches nahe an den Kunden aufstellen können.

In dem Bild fehlen aber nun die große Anbieter wie Microsoft, aber auch Apple, Amazon (AWS), Google, Facebook, Akamai, Cloudflare u.a. die in einer ganz anderen Liga spiele. Diese Firmen verlassen sich nicht mehr auf Provider oder Hoster, sondern betreiben ihre Server aber auch die WAN-Verbindungen gleich selbst. Angeblich haben Google und Microsoft jeder für sich mehr eigene Leitungen als der nächste größere Tier-1-Provider. Wenn Sie sich das Peering an einem CIX anschauen, dann sehen Sie sehr gut, welche Anbieter die dicke Anbindung an z.B. das DECIX haben.


Quelle: https://www.peeringdb.com/ix/31 (25. Nov 2020)

Das macht auch Sinn, da diese Anbieter meist "Privatkunden" bedienen und über ein CIX sehr viele speziell kleinere Provider direkt erreichen können. Wenn es aber um die Schwergewichte mit ganz vielen Kunden geht, dann bauen die großen Provider bevorzugt "Peerings" direkt auf. So hat Microsoft eine öffentliche Policy und wenn Sie mögen, können Sie sich direkt verbinden und damit ihren Kunden einen sehr schnellen Weg zu Microsoft 365 eröffnen und ihre Verbindungen zum CIX entlasten.

Das Bild mit Microsoft sieht also etwas anders aus:

Microsoft, aber auch Google u.a., haben weltweit eigene WAN-Netzwerke und stellen nicht nur Server und Services sondern betreiben auch eigenes Peering. Sie umgehen dort, wo es sinnvoll ist, die klassischen Carrier oder Austauschpunkte. Die großen Anbieter wie Microsoft möchten ihren zahlenden Kunden die beste Performance bieten und haben entsprechend umfangreiche Peerings direkt zum Provider, der auch froh darum ist, diesen Verkehr schnell aus seinem Netz zu bekommen. Ihre Daten zu Office 365/Teams gehen von ihrem Arbeitsplatz über ihren Zugangsprovider mit wenigen Schritten ins Netzwerk des Cloud-Anbieters. Der Zugangs-Provider entlastet sein Netzwerk, wenn der die Daten zu Microsoft u.a. schnell ausleitet und Microsoft kommt dem Zugangsprovider hier entgegen.

Diese direkte, schnelle und leicht skalierbare Anbindung können sich kleinere Provider nicht so einfach leisten. Wenn Sie ebenfalls auf PeeringDB schauen, wie das DFN verbunden ist, dann sehen Sie zumindest die "öffentlichen" Peerings:


Quelle https://www.peeringdb.com/net/279 (7. Nov 2020)

Die Daten müssen nicht vollständig sein und die Bandbreite der "private peerings" ist nicht veröffentlicht. Hier fehlt z.B. das Peering zur Telekom, welches es laut Presseveröffentlichungen gibt. Es könnte aber auch "via" einem CIX wie z.B. dem HAM1 laufen.

Wo steht die MCU?

Wenn Sie nun ire Konferenz selbst hosten, dann müssen Sie sich die Frage stellen, wie denn ihr Netzwerk mit dem eigenen Server an die Zugangsprovidern der Schüler gekoppelt ist. Das ist in der Regel ein Peering zwischen Providern oder über das DE-CIX. Auch Microsoft und Co haben natürlich Anbindungen an das DE-CIX aber der meiste Verkehr geht doch daran vorbei. Der Konferenzserver der Schule, der Stadt oder des Kreises kann gerne bei ihnen geografisch in der Nähe stehen. Das bedeutet aber nicht, dass die Daten damit automatisch einen kurzen Weg haben.

In der Immobilienbranche gibt es den Spruch , dass für den Wert eine Immobilie nur drei Kriterien relevant sind: "Die Lage, die Lage und die Lage". Ähnlich verhält es sich mit der zentralen Komponente bei einer Konferenz. Der Standort ist neben der Verbindung die Schlüsselkomponente.

Wo würden Sie aus technischer Sicht dann die Konferenzzentrale aufstellen ?

Nr Position Beschreibung
1

An der Uni oder der Schule?

