Schulen sollten ein Sicherheitskonzept haben und umsetzen

Lesezeit: 3 Minuten

In den Schulferien gelang es Unbekannten aus einem Gymnasiums im niedersächsischen Gehrden Computer zu entwenden. Nach einem Bericht der Hannoverschen Allgemeinen Zeitung vom 13.08.2019 waren die Unbekannten in einen Bereich der Schule gelangt, welcher eigentlich nicht für die Öffentlichkeit gedacht ist. Dort konnten sie an zwei Computer gelangen, aus welchen sie die Festplatten ausbauten und mitnahmen. Es wurden so

“Datenträger mit persönlichen Daten von Eltern aus einem besonders gesicherten Bereich gestohlen.”

Dieser Beschreibung nach wird es sich bei den Rechnern um Verwaltungsrechner gehandelt haben, die entweder in der Verwaltung selbst oder in einem Serverraum standen.

Vielleicht wäre der Vorfall in der Schulzeit nicht möglich gewesen. In den Ferien, wenn Handwerker im Schulgebäude sind, die IT Techniker in verschiedenen Räumen arbeiten und Reinigungskräfte die Klassenräume für das neue Schuljahr vorbereiten, stehen schon einmal Türen auf, die sonst verschlossen gehalten werden. Ob hier Täter einen Plan hatten und ihre Chance abgepasst haben oder ob es einfach eine Tat aus dem Zufall heraus war, ist schwer zu sagen, letztlich aber auch nicht entscheidend. Wesentlich wichtiger ist, dass hier das Sicherheitskonzept der Schule, falls ein solches vorlag, nicht umgesetzt wurde. Aus dem Beitrag, soweit er außerhalb des Abo Bereichs einzusehen war, geht leider auch nicht hervor, ob und wie die Daten geschützt waren. Insgesamt macht der Vorfall deutlich, dass Schulen vorsorgen müssen durch geeignete technische und organisatorische Maßnahmen, dass

  1. ein solcher Vorfall nicht möglich ist und
  2. dass, falls es doch passiert, der Schaden begrenzt werden kann.

Was sollten Schulen tun?

Technische Maßnahmen

  • Türen zu gesicherten Bereichen sollten sich von außen nicht über einen Türgriff öffnen lassen, sondern nur Knöpfe haben. Sie sollten außerdem mit einem Schließer versehen sein, welcher verhindert, dass die Türe offen steht.
  • Festplatten sollten durch eine Vollverschlüsselung durch das Betriebssystem gesichert sein.
  • Über ein an den Funktionen und Aufgaben der Nutzer orientierten Rollen und Rechte Konzept sollten die Zugriffsmöglichkeiten der verschiedenen Nutzerkonten auf die tatsächlichen Erfordernisse eingegrenzt sein.
  • Programme, mit welchen personenbezogene Daten verarbeitet werden, sollten entsprechend Nutzerkonten mit abgestuften Berechtigungen haben. Außerdem sollte der Zugriff auf diese Programme Passwort geschützt sein.
  • Der Zugriff auf Rechner sollte immer über Nutzerkonten erfolgen und entsprechend Passwort geschützt sein.
  • Rechner mit sensiblen Daten sollten je nachdem, wo sie stehen, eventuell zusätzlich mit einem Diebstahlschutz (z.B. Kensington Schloss) gesichert werden.

Organisatorische Maßnahmen

  • Um Datenverlust im Falle eines Diebstahls oder auch physikalischen Schadens durch Defekt, Malware, Feuer- oder Wasserschadens zu vermeiden, sollten Daten immer an verschiedenen Orten gesichert werden. Eine Sicherung sollte sich außer Hauses befinden und eine Sicherung sollte auch logisch oder physikalisch getrennt vom eigentlichen Datenträger existieren.
  • Lehrkräfte und Mitarbeiter sollten zumindest eine einführende Schulung bezüglich Verhaltensregeln zum Schutz der in Schule verarbeiteten personenbezogenen Daten erhalten. Darüber hinaus sollte es regelmäßige Maßnahmen zur Sensibilisierung geben.
  • Über Dienstanweisungen der Schulleitung und Nutzungsvereinbarungen wird sicheres Verhalten klar vorgegeben.
  • Schulleitungen sollten ihrer Pflicht zur Kontrolle bezüglich der Einhaltung datenschutzrechtlicher Vorgaben regelmäßig nachkommen.
  • Mit Firmen, die im Schulgebäude tätig sind und dabei in Bereiche kommen, wo sie Zugang zu personenbezogenen Daten von Schülern und an der Schule beschäftigten Personen erhalten könnten, egal ob es sich um Räume der Verwaltung, Serverräume, PC Räume oder Klassenräume oder ähnlich handelt, sollten Vertraulichkeitsvereinbarungen getroffen werden. Firmen müssen damit verpflichtet werden, ihre Mitarbeiter entsprechend einzuweisen und ihrerseits zu verpflichten. Dazu würde dann auch gehören, dass Türen zu gesicherten Bereichen innerhalb der Schule nie unbeaufsichtigt offen stehen dürfen.

