IT-Sicherheit im Schulalltag Hanseatische Software- Entwicklungs- und Consulting GmbH w w w. h e c. d e Übersicht Vorstellung der Vortragenden Was bedeutet IT-Sicherheit? Datenschutz in der Schule Passwortsicherheit Datenverschlüsselung Sicherheit im Internet Soziale Netzwerke Schulhomepage und Urheberschutz 2012, HEC GmbH IT-Sicherheit im Schulalltag 2
Vorstellung Günther Ewald Seit 1989 Mitarbeiter der HEC GmbH Zahlreiche Software-Entwicklungs- und Beratungsprojekte Betrieblicher Datenschutzbeauftragter der HEC Externer Datenschutzbeauftragter für drei Unternehmen Stefan Krug Seit 2006 Mitarbeiter der HEC GmbH Testmanager und Systementwickler in verschiedenen Projekten Informationssicherheitsbeauftragter der HEC 2012, HEC GmbH IT-Sicherheit im Schulalltag 3
Was bedeutet IT-Sicherheit? IT-Sicherheit - Informationssicherheit - Datenschutz Schutzziele Verfügbarkeit Vertraulichkeit Integrität Gefährdungen Risiken Maßnahmen Sicherheitsstandards: z. B. IT-Grundschutzhandbuch des BSI (Umfang!) Im Folgenden können nur Teilaspekte behandelt werden Vorbildfunktion der Informatik-Lehrerinnen und Lehrer ( Medienkompetenz ) Lehrerinnen und Lehrer haben die Verpflichtung, Regelungen einzuhalten; Beispiel Datenschutz 2012, HEC GmbH IT-Sicherheit im Schulalltag 4 IT-Sicherheit, allgemeiner Informationssicherheit, bezieht sich auf informationsverarbeitende und speichernde Systeme. Ziel ist es, die Informationsverarbeitung vor Gefahren und Bedrohungen zu schützen, Schäden zu verhindern und Risiken zu minimieren. Beim Datenschutz geht es um den Schutz von Personen vor dem Missbrauch ihrer personenbezogenen Daten. Verfügbarkeit bedeutet, dass Dienstleistungen, Funktionen eines IT-Systems oder Informationen zum geforderten Zeitpunkt zur Verfügung stehen. Vertraulichkeit bedeutet, dass Informationen nicht durch Unbefugte eingesehen oder genutzt werden können. Integrität bedeutet, dass Informationen vollständig und nicht durch Unbefugte geändert werden. Um diese Ziele zu erreichen, müssen die Bedrohungen und Gefahren für die Informationssicherheit bekannt sein. Beispiele für Gefahren: Verfügbarkeit: Stromausfall, Festplattencrash Vertraulichkeit: Zutritt zu Rechenzentren, Geräten oder zu Datenträgern, Trojaner Integrität: Programmabstürze, Viren Es gibt in Deutschland verschiedene Sicherheitsstandards, z. B. ISO 2700x, BSI-IT-Grundschutz. Diese Werke sind sehr umfangreich, die Umsetzung ist häufig sehr zeitaufwändig und an Schulen in der Regel nicht umzusetzen. Dennoch gibt es einfache Maßnahmen zur Erhöhung der Informationssicherheit. 100% Sicherheit gibt es sowieso nicht. Wo liegen in Schulen die größten Gefahren und Risiken für Informationssicherheit im Schulalltag? Und welche Maßnahmen gibt es dagegen? Welche davon können (und müssen) von den (Informatik- )Lehrerinnen und Lehrern umgesetzt werden? Lehrerinnen und Lehrer haben zum einen eine Vorbildfunktion für die Schülerinnen und Schüler, in Bezug auf Informatik häufig mehr als z. B. Eltern. Zum anderen haben Lehrerinnen und Lehrer die Verpflichtung, Vorschriften oder gesetzliche Regelungen einzuhalten. Beispiel: Datenschutz
