IT-Sicherheit und Datenschutz in Schulen

Was viele ja ganz gerne vergessen bei der IT-Sicherheit ist inzwischen etwas mehr als ein Patchday und ein bisschen Sicherheits-Tunning am System. Dazu gehört neben den technischen Umsetzungen (die zweifellos die wichtigsten sind) - eine ganze Reihe Papierkram - und das ist der Teil der wirklich Zeit kostet und übrigens null Spaß macht. Eine umfangreiche Konzeptlage, Dokumentationen, Risikoabschätzungen. Wenn man z.B. nach BSI IT-Grundschutz arbeiten möchte, dann fängt man mal mit einer Schutzbedarfsfeststellung an und die daraus resultierende Maßnahmen (auch technischer Art) können dann je nach dem was dabei raus kommt doch umfangreich und unangenehm werden :wink:

Wieso sollte ich das?

Gruss Harry

Damit hab ich gerechnet… also:

Im Schulumfeld hantiert man fast zwangsläufig mit Personenbezogenen Daten und deshalb sind Datenschutz und IT-Sicherheit nach Bauchgefühl schlicht nicht mehr angemessen.

Kataloge wie der BSI Grundschutz (es gibt natürlich noch einige Andere an die man sich halten kann) schaffen eine gute Grundlage. Selbst wenn man nur Teile davon macht. Wenn man es mit IT Sicherheit und Datenschutz ernst meint führt an sowas IMHO keinen Weg vorbei. Denn das ist ja auch die Anforderung die ihr alle an einen zentralen Dienstleister stellt und die gelten natürlich genau so auch für eigene Hostings - natürlich kann man hier bei einer Risikoanalayse anders antworten als ein großer Dienstleister (z.b. sind millionen Schüler oder nur 200 betroffen) woraus auch andere Maßnahmen die umzusetzen sind resultieren.

Zum einen sorgt ihr wenn man sich freiwillig an solche Kataloge hält für ein anerkanntes Sicherheitsniveau, zum anderen sichert es euch und eure Dienststelle ab. Sollte es mal Sicherheitsprobleme geben - ggf. ein Hack - dann könnt ihr nachweisen angemessene Maßnahmen getroffen zu haben - oder habt wenigstens dokumentiert weshalb empfohlene Maßnahmen nicht umgesetzt wurden. Eine solche Konzept und Dokumentenlage kann euch in schwierigen Situationen helfen (auch wenn es sich zu rechtfertigen gilt).

Der Sinn einer guten Dokumentation schon alleine aus Vertretungsgründen halte ich für offensichtlich.

Ich rede nicht davon sich tatsächlich BSI Auditieren zu lassen. Aber Empfehlungen die so ein Katalog wie der BSI IT Grundschutz (und/oder z.B. CIS Benchmarks) gibt sind eine gute Sache - weil ein „How to: Server absichern“ Tutorial ist einfach nicht mehr genug.

1 Like

Morgen,

IT-Grundschutz vom BSI ist mir schon vertraut, ich mach das bei den Fachinformatikern im Unterricht.

Ohne Zertifizierung sichert das aus meiner Sicht ueberhaupt nichts ab, weder mich noch unsere Dienststelle, am Ende zaehlt was man gemacht hat und nicht was auf irgendeinem Papier vermerkt ist, das koennte ich ja zur Not noch nachtraeglich ausfuellen.

Das hat hier ja auch niemand bezweifelt, sieht nach einem Strohmannargument aus.
Ich werde aber einen Teufel tun zu dem ganzen Verwaltungskram, den einem der Datenschutzbeauftragte immer mal wieder hinwirft auch noch das „IT-Grundschutzhandbuch“ (so hiess das mal) abzuarbeiten und zu dokumentieren. In der gesparten Zeit entwickel ich unser Netz lieber weiter, suche sinnvolle Dienste, die ich integrieren kann usw. usf…
Ich halte es da eher mit dem pragmatischen Ansatz als noch mehr Ordner mit Papier zu fuellen, sonst gibt das nix mit der Digitalisierung.