Was, wenn es doch passiert?

Fehler lassen sich nicht immer verhindern. Schulen sind keine hochgesicherten Rechenzentren und Lehrkräfte und Mitarbeiter der Verwaltung und andere in Schule tätige Personen in der Regel keine IT Spezialisten. Sobald bekannt wird, dass es zu einem unberechtigten Zugriff auf personenbezogene Daten aus der Schule gekommen ist, oder die Möglichkeit dazu besteht, muss die Schule entsprechend Art. 33 DS-GVO die zuständige Aufsichtsbehörde informieren. Das sollte innerhalb von 72 Stunden erfolgen. Außerdem sind die Betroffenen entsprechend Art. 34 DS-GVO in Kenntnis zu setzen.

Je nach Fall der Verletzung des Schutzes von personenbezogenen Daten sind außerdem weitere Maßnahmen einzuleiten.

Weiter lesen zum Thema Technische und organisatorische Maßnahmen (mit einer Vorlage für ein Sicherheitskonzept).


Nachtrag: Wie mittlerweile auf Twitter von Basti Hirsch, zu erfahren war, der den Beitrag in der Zeitung lesen konnte:

Laut HAZ-Artikel handelt es sich Daten zur entgeltlichen Schulbuchausleihe, die fünf Jahre aufbewahrt werden müssen und in der Schule ausreichend geschützt und verschlüsselt wurden. Betroffene wurden informiert, laut Einschätzung des LDA waren die Sicherungsmaßnahmen angemessen.

Die Schule scheint also alles weitestgehend richtig gemacht zu haben und der Schaden ist durch ausreichende Sicherheitsmaßnahmen eingegrenzt.

Was tun wenn das Gerät mit Zugang zum digitalen Klassenbuch verschwunden ist?

Lesezeit: < 1 Minute

Zum Glück ist nichts passiert, doch wie ein Fall bei Hannover zeigt, kann es heikel werden, wenn das Smartphone mit Zugang zum digitalen Klassenbuch und Zeugnissen von Schülern einer Lehrkraft abhanden kommt.

Eine Lehrerin deponierte dort ihren “Rucksack mit allerlei Wertsachen und einem Handy darin, welches ihr den Zugriff auf sensible Daten wie das digitale Klassenbuch und die Zeugnisse ihrer Schüler sichert”1Quelle: http://www.haz.de/Umland/Burgdorf/Burgdorf-Angeblicher-Diebstahl-in-Fitnessstudio-in-Burgdorf-Schusseligkeit-loest-Polizeieinsatz-aus im Spind im Fitnesstudio. Sie glaubte zunächst der Rucksack samt Inhalt sei gestohlen worden. Wie sich später herausstellte, hatte sie ihn nur in einen anderen Spind gepackt.

Der Fall zeigt aber mehr als deutlich, wo für Lehrkräfte Gefahren lauern können, wenn sie personenbezogene Daten aus der Schule auf einem mobilen privaten Endgerät verarbeiten.

  1. Geräte, über welche personenbezogenen Daten aus der Schule verarbeitet werden, egal ob es Privatgeräte sind oder Dienstgeräte, müssen sicher aufbewahrt werden. Das gilt für die Aufbewahrung in der Schule, zu Hause und vor allem außer Hauses. 2Ein Spind in einem Fitnessstudio zählt sicher nicht zu den Orten, wo man ein solches Gerät aufbewahren sollte.
  2. Geräte, über welche personenbezogene Daten aus der Schule verarbeitet werden, müssen durch technische Maßnahmen gesichert werden. Dazu gehört ein sicherer Zugangsschutz. Bei einem Smartphone könnte das etwa ein Sicherheitscode, der aus mehr als vier Zahlen besteht, sein. Auch die für die Verarbeitung von personenbezogenen Daten aus der Schule genutzten Apps oder Programme müssen durch einen Zugangsschutz gesichert werden. Erfolgt der Zugriff auf ein digitales Klassenbuch oder die Zeugnisverwaltung über den Browser, so dürfen die Zugangsdaten nicht im Browser gespeichert werden.

Sollte es tatsächlich einmal zu einem Verlust kommen, muss die Schule bzw. ein Verantwortlicher umgehend informiert werden, um z.B. im Falle eines Online Zugangs zum digitalen Klassenbuch den Zugang der Lehrkraft sofort zu sperren oder die Zugangsdaten zu ändern. Das sollte auch erfolgen, wenn das Gerät und die Zugänge im Gerät gut gesichert sind.