IKT-Sicherheitsrisiken an Schulen : Analyse und Darstellung möglicher Handlungsempfehlungen für ein Schul-CERT

Abstract

IT-Sicherheit und Datenschutz ist aktuell ein bestimmendes Thema, sowohl im privaten als auch im beruflichen Alltag. Innovative Technologien bringen für alle Lebensbereiche Erleichterungen und ermöglichen die Aufschließung von neuen Anwendungsbereichen für die Benutzer, welche bis zu diesem Zeitpunkt nicht denkbar waren. Allzu oft wird dabei jedoch der Aspekt der Sicherheit unterschätzt und die Folgen daraus sind zumeist erst im Nachhinein bitter spürbar. Die Vergangenheit hat gezeigt, dass durch die Vernachlässigung von sicherheitstechnischen Maßnahmen im technischen, organisatorischen und rechtlichen Bereich gravierende Sicherheitslücken entstehen können, welche nachträglich nur schwer behebbar sind. Als ein aktuelles Beispiel führt der Autor die ungewollte Veröffentlichung der Testergebnisse der informellen Kompetenzmessung von österreichischen Schülern im Internet an. Eine Veröffentlichung der Daten war möglich, da die Testergebnisse auf nicht ausreichend gesicherten rumänischen Servern gespeichert wurden. Als Konsequenz der Veröffentlichung wird Österreich an dem bereits geplanten PISA-Test 2015 nicht teilnehmen. An Österreichs Schulen wird eine Vielzahl von sensiblen, personenbezogenen Daten verarbeitet. Diese wissenschaftliche Arbeit erhebt anhand einer Literaturanalyse und Experteninterviews welche Daten dies sind und welche Maßnahmen zum Schutz vor unbefugten Zugriff ergriffen werden. Weiters stellt der Autor die Frage nach dem Handlungspotential für ein schulisches Computer Emergency Response Team um die österreichischen Schulen im Bereich der IT-Sicherheit und des Datenschutzes zu unterstützen. Anhand der in dieser Arbeit erzielten Untersuchungsergebnisse kommt der Autor zum Schluss, dass an Österreichs Schulen sowohl im Verwaltungsbereich, als auch im pädagogischen Bereich sensible personenbezogene Daten verarbeitet werden. Obwohl das Bewusstsein zum sicheren Umgang mit Schülerdaten bei den Lehrkräften noch nicht sehr stark iv ausgeprägt ist, werden die Daten durch die Ergreifung von sicherheitstechnischen Schutzmaßnahmen gut abgesichert. Es ist ein Trend zu erkennen, dass pädagogischen Daten über soziale Medien und kommerzielle Cloud-Services ausgetauscht werden. Dahingegen gibt es Anzeichen, dass in naher Zukunft schulische Verwaltungsdaten über zentrale Services verwaltet und bearbeitet werden. Die Analysen zeigen, dass das Handlungsfeld für ein Schul-CERT breit gestreut ist. Vorwiegend sehen die Experten hier die Möglichkeit proaktive Services zu entwickeln um den EDV-Kustoden an Österreichs Schulen konzeptionelle Arbeiten zu erleichtern. Auch die Aufgabe einer Meldestelle für IT-Sicherheitsvorfälle kann durch ein Schul-CERT erfüllt werden. Damit ein Schul-CERT seine Aufgaben wahrnehmen kann ist es wesentlich, dass dieses durch die Schulen als Dienstleister für IT-Sicherheitsservices akzeptiert wird. Es ist notwendig, dass ein Schul-CERT eine klare Beauftragung durch das zuständige Fachministerium erhält und eine finanzielle Absicherung des finanziellen Budgets garantiert ist. Für einen erfolgreichen Start ist es hilfreich, wenn die Mitarbeiter eines Schul-CERTs bereits Erfahrungen im schulischen Bereich aufweisen und über technisches Fachwissen verfügen.

Currently, ICT security and data protection are dominant topics in both the private and professional aspects of our daily lives. Innovative technologies facilitate some of these aspects and allow for the unlocking of new areas of application, which may not have been feasible up to this point. However, too often the aspect of security is underestimated and, in retrospect, the consequences of doing so are felt painfully by those affected. The past has shown that neglecting of security measures in technical, organizational and legal areas can cause serious security vulnerabilities which may be difficult to correct subsequently. As a recent example, the author presents an incident of accidental release of test results of the informal competency measurement of Austrian students on the Internet. The unintended disclosure of these test results was made possible due to storage on insecure and not appropriately configured servers. As a consequence of this disclosure, Austria will not take part in the upcoming PISA tests in 2015. In Austrian schools a variety of sensitive personal data is being processed. This thesis combines literature analysis and expert interviews to examine what kinds of data are being processed and what measures are being taken to protect this data against unauthorized access. Furthermore, the author investigates options for a School Computer Emergency Response Team (i.e. a 'school-CERT') in supporting Austrian schools regarding ICT security and data protection. Based on the results of this thesis, the author comes to the conclusion that in Austrian schools, both the administrative and educational areas, sensitive, personal information is being processed. While awareness of teaching personnel regarding the secure processing of personal data of pupils is somewhat lacking, the data itself is adequately secured through the application of technical measures. vi A movement towards the exchange of educational data through social media and commercial cloud services can be noticed. In contrast, the responsible ministry plans to manage administrative data via centralized ICT services. The results of this thesis show that the field of action for a school-CERT is widely spread. Primarily, the interviewed experts see a possibility for the development of proactive services to support ICT supervisors in Austrian schools with conceptual tasks. Additionally, the task to serve as a registration office for cyber incidents can be met by a school-CERT. In order to perform its tasks it is essential that a school-CERT becomes accepted by the Austrian schools as a service provider for IT security services. This requires a clear remit for a school-CERT assigned by the responsible ministry, as well as a guarantee for the required financial budget. For a successful start, it is also helpful that the staff of a school-CERT has already some experience of working in schools and brings in the necessary technical expertise.