Datenschutz in der Schule Landesdatenschutzgesetze Bremer Schuldatenschutzgesetz gilt für alle Bremer Schulen Welche Daten dürfen verarbeitet werden? -> Verordnung Die Einwilligung und Unterrichtung der Betroffenen ist erforderlich, mit Ausnahmen, z. B. wenn die Verarbeitung im Interesse der oder des Betroffenen oder für die pädagogische Arbeit an der Schule notwendig ist Verwendung von private(n) Datenverarbeitungsgeräte(n) zur Verarbeitung personenbezogener Daten von Schülerinnen und Schülern nach schriftlicher Vereinbarung 2012, HEC GmbH IT-Sicherheit im Schulalltag 5 Die gesetzlichen Regelungen und Verordnungen in Bremen und Niedersachsen unterscheiden sich inhaltlich und formal nur wenig: Niedersachsen Landesdatenschutzgesetz Niedersachsen (NDSG) Verwaltungsvorschrift zum NDSG Niedersächsisches Schulgesetz Runderlass zur Verarbeitung personenbezogener Daten auf privaten Datenverarbeitungsgeräten (DV- Geräten) von Lehrkräften Bremen Bremisches Datenschutzgesetz (BremDSG) Bremisches Schulgesetz und Schulverwaltungsgesetz Verordnung über die Datenverarbeitung durch Schulen und Schulbehörden Folgende Daten dürfen laut Verordnung über die Datenverarbeitung durch Schulen und Schulbehörden verarbeitet werden: Ohne Einwilligung der Erziehungsberechtigten unter anderem: Vor- und Nachname Geschlecht Geburtsdatum und Geburtsort Adresse und Telefonnummer Staatsangehörigkeit Aussiedlereigenschaft (Migrationsstatus) Religionszugehörigkeit
Muttersprache Daten über gesundheitliche Auffälligkeiten Behinderungen Pädagogische, soziale, therapeutische Maßnahmen, soweit sie für den Schulbesuch Bedeutung haben Angaben über Funktionen als Schülervertreter Beurteilungsdaten Fehlzeiten Nur mit Einwilligung der Eltern zum Beispiel: Beruf der Eltern Familiäre Situation (alleinerziehend, verheiratet, ledig ) Geschwisterkinder Aufenthaltsbestimmungsrecht Lebenspartnerschaft des / der Personensorgeberechtigten Verwendung von private(n) Datenverarbeitungsgeräte(n) zur Verarbeitung personenbezogener Daten von Schülerinnen und Schülern nach schriftlicher Vereinbarung: Die Lehrkräfte haben sicherzustellen, dass diese Daten vor dem Zugriff Dritter geschützt sind und spätestens nach dem Ende des jeweils nächsten Schuljahres gelöscht werden. Sie müssen sich schriftlich zur Beachtung der datenschutzrechtlichen Vorschriften verpflichtet und sich mit der Überwachung durch den behördlichen Datenschutzbeauftragten und den Landesbeauftragten für den Datenschutz einverstanden erklärt haben Siehe Erklärung zum Einsatz privater Datenverarbeitungsgeräte in den Bremer Informationen zum Schuldatenschutz bzw. den Runderlass des Niedersächsischen Kultusministeriums zur Verarbeitung personenbezogener Daten auf privaten Datenverarbeitungsgeräten (DV-Geräten) von Lehrkräften
Passwortsicherheit Bedeutung von Passwörtern (Vertraulichkeit, Integrität) Anforderungen an Passwörter: Keine trivialen Passwörter, keine Namen oder Begriffe aus der Umgebung, keine Systemvorgaben Mindestens 8 Zeichen, besser 10 Zeichenvorrat ausnutzen (Groß-/Kleinbuchstaben, Ziffern, Sonderzeichen) Regelmäßige Änderung, keine Wiederverwendung, keine Mehrfachverwendung Merken bzw. Speichern von Passwörtern Passphrasen : Anfangsbuchstaben von Wörtern oder Silben in Sätzen, Sprüchen, Liedern Nicht auf Notizzetteln, sondern in gesicherten (verschlüsselten) Dateien Beispiel keepass 2012, HEC GmbH IT-Sicherheit im Schulalltag 6 Beispiel für eine Passphrase: Es tanzt ein Bibabutzemann auf einem Bein herum, fideldum -> 3t1Ba1Bh,f Da man für alle Systeme und Programme verschiedene Passwörter verwenden und diese auch noch häufiger ändern sollte, braucht man schnell einige Dutzend Passwörter, PINs usw. Diese kann man nicht alle im Kopf behalten. Daher ist der Einsatz eines Passworttresors sinnvoll (notwendig?). Keepass ist kostenlos und gibt es für verschiedene Betriebssysteme (Windows, Linux, Portable, Android, ). Installationssätze befinden sich auf dem HEC Stick.
