Experteninterview: Cyber Security an Schulen – Wie sicher ist der digitale Schulalltag?

Karlsruhe, 31. Mai 2022. “Schule gehackt”, “Schülerkonten gekapert”, “Daten von Schülern öffentlich” – so titeln Medien, wenn Schulen von einem Cyberangriff oder einer Datenpanne betroffen sind. Datensicherheit ist beim Thema Bildungsdigitalisierung einer der wichtigsten Aspekte, stellt Schulen aber immer noch vor einige Herausforderungen. Viele Schulen fühlen sich mit dem Thema allein gelassen: Welche Gefahren bestehen für die Daten von Schüler:innen, Lehrkräften und Eltern? Wie kann sich die Schule schützen? Die Schulplattform Sdui und die Deutsche Gesellschaft für Cybersicherheit (DGC) möchten mit ihrer neuen Kooperation zum Thema Cyber Security aufklären. Auf der Learntec in Karlsruhe sprachen die Experten Philip Heimes (Sdui) und Philip Saladin (DGC) zum Thema Datensicherheit an Schulen.

Sicherheit ist in Schulen ein besonders sensibles Thema, denn es geht um Informationen und die Sicherheit von Kindern. Aus der analogen Welt sind Sicherheitsmaßnahmen für uns ganz selbstverständlich: Wir lassen keine Schulfremden in die Klassenzimmer; das Schulgebäude wird nach Schulschluss abgeschlossen und wichtige Dokumente werden z.B. im Sekretariat verschlossen. Im digitalen Bereich aber gibt es diese Selbstverständlichkeit noch nicht. Was verstehen Sie als Experten unter Cybersicherheit an Schulen?

Philip Saladin: Ganz allgemein geht es beim Thema Cybersicherheit um den Schutz von Daten. Im Bereich Schule sind das im Speziellen: Persönliche Daten wie Name, Geburtsjahr, Wohnort von Schüler:innen, Noten, Klassenbucheinträge, Zeugnisse oder Stundenpläne. Alle diese Informationen werden als Daten auf Festplatten, Servern oder in einer Cloud gespeichert. Auch die gesamte digitale Kommunikation innerhalb der Schulgemeinschaft gehört zu den sensiblen Daten.

Es gehört zum Alltag von Schulen, dass Daten erhoben, verarbeitet, übertragen, gespeichert, archiviert und gelöscht werden. Deshalb ist es auch Aufgabe der Schule, diese Daten vor Missbrauch zu schützen!

Philip Heimes: Das stimmt. Daten vor Dritten zu schützen, das ist heute ein Grundbedürfnis. Cybersicherheit an Schulen muss einen genauso hohen Stellenwert haben, wie andere analoge Sicherheitsmaßnahmen, die für uns selbstverständlich sind. Ausgedruckte Zeugnisse beispielsweise würden niemals offen und für jeden einsehbar herumliegen. Einen unachtsamen Umgang mit personenbezogenen Daten würden wir als massiven Verstoß gegen die Persönlichkeitsrechte eines Kindes werten.

Bei digitalen Daten hingegen kommt es aber immer noch häufig vor, dass genau solche unachtsamen Verstöße passieren. Meist geschieht die ohne böse Absicht. Oft wissen die Beteiligten gar nicht, dass sie mit ihren Handlungen Risiken eingehen und sich einer Gefahr aussetzen. Unwissenheit und das Gefühl, in dem riesigen Feld der Schuldigitalisierung mit solchen Fragen allein gelassen zu werden, stellen ein Problem dar. Wir, Sdui und die DGC, wollen deshalb aufklären zum Thema Cybersicherheit. Wir möchten Schulen und den Beteiligten dabei helfen, den Schulalltag sicherer zu gestalten. Maßnahmen zur Cybersicherheit müssen im Schulalltag zur Selbstverständlichkeit werden, wie das Abschließen der Eingangstür!

Die pandemiebedingten Zeiten von Home Schooling sind weitestgehend vorbei. Welchen Stellenwert hat das Thema Cybersicherheit aktuell überhaupt noch in der Schule? Wird das Thema bei der Vielzahl anderer Herausforderungen an den Schulen nicht überbewertet?

