![\framebox[\hsize]{\hfill \textbf{Umsetzung} \hfill}](img20.gif){kind=small}
,,[Die] Sicherheit [eines PCs] wird dadurch bestimmt, wie dieser Benutzer ihn schützt, ob er ihn im verschlossenen Raum betreibt, ob er die Benutzung durch andere verhindert, wie er mit den Datenträgern umgeht -- alles bleibt der Verantwortung des einzigen Benutzers überlassen.``279Das Prinzip des kleinsten Privilegs sollte konsequent auch auf den Arbeitsplatzrechnern umgesetzt werden. Normale Benutzer brauchen viele der vom Betriebssystem angebotenen Möglichkeiten nicht -- im Gegenteil: Zu viele Werkzeuge behindern die effiziente Arbeit, weil Anwender sich mit der Auswahl des geeignetes Werkzeuges beschäftigen müssen.
Insbesondere ist Anwendern keine Berechtigung zur Änderung der Systemkonfiguration zu erteilen. Besonderen Schutz bedarf in einem solchen Netz immer auch die Netzkonfiguration der Rechner: IP-Spoofing ,,von innen`` kann etwa im Ansatz verhindert werden, wenn Anwender keine IP-Adressen selbst ändern können: ,,Die Veränderung der IP-Adresse darf daher nur autorisiertem Personal möglich sein.``280 Die anderen Netzkomponenten (auch im Hinblick auf die Verwendung von VPNs, etwa im Projekt EPoS) müssen ebenso geschützt werden. Eine Umkonfiguration kann nichtexistente Sicherheit vorgaukeln, der Anwender vertrauen: ,,Darüber hinaus sollten die Netzwerkkomponenten des Betriebssystems vor Manipulation durch Außenstehende, aber auch durch den Benutzer geschützt sein.``281 Wenn ein interner Angreifer seine Netzkonfiguration nicht ändern kann, hat er auch nicht die Möglichkeit, die Netzkarte in den promiscious mode zu versetzen und kann folglich das Netz nicht abhören.
In Rheinland-Pfalz gilt für Verwaltungsrechner:
,,Ein generell eröffneter Betriebssystemzugriff ist zu vermeiden. Dieser sollte nur dem Systemverwalter/-betreuer gebunden an eine entsprechende Benutzerkennung vorbehalten sein.``282Problematisch dürfte sein, dass sich -- nicht die meisten, aber dennoch viele -- Anwender selbst als Betreuer ,,ihres`` Rechners sehen und sich mit einer Einschränkung ihrer Möglichkeiten nicht einverstanden zeigen können. In diesem Zusammenhang soll auch folgender Hinweis nicht unberücksichtig bleiben: ,,Nicht unterschätzt werden darf auch das von selbsternannten ,,PC-Experten`` in den Fachabteilungen ausgehende Gefährdungspotential.``283
In der Regel werden in Schulen für Arbeitsplatzrechner Standard-PCs eingesetzt. Damit nützt der beste Schutz auf Betriebssystem-Ebene nichts, wenn physikalisch Zugang zum System besteht. Für die gängigen Betriebssysteme werden in einschlägigen Foren, aber auch seriösen Fachzeitschriften Hinweise veröffentlicht, wie mit Hilfe einer Boot-Diskette ein uneingeschränkter Zugang zum System hergestellt werden kann, bzw. wie das Passwort des Super-Users geändert werden kann. Schutzmaßnahmen sind sowohl vor externen Eindringlingen als auch vor vorwitzigen Mitarbeitern zu ergreifen.
Folglich müssen Rechner folgende Eigenschaften aufweisen:284
Im pädagogischen Netz dürfen und können288 weder Schüler noch Lehrer das System konfigurieren, dies ist ausschließlich dem Administrator vorbehalten. Die Rechner in den Klassenräumen werden im Rahmen einer AG durch Schüler administriert. Die meisten Rechner in der Verwaltung werden nur von jeweils einer Person benutzt, diese behält vorerst alle Rechte auf ,,ihrem`` lokalen Rechner. Zum Einsatz kommt in der Verwaltung MS-Windows 98 (SE).