Gruss Harry

Harry, mrzonk,

ihr habt beide m.E. valide Argumente.
Ich halte momentan die Beine still, weil ich wie Harry pragmatisch „weitermache“, aber ich habe auch ein schlechtes GEfühl dabei, weil ich verwaltungstechnisch nicht alles mache, was ich machen könnte.
Ich kenne das IT-Grundschutzhandbuch a.k.a. BSI Grundschutz Katalog nicht und ich vermute, dass Laien wie ich (kein grundständiges Info-Studium, keine Technikerausbildung, theoretischer Physiker von Natur) so einen Katalog gut gebrauchen können. Ich vermute, dass es von meiner Sorte mehr Netzwerk"betreuer" gibt als von eurer Sorte.
Die Arbeit kann man (wenn man und die SL dahinter steht) ja auch verteilt lösen, oder?

Also wäre ich grundsätzlich interessiert, das so gut es geht zu machen. Die Frage ist hier im linuxmuster.net Forum, wieviel man schon bereitstellen kann, vorausgefüllte Formulare, Checkliste, usw. die schon mit Daten gefüttert sind, die die Schulnetzlösung bereitstellt, Anforderungen, die man mind. erfüllen sollte, z.B: Verfahrensverzeichnis…

Rede ich an dem vorbei, was ihr meint, oder bin ich richtig?

VG, Tobias

Lieg ja alles offen, klick Dich da einfach mal durch den Index, dann weisst Du wohin das fuehren kann, die 810 Seiten sind nicht nur mit Luft gefuellt, fuer den IT-Unterricht kann man da sehr gute Teile uebernehmen. Das „Ding“ wurde von Profis erstellt.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2021.pdf?__blob=publicationFile&v=6

Ich hab’s irgendwo schon verlinkt, die DSGVO ist noch (?) ein Papiertiger, kaum Urteile die so richtig weh tun.

Gruss Harry

1 Like

Hallo,

für alle die meinen sich mit der Thematik befassen zu möchten/wollen/müssen:

openHPI: Datenschutz für Einsteigerinnen und Einsteiger

Beste Grüße

Thorsten

1 Like

Ich bin ja auch für pragmatische Ansätze. Ich finde es für einen Schuladmin auch nicht realistisch das volle Programm zu machen (zeitlich). Ich find es m.E. schon für valide sich aus dem BSI Grundschutz nur das auszusuchen was für einen passt (und ggf auch nur dort wo man es unbedingt braucht = Internet Systeme) - und wenigstens das zu machen :wink: In der aktuellen Version sind da ja (anders als früher) schon fast konkrete Empfehlungen drin.

Das Argument, dass nur ein voller Audit was wert ist halte ich aber für ausgemachten quatsch, denn der IT Sicherheit ist eine Teilumsetzung (z.b. nur der technischen Empfehlungen) mehr geholfen als wenn man nix gemacht hat. Zu Dokumentieren welche Empfehlungen man gefolgt ist und welchen nicht sorgt dafür, dass man nix vergessen hat zu machen das man eigentlich machen wollte. Und daraus resultiert automatisch ein höheres Sicherheitsniveau. Und doch: Alle dokumentierten Entscheidungen (ob BSI oder nicht) sind eine Absicherung.

Ich finde es auch wichtig darüber Bescheid zu wissen was man nicht gemacht hat. Viele wiegen sich in Sicherheit weil sie denken sie haben alles gemacht. Das ist aber nie so. Ein volles Bewusstsein darüber wo man Defizite hat ist besser als zu behaupten man hat alles sicher gemacht. Und jeder wird nach der Abarbeitung solcher IT Sicherheitskataloge offene Punkte haben (Weil: kein Geld, keine Ressourcen, Schränkt Funktion ein wenn umgesetzt,…) und das ist auch okay. Aber ihr wisst wo ihr steht und könnt abschätzen welches Restrisiko besteht.

