Swisscom Campus Newsletter
Erhalten Sie neue Inhalte vom Swisscom Campus direkt in Ihre Mailbox, dank dem Swisscom Campus Newsletter.
IT-Sicherheit in Schulen ist wichtig. Vielleicht noch mehr als in anderen Bereichen, da es um den Schutz der persönlichen Daten von Kindern und Jugendlichen geht. Viele Schulen stehen vor der Herausforderung, den Zugang zum Internet und zugleich einen möglichst hohen Sicherheitsgrad gewährleisten zu wollen. Erfahren Sie auf dieser Seite, was es als Schulleitung hinsichtlich Netzwerksicherheit zu beachten gilt. In Zusammenarbeit mit Expert*innen haben wir zudem ein Muster für ein ICT-Sicherheitskonzept erstellt.
Direkt zum Thema
Seite teilen
Schulen sind ein beliebtes Ziel von externen Hacker-Angriffen oder Netz-Überfällen. Dabei werden Daten entwendet oder die Schule vom Zugriff auf ihre eigenen Daten ausgeschlossen und so erpresst. Um dies zu verhindern, ist die Firewall ein zentrales Sicherheitselement.
Firewalls gibt es als Hard- oder Software. Beide Versionen verhindern wirksam Angriffe von aussen, haben aber je Vor- und Nachteile in der Anwendung:
Eine lokale Firewall ist auf einem besonderen Computer oder einem Netzwerkgerät installiert, das üblicherweise am Übergang zum Internet platziert ist. Die Firewall überwacht den Datenverkehr, der in das Netzwerk gelangt oder es verlässt. Sie funktioniert wie ein digitaler Security-Wächter, der den Datenverkehr kontrolliert und verdächtige Aktivitäten automatisch blockiert.
Der Datenverkehr einer Schule wird mit einer cloudbasierten Firewall über eine spezielle Cloud-Infrastruktur geleitet, bevor er das Internet erreicht. Diese cloudbasierte Firewall übernimmt die Sicherung des Datenverkehrs.
Im Vergleich zur lokalen Firewall, benötigt diese Architektur keine Hardware bei der Schule, sondern lediglich eine entsprechende Konfiguration des Routers: Der Datenverkehr wird ausschliesslich auf die Cloud-Firewall geleitet und der eigehende Traffic nur von dort zugelassen.
Die beste Sicherheitspraxis: Für eine mehrschichtige Sicherheit ist es empfehlenswert, in der IT-Sicherheit an Schulen sowohl Hardware- als auch Software-Firewalls einzusetzen. Wenn eine Schule zu wenig Sicherheits-Knowhow verfügbar hat, kann sie auf einen professionellen Security-Anbieter zurückgreifen. Und eine cloudbasierte Firewall ist in der Tendenz performanter und bietet mehr Sicherheitsfunktionen als eine lokale Firewall.
Gerade im Schulumfeld stellt sich oft die Herausforderung, dass auch Computer von Dritten (Bring-your-own-Device) eingesetzt werden. Hier ist eine cloudbasierte Firewall besonders empfehlenswert.
Die Initiative von Swisscom «Schulen ans Internet» stellt allen Schulen in der Schweiz einen Internetanschluss sowie eine Sicherheitslösung zur Verfügung.
Die einzelnen Schulanschlüsse werden im Kernsystem von Swisscom von einer Sicherheitsinfrastruktur geschützt und von Swisscom verwaltet. Die Sicherheitseinstellungen auf den Bildungsnetzen der Volks- und Kantonsschulen können von den Kantonen individuell und nach ihren Bedürfnissen eingerichtet werden.
Viren und Malware werden häufig per E-Mail in Form von Anhängen, Links oder als eingebetteten Skripts versendet. Mit gezielten systemtechnischen Massnahmen können Sie solche Angriffe verhindern.
Schädliche Software wird oft als Anhang (z.B. als ausführbare Datei, Dokument oder Bild) einer E-Mail versendet. Wenn der/die Empfänger*in diesen Anhang öffnet, kann sich die Malware auf dem Computer installieren.
