Datensicherheit im schulischen Netz Andreas Rittershofer Netzwerkberatertagung Meckenbeuren 2010
Vorbemerkung Ich bin kein Jurist und kann und darf daher keine Rechtsberatung geben. In kritischen Fragestellungen und Fällen ist daher der Rat eines Juristen einzuholen.
Datensicherheit und Datenschutz Datensicherheit: Eigenschaften von ITSystemen: Vertraulichkeit, Verfügbarkeit und Integrität Datenschutz: Schutz des Einzelnen vor dem Missbrauch seiner personenbezogenen Daten
Datensicherheit: Vertraulichkeit Informationen für einen begrenzten Empfängerkreis; geschützt u.a. durch: Briefgeheimnis Fernmeldegeheimnis Datenschutz dazu später mehr
Datensicherheit: Verfügbarkeit Maß für die Fähigkeit, bestimmte Anforderungen in bestimmter Zeit zu erfüllen 99% bei einem 24*356-System sind immerhin 87,6 h Ausfallzeit Redundanz erhöht die Verfügbarkeit, z.b. RAID, doppelte Server, Cluster, redundante Netzteile, unterbrechungsfreie Stromversorgung, usw.
Datensicherheit: Integrität Gibt an, dass die Daten vollständig und unverändert sind Die Daten müssen dazu gegen Verlust und gegen Veränderung (Fälschung) geschützt sein Schutz vor Verlust durch Backups Schutz gegen Fälschung z.b. durch Prüfsummen (CRC, MD5, SHA1, ) oder digitale Signatur
Datenschutz Landesdatenschutzgesetz Landesdatenschutzbeauftragter Verwaltungsvorschrift zum Datenschutz an öffentlichen Schulen Umfangreiche Informationen schulgerecht aufbereitet auf: http://lehrerfortbildung-bw.de/ sueb/recht/ds_neu/
Landesdatenschutzgesetz Landesdatenschutzgesetz des Landes BadenWürttemberg: http://www.baden-wuerttemberg. datenschutz.de/recht/ldsg/ default.htm
Landesdatenschutzbeauftragter Landesdatenschutzbeauftragter des LandesBaden-Württemberg: http://www.baden-wuerttemberg. datenschutz.de/ Lesenswert die Tätigkeitsberichte: http://www.baden-wuerttemberg. datenschutz.de/lfd/tb/default.htm Von besonderem Interesse sind hierbei natürlich die Abschnitte über Schulen
Verwaltungsvorschrift Verwaltungsvorschrift zu Datenschutz an öffentlichen Schulen : http://lehrerfortbildung-bw.de/ sueb/recht/ds_neu/vwpd/
Verfahrensverzeichnis Jede Schule muss ein Verfahrensverzeichnis führen Wenn kein bestellter Datenschutzbeauftragter, dann Vorlage des Verfahrensverzeichnisses beim Landesdatenschutzbeauftragten Datenschutzbeautragter kann auch vom Schulträger für dessen Schulen bestellt werden
Verfahrensverzeichnis die 2. Kurzversion: http://lehrerfortbildung-bw.de/ sueb/recht/ds_neu/ verfahren/form.html Langversion: http://www.kultusportal-bw.de/ servlet/pb/show/1267410/ Verfahrensverzeichnis-061221VD.pdf
Anlage 3 zur VwV Sehr wichtig Anlage 3: http://lehrerfortbildung-bw.de/ sueb/recht/ds_neu/vwpd/ Anlage_3_zur_VwV.pdf Genehmigungsantrag: http://lehrerfortbildung-bw.de/ sueb/recht/ds_neu/vwpd/ Nutzung_privater_Datenverarbeitungs gerte_durch_lehrkrfte.pdf
Anlage 3 die 2. Passwort am Rechner Individueller Zugang zum Computer Aktueller Patchlevel aller Software Firewall, Virenschutzprogramm Keine Nutzung von fremden Internetzugängen Daten auf USB-Stick Verschlüsselung
Genehmigung durch Schulleiter Ohne Genehmigung keine Verarbeitung personenbezogener Daten auf privaten Rechnern der Lehrkräfte! Anlage 3 gibt Hinweise und macht Vorgaben Lehrkräfte z.t. überfordert Fortbildung Alternative: Geschützte Rechner in der Schule
Technische Maßnahmen Benutzerzugang Softwareaktualisierung Virenschutz Firewall Verschlüsselung Passwörter Backup
Benutzerzugang Rechner muss einen passwortgeschützten Benutzerzugang haben NICHT unter Administratorenzugang arbeiten!