Ja gerne, wenn die meisten Teilnehmer an der Schule oder der Uni arbeiten. Aber in Covid-19-Zeiten sind die Nutzer zuhause. Wenn Sie in der Schule sind, dann werden sich sicher keine Audio/Video-Konferenz nutzen. Dann könnte ein lokaler NextCloud/Kopano-Server o.ä., eine Option sein

2

Am kommunalen RZ

Kaum eine Schule wird einen Service unter dem Tisch des Rektors laufen lassen und gesicherte RZ-Räume gibt es meist auch nicht. Aber die kommunalen RZ-Betreiber können diese Dienste für eine Gruppe von Schulen anbieten und tun das heute auch. Aber hier ist dann zu prüfen, ob die A/V-Video-Bandbreite zur Schule und erst recht zu den anderen Providern mit den Schülern und Lehrern vorhanden sind

3

Bei Microsoft

Die Dienste von Microsoft sind nur für "EDU" sehr günstig aber das Geschäftsmodell ist natürlich umfangreicher. Also baut Microsoft Leitungen und Verbindungen was das Zeug hält, damit die Kunden auch zufrieden sind. Zugegeben, am Anfang von Covid-19 hat es sogar hier manchmal gewackelt aber das Problem hatten alle. Nur Microsoft konnte sehr schnell nachrüsten.

4

Bei einem anderen Hoster

Sie könnten auch einen selbst verantworteten Service bei einem Hoster in Deutschland aufbauen. Da gibt es ja doch eine ganze Menge und Gaia-X könnte irgendwann ja auch verfügbar sein. Aber wie schon geschrieben, ist das nicht für "lau" .

Das Problem ist real und ist in der Anfangszeit von Corona bei den Universitäten aufgefallen, die über das DFN ans Internet angebunden sind. Wenn nun sehr viele Studenten "zuhause" z.B. über die Telekom auf die Server der Universität zugreifen, dann gab es deutliche Probleme. Das Peering zwischen Telekom und DFN war darauf einfach nicht ausgelegt und eine "Aufrüstung" lassen sich die Provider natürlich gut bezahlen.

"Der DFN-Verein hat für die Zeit der Corona-Krise einen entgeltpflichtigen global Upstream bei der DTAG beauftragt."
Quelle: https://www.dfn.de/newsticker-covid19/ , Meldung vom 01.04.2020

Das gilt noch umso mehr, wenn Sie ihren Server in der Schule oder der Region aufstellen. Ehe Sie nun auf die Idee kommen, einfach einen Server bei einem großen WebHoster zu platzieren, dann sollten sie auch hier nicht nur die Anbindung zu anderen Providern, insbesondere den Zugangsprovidern  prüfen und zudem das "Kleingedruckte" bezüglich der Bandbreiten lesen. Viele Angebote sind "günstig" weil der Hoster eine Mischkalkulation macht. Die meisten Webseiten haben ganz wenig Belastung. Wenn Sie da aber nun einen Server mi 1-10 GBit Dauerlast auf dem Netzwerkinterface betreiben, dann wird das entweder sehr schnell sehr teuer oder die Bandbreite wird nach einem "Fair Use"-Prinzip gedrosselt.

Kleine Routingkunde

Daten und Verbindungen ändern sich kontinuierlich aber am 7. Nov 2020 habe ich folgende Daten ermittelt: Ich bin in Hövelhof an einem Anschluss der Deutschen Glasfaser. Die meisten Schulen in Paderborn habe eine Domains, die auf "@<schulname>.lspb.de" endet. Wenn ich annehme, dass die Schulen ihre Mailserver nicht bei einem großen Provider wie 1und1/Straot/HostEurope/Hetzner/etc hosten sondern eigene Server nutzen, dann dürfte dessen IP-Adressen sehr nahe an einem Standort einer Schul-Cloud stehen. Eine DNS-Abfrage nach dem Mailserver liefert dann das IP-Netzwerk und damit das Routing. Das gleiche funktioniert mit der Uni-Paderborn.de.

Ziel Schulen in Paderborn Uni Paderborn Office 365

MX

PS C:\> Resolve-DnsName -Type MX lspb.de | fl

Name         : lspb.de
Type         : MX
TTL          : 3501
NameExchange : hell.lspb.de
Preference   : 10
PS C:\> Resolve-DnsName -type A hell.lspb.de | fl

Name : hell.lspb.de
Type : A
TTL : 2838
DataLength : 4
Section : Answer
IPAddress : 80.66.9.206
PS C:\> Resolve-DnsName -Type MX uni-paderborn.de | fl

Name         : uni-paderborn.de
Type         : MX
TTL          : 3468
NameExchange : mail.uni-paderborn.de
Preference   : 5
PS C:\> Resolve-DnsName -type A mail.uni-paderborn.de | fl

Name       : mail.uni-paderborn.de
Type       : A
TTL        : 1429
DataLength : 4
Section    : Answer
IPAddress  : 131.234.142.9
PS C:\> Resolve-DnsName -Type A teams.microsoft.com | fl

Name       : s-0005.s-msedge.net
QueryType  : A
TTL        : 105
Section    : Answer
IP4Address : 52.113.194.132

ASN

Die IP-Adresse 80.66.9.206 gehört zur EWE

Die IP-Adresse 131.234.142.9 gehört wie erwartet zum DFN

Die IP-Adresse 52.113.194.132 gehört wie erwartet zum Microsoft

Traceroute

PS C:\> tracert -4 edison.lspb.de

Routenverfolgung zu edison.lspb.de [80.66.9.183]
über maximal 30 Hops:

  1     1 ms     1 ms     1 ms  fritz.box [192.168.178.1]
  2     9 ms     9 ms     5 ms  100.68.0.1
  3    10 ms     9 ms    10 ms  100.127.1.13
  4    12 ms    13 ms    10 ms  185.22.46.72
  5    17 ms    14 ms    14 ms  ewetel.dus.ecix.net [194.146.118.115]
  6    25 ms    20 ms    22 ms  bbrt.ol-0-xe-1-1-0.ewe-ip-backbone.de [80.228.90.33]
  7    24 ms    28 ms    23 ms  bbrt.owo-1-xe-0-2-0.ewe-ip-backbone.de [212.6.114.30]
  8    26 ms    26 ms    26 ms  bbrt.bhv-1-ge-7-0-4.ewe-ip-backbone.de [80.228.98.26]
  9     *        *        *     Zeitüberschreitung der Anforderung.
 10    29 ms    26 ms    26 ms  edison.lspb.de [80.66.9.183]

Leider war der Mailserver nicht per "ICMP" erreichbar aber der Webserver steht ja nebendran.

PS C:\> tracert -4 mail.uni-paderborn.de

Routenverfolgung zu mail.uni-paderborn.de [131.234.142.9]
über maximal 30 Hops:

  1     2 ms     1 ms     1 ms  fritz.box [192.168.178.1]
  2    10 ms     5 ms     6 ms  100.68.0.1
  3    11 ms     9 ms     9 ms  100.127.1.13
  4    13 ms    10 ms    10 ms  185.22.46.72
  5    10 ms    10 ms    10 ms  dfn1.dus.ecix.net [194.146.118.60]
  6    19 ms    17 ms    22 ms  te-0-0-2-2.br-cua-01.uni-paderborn.de [188.1.244.94]
  7    16 ms    22 ms    13 ms  twe-1-0-37.cr-cua-01.uni-paderborn.de [131.234.3.12]
  8    14 ms    13 ms    14 ms  po-41.gebData-1.uni-paderborn.de [131.234.0.227]
  9    16 ms    13 ms    14 ms  mail.uni-paderborn.de [131.234.142.9]
PS C:\> tracert -4 teams.microsoft.com

Routenverfolgung zu s-0005.s-msedge.net [52.113.194.132]
über maximal 30 Hops:

  1     2 ms     1 ms     1 ms  fritz.box [192.168.178.1]
  2    16 ms     6 ms     6 ms  100.68.0.1
  3     8 ms    10 ms    10 ms  100.127.1.13
  4    12 ms    10 ms    10 ms  185.22.46.72
  5     *       14 ms     *     ams-ix-1.microsoft.com [80.249.209.20]
  6    14 ms    14 ms    14 ms  ae21-0.icr01.ams21.ntwk.msn.net [104.44.232.164]
  7    14 ms    14 ms    14 ms  ae26-0.am3-96c-1a.ntwk.msn.net [104.44.239.82]
  8     *        *        *     Zeitüberschreitung der Anforderung.
  9     *        *        *     Zeitüberschreitung der Anforderung.
 10     *        *        *     Zeitüberschreitung der Anforderung.
 11     *        *        *     Zeitüberschreitung der Anforderung.
 12    17 ms    14 ms    14 ms  52.113.194.132

DG geht beim 5ten Hop schon direkt zu MIcrosoft

Sie sehen schon an diesem Beispiel sowohl an der Anzahl der Hops, den Sprüngen bei den Verzögerungen in Millisekunden und den Bezeichnungen, dass meine Daten einen längeren Weg durch Deutschland nehmen. Nun sind 23ms oder 13ms natürlich vollkommen ausreichend. Die Messung wurde aber am Samstag abend gemacht und es fand kein Unterricht statt.

Ich hatte auch schon Verbindungen z.B. bei Vodafone-Kunden gesehen, die über London als "Peering" gelaufen sind. Auch bei der Telekom ganz es Zeiten, , an denen Verbindungen zwischen deutschen Firmen über Paris liefen.