Ich persönlich hab die Erfahrung gemacht das sich durch die durch BSI Grundschutz vorhandene Dokumentenlage, wenn man auch die Teile die Papierkram sind umsetzt, Anfragen von den Datenschutzleuten entweder direkt durch ein bereits vorhandenes Dokument beantwortbar waren oder sich aus diesen in kurzer Zeit erstellen ließen.

Wer was sucht das näher an der Technik ist (absolut konkrete Empfehlungen) dem dürften vermutlich die CIS Benchmarks zusagen: CIS Benchmarks - gibts für alle wichtigen Distributionen und häufig auch für middleware Produkte. Gibts inzwischen auch fertige Ansible Playbooks (z.B. Github) zu finden welche die Maßnahmen der CIS Benchmarks automatisiert umsetzen (sollte man aber besser nicht ungeprüft über ein produktives System drüber jagen^^ - ich sprech aus Erfahrung :sweat_smile:).

Das Level, „ich weiß alles auswendig und bin automatisch auf dem aktuellen Stand“ hab ich noch nicht erreicht weshalb ich persönlich gerne aus anerkannten Richtlinien was mitnehme :wink: Ich lese natürlich gerne auch Forenposts - aber Empfehlungen dort sind meist auf 3 bis 4 Basics beschränkt. Das ist noch keine IT Sicherheit :wink:

1 Like

Hallo,

hinter der Diskussion versteckt sich die Aussage „die privaten können es besser!“.

Dazu drei Beispiele:

  1. Ein bundesweiter Schulnetzprovider bekommt monatlich 8 Stunden für die Wartung eines Schulnetzes (das weiß ich aus sicherer Quelle). Eine Windows 7 Installation dieser Firma zeigt 2019 den Updatestand von 2014.

  2. Betriebe müssen Ihre Elektrogeräte regelmäßig (meist alle 2 Jahre) überprüfen lassen. Da das Prüfen Sachkenntnis verlangt dürfen das nur Elektro-Fachkräfte tun. Die Preise die die Firmen für das Prüfen verlangen sagen mir dass da keine Fachkräfte prüfen können. Im Gespräch mit dem einen oder anderen Prüfer hat sich auch heraus gestellt, dass da keine Elektro-Fachkraft prüft.

  3. Vor vielen Jahren wurden bei uns reihenweise die vom Kreis angestellten Putzkräfte (überwiegend Frauen) entlassen und das Putzen dem „günstigsten“ vergeben.

Ergebnis 1: Zeitweilig - über einen längeren Zeitraum - war nur eine einzige Frau für unsere gesamte Schule (1500 SchülerInnen, 100 LehrerInnen) zum Putzen da.

Die Putzfirmen unterbieten sich regelmäßig bei den Ausschreibungen ohne das Personal zu haben. Natürlich bietet man den Mitarbeitern der „unterlegenen“ Firma an dass man sie übernimmt - natürlich zu ungünstigeren Konditionen.

Ergebnis 2: Es wird so schlecht geputzt, dass - zumindest für die Toiletten - eine Person extra angestellt werden muss, damit diese wenigstens einigermaßen hygienischen Ansprüchen genügen.

Die Beispiele zeigen doch dass die privaten alles besser machen!

Gruß

Alois

Ach bitte. Jetzt nicht in diese Richtung. Das ist eine mittelmäßig gute Behauptung. Nach Zusammenarbeit mit privaten Dienstleistern kann ich dir sagen, dass es die nicht besser können (eher im Gegenteil). Die verkaufen dir nur den BSI Grundschutz (für viel Geld) und sagen dir dann dass dus selber machen musst weil sie ja das garned für dich machen können und sie dich dabei nur „begleiten“ und dir mit ein paar Tipps auf die man auch selber gekommen wäre „helfen“ und hauptsächlich sorgen sie für Folgeaufträge.

Wenn die Disskusion in diese Richtung läuft dann widerspreche ich ausdrücklich, dass das die Intension war und hab ich keine Lust drauf.