Datenverschlüsselung Ziel: Vertraulichkeit, Integrität Bei der Speicherung: Laufwerksverschlüsselung BitLocker (ab Windows Vista, Windows 7; nur ganze Partitionen) TrueCrypt Für verschiedene Systeme verfügbar Auch für externe Laufwerke (z. B. externe Festplatten, USB-Sticks, DVDs) Auch hier gilt: Sicheres Passwort verwenden! Bei der Übertragung: E-Mail: Pretty Good Privacy (PGP), z. B. bei Thunderbird (Enigmail) Internet: SSL bzw. https (vgl. Sicherheit im Internet) 2012, HEC GmbH IT-Sicherheit im Schulalltag 7 Für Datenverschlüsselung auf Datenträgern steht z. B. für Windows BitLocker zur Verfügung. Damit können ganze Partitionen, nicht aber einzelne Bereiche, verschlüsselt werden. Auch Wechseldatenträger (USB-Sticks) können verschlüsselt werden. Für viele Systeme ist das Programm TrueCrypt verfügbar. Mit TrueCrypt lassen sich einzelne Bereiche ( Container ) oder auch ganze Laufwerke ( Volumes ) verschlüsseln. Installationssätze befinden sich auf dem HEC Stick. Zur Benutzung von PGP muss in Thunderbird zunächst PGP installiert werden und dann Enigmail als Addon. Über den OpenPGP-Assistenten kann dann ein Schlüsselpaar eingerichtet werden. Zur Verschlüsselung der E-Mails muss der öffentliche Schlüssel des Empfängers benutzt werden.
Bewusste Sicherheit im Internet Wie kommen eigentlich Viren auf den Rechner und was kann ich dagegen tun? 2012, HEC GmbH IT-Sicherheit im Schulalltag 8
Dateianhänge (email etc.) Infizierte Software/Dateien, Tauschbörsen Drive-By-Infektion Drive-By-Download Infizierte Massenspeicher Direkter Zugriff per WAN/LAN ( Honeypot ) 2012, HEC GmbH IT-Sicherheit im Schulalltag 9 Dateianhänge: Klassisch ist das Ausnutzen der ausgeblendeten Dateiendungen, wie.exe oder.bat, indem die Datei mit einem Konstrukt wie.jpg.exe benannt wird, wobei durch das Ausblenden nur noch.jpg übrig bleibt. Infizierte Software/Dateien: Manipulierte Installer für bekannte Softwarepakete, Dokumente mit Schadcode in Makros, in beliebigen Dateien versteckter Schadcode, welcher Sicherheitslücken ausnutzt. Beim dritten Beispiel könnte das z.b. ein veränderter GetCodec-Aufruf einer mp3-datei sein, durch den der Player anschließend den als Codec getarnten Schadcode nachlädt. Drive-By-Infektion Bei Drive-By-Infektion wird ein Computer allein durch den Besuch einer Webseite mit Schadcode infiziert. Hierzu sind aktive Inhalte notwendig, durch die der Download und das automatisierte und oft unbemerkte Ausführen von Schadcode ermöglicht wird. Infizierte Massenspeicher Dank Autostartroutinen können beliebige Scripte ausgeführt werden, sodass das Einstecken von Datenträgern oft ausreicht. Direkter Angriff Portfreigaben, Dateifreigaben etc. bieten Möglichkeiten für viele Angriffe.
Software Verhalten und was kann ich dagegen tun? 2012, HEC GmbH IT-Sicherheit im Schulalltag 10 Sicherheit kann nur durch das Zusammenspiel von bewusst gewählter und gewarteter Software und der besonnenen Handhabung der Systeme gewährleistet werden.
Software 1. Updates (Betriebssystem, Browser, Flash, etc.) 2. Virenscanner (z.b. Avira, AVG) 3. Firewall (Router, Windows; pers. FW fraglich) 2012, HEC GmbH IT-Sicherheit im Schulalltag 11 Updates Nur regelmäßige (Sicherheits-)Updates sorgen dafür, dass Sicherheitslücken in Programmen rechtzeitig geschlossen werden können, bevor daraus ein Sicherheitsproblem erwächst. Automatische (Sicherheits-)Updates sind zu empfehlen. Virenscanner Auf allen Computern mit Windows-Betriebssystem sollte ein Virenscanner als Grundausstattung angesehen werden. Kostenlose Alternativen sind in der Regel vollkommen ausreichend in ihrem Funktionsumfang. Jeder Virenscanner ist aber nur so gut, wie seine Virusdefinitionen aktuell sind! -> tägliche, automatische Updates Firewall Ins Betriebssystem integrierte Firewalls bieten i.d.r. ausreichenden Schutz, sie sollten deshalb stets aktiviert sein. Router-/Hardwarefirewalls bieten einen noch besseren Schutz und bieten bessere Konfigurationsmöglichkeiten. Personalfirewalls, die als Dienst ähnlich einem Virenscanner installiert werden, sind in ihrer Wirksamkeit umstritten. Im schlimmsten Fall bieten diese sogar weitere Angriffspunkte.