Mein Nachbar hatte zur gleichen Zeit noch eine öffentliche IP-Adresse bei der Telekom per DSL und ein Traceroute von meinem Anschluss der "Deutschen Glasfaser" zum Telekom-DSL-Anschluss im Nachbarhaus ergab:

C:\>tracert  46.85.247.194

Routenverfolgung zu p2exxxx.dip0.t-ipconnect.de [46.85.247.194]

  1     2 ms     1 ms     1 ms  fritz.box [192.168.178.1]
  2    10 ms     5 ms     6 ms  100.68.0.1
  3    10 ms    10 ms     9 ms  100.127.1.13
  4    10 ms    14 ms     9 ms  185.22.46.72
  5    11 ms     9 ms    10 ms  ddf-b2-link.telia.net [62.115.38.12]
  6    26 ms    22 ms    26 ms  ffm-bb1-link.telia.net [62.115.112.60]
  7    22 ms    23 ms    22 ms  win-bb3-link.telia.net [62.115.137.203]
  8    24 ms    26 ms    25 ms  win-b2-link.telia.net [62.115.114.185]
  9    25 ms    26 ms    32 ms  80.156.163.253
 10    38 ms    38 ms    34 ms  87.137.214.121
 11    40 ms    37 ms    37 ms  p2e55f7c2.dip0.t-ipconnect.de [46.85.247.194]

Aus den Namen kann man gut sehen, dass die DG anscheinend kein direktes Peering zur Telekom hat aber nicht über ein CIX geht, sondern telia.net als Dienstleister nutzt. Dennoch sind es 11 Hops und 40ms in einer "ruhigen Zeit". Eigentlich müsste ich diesen Test kontinuierlich machen und so über die Zeit die Qualität messen.

Diese "Peerings" können nämlich schnell zum Flaschenhals werden, wenn viele Nutzer gleichzeitig online sind und größere Datenmengen übertragen. Wir sprechen hier nicht von ein paar Twitter-Feeds, E-Mails, Instagram-Bilder oder Surfen im Webshop der Anbieter. Das sind kleine und vor allem zeitunkritische Daten. Bei Audio/Video sind aber Verzögerungen von 100ms und mehr oder schwankenden Laufzeiten ein Problem und wenn pro Schule nur 1 GBit zusammen kommen, dann ist auch ein 100GBit-Peering schnell am Ende.

Zwischenstand

Der Ruf nach einer eigenen Lösung auf Open Source ist gerechtfertigt aber aus meiner Sicht rein technisch gar nicht in der Menge und Zeit umzusetzen. Das bedeutet nicht, dass wir nicht daran arbeiten sollten, dies zu verändern. Es darf auch nicht bedeuten, dass mit dem Unwort "Alternativlos" nun Microsoft Teams, Google Classroom, Zoom und Co einfach so nutzen, wie es sich der Anbieter wünscht.

Aber da ist dann wieder die Politik gefordert, klare Aussage und Vorgaben zu machen. Allein ein "man sollte es nicht nutzen", oder "es ist vermutlich nicht erlaubt" oder "mit 9 zu 8 Stimmen wurde Teams als nicht geeignet.." ist es leider nicht getan.

Ich würde auch lieber morgen als heute auf fossile Brennstoffe verzichten, Atomkraftwerke abschalten und mit einem Datenschutz arbeiten, der den Namen auch verdient.
Aber wir haben nicht die Zeit und nicht die Ressourcen heute kurzfristig eine Alternative bereit zu stellen. Ich bin sogar der Meinung, dass eine Planwirtschaft es nie hinbekommen wird. Als Gesellschaft sollten wir aber die Spielregeln für Anbieter so gestalten, dass der Amtseid "zum Wohle des Volkes" auch einen Sinn hat.

Ich schwöre, dass ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. (So wahr mir Gott helfe.)
Quelle: https://de.wikipedia.org/wiki/Amtseid

Ich erwarte nicht, dass kurz- oder mittelfristig auf der Ebene von Städten oder Landkreisen oder vielleicht sogar Metropolregionen ein Peering zwischen den dezentralen Netzwerken erfolgt. Jeder Peering-Punkt kostet ja Geld. Wer aber eine "Schulcloud" selbst betreiben will, muss er auch die Zugangsprovider der eigenen Schüler erreichen. Ein Weg könnte sein, dass der kommunale Dienstleister in seinem Rechenzentrum ein "Peering" anbietet oder vielleicht sogar fordern kann, so dass staatliche Infrastrukturdienste zuverlässig erbracht werden können. So ein dezentral vermaschtes Netzwerk könnte auch in Krisenzeiten das Internet "robuster" machen. Das kostet aber alles Geld.

Vielleicht ist es doch der einfachere Weg, die DSGVO nicht nur anzumahnen sondern einzufordern und den Vertrieb von "nicht zugelassenen" Produkten einfach zu bestrafen. Für Autos, Telefone, Elektrogeräte, Arzneimittel u.a. gibt es ja auch "Zulassungen". Ganz nebenbei würde sich sicher auch der ein oder andere Gewerbebetrieb freuen, wenn seine Daten tatsächlich "sicher" sind. Ich denke, dass Microsoft gar kein Problem damit hätte, die Systeme entsprechend zu konfigurieren oder notfalls auch eigene Betreiber-Firmen zu gründen. Aber dazu müsste unsere Regierung nu mal auch die Stirn den wenigen "falschen Freunden" bieten.

Weitere Links