Bistum lehnt Freifunk über Anschlüsse "eigener" Netzwerke ab

Auf unsere Anfrage bei einer kath. Pfarrei, ob diese bereit wäre mittels Aufstellen und Anschließen eines FF-Routers an den dort vorhandenen Router die Versorgung des dort angrenzenden Flüchtlingsdorfs zu unterstützen, erhielten wir eine Absage mit der Begründung, dass „die Verwaltung des Bistums es aus Datenschutz- und/oder Sicherheitsgründen grundsätzlich nicht erlaubt, dass sich Fremde in ihr Netzwerk einklinken“.

Finden sich irgendwo (offizielle?) Dokumentationen, die sich mit dieser Argumentationskette befassen, diese vielleicht (auch technisch) entkräften oder verständlich darlegen können, dass dem Anbieter keine Gefahr droht?

Soweit mir bekannt, gibt es im Pfarrbüro einen stinknormalen ISDN Zugang, wie ihn fast jeder im Keller liegen hat…

Hallo @Waennae,

diese Fragen und antworten habe ich hier schon öfter gesehen, ich suche mal ein paar Threads und Wiki-Einträge raus:

Freifunk-Wiki
FF-Forum
noch mal anders FF-Forum
allgemein zur Sicherheit, aber mit diesem Aspekt

Ansonsten habe ich auf die Schnelle nichts gefunden, aber da war sicher noch mehr…

Auch zu dem Thema Störerhaftung, das wohl gerne nachgefragt wird finden sich viele Threads hier im Forum, in den Wikis und auf Blogs.

Zur Sicherheit ist noch zu sagen, dass Freifunk-Firmware (ja hoffentlich auch bei euch) Open-Source ist und sich somit jeder das angucken und überprüfen kann.

Sonst fallen mir gerade keine gängigen Argumente ein. Wenn noch jemand andere Threads hierzu in Erinnerung hat, würde ich mich freuen. Dann kann man mal einen Sammelthread daraus machen und muss nur auf den verweisen. Oder gibt es so etwas schon?

Viele Grüße.
Nitimax

2 Likes

Vielen Dank schonmal für deine Mühe, nur hatte ich nach Dokus gefragt, nicht Diskussionsbeiträgen hier im Forum, die ich größtenteils kenne, sorry, wenn ich das nicht klar genug herausgestellt habe.
Die Info im FF-Wiki kommt der Sache schon sehr nah, erscheint mir aber nicht „amtlich“ genug :smiley:

Werde mir mal Telekom und Konsorten vornehmen, vielleicht haben die ja irgendwo was passendes versteckt.

Ich weiß nicht welches Bistum ihr seid, weil ich mich für sowas nicht interessiere. Aber das Bistum Münster hat einen Rahmenvertrag mit Hotsplotz und blockiert auch alle nicht benötigten Ports, sodass man nicht raus kommt.

Im Zweifel hilft ein separater DSL-Anschluss und mit mehreren Pfarreien Druck machen.

Grüße
Matthias

Das wäre vielleicht eine Option. Aber wer weiß, vielleicht kommt dann das nächste Totschlag-Argument, z.B. „Aber wenn die beiden Kabel direkt nebeneinander liegen, kann da nicht auch was passieren?“
Ich würde dann antworten: „Nein, das geht nur im Bett“ …:blush:

3 Likes

Hier werden (vermute ich) keine Argumente greifen. Ich kenne so was aus meiner Firma, die sagt: Das will ich nicht in meinem Netz, auch wenn du mir beweist, dass das nicht gefährlich ist.
Ansetzen kann man nur da, wo das Bistum nichts/weniger zu sagen hat: privater Anschluss des Pfarrers, Küsters etc.
So habe ich das mal gemacht, leider ist der dann versetzt worden u mit dem Nachfolger habe ich meine Probleme … :unamused:
PS: Bistum Essen?

Richtig, habe jetzt dort eine Anfrage bei der (kooperativen) Flüchtlingshilfe laufen, die diese (bisher uneinheitlich behandelte) Problematik kennen und auch gerne abstellen wollen. Nächste Woche soll es ein offizielles Statement geben und alle angeschlossenen Pfarreien dann entsprechend informiert werden.

