Cyber Security an Schulen – Wie sicher ist der digitale Schulalltag?
Karlsruhe, März 2024 - "Schule gehackt", "Schülerkonten gekapert", "Daten von Schülern öffentlich" – so titeln Medien, wenn Schulen von einem Cyberangriff oder einer Datenpanne betroffen sind. Datensicherheit ist beim Thema Bildungsdigitalisierung einer der wichtigsten Aspekte, stellt Schulen aber immer noch vor einige Herausforderungen. Viele Schulen fühlen sich mit dem Thema allein gelassen: Welche Gefahren bestehen für die Daten von Schüler:innen, Lehrkräften und Eltern? Wie kann sich die Schule schützen? Die Schulplattform Sdui und die Deutsche Gesellschaft für Cybersicherheit (DGC) möchten mit ihrer Kooperation zum Thema Cyber Security aufklären. Die Experten Philip Heimes (Sdui) und Philip Saladin (DGC) nahmen zum Thema Datensicherheit an Schulen Stellung.
Sicherheit ist in Schulen ein besonders sensibles Thema, denn es geht um Informationen und die Sicherheit von Kindern. Aus der analogen Welt sind Sicherheitsmaßnahmen für uns ganz selbstverständlich: Wir lassen keine Schulfremden in die Klassenzimmer; das Schulgebäude wird nach Schulschluss abgeschlossen und wichtige Dokumente werden z.B. im Sekretariat verschlossen. Im digitalen Bereich aber gibt es diese Selbstverständlichkeit noch nicht. Was verstehen Sie als Experten unter Cybersicherheit an Schulen?
Philip Saladin: Ganz allgemein geht es beim Thema Cybersicherheit um den Schutz von Daten. Im Bereich Schule sind das im Speziellen: Persönliche Daten wie Name, Geburtsjahr, Wohnort von Schüler:innen, Noten, Klassenbucheinträge, Zeugnisse oder Stundenpläne. Alle diese Informationen werden als Daten auf Festplatten, Servern oder in einer Cloud gespeichert. Auch die gesamte digitale Kommunikation innerhalb der Schulgemeinschaft gehört zu den sensiblen Daten.
Es gehört zum Alltag von Schulen, dass Daten erhoben, verarbeitet, übertragen, gespeichert, archiviert und gelöscht werden. Deshalb ist es auch Aufgabe der Schule, diese Daten vor Missbrauch zu schützen!
Philip Heimes: Das stimmt. Daten vor Dritten zu schützen, das ist heute ein Grundbedürfnis. Cybersicherheit an Schulen muss einen genauso hohen Stellenwert haben, wie andere analoge Sicherheitsmaßnahmen, die für uns selbstverständlich sind. Ausgedruckte Zeugnisse beispielsweise würden niemals offen und für jeden einsehbar herumliegen. Einen unachtsamen Umgang mit personenbezogenen Daten würden wir als massiven Verstoß gegen die Persönlichkeitsrechte eines Kindes werten.
Bei digitalen Daten hingegen kommt es aber immer noch häufig vor, dass genau solche unachtsamen Verstöße passieren. Meist geschieht die ohne böse Absicht. Oft wissen die Beteiligten gar nicht, dass sie mit ihren Handlungen Risiken eingehen und sich einer Gefahr aussetzen. Unwissenheit und das Gefühl, in dem riesigen Feld der Schuldigitalisierung mit solchen Fragen allein gelassen zu werden, stellen ein Problem dar. Wir, Sdui und die DGC, wollen deshalb aufklären zum Thema Cybersicherheit. Wir möchten Schulen und den Beteiligten dabei helfen, den Schulalltag sicherer zu gestalten. Maßnahmen zur Cybersicherheit müssen im Schulalltag zur Selbstverständlichkeit werden, wie das Abschließen der Eingangstür!
Die pandemiebedingten Zeiten von Home Schooling sind vorbei. Welchen Stellenwert hat das Thema Cybersicherheit aktuell überhaupt noch in der Schule? Wird das Thema bei der Vielzahl anderer Herausforderungen an den Schulen nicht überbewertet?
Philip Heimes: Ich denke, es ist nicht mehr zeitgemäß, das Thema Schuldigitalisierung auf Videokonferenzen im Home Schooling zu reduzieren. Wir sehen bei den rund 5.000 Schulen, die Sdui nutzen, dass sich der Umgang mit digitalen Daten wie ein roter Faden durch den Alltag zieht. Heute fragt niemand mehr, OB digitalisiert werden soll, sondern WIE.
Schulen sind in der Krise zu Gestaltern der digitalen Transformation geworden. Jetzt gilt es, aus der Not eine Tugend zu machen. Das heißt für mich, Kompetenz im Bereich der Cybersicherheit zu schaffen, um Risiken bewerten zu können. Das Thema Sicherheit in Verbindung mit der Digitalisierung kann dabei gar nicht hoch genug bewertet werden.
Was sind aus Ihrer Sicht die größten Sicherheitsrisiken für Schulen?
Philip Saladin: Wie in Unternehmen gilt auch in Schulen: Der Mensch stellt das größte Sicherheitsrisiko dar. Das fängt bei Passwörtern an, die auf Zettel geschrieben werden oder als Post-it am Bildschirm kleben. In der Schule sind es auch unterschiedliche, private Geräte, die genutzt werden, wenn es kein zentrales Device-Management gibt. Aber auch fremde USB-Sticks, die verwendet werden, stellen immer noch ein Sicherheitsrisiko dar.
Die größten Sicherheitslücken entstehen allerdings, wenn Software-Updates und Sicherheits-Patches nicht durchgeführt werden. So einfach es klingt, so viel trete ich tagtäglich an solche Schwachstellen heran: Über 50 Prozent der hoch sicherheitsrelevanten Schwachstellen könnten durch Updates geschlossen werden.
Philip Heimes: Natürlich gehören auch gezielte Hackerangriffe von außen und innen zu den Sicherheitsrisiken. Schulen sind z.B. auch von Angriffen mit Ransomeware betroffen, also Schadprogramme, die den Zugriff auf Systeme einschränken, um Lösegeld zu erpressen. Darüber kann die gesamte Schule lahmgelegt, weil die Daten von den Angreifern verschlüsselt werden.
Aber auch Schüler:innen selbst können die Schule angreifen und Daten missbrauchen. Die Kids von heute sind digitale Natives. Sogenannte Scriptkiddies wissen oft besser, wie sie sich Zugang zu Skripten und Programmen verschaffen, als was gerade in Biologie auf dem Lehrplan steht.
Was können die Folgen von Angriffen und Datenlecks sein?
Philip Saladin: Im Bildungswesen können bei unsachgemäßer Bearbeitung solcher Daten beispielsweise Diskriminierungen und Einschränkungen bei der Wahl der Ausbildung und des Berufs denkbar sein. Oder aber eine Schule wird mittels einer Ransomware Attacke verschlüsselt und kann den Fortbetrieb der Schule nicht mehr gewährleisten. Plötzlich wird sie mit Lösegeldzahlungen und einem potenziellen Verstoß gegen die DSGVO konfrontiert.
Philip Heimes: Es gibt Folgen für den Schulbetrieb und natürlich rechtliche Konsequenzen. Am schlimmsten ist es aus meiner Sicht, wenn persönliche Schicksale von Kindern mit einer Sicherheitslücke einhergehen – vertrauliche Informationen über einen Schüler, die dann im Internet landen, weiterverbreitet werden und vielleicht sogar für Mobbing genutzt werden. Solche Fälle sind leider Realität und auch Lehrkräfte können betroffen sein. Wer Opfer von Cyberkriminalität wird, hat damit oft schwer und lange zu kämpfen.
Soweit zu den Risiken. Aber wie können sich Schulen schützen? Was kann jede Schule für ihre Sicherheit tun?
Philip Saladin: Aus unserer Erfahrung weiß ich: Jeder Mitarbeiter, der im Bereich der Security Awareness geschult ist, stellt einen Mehrwert da. Ganz niederschwellige Tipps, die sehr viel bewirken können, sind:
Öffnen Sie niemals Anhänge in eMails von unbekannten Dritten. Klicken Sie nie auf Links, welche auf dubiose Webseiten verweisen. Beim Verlassen Ihres Arbeitsplatzes sperren Sie immer Ihren Computer. Nutzen Sie keine USB-Sticks, welche Sie vermeintlich als Werbezweck erhalten haben.
Tipps für die IT im Speziellen sind: Nutzen Sie einen Schwachstellenscanner, welcher Ihren Netzwerkumgebung 24/7 überprüft. Führen Sie Software-Updates und Sicherheits-Patches umgehend nach Freigabe der Hersteller aus.
Philip Heimes: Ich denke, ein ganz wichtiger Schritt ist, überhaupt ein Bewusstsein für das Thema Cybersicherheit zu schaffen. Jeder in der Schulgemeinschaft kann einen Teil dazu beitragen, die Schule datensicher zu machen. Aber natürlich ist das Ganze auch eine Budgetfrage, denn in der Regel gibt es in der Schule nicht das notwendige Know-how und die Ressourcen, um die Systeme sicher zu machen und kontinuierlich zu überprüfen.
Es gibt dafür aber Experten, wie z.B. die DGC. Die Zusammenarbeit mit externen Experten wie der DGC, die bei der Umsetzung von Strategien helfen können, bietet sich auch für Bildungseinrichtungen an. Und: Schulen sollten mit digitalen Lösungen arbeiten, die Sicherheit in der Schule ernst nehmen. Sdui tut das – uns ist das Thema Sicherheit besonders wichtig beim Bau unserer Plattform.
Sdui ist eine Plattform für digitale Kommunikation und Organisation an Schulen – wie sieht es mit der Sicherheit auf der Plattform aus? Wie wird diese bereitgestellt?
Philip Heimes: Sdui ist DSGVO-konform und nutzt deutsche Server. Schulen, die Sdui nutzen, müssen sich keine Sorgen darüber machen, wo die Daten gespeichert werden und ob ein Konzern im Ausland Schülerdaten abgreift. Sdui ist gemeinsam mit Schulen in Deutschland entwickelt worden und wird permanent an ihren Bedürfnissen und im Austausch mit ihnen weiterentwickelt. Uns ist dabei ein holistischer Ansatz von Datensicherheit wichtig, was bedeutet: Alle in der Schulgemeinschaft beteiligten Akteure müssen sich sicher auf der Plattform bewegen und miteinander kommunizieren können – Lehrkräfte, Schüler:innen und Eltern.
Sdui und die DGC wollen in Zukunft miteinander kooperieren, um über Cyber Security an Schulen aufzuklären. Warum und was bedeutet das konkret?
Philip Saladin: Sdui und die DGC sind zwei starke Partner, die gemeinsam für das Thema Cybersicherheit sensibilisieren möchten. Wir kennen die Risiken der Digitalisierung und können Lösungen aufzeigen. In Zukunft wollen wir zum Beispiel Informationen und Tipps für Schulen zusammenstellen.
Philip Heimes: Uns geht es darum, Schulen und Bildungseinrichtungen dazu zu befähigen, Risiken selbst zu erkennen und die Datensicherheit selbst beurteilen zu können. Ein Bewusstsein dafür zu schaffen, ist der erste Schritt. Und auch zu wissen, wo es Hilfe gibt. Wir finden es wichtig, Schulen mit dem bedeutsamen Thema Datensicherheit nicht allein zu lassen. Denn: Wir alle können dazu beitragen, das Internet jeden Tag etwas sicher für uns und unsere Kinder zu machen.