Aus Linux-Magazin 08/2026

Was Kinderschutz unter Linux, Gnome und KDE leistet und wo er scheitert

© blinow61 / 123RF.com

Mit Router-Regeln, Kindersicherungen und Zeitlimits entsteht unter Linux ein Werkzeugkasten für Kinderschutz. Doch der Schutz hat Grenzen und überraschende Lücken.

Das Thema Bildschirm- und Internetzeit beschäftigt praktisch jede Familie mit heranwachsenden Kindern. Wie lange dürfen sie vor dem Rechner sitzen? Wann erhalten sie das erste eigene Smartphone? Und wie lässt sich der Zugang zum Netz sinnvoll begrenzen, ohne die Technik zum Dauergegner zu machen? Eine einfache, sichere und unkomplizierte Lösung steht auf dem Wunschzettel zahlreicher Familien-Admins.

Viele Eltern setzen zunächst auf die Bordmittel des heimischen Routers. Die im Großteil der deutschen Haushalten eingesetzte Fritzbox bietet dafür unter Internet | Filter | Kindersicherung die Möglichkeit, Zugangsprofile anzulegen und Geräte gezielt zuzuweisen. Auf den ersten Blick wirkt das wie ein solides Fundament für digitale Leitplanken im Familiennetz.

Kinderschutz per Fritzbox einrichten

Im Beispiel legt das Profil Kids klare Regeln fest: Nach 18 Uhr unter der Woche endet der Internetzugang (Abbildung 1). Versucht ein zugeordnetes Gerät später online zu gehen, blockiert die Fritzbox die Verbindung. Optional erlaubt ein Ticketsystem zusätzliche 45 Minuten Onlinezeit – ein digitaler Aufschub mit elterlichem Daumen.

Abbildung 1: Zugangsprofile der Fritzbox begrenzen Onlinezeiten pro Gerät.

Abbildung 1: Zugangsprofile der Fritzbox begrenzen Onlinezeiten pro Gerät.

Diese Schutzmauer wirkt stabil, fällt aber in der Praxis schnell. Moderne Desktop-Umgebungen wie Gnome oder KDE erlauben die Änderung der MAC-Adresse direkt im Netzwerkmanager (Abbildung 2). Damit täuschen Kinder ohne tiefes technisches Wissen oder zusätzliche Werkzeuge ein neues Gerät vor und umgehen die Zuordnung im Router.

Abbildung 2: Netzwerkmanager in Gnome und KDE erlauben MAC-Spoofing – Kindersicherungen verlieren so ihre Gerätebindung.

Abbildung 2: Netzwerkmanager in Gnome und KDE erlauben MAC-Spoofing – Kindersicherungen verlieren so ihre Gerätebindung.

Ein Gegenmittel besteht darin, neue Geräte standardmäßig dem eingeschränkten Profil zuzuweisen. Alternativ nutzen Sie ein Gastnetz mit festen Zeitfenstern. Das funktioniert zuverlässig, solang der Zugang per WLAN erfolgt. Ein LAN-Kabel am Router hebelt diese Logik jedoch aus. Die Kontrolle über die Technik bleibt eben immer auch eine Frage der physischen Nähe.

Für Webinhalte setzen viele Home-Administratoren auf Filterlisten im Router unter Internet | Filter | Listen. Blacklists blockieren unerwünschte Seiten, Whitelists erlauben nur definierte Domains. Ports lassen sich zusätzlich sperren. Solche Regeln bleiben jedoch angreifbar, denn in Filesharing-Programmen ist der Port schnell geändert. Zudem lassen sich unerwünschte Webseiten über Blacklists nie vollständig erfassen.

Es genügt daher nicht, den Kinderschutz allein im Router umzusetzen. Ebenso wichtig ist die Konfiguration der Rechner und der Benutzerkonten der Kinder. Moderne Desktop-Umgebungen sollten dafür geeignete Funktionen bereitstellen. Die beiden verbreiteten Linux-Desktops Gnome und KDE unterscheiden sich hier deutlich. Während Gnome bereits konkrete Funktionen implementiert und weiter ausbaut, fehlt es KDE bislang an einer vergleichbaren integrierten Lösung.

Digitales Wohlbefinden in Gnome

Gnome bringt seit Version 48 ein integriertes Konzept [1] für Bildschirmzeit und Nutzungssteuerung mit. Das System setzt auf klare Regeln für eingeschränkte Konten, die sich nicht im laufenden Betrieb aushebeln lassen. Sie definieren feste Zeitfenster und Limits direkt in den Systemeinstellungen ohne zusätzliche Softwareschichten.