Softwareaktualisierung Sämtliche verwendete Software muss stets auf dem aktuellen Patchlevel gehalten werden Dies gilt natürlich auch für das Betriebssystem!
Virenschutz Rechner benötigt Antivirenlösung Regelmäßige Updates sind Pflicht
Firewall Firewall auf Rechner oder Router muss aktiviert sein Alle eingehenden Verbindungen blockieren Nur wirklich erforderliche ausgehende Verbindungen erlauben Firewalls sind oft nur Paketfilter
Verschlüsselung Daten können durch Verschlüsselung geschützt werden Welche Verfahren es gibt und welche Software für die Schule geeignet ist zeigt der nachfolgende Vortrag auf
Passwörter 1 Der Schutz hängt wesentlich von einem guten Passwort ab Alles, was in einem Lexikon zu finden wäre, ist unbrauchbar Ein gutes Passwort hat mindestens acht Zeichen und enthält Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen, z.b. 7W$k!8gVd=
Passwörter 2 Für jeden Zugang wird ein anderes Passwort verwendet Passwörter werden NICHT auf Zettelchen an den Bildschirm geklebt oder unter der Tastatur versteckt Zur Verwaltung der Passwörter eignet sich eine Software wie KeePass : http://keepass.info/
Backup Regelmäßige Backups sind Pflicht Geeignetes Medium sind externe Festplatten Mehrere Generationen sind auf unterschiedlichen Festplatten zu speichern Die Festplatten müssen an unterschiedlichen Orten, auch außer Haus, aufbewahrt werden Die Festplatten sind vor unbefugtem Zugriff zu schützen
Rahmendienstvereinbarungen Rahmendienstvereinbarungen zwischen KM und HPR zur Verarbeitung personenbezogener Daten der Lehrkräfte: http://lehrerfortbildung-bw.de/ sueb/recht/ds_neu/persdat/
Evaluation und Datenschutz Schulen sind sowohl zur Evaluation als auch zum Datenschutz verpflichtet Merkblatt des Landesinstitutes zu diesem Spannungsfeld: http://lehrerfortbildung-bw.de/ sueb/recht/ds_neu/eva/ QE5_DatenschutzMerkblattKM.pdf Informationen dazu auch in der VwV.
Evaluation und Datenschutz 2 Nicht unter fünf Personen befragen Erhebung von Daten wo immer möglich vermeiden (Name, Alter, Geschlecht, usw.) Anonyme Abgabe Anonymisierung Fortbildungsreihe zur Evaluation mit Moodle
Moodle in der Schulorganisation Derzeit nicht für Gymnasien und berufliche Schulen wegen fehlender Zustimmung des HPR Moodle-Installation muss der Schule gehören https als Übertragungsprotokoll und zwar nicht nur für das Login! Schulleiter NICHT Admin!
Schule online Veröffentlichung personenbezogener Daten von Schülern, Lehrern, Eltern nur mit Einverständnis, am besten schriftlich und bei Minderjährigen von den Erziehungsberechtigten Ausnahme: öffentliche Veranstaltungen der Schule Weitergabe der Daten an Privatpersonen oder zu kommerziellen Zwecken nicht zulässig, auch Einholung des Einverständnisses hierfür nicht zulässig
Vielen Dank!