IT-Sicherheit: Mit diesen einfachen Maßnahmen Ihre Schule schützen

Die aktuelle Corona-Pandemie hat die Digitalisierung in vielen Unternehmen, Institutionen und Organisationen gezwungenermaßen vorangebracht. So auch in den Schulen. Im Gegensatz zu Unternehmen haben die allermeisten Schulen aber keine eigene IT-Abteilung. Dabei werden hier sehr sensible personenbezogene Daten verarbeitet, wodurch eine Angriffsfläche und Gefahr entstehen – auch für die Schüler*innen. Deshalb darf bei der Digitalisierung von Schulen die IT-Sicherheit nicht fehlen und muss konstant mitgedacht werden. Nur so kann die Digitalisierung gelingen. In dieser Übersicht zeigen wir Ihnen, wie Sie Ihre Schule schützen und die IT-Sicherheit mit einfachen Maßnahmen gewährleisten können.

„Doch Digitalisierung ohne Cyber-Sicherheit ist wie Fahrradfahren ohne Helm. Das kann gut gehen, aber wenn es kracht, tut es weh.“

Arne Schönbohm, Präsident des BSI

Wie Sie Netze sichern

In vielen Schulen umfasst das pädagogische Konzept die Nutzung von mobilen Endgeräten via WLAN. Hier ist es unerlässlich, dass die Netze entsprechend gesichert sind. Bereits der Zugriff auf die Netze sollte reguliert sein, das heißt: Nur berechtigte Personen mit zulässigen Geräten dürfen in einem definierten Umfang auf die Netze zugreifen. Dies erfolgt vor dem Zugriff per Authentifizierung. Dabei sollten Sie personenbezogene Passwörter vergeben und diese regelmäßig aktualisieren.

Neben der Zugriffssicherung sollten Sie Ihre Netze durch eine Netzsegmentierung schützen. Dafür sollten Verwaltungs- und pädagogisches Netz physisch oder logisch voneinander getrennt werden. Nur so können Sie ausschließen, dass Unbefugte auf sensible Daten zugreifen. Außerdem haben Sie eine höhere Ausfallsicherheit – nur weil das eine Netz ausfällt, heißt das nicht, dass auch das andere betroffen ist. Gerade bei „Bring your own device“-Konzepten sollten Sie ein zusätzliches, vom Schul-WLAN getrenntes Netz einrichten.

Sichern Sie sich zusätzlich ab und treffen Sie mit Ihren Schüler*innen Nutzungsvereinbarungen. Lassen Sie diese ggf. auch von den Eltern unterschreiben. Auch die Lehrkräfte sollten per Nutzungsordnung verpflichtet werden, sich an Grundsätze der IT-Sicherheit zu halten.

Wie Sie Sicherheitslücken vermeiden

IT-Sicherheit und Cyberkriminalität funktionieren wie ein SchachspielSie können sich Cyberkriminalität und den Versuch, sich vor ihr zu schützen, ein bisschen wie ein Schachspiel vorstellen. Es muss konstant auf die Züge der Gegenspieler reagiert werden. Wenn Hacker eine Sicherheitslücke finden, müssen Hersteller diese durch Updates schließen. Und die Hacker begeben sich erneut auf die Suche.

Verpassen Sie nicht Ihren Zug! Nur wenn Sie mitspielen und Ihre Systeme und Software aktuell halten, sind Sie vor Angriffen geschützt. Deshalb ist es wichtig, dass Sie regelmäßig Updates und Patches auf all Ihren Geräten fahren. Hierfür legen Sie am besten klare Verantwortlichkeiten fest oder verteilen Updates zentral.

Häufig ist die Sicherheitslücke allerdings der Mensch. Daher sollten Sie auch das Wissen Ihrer Lehrkräfte durch regelmäßige Schulungen im Umgang mit der Technik updaten. Dies gilt genauso für die Schüler*innen Ihrer Schule. Medienkompetenz ist ein wichtiger Punkt in der Digitalisierung.

Wie Sie sich vor Schadware schützen

Für den Schutz vor Viren, Trojanern und anderer Schadware ist eine Firewall unerlässlich. Diese sollten Sie direkt am Internetzugangsrouter verorten. Auch ein Content-Filtersystem, das den Zugang zu bestimmten – für Minderjährige ungeeigneten – Seiten einschränkt, ist hier empfehlenswert. Zusätzlich sollten Sie auf alle Fälle eine Antivirensoftware einsetzen. Diese gehört zur Mindestausstattung, um Sie erfolgreich vor Schadware zu schützen.

Machen Sie sich das Rechtemanagement zunutze! Sie können beispielsweise nur bestimmten Nutzer*innen erlauben, Software herunterzuladen oder Änderungen am System vorzunehmen. Vor allem Schüler*innen sollten hier eher eingeschränkte Rechte erhalten. Dadurch vermeiden Sie versehentliches Herunterladen von Schadware. Sie können auch vorgeben, welche Software heruntergeladen werden darf.