Verhalten 1. Quellenskepsis (vertrauenswürdig?) 2. Fremde Geräte (USB-Stick, Festplatten, Autostart?) 3. Das Internet und die Scripte So viel wie nötig, so wenig wie möglich 2012, HEC GmbH IT-Sicherheit im Schulalltag 12 Quellenskepsis Sowohl bei emails, als auch bei Webseiten sollte stets eine Einschätzung stattfinden, ob diese Quelle vertrauenswürdig ist. Die angezeigte email-adresse muss nicht mit der tatsächlichen übereinstimmen! Links in emails sollten vor dem Besuchen kritisch betrachtet werden: Kenne ich die URL? Was genau bringt es mir, diesem Link zu folgen? HTTPS ist kein Freifahrtschein! Auch wenn das Zertifikat augenscheinlich korrekt ist, kann auch z.b. einfach die Adresse eine Andere sein, als erwartet. (sparkasse.to statt sparkasse.de?) Fremde Geräte sind stets als potentiell gefährlich einzuschätzen. Es hilft, wenn der Autostart der verschiedenen Geräte deaktiviert wird (USB, optische Laufwerke, etc.), dennoch ist die Verwendung niemals Risikofrei.
Bewusste Sicherheit im Internet Rückeroberung der Browserhoheit mit NoScript 2012, HEC GmbH IT-Sicherheit im Schulalltag 13
JavaScript, JScript Videos Animationen dynamische Objekte Nach-Hause-Tel. Drive-By-Downloads unsichere Plugins 2012, HEC GmbH IT-Sicherheit im Schulalltag 14 Über JavaScript (Skriptsprache für Webbrowser) und Jscript (proprietäre Skriptsprache von Microsoft, basierend auf JavaScript) Diese ermöglichen den Einsatz von interaktiven Inhalten auf Webseiten, Animationen und das Einbinden von Plugins, wie z.b. Adobe Flash. Des Weiteren können durch diese aber unerwünschte Rückmeldungen erzeugt werden, das Surfverhalten webseitenunabhängig überwacht werden und unerwünschte Aktionen, wie das Ausführen von Schadcode, durchgeführt werden.
NoScript AddOn für Firefox Blockt Scripte und aktive Inhalte auf Webseiten Ausführen oder nicht, das ist hier die Frage! 2012, HEC GmbH IT-Sicherheit im Schulalltag 15 Welche Scripte sollte ich zulassen? Generell immer nur so viel, wie gerade notwendig. Relevante Scripte stammen in der Regel von der besuchten Seite direkt. -> Scripte mit der Adresse youtube.com sind auf Youtube z.b. für das Einbinden des Flashplayers zuständig. http://noscript.net/
Meine Daten gehören mir Augenmaß im Social Web Social Media heute 2012, HEC GmbH IT-Sicherheit im Schulalltag 16 w w w. h e c. d e Microblogging Kurznachrichtendienst Tagebuch, Werbeplattform, Organisation pol. Aktionen Tweets abonnieren (follow) Suche (#Hashtag) 2012, HEC GmbH IT-Sicherheit im Schulalltag 17 www.twitter.com
Plattform, vorrangig für Geschäftsbeziehungen Erweitern und Darstellen des Kontaktnetzwerkes Online-CV, Foren, Fachgruppen 2012, HEC GmbH IT-Sicherheit im Schulalltag 18 www.xing.com w w w. h e c. d e Pflege & Erweiterung sozialer Netzwerke Teilen von Nachrichten, Bildern, etc. Organisation von Events ca. 845 Mio. (Dez. 2011) Mitglieder mehr als 100 Mio. (7.03.2012) Mitglieder 2012, HEC GmbH IT-Sicherheit im Schulalltag 19 http://www.facebook.com https://plus.google.com
2012, HEC GmbH IT-Sicherheit im Schulalltag 20 www.studivz.net www.fitocracy.com www.wer-kennt-wen.de www.myspace.com www.lokalisten.de https://joindiaspora.com http://de.ning.com w w w. h e c. d e 2012, HEC GmbH IT-Sicherheit im Schulalltag 21 Auch Spiele sind aktive Inhalte und somit potentiell gefährlich!