1 Like

Hallo @Easy
Hast du Informationen erhalten? Kannst du uns das Statement zur Verfügung stellen?


Zum Thema generell

Bitte bedenkt, dass eine zentrale IT-Abteilung für den Betrieb vor Ort in vielen Fällen garantieren oder sogar haften muss. Daher steckt hinter vielen Verboten einfach der Versuch mögliche Störquellen der Infrastruktur zu verhindern.

Beispiel
Anwender meldet: „Seit letzter Woche ruckelt unsere Terminal-Sitzung in Word bei großen Bildern.“
Lösung: Nach 3 Stunden Recherche kommt heraus, dass die 2 MBit-DSL-Leitung durch Freifunk dicht ist. :wink:

Fazit: Mit IT-Abteilung abstimmen (= für HelpDesk dokumentieren) oder separaten Internetanschluss nutzen. Eindeutig gekennzeichnet damit es keine Verwirrung bei Besuch von Technikern gibt.

Ich bleibe hartnäckig, hatte letzte Woche das Thema nochmals angestoßen, melde mich, wenn´s Ergebnisse gibt.

Hallo Parad0x, ich selber bin aus dem Thema raus, da ich (wie gesagt) mit dem verantworlichen Herrn hier direkt vor Ort meine Probleme habe.
Waennae ist aber, wenn ich das richtig gelesen habe, drann.

Also ich finde die Absage völlig legitim, denn es steht ja, dass es sich um „ihr“ Netzwerk (Intranet) handelt. Es ist selbstverständlich das fremde Geräte nicht erwünscht sind.

Soweit ich das von unserer Kirchengemeinde kenne ist es nämlich tatsächlich ein kirchliches Intranet, welches mittels VPN angebunden ist. Das geht sogar so weit, dass das es einen Internetanschluss für das Pfarrbüro und einen Internetanschluss für den Pfarrer gibt, obwohl sich beides in gleichen(!) Gebäude befindet.

Bei der Verwaltung werdet ihr also kaum keine Chance haben, evtl. hat der Pfarrer, so wie bei uns, einen eigenen Internetanschluss…

Das hat oft auch rein technische Gründe: Auf dem Ländle gibt es nicht überall schnelles Internet. Da könne zwei Leitungen schon mal Abhilfe schaffen.

exakt, ist hier auch bei einer Kirchengemeinde so. und die Vermutung von @MPW mit langsamen Anschlüssen trifft dort definitiv nicht zu.
Unser Plan dort geht dann eben über den Anschluss des Pfarrers voraussichtlich.

Das Problem kann auch die „Art“ des Traffics sein, die ein FF-Router generiert:
Viele, extrem viele, kleine Pakete, auch Upstream.
Das führt reproduzierbar (in größeren Gluon-Broadcastdomains >500 Router) z.B. AVM FB7170 an die Grenzen der Stabilität (und der VOIP-Benutzbarkeit)

Da verstehe ich dann jeden „Uplink-Sender“, der sagt „Ist ja schön, dass ihr nur 80kBit/s Upstream macht mit Eurem Routerchen, mein Sipgate stottert trotzdem und ausserdem hängt die Fritzbox sich neuerdings 2-3 mal am Tag in einen Reboot, das tat sie früher nicht.“

(Und dann gibt’s noch die Experten, die versehentlich MoW am FF-Router angeschaltet haben und dann den Batman-Traffic über den heimischen AP per WPA2-AP abgestrahlt haben "für Nix… Dann ist natürlich alles vorbei…)

Ja, alle Dinge kann man irgendwie lösen. Mit besserer Technik, oder Geld draufwerfen.
Aber erstmal ist es so „Freifunk hat den normalen Betrieb gestört“
(und solche Dinge sprechen sich vielleicht auch herum oder es erinnern sich Leute noch nach Jahren daran, wo wie anno Dunnemal „Freifunk ist doch das mit dem Schweden-VPN“, was auch als Gerücht in der Presse im Rheinland kaum totzukriegen war.)