Da auch hier die Sicherheitslücke Mensch eine große Rolle spielt, sollten Sie sowohl die Lehrkräfte als auch die Schüler*innen für vorhandene Gefahren durch Viren sensibilisieren. Seien Sie dennoch vorbereitet! Legen Sie sich beispielsweise einen Aktionsplan zurecht, wie mit einem Virenbefall umzugehen ist und definieren Sie die zu erfolgenden Schritte. So verlieren Sie im Ernstfall keine Zeit.

Wie Sie Server unterbringen

Wichtig für die IT-Sicherheit: Die sichere Unterbringung der ServerOhne Server läuft an Ihrer Schule nichts. Wenn Sie sich nicht schon für eine Cloud-Lösung entschieden, sondern physische Server eingesetzt haben, sollten Sie die folgenden Punkte beachten: Die Serverräume sollten grundsätzlich verschlossen und nur durch autorisierte Personen zugänglich sein. Hier bietet sich eine dokumentierte Schlüsselverwaltung an. Außerdem sollten Sie sie vor Wasser schützen und ausreichend lüften. Bei der Stromversorgung sollte mindestens ein eigener Schaltkreis bestehen. Am besten wäre es aber, wenn Sie eine ununterbrochene Stromversorgung gewährleisten könnten. Zusätzlich sollten die Serverräume zu keinem anderen Zwecken genutzt werden – auch nicht als Abstellkammer.

Neben Ihren Servern sollten Sie auch Ihre regelmäßig durchgeführten Backups sichern. Diese sollten Sie – wenn Sie nicht in einer Cloud gespeichert werden – immer in einem ähnlich gesicherten, aber vom Serverraum weit entfernten Raum aufbewahren. So können Sie beispielsweise bei einem Wasserrohrbruch sicherstellen, dass mindestens Ihr Backup überlebt.

Wie Sie IT-Sicherheit in Ihre Ausschreibungen einfließen lassen

An die IT und ihre Sicherheit werden viele Anforderungen gestellt. Damit Sie, Ihre Mitarbeitenden und mögliche Dienstleister nicht den Überblick verlieren, sollten Sie ein IT-Sicherheitskonzept aufstellen und regelmäßig aktualisieren. Lassen Sie die oben aufgeführten Punkte direkt in Ihr Konzept einfließen.

Bei Ausschreibungen können Sie auf Ihr Sicherheitskonzept zurückgreifen und direkt definieren, welche Anforderungen an die Hard- oder Software bestehen. Beispielsweise sollten Sie hier darauf achten, dass die Software tatsächlich regelmäßig mit Updates durch die Hersteller versorgt wird. So wird Ihre IT-Infrastruktur kompatibel, es entstehen weniger Sicherheitslücken und die Handhabung wird für alle Mitarbeitenden erleichtert.

Vor allem ist aber wichtig, dass Sie Ihre IT-Sicherheit professionalisieren und nicht nur nebenbei machen. Hier können schulübergreifende IT-Abteilungen oder externe Dienstleister Abhilfe schaffen. Denn: Ohne Helm kann das Fahrradfahren schnell schmerzhaft werden.

Quellen

Bundesamt für Sicherheit in der Informationstechnik (2019): „BSI im Dialog: Cyber-Sicherheit in die Schulen bringen“, 29. November 2019, https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/BSI_im_Dialog_281119.html, letzter Zugriff am 15. Januar 2021.

Kreis Herford (o. J.): „IT-Sicherheit und Datenschutz in Schulverwaltungen: Checkliste für Schulleitungen“, https://www.kreis-herford.de/PDF/IT_Sicherheitskonzept.PDF?ObjSvrID=2807&ObjID=318&ObjLa=1&Ext=PDF&WTR=1&_ts=1494575771, letzter Zugriff am 15. Januar 2021.

Medienberatung NRW (2016): „Lernförderliche IT-Ausstattung für Schulen: Orientierungshilfe für Schulträger und Schulen in NRW“, Dezember 2016, https://www.medienberatung.schulministerium.nrw.de/Medienberatung-NRW/Publikationen/Orientierungshilfe_es_neu.pdf, letzter Zugriff am 15. Januar 2021.

Rähm, Jan und Manfred Kloiber (2020): „Schleppende Digitalisierung: Schulen brauchen IT-Mitarbeiter“, Deutschlandfunk, 29. August 2020, https://www.deutschlandfunk.de/schleppende-digitalisierung-schulen-brauchen-it-mitarbeiter.684.de.html?dram:article_id=483274, letzter Zugriff am 15. Januar 2021.