Philip Heimes: Ich denke, es ist nicht mehr zeitgemäß, das Thema Schuldigitalisierung auf Videokonferenzen im Home Schooling zu reduzieren. Wir sehen bei den rund 5.000 Schulen, die Sdui nutzen, dass sich der Umgang mit digitalen Daten wie ein roter Faden durch den Alltag zieht. Heute fragt niemand mehr, OB digitalisiert werden soll, sondern WIE.

Schulen sind in der Krise zu Gestaltern der digitalen Transformation geworden. Jetzt gilt es, aus der Not eine Tugend zu machen. Das heißt für mich, Kompetenz im Bereich der Cybersicherheit zu schaffen, um Risiken bewerten zu können. Das Thema Sicherheit in Verbindung mit der Digitalisierung kann dabei gar nicht hoch genug bewertet werden.

Philip Saladin, die Deutsche Gesellschaft für Cybersicherheit berät Unternehmen wie Behörden in Fragen der Cybersicherheit. Was sind aus Ihrer Erfahrung die größten Sicherheitsrisiken für Organisationen?

Philipp Saladin: Laut einer Befragung aus dem Jahr 2021 durch den Bitkom e.V., dem Branchenverband der deutschen Informations- und Telekommunikationsbranche, ist bei deutschen Unternehmen in 31 Prozent der Fälle die Infizierung mit Schadsoftware wie bspw. Ransomware Attacken das größte Risiko. Sogenannte DDoS-Attacken, bei denen Angreifer bestimmte Ressourcen gezielt überlasten und zum Beispiel Server mit massenhaften Anfragen in die Knie zwingen, betrafen 27 Prozent. Spoofing, das Vortäuschen einer falschen Identität, und Phishing, das Beschaffen persönlicher Daten mit Hilfe von gefälschten E-Mails, haben in 20 beziehungsweise 18 Prozent der Unternehmen Schäden verursacht.

Was sind aus Ihrer Sicht die größten Sicherheitsrisiken für Schulen?

Philip Saladin: Wie in Unternehmen gilt auch in Schulen: Der Mensch stellt das größte Sicherheitsrisiko dar. Das fängt bei Passwörtern an, die auf Zettel geschrieben werden oder als Post-it am Bildschirm kleben. In der Schule sind es auch unterschiedliche, private Geräte, die genutzt werden, wenn es kein zentrales Device-Management gibt. Aber auch fremde USB-Sticks, die verwendet werden, stellen immer noch ein Sicherheitsrisiko dar.

Die größten Sicherheitslücken entstehen allerdings, wenn Software-Updates und Sicherheits-Patches nicht durchgeführt werden. So einfach es klingt, so viel trete ich tagtäglich an solche Schwachstellen heran: Über 50 Prozent der hoch sicherheitsrelevanten Schwachstellen könnten durch Updates geschlossen werden.

Philip Heimes: Natürlich gehören auch gezielte Hackerangriffe von außen und innen zu den Sicherheitsrisiken. Schulen sind z.B. auch von Angriffen mit Ransomeware betroffen, also Schadprogramme, die den Zugriff auf Systeme einschränken, um Lösegeld zu erpressen. Darüber kann die gesamte Schule lahmgelegt, weil die Daten von den Angreifern verschlüsselt werden.

Aber auch Schüler:innen selbst können die Schule angreifen und Daten missbrauchen. Die Kids von heute sind digitale Natives. Sogenannte Scriptkiddies wissen oft besser, wie sie sich Zugang zu Skripten und Programmen verschaffen, als was gerade in Biologie auf dem Lehrplan steht.

Was können die Folgen von Angriffen und Datenlecks sein?

Philip Saladin: Im Bildungswesen können bei unsachgemäßer Bearbeitung solcher Daten beispielsweise Diskriminierungen und Einschränkungen bei der Wahl der Ausbildung und des Berufs denkbar sein. Oder aber eine Schule wird mittels einer Ransomware Attacke verschlüsselt und kann den Fortbetrieb der Schule nicht mehr gewährleisten. Plötzlich wird sie mit Lösegeldzahlungen und einem potenziellen Verstoß gegen die DSGVO konfrontiert.

