Page tree
Skip to end of metadata
Go to start of metadata


         S E C U R I T Y - T H E O R E T I S C H


Überzogene Sicherheitsmaßnahmen sind ...
... evtl. kontraproduktiv und reizen die Leute!

Einleitende Gedanken


Das Thema Informationssicherheit im Bildungsbereich hat im Zusammenhang mit seinerzeitigen Angriffsversuchen (scheinbar von der Gruppe Anonymous) gegen verwaltungsinterne Server im österreichischen Bildungswesen Auftrieb erfahren. Es gilt zu beachten, dass neben technischen Sicherheitsstandards v. a. das Sicherheitsbewusstsein der User eine enorme Rolle spielt und ein "Einfallstor" für Menschen ist, die auf Schwachstellen aufmerksam machen wollen oder andere Gründe für sog. Hackerangriffe haben.

Alle Personen, die auf Grund der ihnen zugeteilten Aufgaben Zugriff auf Informationen der Schule erhalten, müssen sich der Notwendigkeit von Informationssicherheit bewusst werden und entsprechend handeln. Einige der notwendigen Maßnahmen sind gesetzlich vorgeschrieben – wie beispielsweise im DSG 2000 (Datenschutzgesetz 2000), andere sind Teil von Verpflichtungen gegenüber Betreibern von Kommunikationsdiensten oder gegenüber vorgesetzten Stellen, wieder andere sind den „Kunden“, also Schülerinnen/Schülern und Eltern geschuldet. Der oder die Verantwortliche/n für IKT (Informations- und Kommunikationstechnik) an der Schule hat/haben hier eine große Verantwortung zu tragen - im Sinne von Multiplikatorfunktionen respektive Weitertragen der Bewusstseinsbildung. Er oder sie hat/haben im Unterschied zu vielen anderen Kolleginnen und Kollegen an der Schule das nötige fachliche Wissen. Die Letztentscheidung und Verantwortung liegt wie immer bei der Leitung der Schule, die sich aber auf die "fachliche" Meinung und auf "Experten" berufen wird. Rechtliche Konsequenzen können jedenfalls allen Beteiligten bei (grober) Fahrlässigkeit drohen.

Es sei hier dezidiert auf das DSG 2000 und da v. a. auf den Abschnitt 3 (Datensicherheit), speziell auf § 14 Datensicherheitsmaßnahmen verwiesen!

Ex existiert auch einen Erlass aus dem bm:ukk (BMUKK-16.700/0019-II/8/2008) - Einfaches und sicheres Schulnetz; IT-Einsatz und Internet Policy an Österreichs Schulen.

Die Broschüre Informationssicherheit in der öffentlichen Verwaltung ist eine weitere Quelle vom Ministerium, die sich mit dem Security-Thema beschäftigt.

Etwas umfangreicher beschreibt der Informationserlass zur Digitalen Kompetenz an Österreichs Schulen nicht nur für IT-Betreuerinnen oder -Betreuer, sondern auch für die Gemeinschaft der Lehrpersonen Empfehlungen zur Mediennutzung, zur Internetpolicy und zum einfachen und sicheren Schulnetz.

Theoretische Überlegungen


Oft sind es nur Kleinigkeiten, die die User zu beachten haben, um eine unerwünschte Offenlegung von Zugangsdaten zu diversen Systemen besser abzusichern. Die Verantwortung trifft uns alle - nur eine breite Umsetzung und Hebung des Security-Bewusstseins im Arbeitsalltag kann uns vor möglichen unangenehmen Folgen schützen.

Im Groben besteht ein Security-Check gemäß CobIT 1 aus Überprüfungen in den Bereichen

  • Risiko- und Bedrohunganalyse unter Berücksichtigung des aktuellen Stands der Technik und der Wirtschaftlichkeit;
  • Dokumentation im Hinblick auf angemessene und vollständige Dokumentation der Systeme, damit ein fachkundiger Dritter innerhalb einer angemessenen Zeit einen sicheren Betrieb gewährleisten kann – inkl. Lizenzmanagement;
  • Authentifizierung im Hinblick darauf, wer sich wo anmelden kann und Zugriff auf Daten hat;
  • Berechtigungskonzept im Hinblick darauf, welche Benutzer und Gruppen welche Berechtigungen im Detail haben;
  • Administration im Hinblick darauf, wer nachvollziehbar einzelne IKT-Bereiche administriert und ob dies durch angemessene technische und organisatorische Maßnahmen sichergestellt ist;
  • Virenschutz im Hinblick darauf, ob die Systeme ausreichend gegen bösartige Software geschützt sind, sowohl technisch (Software) als auch durch organisatorische Maßnahmen wie Security Awareness (Sicherheitsbewusstsein) und ob im Besonderen die Aktualität der Systemsoftware (verfügbare Updates und Hotfixes) sicher gestellt ist;
  • physische Sicherheit im Hinblick darauf, ob die Systeme durch angemessene Schutzmaßnahmen gegen unerwünschten oder unerlaubten Zutritt oder umgebungsbezogene Risiken (Feuer, Wasser, …) geschützt sind;
  • Backup & Restore im Hinblick darauf, dass die Verfügbarkeit von Daten gewährleistet ist – unter der Voraussetzung, dass diese regelmäßig gesichert und an einen sicheren Ort ausgelagert werden, weiters ob die korrekte Funktion der Sicherungsmaßnahmen/Wiederherstellung gewährleistet sind;
  • Notfallplanung im Hinblick auf die Frage, was zu tun ist, wenn die IKT Störungen oder Ausfälle aufweist, z. B. wegen Diebstahls, physikalischem Ausfall, Virenbefall o. Ä.;
  • Client-Server im Hinblick auf die Sicherheit am lokalen Gerät sowie auf den Netzwerkgeräten, Zugriff von außen – also Diensten, die nach außen offen sind, Fernwartung usw.

Praktische Überlegungen


Siehe dazu --> Security praktisch.

Abschließende Überlegungen


Überlegen Sie bitte hinsichtlich des Themas Security zusammenfassend folgende Punkte:

  • Welche Daten werden wo und wofür gespeichert?
  • Wie geheim sind die Daten?
  • Wo liegen Prüfungsfragen, Schularbeiten o. Ä.
  • Wo sind Dienstbeschreibungen u. a. berufliche sensible Daten gespeichert?
  • Wer ist der/die Eigentümer/in der Daten?
  • Ist die Vertraulichkeit gewährt?
  • Überlegungen zu Cloud-Diensten (Dropbox, OneDrive, GDrive, …)?


  • Meine Windowsversion
    winver.exe (startet "winver.exe" in Ihrem Windows-Verzeichnis)
    Alternativ klicken Sie: <Start>-<Ausführen> und geben den Befehl "c:\windows\system32\winver.exe" ein

  

  • ISO/IEC 27001 - Die ISO-Norm zu IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen

    auf wikipedia.org
  • Informationserlass 2010 "Digitale Kompetenz an Österreichs Schulen" im Rahmen der IT-Strategie des BMUKK (GZ: BMUKK-36.200/0043-ITuGM/2010)

    auf bmbwf.gv.at



1:
CobIT ist ein international anerkanntes Rahmenwerk zur IT-Governance, der Führung einer Organisation bezüglich der gesamten Infrastruktur, speziell der IT; es stellt eine Synthese aus mehr als 40 Standards aus den Bereichen Kontrolle, IT-Sicherheit und Qualitätssicherung dar.


  • No labels