2 Likes

Hier nun (frisch eingetroffen) die Antwort der bistümlichen :innocent: IT-Abteilung:

" Nach ausführlichen Tests mit
Freifunkroutern kommen wir zu der Erkenntnis, dass Freifunkrouter nicht
im Bistums Netz installiert werden können.
Diese hängt von einigen Faktoren ab:
Es besteht keine Möglichkeit einen
sogenannten local-breakout an den Bistumsrouter zu konfigurieren. Das
heißt, dass das Freinfunknetz nicht direkt ins Internet geleitet werden
kann.
Dadurch wird der ganze Datenverkehr erst von der Pfarrei ins Rechenzentrum geleitet und von dort aus zu den Freifunkservern.
Aufgrund dieser „Umleitung“ wird die
Internetkapazität des Rechenzentrums stark verlangsamt, sodass es zu
Arbeitseinschränkungen im Bistumsnetz kommen wird.
Ebenso ist diese „Umleitung“ ein
Sicherheitsrisiko für den Datenschutz im Bistumsnetz und wird durch die
Datenschutzrichtlinie abgelehnt.

Eine Alternative wäre, dass die Pfarreien,
wenn diese Internet für Freifunk zur Verfügung stellen möchten, dass
ein zusätzlicher paralleler Internetanschluss abgeschlossen und an
diesem einen Freifunkrouter installiert wird. Dadurch kreuzen sich das
Freifunknetz und das Bistumsnetz nicht."

Grundsätzlich verständlich.

Gleiche Situation beim Landes Netz…

Ich weiß, dass das Bistum Münster dafür FritzBoxen verwendet. Kann man bei FritzBoxen DNS-Bereiche vorgeben, die lokal rausgehen? Oder Ports? Notfalls IPs? Wenn man denen erklärt, wie es geht, machen sie es vielleicht.

Am Ende ist das Freifunk noch schneller als das Netz, was über deren Server geht ;).

Hört sich so an, als ob die da ein IPsec Tunnel fahren. Wenn es von der Fritzbox aus direkt stattfindet, ist eine Umleitung erstmal ohne weiteres nicht möglich. Ob es durch configs geht? Keine Ahnung. Aber ich glaube die wollen einfach nicht Fremde an deren Hardware lassen. Was auch verständlich ist.

Wenn die aber was anderes verwenden würden, wie z.B. eine Bintec Kiste. Da geht es durchaus. Aber da macht es von den Kosten und Aufwand her mehr Sinn, eine zweite Leitung zu bestellen.

2 Likes

Im Großen und Ganzen ist die Absage sowohl aus unternehmerische (nicht nur das Bistum, sondern auch RWE, Eon etc.) als auch privater Sicht absolut verständlich.
Man kennt die unternehmerische Infrastruktur (!INTRANET!) nicht genau und hat darin aufgrund der Unwissenheit nichts zu suchen :wink:
Wer will schon einen Gartenschlauch durch sein eigenes ganzes Haus verlegt haben, wo ständig Druck drauf ist?!

Ich denke die n.f. Aussagen treffen den Nagel auf den Kopf:

→ Fällt nun für 300 Mitarbeiter das Netzwerk aus bzw. verlangsamt für 10 Minuten entsteht ein „Schaden“ von ca. 1000€ (bei ca. 20€ brutto Stundenlohn) .
Klingt auf den ersten Blick nicht viel, aber würde dieser Ausfallbetrag auf den „schuldigen FF-Router“ zahlungspflichtig werden, hätte man für diesen Ausfallbetrag lieber einen zweiten Anschluss gelegt und mindestens 3,5 Jahre FF-Internet haben können.

Ein separater Anschluss ist also folglich die bessere und sichere Alternative (bevor seitens Telekom- & Unitymediarahmenverträge etc. mögliche rechtliche Konsequenzen gibt).

Und was kostet heute schon ein Internetanschluss? 20€ im Monat? Dafür ist das Risiko des möglichen „Ärgers und der Nerven“ zu groß.

1 Like