Philip Heimes: Es gibt Folgen für den Schulbetrieb und natürlich rechtliche Konsequenzen. Am schlimmsten ist es aus meiner Sicht, wenn persönliche Schicksale von Kindern mit einer Sicherheitslücke einhergehen – vertrauliche Informationen über einen Schüler, die dann im Internet landen, weiterverbreitet werden und vielleicht sogar für Mobbing genutzt werden. Solche Fälle sind leider Realität und auch Lehrkräfte können betroffen sein. Wer Opfer von Cyberkriminalität wird, hat damit oft schwer und lange zu kämpfen.

Soweit zu den Risiken. Aber wie können sich Schulen schützen? Was kann jede Schule für ihre Sicherheit tun?

Philip Saladin: Aus unserer Erfahrung weiß ich: Jeder Mitarbeiter, der im Bereich der Security Awareness geschult ist, stellt einen Mehrwert da. Ganz niederschwellige Tipps, die sehr viel bewirken können, sind:
Öffnen Sie niemals Anhänge in Emails von unbekannten Dritten. Klicken Sie nie auf Links, welche auf dubiose Webseiten verweisen. Beim Verlassen Ihres Arbeitsplatzes sperren Sie immer Ihren Computer. Nutzen Sie keine USB-Sticks, welche Sie vermeintlich als Werbezwecke erhalten haben.
Tipps für die IT im Speziellen sind: Nutzen Sie einen Schwachstellenscanner, welcher Ihren Netzwerkumgebung 24/7 überprüft. Führen Sie Software-Updates und Sicherheits-Patches umgehend nach Freigabe der Hersteller aus.

Philip Heimes: Ich denke, ein ganz wichtiger Schritt ist, überhaupt ein Bewusstsein für das Thema Cybersicherheit zu schaffen. Jeder in der Schulgemeinschaft kann einen Teil dazu beitragen, die Schule datensicher zu machen. Aber natürlich ist das Ganze auch eine Budgetfrage, denn in der Regel gibt es in der Schule nicht das notwendige Know-how und die Ressourcen, um die Systeme sicher zu machen und kontinuierlich zu überprüfen.

Es gibt dafür aber Experten, wie z.B. die DGC. Die Zusammenarbeit mit externen Experten wie der DGC, die bei der Umsetzung von Strategien helfen können, bietet sich auch für Bildungseinrichtungen an. Und: Schulen sollten mit digitalen Lösungen arbeiten, die Sicherheit in der Schule ernst nehmen. Sdui tut das – uns ist das Thema Sicherheit besonders wichtig beim Bau unserer Plattform.

Sdui ist eine Plattform für digitale Kommunikation und Organisation an Schulen – wie sieht es mit der Sicherheit auf der Plattform aus? Wie wird diese bereitgestellt?

Philip Heimes: Sdui ist DSGVO-konform und nutzt deutsche Server. Schulen, die Sdui nutzen, müssen sich keine Sorgen darüber machen, wo die Daten gespeichert werden und ob ein Konzern im Ausland Schülerdaten abgreift. Sdui ist gemeinsam mit Schulen in Deutschland entwickelt worden und wird permanent an ihren Bedürfnissen und im Austausch mit ihnen weiterentwickelt. Uns ist dabei ein holistischer Ansatz von Datensicherheit wichtig, was bedeutet: Alle in der Schulgemeinschaft beteiligten Akteure müssen sich sicher auf der Plattform bewegen und miteinander kommunizieren können – Lehrkräfte, Schüler:innen und Eltern.

Sdui und die DGC wollen in Zukunft miteinander kooperieren, um über Cyber Security an Schulen aufzuklären. Warum und was bedeutet das konkret?

Philip Saladin: Sdui und die DGC sind zwei starke Partner, die gemeinsam für das Thema Cybersicherheit sensibilisieren möchten. Wir kennen die Risiken der Digitalisierung und können Lösungen aufzeigen. In Zukunft wollen wir zum Beispiel Informationen und Tipps für Schulen zusammenstellen.