Die Bildschirmzeitverwaltung finden Sie in den Einstellungen unter System |Benutzer . Dort wählen Sie den Account des Kinds im Bereich Andere Benutzer und aktivieren die Kindersicherung. Anschließend legen Sie Tageslimits, Ruhezeiten und Nutzungsstatistiken (Abbildung 3) fest. Gnome beendet Sitzungen automatisch, sobald das eingestellte Limit erreicht ist. Das System greift direkt in die Shell ein und verhindert jedes weitere Nutzen bis zum nächsten erlaubten Zeitraum (Abbildung 4).

Abbildung 3: Gnome 48 integriert die Bildschirmzeitsteuerung direkt in die Einstellungen.

Abbildung 3: Gnome 48 integriert die Bildschirmzeitsteuerung direkt in die Einstellungen.

Abbildung 4: Nach Ablauf der Zeit sperrt Gnome den Zugang konsequent.

Abbildung 4: Nach Ablauf der Zeit sperrt Gnome den Zugang konsequent.

Im Bereich Gesundheit signalisiert das System klar die eingeschränkten Nutzungszeiten. Kinder sehen sofort, dass sie bestimmte Einstellungen nicht ändern können. Technisch basiert die Umsetzung auf Malcontent [2], das Richtlinien für Zeit- und Inhaltssteuerung durchsetzt und perspektivisch weitere Filtermechanismen integriert (Kasten “Limits für Gnomelinge”).

Limits für Gnomelinge

Malcontent arbeitet nicht als klassischer Filter, sondern als verteilte Policy-Schicht im System. Die Regeln speichert das System über accounts-service in benutzerspezifischen Keyfiles unter »/var/lib/AccountsService/users/« (Abbildung 5). Anwendungen greifen nicht direkt darauf zu, sondern fragen die Einstellungen über D-Bus und die Bibliothek libmalcontent ab. Dadurch entsteht eine zentrale Richtlinie, die verschiedene Komponenten (etwa die Gnome Shell, das Softwarecenter oder Flatpak) konsistent auswerten.

Technisch interessant ist die Kopplung an AppStream- und OARS-Metadaten (Open Age Ratings Service) [5]. Anwendungen liefern Altersfreigaben für Kategorien wie Gewalt oder Glücksspiel, die Malcontent mit den erlaubten Grenzwerten des Benutzers vergleicht. Installationen laufen dabei über Flatpak und werden vor dem Herunterladen geprüft. Ergänzend existiert mit »malcontent-timerd« ein D-Bus-aktivierter Dienst, der Nutzungszeiten sammelt und Limits vorbereitet. Die Durchsetzung bleibt bewusst indirekt: Anwendungen müssen die Policy aktiv abfragen und umsetzen.

Abbildung 5: Das System speichert die von Malcontent gesetzten Richtlinien pro Benutzer in »/var/lib/AccountsService/users/« und stellt sie zentral für Desktop und Anwendungen bereit.

Abbildung 5: Das System speichert die von Malcontent gesetzten Richtlinien pro Benutzer in »/var/lib/AccountsService/users/« und stellt sie zentral für Desktop und Anwendungen bereit.

Zusätzlich können Sie Anwendungen einschränken, beispielsweise Browser oder einzelne Programme (Abbildung 6). Gnome entfernt dabei die entsprechenden Starter aus den Menüs, sodass sich die Anwendungen nicht mehr regulär starten lassen. Das betrifft sowohl klassisch über die Paketverwaltung installierte Programme als auch Anwendungen aus Flatpak. Die Sperrfunktion greift jedoch nur bei Flatpak-Apps. Ein Schlupfloch bleibt dennoch bestehen: [Alt]+[F2] und der Ausführen-Dialog umgeht die Einschränkungen und startet die Anwendungen weiterhin.

Abbildung 6: Gnome blockiert Anwendungen gezielt – doch einfache Startbefehle umgehen diese Schutzmechanismen überraschend schnell.

Abbildung 6: Gnome blockiert Anwendungen gezielt – doch einfache Startbefehle umgehen diese Schutzmechanismen überraschend schnell.

Zugangskontrolle in KDE mit Timekpr-nExT

KDE Plasma bietet aktuell kein integriertes Kontrollzentrum für Bildschirmzeit oder App-Restriktionen. Die Community diskutiert zwar regelmäßig ein vollständiges Modul, doch eine Umsetzung fehlt bislang in der Standardinstallation von Plasma [3]. Damit bleibt Raum für externe Werkzeuge.

Timekpr-nExT [4] schließt die Lücke pragmatisch. Das Tool begrenzt Nutzungszeiten, protokolliert Sitzungen und beendet überschrittene Zugriffe automatisch. Distributionen wie Ubuntu, Debian oder OpenSUSE führen es in den Paketquellen. Die Installation gelingt daher schnell und ohne zusätzliche Repositories (Listing 1).