Aber auch Links sind ein häufiges Einfallstor für schädliche Software: Eine E-Mail mit emotionalisiertem Inhalt lockt auf eine schadhafte Webseite. Erwähnt sei in diesem Zusammenhang auch das Stichwort Phishing.
Neben Anhängen und Links können auch eingebettete Skripts Viren und Malware transportieren, die beim Öffnen der E-Mail ausgeführt werden. Die Gefahr ist im HTML-Format, das heute Standard für die Anzeige von E-Mails ist, besonders gross.
Um Ihre Schule vor solchen Angriffen per E-Mail zu schützen, gibt es systemtechnische Massnahmen, die Sie treffen können:
Doch selbst alle technischen Massnahmen kombiniert können keinen 100%-Schutz bieten. Es kann also trotz Massnahmen jederzeit vorkommen, dass schädliche E-Mails in der Inbox landen. Dann ist es wichtig, dass die entsprechende Person weiss, wie sie sich verhalten muss. Hier erfahren Sie, woran Sie betrügerische E-Mails erkennen.
Sensibilisieren Sie dringend alle Nutzenden (Lehrpersonen und Schüler*innen) zu den möglichen Gefahren im Rahmen von schädlichen E-Mails, um Viren und Malware auf den Schulcomputern zu vermeiden.
Hier sind einige Ideen für Trainings oder Awareness-Kampagnen:
Cloudbasierte Dienste, Applikationen oder lokale Datenmanagement-Systeme erlauben unterschiedliche Sicherheitsstufen für die Authentifizierung der Nutzer*innen. Bei Daten mit besonderem Schutzwert sollte der Sicherheit die höchste Priorität beigemessen.
Grundsätzlich gilt: Je grösser ein Zugriffsschutz ist, desto kleiner oft leider die Benutzerfreundlichkeit. Login-Prozesse mit mehreren Authentifizierungsschritten können zwar umständlich sein, bei persönlichen Daten zu Mitarbeitenden oder Schüler*innen, Noten, Lernberichten usw. sollte aber keine Kompromisse gemacht und stattdessen immer die höchstmögliche Sicherheitsstufe und Schutz gewählt werden.
So sichern Sie den Zugriff auf Daten, Ablagen oder Geräte:
Nachdem Sie beispielsweise eine Prüfung korrigiert haben, möchten Sie die Schulnoten digital abspeichern. Wo sind diese sensiblen Daten am sichersten: lokal auf Ihrem Computer, auf einem lokalen Daten-Server oder in der Cloud?
Laptops sind heute kaum mehr geeignet, um Daten zu speichern. Einerseits ist häufig nicht mehr überaus viel Speicherplatz auf der Harddisk verfügbar und andererseits können Laptops auf den Boden fallen oder gestohlen werden. Für die Datenspeicherung herrschen darum an Schulen folgende zwei Varianten vor, die gerne auch kombiniert werden:
Die Fachstelle educa der Kantone und des Staatssekretariats für Bildung, Forschung und Innovation (SBFI) bietet Schulen einen leicht verständlichen Analyse-Prozess, um abzuschätzen, welche Aspekte an der jeweiligen Schule besondere Aufmerksamkeit verlangt.
Viele Schulen arbeiten heute schon mit cloudbasierten Lösungen. Doch obwohl die Daten online gespeichert werden, unterhalten Schulen in vielen Fällen noch einen zusätzlichen lokalen Datenspeicher. Ein solcher zahlt sich insbesondere in einer Funktion als IT-Backup aus.
Einen lokalen Datenspeicher als separate, zusätzliche Datenspeicherung manuell zu verwalten, macht wenig Sinn. Der Aufwand für die Handhabung, aber auch die Gefahr von unnötigen Redundanzen sowie im Gegenteil abweichenden Varianten ist zu gross.