Philip Heimes: Uns geht es darum, Schulen und Bildungseinrichtungen dazu zu befähigen, Risiken selbst zu erkennen und die Datensicherheit selbst beurteilen zu können. Ein Bewusstsein dafür zu schaffen, ist der erste Schritt. Und auch zu wissen, wo es Hilfe gibt. Wir finden es wichtig, Schulen mit dem bedeutsamen Thema Datensicherheit nicht allein zu lassen. Denn: Wir alle können dazu beitragen, das Internet jeden Tag etwas sicher für uns und unsere Kinder zu machen. 

 

Über die Interviewpartner:

Philip Heimes, Chief Technology Officer, Sdui

Philip Heimes ist in Deutschland geboren, ging nach seinem Studium in die USA. Dort war er viele Jahre gestaltend in der Bildungslandschaft tätig, zuletzt als „Head of Data Interoperability“ bei Power School, dem größten amerikanischen Education Technology-Anbieter. Zudem hat er „K12 Data Interoperability Projekte“ für die Bill & Melinda Gates-Stiftung und die Michael & Susan Dell-Stiftung geleitet. Seit Februar 2022 ist er für Sdui als CTO tätig.

Philip Saladin, Head of Sales Switzerland, DGC Switzerland AG 

Philip Saladin verantwortet den Vertrieb bei der DGC Switzerland AG. Zusätzlich zu seiner vertrieblichen Tätigkeit baut er den strategischen und internationalen Vertrieb für die DGC weiter aus. Philip Saladin berät Behörden, Non-Profit-Organisationen wie auch privatwirtschaftliche Firmen in Cybersicherheitsfragen und unterstützt sie dabei, ihre Cyber-Resilienz zu verbessern.

  

Über Sdui

Sdui vereinfacht Kommunikation und Organisation an Schulen und Kitas. Ziel der Plattform ist es, die Zeit für administrative Aufgaben zu reduzieren und Lernen effektiver und zugänglicher zu machen. Hierfür entwickelt Sdui DSGVO-konforme Lösungen, die Lehrkräfte, Eltern und Kinder miteinander verbinden. Mithilfe von Funktionen wie Chat, Videotelefonie, Cloud, Stundenplan, digitalem Klassenbuch und Übersetzungsfunktionen schafft die App die Infrastruktur für digitales Lernen. Die Sdui GmbH wurde 2018 in Koblenz gegründet und ist heute eines der am schnellsten wachsenden Start-ups der deutschen Ed-Tech-Branche.

Stand Mai 2022 beschäftigt Sdui rund 150 Mitarbeitenden und hat mehr als 5.000 Schulen und Kitas in Europa erreicht. Weitere Infos gibt es über sdui.de.

Weitere Zahlen, Daten, Fakten zu Sdui finden Sie hier im Media Kit

Pressekontakt Sdui:
Anna Ferdinand
Head of PR & Communications
+49 261 13490865
anna.ferdinand@sdui.de

 

Über die Deutsche Gesellschaft für Cybersicherheit (DGC)

Als einer der führenden Anbieter für Cyber Security und Datenschutz unterstützt die Deutsche Gesellschaft für Cybersicherheit (DGC) seit 2015 nationale und internationale Unternehmen dabei, die Chancen des digitalen Wandels zu nutzen – und damit verbundene Risiken zu minimieren. Mit ihrem holistischen Ansatz und eigenen Produkten sorgt die DGC für umfassende Cybersicherheit und IT-bezogenes Risikomanagement, u.a. durch simulierte Hackerangriffe, Security Awareness Training und Beratung zu Sicherheitsstandards oder Notfalldienst bei IT-Sicherheitsvorfällen. Von der Financial Times und statista wurde das Unternehmen 2022 zu einem der „1000 Europe`s Fastest Growing Companies“ gekürt. Neben dem Hauptsitz Flensburg ist die DGC an fünf weiteren Standorten in Deutschland und im Ausland vertreten. Sie ist zudem Partner der Allianz für Cyber-Sicherheit sowie im Bundesverband für IT-Sicherheit (TeleTrust e.v).

Mehr Infos unter dgc.org

Pressekontakt DGC:
Romy Weigel
Specialist Marketing
presse@dgc.org