In den Schulferien gelang es Unbekannten aus einem Gymnasiums im niedersächsischen Gehrden Computer zu entwenden. Nach einem Bericht der Hannoverschen Allgemeinen Zeitung vom 13.08.2019 waren die Unbekannten in einen Bereich der Schule gelangt, welcher eigentlich nicht für die Öffentlichkeit gedacht ist. Dort konnten sie an zwei Computer gelangen, aus welchen sie die Festplatten ausbauten und mitnahmen. Es wurden so
“Datenträger mit persönlichen Daten von Eltern aus einem besonders gesicherten Bereich gestohlen.”
Dieser Beschreibung nach wird es sich bei den Rechnern um Verwaltungsrechner gehandelt haben, die entweder in der Verwaltung selbst oder in einem Serverraum standen.
Vielleicht wäre der Vorfall in der Schulzeit nicht möglich gewesen. In den Ferien, wenn Handwerker im Schulgebäude sind, die IT Techniker in verschiedenen Räumen arbeiten und Reinigungskräfte die Klassenräume für das neue Schuljahr vorbereiten, stehen schon einmal Türen auf, die sonst verschlossen gehalten werden. Ob hier Täter einen Plan hatten und ihre Chance abgepasst haben oder ob es einfach eine Tat aus dem Zufall heraus war, ist schwer zu sagen, letztlich aber auch nicht entscheidend. Wesentlich wichtiger ist, dass hier das Sicherheitskonzept der Schule, falls ein solches vorlag, nicht umgesetzt wurde. Aus dem Beitrag, soweit er außerhalb des Abo Bereichs einzusehen war, geht leider auch nicht hervor, ob und wie die Daten geschützt waren. Insgesamt macht der Vorfall deutlich, dass Schulen vorsorgen müssen durch geeignete technische und organisatorische Maßnahmen, dass
- ein solcher Vorfall nicht möglich ist und
- dass, falls es doch passiert, der Schaden begrenzt werden kann.
Was sollten Schulen tun?
Technische Maßnahmen
- Türen zu gesicherten Bereichen sollten sich von außen nicht über einen Türgriff öffnen lassen, sondern nur Knöpfe haben. Sie sollten außerdem mit einem Schließer versehen sein, welcher verhindert, dass die Türe offen steht.
- Festplatten sollten durch eine Vollverschlüsselung durch das Betriebssystem gesichert sein.
- Über ein an den Funktionen und Aufgaben der Nutzer orientierten Rollen und Rechte Konzept sollten die Zugriffsmöglichkeiten der verschiedenen Nutzerkonten auf die tatsächlichen Erfordernisse eingegrenzt sein.
- Programme, mit welchen personenbezogene Daten verarbeitet werden, sollten entsprechend Nutzerkonten mit abgestuften Berechtigungen haben. Außerdem sollte der Zugriff auf diese Programme Passwort geschützt sein.
- Der Zugriff auf Rechner sollte immer über Nutzerkonten erfolgen und entsprechend Passwort geschützt sein.
- Rechner mit sensiblen Daten sollten je nachdem, wo sie stehen, eventuell zusätzlich mit einem Diebstahlschutz (z.B. Kensington Schloss) gesichert werden.
Organisatorische Maßnahmen
- Um Datenverlust im Falle eines Diebstahls oder auch physikalischen Schadens durch Defekt, Malware, Feuer- oder Wasserschadens zu vermeiden, sollten Daten immer an verschiedenen Orten gesichert werden. Eine Sicherung sollte sich außer Hauses befinden und eine Sicherung sollte auch logisch oder physikalisch getrennt vom eigentlichen Datenträger existieren.
- Lehrkräfte und Mitarbeiter sollten zumindest eine einführende Schulung bezüglich Verhaltensregeln zum Schutz der in Schule verarbeiteten personenbezogenen Daten erhalten. Darüber hinaus sollte es regelmäßige Maßnahmen zur Sensibilisierung geben.
- Über Dienstanweisungen der Schulleitung und Nutzungsvereinbarungen wird sicheres Verhalten klar vorgegeben.