Listing 1

Timekpr-nExT installieren

### Installation von Timekpr-nExT unter Ubuntu:
$ sudo apt install timekpr-next
### Aktuellen Benutzer zur Timekpr-Gruppe hinzufügen:
$ sudo usermod -aG timekpr $USER

Nach der Installation finden Sie im Anwendungsmenü zwei Einträge: Timekpr-nExT Control Panel sowie (SU) Timekpr-nExT Control (superuser mode). Das erste dient zur Einsicht in die Einstellungen des aktuellen Benutzers. Für den zweiten Eintrag benötigt der aktuelle Benutzer administrative Rechte. Darüber verwalten Sie die Nutzungs- und Zugangszeiten.

TIPP

Wenn Sie Timekpr-nExT einsetzen, sollten Sie administrative Konten bewusst aus der zeitlichen Einschränkung herausnehmen. Sonst riskieren Sie, dass Sie sich selbst aus der eigenen Systemverwaltung aussperren oder wichtige Wartungsarbeiten nur noch eingeschränkt vornehmen können. Gerade auf Mehrbenutzersystemen oder Familienrechnern erleichtert ein klar getrenntes Administrationskonto die tägliche Arbeit erheblich.

Um einen administrativen Account zuverlässig von den zeitlichen Beschränkungen auszunehmen, ordnen Sie ihn der Gruppe timekpr zu (Listing 1, Zeile 4). Timekpr-nExT erkennt diese Gruppenzugehörigkeit und ignoriert entsprechende Limits für diesen Benutzer. Dadurch behalten Sie jederzeit vollen Zugriff auf Systemverwaltung, Updates und Konfiguration, ohne die Kindersicherung zu beeinflussen.

In der Konfiguration wählen Sie den Benutzer und definieren unter Limit configuration tägliche Nutzungszeiten, Wochenlimits und Zeitfenster (Abbildung 7). Nach dem Speichern über Verify und Apply daily limits greift Timekpr-nExT sofort. Die Regeln wirken verbindlich und stoppen Sitzungen unabhängig von laufenden Anwendungen.

Abbildung 7: Timekpr-nExT ergänzt KDE um fehlende Kinderschutzfunktionen und setzt klare Nutzungsgrenzen pro Benutzerkonto.

Abbildung 7: Timekpr-nExT ergänzt KDE um fehlende Kinderschutzfunktionen und setzt klare Nutzungsgrenzen pro Benutzerkonto.

Während der Nutzung zeigt ein Symbol die verbleibende Zeit an. Kurz vor Ablauf erscheinen Warnhinweise, danach sperrt das System je nach Konfiguration den Bildschirm, meldet den Benutzer ab oder fährt den Rechner herunter (Abbildung 8). Erneute Anmeldungen verhindert Timekpr-nExT zwar nicht grundsätzlich, sobald der Dienst jedoch den Login eines gesperrten Users erkennt, beendet er die Sitzung sofort wieder.

Abbildung 8: Zeit-läuft-ab-Hinweise erscheinen und Timekpr-nExT zieht konsequent den Stecker, sobald das Limit erreicht ist.

Abbildung 8: Zeit-läuft-ab-Hinweise erscheinen und Timekpr-nExT zieht konsequent den Stecker, sobald das Limit erreicht ist.

Über PlayTime configuration lassen sich zusätzlich einzelne Anwendungen oder Spiele zeitlich begrenzen. Prozesse definieren Sie über Namen oder Muster, inklusive regulärer Ausdrücke. Nach Ablauf der definierten Nutzungsdauer beendet das System die Programme automatisch. Damit steuern Sie nicht nur Bildschirmzeit, sondern auch konkrete Aktivitäten.

Wo die Grenze des Schutzes verläuft

Einen perfekten Kinderschutz am Rechner gibt es nicht. Jede technische Sperre lässt sich mit etwas Wissen umgehen. Systeme lösen Teilprobleme, aber keine Erziehungsfragen. Router-Filter, Desktop-Richtlinien und App-Sperren liefern dennoch wichtige Bausteine. Besonders zuverlässig funktionieren reine Zeitlimits, da sie den Zugang klar beenden, statt nur Inhalte zu filtern.

In der Praxis bewährt sich ein klar strukturiertes Setup: eingeschränkte Benutzerkonten, kontrollierte Software und zentrale Geräte im Blickfeld. Gnome liefert erste Werkzeuge zur Bildschirmzeitkontrolle, Timekpr-nExT ergänzt KDE sinnvoll. Entscheidend bleibt die Kombination aus Technik und klaren Regeln im Alltag – der Rechner bleibt kein unbeaufsichtigter Spielplatz. (jak)

Der Autor

Christoph Langner erklärt für Tuxedo Computers die Distribution TUXEDO OS. Folgen Sie ihm auf Mastodon (https://social.anoxinon.de/@linuxundich) oder schauen Sie in sein Blog rund um GNU/Linux auf http://linuxundich.de.

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 4 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben