Swisscom Campus Newsletter
Erhalten Sie neue Inhalte vom Swisscom Campus direkt in Ihre Mailbox, dank dem Swisscom Campus Newsletter.
IT-Sicherheit in Schulen ist wichtig. Vielleicht noch mehr als in anderen Bereichen, da es um den Schutz der persönlichen Daten von Kindern und Jugendlichen geht. Viele Schulen stehen vor der Herausforderung, den Zugang zum Internet und zugleich einen möglichst hohen Sicherheitsgrad gewährleisten zu wollen. Erfahren Sie auf dieser Seite, was es als Schulleitung hinsichtlich Netzwerksicherheit zu beachten gilt. In Zusammenarbeit mit Expert*innen haben wir zudem ein Muster für ein ICT-Sicherheitskonzept erstellt.
Direkt zum Thema
Seite teilen
Schulen sind ein beliebtes Ziel von externen Hacker-Angriffen oder Netz-Überfällen. Dabei werden Daten entwendet oder die Schule vom Zugriff auf ihre eigenen Daten ausgeschlossen und so erpresst. Um dies zu verhindern, ist die Firewall ein zentrales Sicherheitselement.
Firewalls gibt es als Hard- oder Software. Beide Versionen verhindern wirksam Angriffe von aussen, haben aber je Vor- und Nachteile in der Anwendung:
Eine lokale Firewall ist auf einem besonderen Computer oder einem Netzwerkgerät installiert, das üblicherweise am Übergang zum Internet platziert ist. Die Firewall überwacht den Datenverkehr, der in das Netzwerk gelangt oder es verlässt. Sie funktioniert wie ein digitaler Security-Wächter, der den Datenverkehr kontrolliert und verdächtige Aktivitäten automatisch blockiert.
Der Datenverkehr einer Schule wird mit einer cloudbasierten Firewall über eine spezielle Cloud-Infrastruktur geleitet, bevor er das Internet erreicht. Diese cloudbasierte Firewall übernimmt die Sicherung des Datenverkehrs.
Im Vergleich zur lokalen Firewall, benötigt diese Architektur keine Hardware bei der Schule, sondern lediglich eine entsprechende Konfiguration des Routers: Der Datenverkehr wird ausschliesslich auf die Cloud-Firewall geleitet und der eigehende Traffic nur von dort zugelassen.
Die beste Sicherheitspraxis: Für eine mehrschichtige Sicherheit ist es empfehlenswert, in der IT-Sicherheit an Schulen sowohl Hardware- als auch Software-Firewalls einzusetzen. Wenn eine Schule zu wenig Sicherheits-Knowhow verfügbar hat, kann sie auf einen professionellen Security-Anbieter zurückgreifen. Und eine cloudbasierte Firewall ist in der Tendenz performanter und bietet mehr Sicherheitsfunktionen als eine lokale Firewall.
Gerade im Schulumfeld stellt sich oft die Herausforderung, dass auch Computer von Dritten (Bring-your-own-Device) eingesetzt werden. Hier ist eine cloudbasierte Firewall besonders empfehlenswert.
Die Initiative von Swisscom «Schulen ans Internet» stellt allen Schulen in der Schweiz einen Internetanschluss sowie eine Sicherheitslösung zur Verfügung.
Die einzelnen Schulanschlüsse werden im Kernsystem von Swisscom von einer Sicherheitsinfrastruktur geschützt und von Swisscom verwaltet. Die Sicherheitseinstellungen auf den Bildungsnetzen der Volks- und Kantonsschulen können von den Kantonen individuell und nach ihren Bedürfnissen eingerichtet werden.
Viren und Malware werden häufig per E-Mail in Form von Anhängen, Links oder als eingebetteten Skripts versendet. Mit gezielten systemtechnischen Massnahmen können Sie solche Angriffe verhindern.
Schädliche Software wird oft als Anhang (z.B. als ausführbare Datei, Dokument oder Bild) einer E-Mail versendet. Wenn der/die Empfänger*in diesen Anhang öffnet, kann sich die Malware auf dem Computer installieren.
Aber auch Links sind ein häufiges Einfallstor für schädliche Software: Eine E-Mail mit emotionalisiertem Inhalt lockt auf eine schadhafte Webseite. Erwähnt sei in diesem Zusammenhang auch das Stichwort Phishing.
Neben Anhängen und Links können auch eingebettete Skripts Viren und Malware transportieren, die beim Öffnen der E-Mail ausgeführt werden. Die Gefahr ist im HTML-Format, das heute Standard für die Anzeige von E-Mails ist, besonders gross.
Um Ihre Schule vor solchen Angriffen per E-Mail zu schützen, gibt es systemtechnische Massnahmen, die Sie treffen können:
Installieren Sie eine vertrauenswürdige Antivirus-Software auf den Schulcomputern. Je nach Qualität der Software können damit viele schadhafte E-Mails abgeblockt werden.
Halten Sie das Betriebssystem der Schulcomputer unbedingt immer auf dem neuesten Stand, um Sicherheitslücken möglichst früh und zuverlässig zu schliessen. Auch alle weiteren Netzwerk-Komponenten sind jederzeit aktuell zu halten (z.B. lokale Firewall, Access Points, lokaler Server).
Manche E-Mail-Provider stellen einen Viren- und Malware-Schutz zur Verfügung. Informieren Sie sich über das Angebot Ihres Providers und nehmen Sie schützende Leistungen in Anspruch.
Die oben bereits erwähnten (Hardware- oder Software-)Firewalls sind eine beliebte Option, um nicht nur verdächtigen Internet-, sondern auch verdächtigen E-Mail-Traffic zu blockieren.
Doch selbst alle technischen Massnahmen kombiniert können keinen 100%-Schutz bieten. Es kann also trotz Massnahmen jederzeit vorkommen, dass schädliche E-Mails in der Inbox landen. Dann ist es wichtig, dass die entsprechende Person weiss, wie sie sich verhalten muss. Hier erfahren Sie, woran Sie betrügerische E-Mails erkennen.
Sensibilisieren Sie dringend alle Nutzenden (Lehrpersonen und Schüler*innen) zu den möglichen Gefahren im Rahmen von schädlichen E-Mails, um Viren und Malware auf den Schulcomputern zu vermeiden.
Hier sind einige Ideen für Trainings oder Awareness-Kampagnen:
Cloudbasierte Dienste, Applikationen oder lokale Datenmanagement-Systeme erlauben unterschiedliche Sicherheitsstufen für die Authentifizierung der Nutzer*innen. Bei Daten mit besonderem Schutzwert sollte der Sicherheit die höchste Priorität beigemessen.
Grundsätzlich gilt: Je grösser ein Zugriffsschutz ist, desto kleiner oft leider die Benutzerfreundlichkeit. Login-Prozesse mit mehreren Authentifizierungsschritten können zwar umständlich sein, bei persönlichen Daten zu Mitarbeitenden oder Schüler*innen, Noten, Lernberichten usw. sollte aber keine Kompromisse gemacht und stattdessen immer die höchstmögliche Sicherheitsstufe und Schutz gewählt werden.
So sichern Sie den Zugriff auf Daten, Ablagen oder Geräte:
Um den Zugriff auf Daten, Ablagen oder Geräte zu schützen, können Sie fast immer Passwörter festlegen. Achten Sie darauf, dass diese komplex und lang genug sind, um einen hohen Sicherheitslevel zu leisten. Bewahren Sie die Passwörter sicher auf (z.B. in einem Passwort-Manager der Schule), denn Passwörter sind verglichen mit einem biometrischen Schlüssel leider nicht diebstahlsicher (siehe Phishing).
Vermehrt gibt es inzwischen auch die Möglichkeit, dass als Logindaten keine Passwörter mehr festgelegt werden, sondern stattdessen zeitlich begrenzte Login-Codes oder Login-Links per E-Mail oder SMS zugesendet werden.
Oft kann die Authentifizierungsmethode eines Logins gewählt werden. Bei mobilen Geräten wie Smartphones, Tablets oder Laptops haben sich der Fingerabdruck bzw. die Gesichtserkennung durchgesetzt. Biometrische Schlüssel sind verglichen mit Passwörtern Phishing-resistent und damit grundsätzlich sicherer.
Bei der MFA werden – wie der Name es verspricht – zwei Faktoren kombiniert:
Noch sicherer ist es, wenn der Code des zweiten Schritts durch einen biometrischen Schlüssel ersetzt wird (sogenannte Inhärenz).
Um die Zugriffe auf Daten, Ablagen oder Geräte an Ihrer Schule zu sichern, empfehlen wir:
Nachdem Sie beispielsweise eine Prüfung korrigiert haben, möchten Sie die Schulnoten digital abspeichern. Wo sind diese sensiblen Daten am sichersten: lokal auf Ihrem Computer, auf einem lokalen Daten-Server oder in der Cloud?
Laptops sind heute kaum mehr geeignet, um Daten zu speichern. Einerseits ist häufig nicht mehr überaus viel Speicherplatz auf der Harddisk verfügbar und andererseits können Laptops auf den Boden fallen oder gestohlen werden. Für die Datenspeicherung herrschen darum an Schulen folgende zwei Varianten vor, die gerne auch kombiniert werden:
Eine Möglichkeit ist die Datenspeicherung auf einem schulinternen Daten-Server, der nicht direkt mit dem Internet verbunden ist. Oft befindet dieser sich in der Schulinfrastruktur und kann daher nur von innerhalb des Schulnetzes aufgerufen werden.
Nichtsdestotrotz: Da Internet, Schulgeräte und der Daten-Server am Ende miteinander verbunden sind, ist ein Angriff von aussen nicht auszuschliessen. Ein Virus, das etwa via E-Mail oder über einen USB-Stick in die Schule gelangt, kann diese Infrastruktur also dennoch erreichen und Schaden verursachen, indem sie z.B. Einfallschneiden identifizieren und den Hackern übermitteln.
Diese digitalen Speicherorte werden von professionellen Diensten wie Swisscom, Microsoft, Google oder Amazon zur Verfügung gestellt. Sie alle stehen in der Verantwortung, die ihnen vertrauten Daten besonders gut zu schützen, und investieren viel in diese Sicherheit.
Liegen die Daten in der Cloud, können sie je nach Unternehmung und Serverstandorten auch physisch im Ausland gespeichert werden. Damit haben die Daten den schweizerischen Rechtsraum verlassen und Drittstaaten können aufgrund ihrer Gesetzgebung den Anspruch erheben, auf die Daten zuzugreifen.
Die Vereinigung der kantonalen Datenschutzbeauftragten privatim konnte nun aber erreichen, dass Microsoft mit seiner beliebten Office-Lösung Microsoft 365 den Gerichtsstand in der Schweiz hat. Damit können Schweizer Bürgerinnen und Bürger sowie die Verwaltung bei ungerechtfertigtem Zugriff auf solche Daten in der Schweiz gegen Microsoft klagen.
Die Fachstelle educa der Kantone und des Staatssekretariats für Bildung, Forschung und Innovation (SBFI) bietet Schulen einen leicht verständlichen Analyse-Prozess, um abzuschätzen, welche Aspekte an der jeweiligen Schule besondere Aufmerksamkeit verlangt.
Viele Schulen arbeiten heute schon mit cloudbasierten Lösungen. Doch obwohl die Daten online gespeichert werden, unterhalten Schulen in vielen Fällen noch einen zusätzlichen lokalen Datenspeicher. Ein solcher zahlt sich insbesondere in einer Funktion als IT-Backup aus.
Einen lokalen Datenspeicher als separate, zusätzliche Datenspeicherung manuell zu verwalten, macht wenig Sinn. Der Aufwand für die Handhabung, aber auch die Gefahr von unnötigen Redundanzen sowie im Gegenteil abweichenden Varianten ist zu gross.
Die bessere Lösung: Richten Sie ein IT-Backup ein, das in regelmässigen Abständen die relevanten Daten automatisch kopiert und an einem zweiten, unabhängigen Ort abspeichert. Dass dieses IT-Backup an einem anderen Ort als die Ursprungsdateien gespeichert und aufbewahrt werden soll ist wichtig – damit bei im Schadensfall nicht Original UND Backup verloren gehen. Zudem ist es wichtig, dass das Backup auch vor Infizierungen durch Viren geschützt sind – die Backup-Infrastruktur sollte also vom übrigen Netz isoliert werden.
Spätestens seit dem Aufkommen von cloudbasierten Diensten oder Datenspeichern ist der Datenschutz an Schulen ein zentrales Thema. Denn es gilt, Verantwortung für besonders schützenswerte Daten zu übernehmen und diese bestmöglich zu schützen.
Besonders schützenswerte Daten? Damit sind beispielsweise Schüler*innen-Berichte, Noten, Hausaufgaben oder die Löhne der Lehrpersonen gemeint.
Wenn solche Daten in Online-Speicherdiensten wie z. B. Apple iCloud, Microsoft SharePoint, Dropbox oder Google Cloud gespeichert werden, bedarf es der Einhaltung verschiedener Vorgaben. Der Verband der kantonalen Datenschutzbeauftragten privatim hat dazu ein Merkblatt publiziert(öffnet ein neues Fenster), das die nötigen Schritte ausführlich beschreibt.
Die Fachstelle für ICT im Bildungswesen (educa, www.educa.ch(öffnet ein neues Fenster)) hat ausserdem die kantonsspezifischen Ressourcen(öffnet ein neues Fenster) «Informationsmaterial zu Datennutzung und Datenschutz» zusammengetragen.
Kommt es trotz aller Sicherheitsvorkehrungen dennoch zu einem «erfolgreichen» Angriff auf die Daten oder Systeme der Schule, sollten Sie möglichst rasch reagieren. Einige Sofortmassnahmen sind inzwischen obligatorisch, andere können der Sachlage entsprechend angepasst werden.
Bei Diebstahl, Verlust oder der unberechtigten Preisgabe von Personendaten besteht mit der Inkraftsetzung des Datenschutzgesetzes (DSG) seit dem 1. September 2023 eine Meldepflicht. Die Meldung ist beim eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) einzureichen.
Folgendes ist bei einem Datendiebstahl umgehend zu tun:
Klären Sie so rasch als möglich, welche Daten vom Incident betroffen sind. Je nach Sensibilität müssen die Massnahmen angepasst werden.
Sind nur Teile der Daten betroffen, sichern Sie den Zugang zu den übrigen Daten hinsichtlich der eingetretenen Gefahr zusätzlich. Nehmen Sie beispielsweise andere Server vom Netz, sperren Sie Logins von betroffenen Endgeräten oder ändern Sie Passwörter, etc.
Je nach Form des Angriffs werden Sie nicht in der Lage sein, den Angriff ohne fremde Hilfe zu stoppen. Informieren Sie Ihren Security-Provider und die Ansprechstelle bei der Erziehungsdirektion Ihres Kantons. Sie wird Sie bei allen weiteren Schritten und Massnahmen unterstützen.
Informieren Sie die vom Datendiebstahl betroffenen Personen so rasch und unmissverständlich wie möglich. Rasch, damit diese Personen umgehend Passwörter aktualisieren oder andere Sicherungsmassnahmen einleiten können. Unmissverständlich, damit der Umfang des Datendiebstahls möglichst präzise eingegrenzt werden kann. Achten Sie auch darauf, dass Ihre Mitteilung nicht als Spam- oder Phishing-Attacke missinterpretiert werden kann.
An Schweizer Schulen sind Krisenkonzepte in vielen Kantonen verpflichtend. Ein Kriseninterventions-Team (KIT) durchläuft eine spezielle Schulung, um für Bedrohungen und Katastrophen gewappnet zu sein.
Herkömmliche Krisenkonzepte decken oft Fälle wie Feuer, Überschwemmungen, Geiselnahmen, Unfälle, usw. ab. Ein Kapitel über ICT-Krisen fehlt leider häufig. Welche Aspekte für ein ICT-Krisenkonzept relevant sind, finden Sie im Muster ICT-Konzept.
Krisenkonzepte sind an Schweizer Schulen in vielen Kantonen verpflichtend. Doch bisher fehlt in diesen Krisenkonzepten oft ein ICT-Krisen-Kapitel, was verheerend enden kann. Wir empfehlen, frühzeitig ein ICT-Krisenkonzept zu erstellen und liefern auch gleich eine von Expert*innen geprüfte Mustervorlage.
Ein ICT-Krisenkonzept hilft Ihnen und Ihrem Team, ein gemeinsames Verständnis der Bereiche der Schul-Netz-Architektur zu erlangen, die vorhandenen Risiken zu identifizieren und sich im Fall eines Datenlecks oder einer IT-Panne auf einen festgelegten Prozess stützen zu können.
Ob Ihr ICT-Krisenkonzept in Ihrem bisherigen Krisenkonzept eingearbeitet wird oder als separates Dokument erstellt wird, spielt keine Rolle – solange es in der einen oder anderen Art überhaupt existiert. Wie das Krisenkonzept sollte auch das ICT-Krisenkonzept in regelmässigen Abständen mit allen involvierten Stellen überprüft und geübt werden.
Unter dem nachfolgenden Link finden Sie eine Mustervorlage eines ICT-Krisenkonzepts. Je nach Architektur und Organisation Ihrer Schule können bestimmte Aspekte weggelassen, andere müssen möglicherweise ergänzt werden.
Weitere Informationen und Inhalte zum Thema «IT-Sicherheit in der Schule» haben wir hier zusammengetragen.