- Schulleitungen sollten ihrer Pflicht zur Kontrolle bezüglich der Einhaltung datenschutzrechtlicher Vorgaben regelmäßig nachkommen.
- Mit Firmen, die im Schulgebäude tätig sind und dabei in Bereiche kommen, wo sie Zugang zu personenbezogenen Daten von Schülern und an der Schule beschäftigten Personen erhalten könnten, egal ob es sich um Räume der Verwaltung, Serverräume, PC Räume oder Klassenräume oder ähnlich handelt, sollten Vertraulichkeitsvereinbarungen getroffen werden. Firmen müssen damit verpflichtet werden, ihre Mitarbeiter entsprechend einzuweisen und ihrerseits zu verpflichten. Dazu würde dann auch gehören, dass Türen zu gesicherten Bereichen innerhalb der Schule nie unbeaufsichtigt offen stehen dürfen.
Was, wenn es doch passiert?
Fehler lassen sich nicht immer verhindern. Schulen sind keine hochgesicherten Rechenzentren und Lehrkräfte und Mitarbeiter der Verwaltung und andere in Schule tätige Personen in der Regel keine IT Spezialisten. Sobald bekannt wird, dass es zu einem unberechtigten Zugriff auf personenbezogene Daten aus der Schule gekommen ist, oder die Möglichkeit dazu besteht, muss die Schule entsprechend Art. 33 DS-GVO die zuständige Aufsichtsbehörde informieren. Das sollte innerhalb von 72 Stunden erfolgen. Außerdem sind die Betroffenen entsprechend Art. 34 DS-GVO in Kenntnis zu setzen.
Je nach Fall der Verletzung des Schutzes von personenbezogenen Daten sind außerdem weitere Maßnahmen einzuleiten.
Weiter lesen zum Thema Technische und organisatorische Maßnahmen (mit einer Vorlage für ein Sicherheitskonzept).
Nachtrag: Wie mittlerweile auf Twitter von Basti Hirsch, zu erfahren war, der den Beitrag in der Zeitung lesen konnte:
Laut HAZ-Artikel handelt es sich Daten zur entgeltlichen Schulbuchausleihe, die fünf Jahre aufbewahrt werden müssen und in der Schule ausreichend geschützt und verschlüsselt wurden. Betroffene wurden informiert, laut Einschätzung des LDA waren die Sicherungsmaßnahmen angemessen.
Laut HAZ-Artikel handelt es sich um Daten zur entgeltlichen Schulbuchausleihe, die fünf Jahre aufbewahrt werden müssen und in der Schule ausreichend geschützt & verschlüsselt waren. Betroffene wurden informiert, nach Einschätzung des LDA waren die Sicherungsmaßnahmen angemessen.
— Basti Hirsch ッ (@cervus) August 15, 2019
Die Schule scheint also alles weitestgehend richtig gemacht zu haben und der Schaden ist durch ausreichende Sicherheitsmaßnahmen eingegrenzt.
“In den Ferien, wenn […] die IT Techniker in verschiedenen Räumen arbeiten…”
So etwas wie IT-Techniker für Schulen gibt es? Ich vermute, damit sind die Lehrer*innen gemeint. 🙂
Leider ist es tatsächlich immer noch so, dass Lehrkräfte an Schulen sich selbst um die IT kümmern müssen. Manchmal ist es auch ein netter Vater oder eine Mutter.
Was die Professionalität von IT Technikern in Schule insgesamt angeht, da ist die Spannweite nach meiner Erfahrung sehr groß. Mehrheitlich sind es hoffentlich ausgebildete Profis. Schon mal hat man aber auch den Betreiber des örtlichen Computer Shops, der als kleiner Dienstleister tätig ist, aber nie eine entsprechende Ausbildung gemacht hat. Anders ist für mich nicht erklärbar, dass es Grundschulen gibt, die einen Verwaltungsrechner haben oder zwei und einen kleinen Server im Nebenraum, ohne dass es Sicherungen außer Haus gibt oder solche, die zumindest auf einem externen Medium in einem feuersicheren Safe aufbewahrt werden. Wenn eine solche Schule den GAU erlebt, ob Diebstahl, Malware oder sonst, stehen sie bei Null.