Wenn’s aber darum geht die richtige Balance zu finden und Datenschutz und IT Sicherheit im rahmen der Möglichkeiten ernst zu nehmen - bin ich gerne weiter dabei :wink:

1 Like

Hallo,

für die Version 6.2 gab es mal von linuxmuster.net ein „Verfahrensverzeichnis (nach LDSG BW § 11) 2016“. Liegt noch in meinem Portfolio, im Wiki habe ich es nicht mehr gefunden. So etwas für die V7 zu machen wäre ein praktischer Ansatz.

Viele Grüße

Wilfried

1 Like

Konnte bzgl. meiner Balance mit Deinen Ausfuehrungen noch nichts verbessern, aber interessieren wuerde mich trotzdem ob Du eine Schul-IT als Lehrer betreust oder was so Dein Steckenpferd ist.

Gruss Harry

ich hab einige Jahre umfangreich für einen privater Dienstleister Schul-IT gemacht (als Fachinformatiker Azubi), anschließend ein informatik Studium dran gehängt und bin heute in der öffentlichen Verwaltung mit IT Themen beschäftigt (operativ). Das Thema IT in der Schule ist aber weiterhin was bei dem ich die Entwicklungen (vorwiegend über die Medien) verfolge und bin in die Diskussion hier nur über den Heise.de Artikel geschlittert :wink: Wenn weitere Fragen zu mir, gerne per PM.

Hallo,

in diesem Forum ist es üblich dass man seine Meinung sagen kann.

Tatsache ist, dass mit dem Argument „die privaten können das besser“ viel kaputt gemacht wird.

Siehe auch:

Gemeint ist mit dem Argument nur „die privaten machen das billiger“. Im Bereich der Sicherheit braucht man einfach nur einen der den Kopf hinhält, sonst würde man überprüfen ob die „privaten“ sich an die Anforderungen - prüfen dürfen nur Fachkräfte - halten. Und natürlich würde man auch - wenn man die Forderung „nur Fachkräfte“ ernst nehmen würde - höhere Preise akzeptieren.

Viele Grüße

Alois

Hallo Wilfried,

nur kurz dazu: Wir haben das auf der Todo und sind dran.

Mit besten Grüßen

Thorsten Koslowski

Also auch wenn schon auf diese Aussage Bezug genommen wurde, muss ich nochmals nachhaken: Wer soll das denn sein „die Privaten“? Unter „Privat“ verstehe ich einen Menschen, der privat einen Computer zusammenbaut oder privat eine Website erstellt, oder privat ein BigBlueButton auf seinem Server installiert. Und unter „Privat“ versehe ich vor allem: Keine Gewinnabsichten, keine Kunden, und schon gar keine gewerblichen Kunden.

Was war also jetzt mit „die Privaten“ gemeint?

Hallo Alois,

Du darfst gerne deine Meinung sagen. In diesem Fall (sonst eigentlich nie), habe ich eine andere Interpretation. Meiner Meinung nach haben weder @mrzonk, @irrlicht noch ich gerade eine Dienstleister (aka „Private“) vs. öffentliche Hand geführt und auch - meinem Gefühl nach - nicht gemeint. Es ging ziemlich nur um die Sache - völlig ideologie-frei, wer sie leistet.

In diesem Fall würde ich auch gerne eine Diskussion führen, die (auch unterschwelliges) „kommerzielle Dienstleister können das besser“ nicht suggeriert oder thematisiert.

@joo4mart : Mit „Privat“ wurde (vielleicht als Gegenteil zu „public“ wie bei Java zu verstehen) Dienstleister gemeint. Private Schrauber sind sicher außen vor und nie gemeint gewesen.

VG, Tobias

p.s. @irrlicht und @mrzonk : danke für eure Links und Beiträge!

Hallo,

schon mal was von Privatisierung gehört?

Willst du jetzt behaupten, dass damit nicht gewerbliche Unternehmen, sondern Papa Franz gemeint ist :thinking:

Viele Grüße
Steffen

Hallo,

Steffen hat’s auf den Punkt gebracht. Es sollte mit der Privatisierung alles besser werden. Ob’s so ist kann jeder für sich entscheiden.

Gruß

Alois