Die bessere Lösung: Richten Sie ein IT-Backup ein, das in regelmässigen Abständen die relevanten Daten automatisch kopiert und an einem zweiten, unabhängigen Ort abspeichert. Dass dieses IT-Backup an einem anderen Ort als die Ursprungsdateien gespeichert und aufbewahrt werden soll ist wichtig – damit bei im Schadensfall nicht Original UND Backup verloren gehen. Zudem ist es wichtig, dass das Backup auch vor Infizierungen durch Viren geschützt sind – die Backup-Infrastruktur sollte also vom übrigen Netz isoliert werden.
Spätestens seit dem Aufkommen von cloudbasierten Diensten oder Datenspeichern ist der Datenschutz an Schulen ein zentrales Thema. Denn es gilt, Verantwortung für besonders schützenswerte Daten zu übernehmen und diese bestmöglich zu schützen.
Besonders schützenswerte Daten? Damit sind beispielsweise Schüler*innen-Berichte, Noten, Hausaufgaben oder die Löhne der Lehrpersonen gemeint.
Wenn solche Daten in Online-Speicherdiensten wie z. B. Apple iCloud, Microsoft SharePoint, Dropbox oder Google Cloud gespeichert werden, bedarf es der Einhaltung verschiedener Vorgaben. Der Verband der kantonalen Datenschutzbeauftragten privatim hat dazu ein Merkblatt publiziert(öffnet ein neues Fenster), das die nötigen Schritte ausführlich beschreibt.
Die Fachstelle für ICT im Bildungswesen (educa, www.educa.ch(öffnet ein neues Fenster)) hat ausserdem die kantonsspezifischen Ressourcen(öffnet ein neues Fenster) «Informationsmaterial zu Datennutzung und Datenschutz» zusammengetragen.
Kommt es trotz aller Sicherheitsvorkehrungen dennoch zu einem «erfolgreichen» Angriff auf die Daten oder Systeme der Schule, sollten Sie möglichst rasch reagieren. Einige Sofortmassnahmen sind inzwischen obligatorisch, andere können der Sachlage entsprechend angepasst werden.
Bei Diebstahl, Verlust oder der unberechtigten Preisgabe von Personendaten besteht mit der Inkraftsetzung des Datenschutzgesetzes (DSG) seit dem 1. September 2023 eine Meldepflicht. Die Meldung ist beim eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) einzureichen.
Folgendes ist bei einem Datendiebstahl umgehend zu tun:
Krisenkonzepte sind an Schweizer Schulen in vielen Kantonen verpflichtend. Doch bisher fehlt in diesen Krisenkonzepten oft ein ICT-Krisen-Kapitel, was verheerend enden kann. Wir empfehlen, frühzeitig ein ICT-Krisenkonzept zu erstellen und liefern auch gleich eine von Expert*innen geprüfte Mustervorlage.
Ein ICT-Krisenkonzept hilft Ihnen und Ihrem Team, ein gemeinsames Verständnis der Bereiche der Schul-Netz-Architektur zu erlangen, die vorhandenen Risiken zu identifizieren und sich im Fall eines Datenlecks oder einer IT-Panne auf einen festgelegten Prozess stützen zu können.
Ob Ihr ICT-Krisenkonzept in Ihrem bisherigen Krisenkonzept eingearbeitet wird oder als separates Dokument erstellt wird, spielt keine Rolle – solange es in der einen oder anderen Art überhaupt existiert. Wie das Krisenkonzept sollte auch das ICT-Krisenkonzept in regelmässigen Abständen mit allen involvierten Stellen überprüft und geübt werden.
Unter dem nachfolgenden Link finden Sie eine Mustervorlage eines ICT-Krisenkonzepts. Je nach Architektur und Organisation Ihrer Schule können bestimmte Aspekte weggelassen, andere müssen möglicherweise ergänzt werden.
Weitere Informationen und Inhalte zum Thema «IT-Sicherheit in der Schule» haben wir hier zusammengetragen.