Zivilrechtlich fragwürdige Äußerungen / Taten Falsche Tatsachenbehauptungen Schmähkritik Beleidigungen Verstoß gegen das Persönlichkeitsrecht (Fotos!) Äußerungen über Kollegen und Vorgesetzte Beeinträchtigung des Betriebsklimas Versehentliches Ausplaudern von (Geschäfts)Geheimnissen 2012, HEC GmbH IT-Sicherheit im Schulalltag 22
Strafrechtlich relevante Äußerungen (Cyber-Mobbing) Beleidigung Verleumdung Drohung, Nötigung Stalking Identitäts- und Account-Diebstahl Verrat von (Geschäfts)Geheimnissen 2012, HEC GmbH IT-Sicherheit im Schulalltag 23 Beleidigung 185 StGB Üble Nachrede 186 StGB Verleumdung 187 StGB Nötigung 240 StGB Bedrohung 241 StGB Erpressung 253 StGB Verletzung der Vertraulichkeit des Wortes 201 StGB Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen 201a StGB Verletzung des Briefgeheimnisses 202 StGB Gewaltdarstellungen 131 StGB Stalking: 238 StGB (Nachstellung) http://www.lehrer-online.de/fall-des-monats-01-10.php
Selten dämliche Außendarstellung 2012, HEC GmbH IT-Sicherheit im Schulalltag 24 Teldafax Holding AG ( Telefon, Daten, Fax ) - Energieversorgung, Telekommunikation, Touristik, Finanzdienstleistungen - Eingeschränkte Erreichbarkeit für Kundenbeschwerden - Kunden nutzten das Facebook-Profil der AG für Beschwerden - TelDaFax jedoch hatte nicht verstanden, wie man mit Kunden auf derartigen Plattformen umgeht
Meine Daten gehören mir Augenmaß im Social Web Außendarstellung und Umgang 2012, HEC GmbH IT-Sicherheit im Schulalltag 25 w w w. h e c. d e 2012, HEC GmbH IT-Sicherheit im Schulalltag 26
Tipps zum Umgang Strikte Trennung zwischen Beruf und Privatleben (Privatsphäre-Einstellungen) Soziale Netzwerke trotz aller Privatsphäre- Einstellungen als öffentlichen Raum betrachten Angemessener Umgang (Etikette, Netiquette) 2012, HEC GmbH IT-Sicherheit im Schulalltag 27 www.ccinfo.de/netiquette.htm w w w. h e c. d e HOW TO: Sicherheitseinstellungen emmtee.de: FB-Sicherheitseinstellungen Schritt für Schritt http://emmtee.de/allgemein/facebook-sicherheitseinstellungen-schritt-fur-schritt-einfachmit-bildern-erklart-stand-marz-2012 internet-abc.de: Sicherheit in Sozialen Netzwerken (Facebook, Google+, studivz) http://www.internet-abc.de/eltern/sicherheit-soziale-netzwerke.php reclaimprivacy.org: Tool zur Prüfung der FB-Einstellugnen http://www.reclaimprivacy.org/ 2012, HEC GmbH IT-Sicherheit im Schulalltag 28
Schulhomepage und Urheberschutz Verantwortung bei der Schulleitung (Telemediengesetz) Impressumpflicht Veröffentlichung personenbezogener Daten darf nur mit Einwilligung der Betroffenen (Schüler/innen sowie Lehrer/innen) Veröffentlichung von Bildern darf nur mit Einwilligung der Betroffenen erfolgen, sonst strafbar! 2012, HEC GmbH IT-Sicherheit im Schulalltag 29 w w w. h e c. d e Vielen Dank für Ihre Aufmerksamkeit. Wir freuen uns auf den Dialog mit Ihnen. Hanseatische Software- Entwicklungs- und Consulting GmbH Buschhöhe 6 28357 Bremen Fon 0421 20 75 0-0 Fax 0421 20 75 0-99 Email hec.bremen@hec.de Internet Zertifiziert nach DIN EN ISO 9001:2008 2011, HEC GmbH Folienmaster 30