So schützen Sie sich vor Zoom-Pannen und Datenlecks – auch zum Schutz der Lernenden
Die meisten Schulen und Hochschulen werden zum neuen Schuljahr bzw. Semester entweder komplett auf Online-Unterricht oder auf eine Mischung aus Online- und Präsenzunterricht umgestellt haben. Angesichts dessen ist das Thema Sicherheit so wichtig wie nie. Zu Beginn der Pandemie nutzten Hacker die Unsicherheit vieler Menschen durch gezielte Angriffe aus. Auf ähnliche Weise könnte ihnen das jetzt auch bei Bildungseinrichtungen gelingen, die zunehmend auf Online-Unterricht setzen und es versäumen, Daten und deren Übertragungswege zu schützen.
Bildungseinrichtungen und Lehrkräfte müssen sich mit Authentifizierung, Zugriffskontrolle, Datenintegrität und Inhaltsschutz beschäftigen, wenn sie Lernumgebungen und Lernende schützen möchten. Bei der Absicherung des digitalen Lernens steht das Bildungswesen vor zwei großen Herausforderungen: Zum einen müssen sensible Daten geschützt werden, zum anderen die Online-Kommunikation und -Kurse.
Absicherung der Daten von Lernenden
Lange ist es her, dass sich Schüler oder Studenten ins Lehrerzimmer schlichen und Klausuren stahlen, um sich eine gute Note zu sichern. Wer das vorhat, hackt sich heutzutage ins Netzwerk der Schule oder Uni ein. Ein Schüler verschaffte sich Zugang zum System seines Schulbezirks, fand dort Millionen von Datensätzen – Klausurnoten, Atteste, Speisepläne, um nur einige zu nennen – und informierte die Verantwortlichen dann über die Schwachstellen. Hacker haben Bildungseinrichtungen als neue Ziele entdeckt und nutzen deren Schwachstellen immer dreister aus. Im vergangenen Jahr fielen in den USA mehr als 500 Schulen Ransomware zum Opfer. Die Hacker verlangten ganze 1,6 Millionen US-Dollar. Dieses Jahr könnte noch schlimmer werden, denn überall läuft die Umstellung auf das digitale Klassenzimmer. Schon im Sommer befiel Ransomware mehrere Universitäten. Im Juli zahlte die University of Utah fast eine halbe Million Dollar Lösegeld und zuvor, im Juni, hatten Hacker gedroht, Studentendaten des Columbia College im Dark Web zum Verkauf anzubieten.
Gerade Schüler- und Studentendaten müssen geschützt sein, schließlich beherbergen Bildungseinrichtungen Massen davon. Neben Punktzahlen und Noten erfassen sie über die Lernenden auch deren Alter und Geschlecht, ethnische Herkunft, etwaigen Förderbedarf, Fehlzeiten, Verhalten und mehr. Unabhängig vom Hosting-Standort müssen solche Daten verschlüsselt und der Zugriff darauf eingeschränkt werden.
Drittanbieter-Plattformen
Viele Bildungseinrichtungen nutzen Lernplattformen von Dritten, wie Blackboard oder Canvas, in einer für sie angepassten Variante (z. B. blackboard.gwu.edu). Für solche Systeme sollte die Zwei-Faktor-Authentifizierung Pflicht sein. Manche Schulen und Universitäten erlauben den Systemzugriff nur per Einmalanmeldung.
Die eigene Website
Ihre Website muss mit einem TLS/SSL-Zertifikat zur Datenverschlüsselung und als Vertrauensnachweis geschützt sein. TLS-Zertifikate gibt es in drei Varianten: Domainvalidierung (DV), Unternehmensvalidierung (OV) und Extended Validation (EV). Zertifizierungsstellen wie DigiCert validieren jeden Zertifikatstyp nach unterschiedlichen Anforderungen an die Vertrauenswürdigkeit. EV-Zertifikate bieten das höchste Maß an Authentifizierung und sind der globale Standard bei der Verschlüsselung äußerst sensibler Daten.
Absicherung der Online-Kommunikation und -Lernumgebungen
Stellen Sie sich vor, eine Lehrkraft unterrichtet per Zoom und die gesamte Klasse unterbricht sie mit einer Tanzeinlage. Genau das ist im Mai passiert. Die Klasse spielte der Lehrkraft noch weitere Streiche. Die Schülerinnen und Schüler reichten sich von Video zu Video einen Bleistift herum, gingen aus dem Bild und so weiter. So unterhaltsam das für die Lernenden sein mag, es stört den Unterricht, und Lehrkräfte haben es im virtuellen Raum ohnehin schwerer, zur Tagesordnung überzugehen. In anderen Fällen haben einige Witzbolde Videokonferenz-Unterricht mit unangemessenen Botschaften gesprengt. Rollenbasierte Konten und Zugriffskontrolle können hier Abhilfe schaffen. Außerdem sollten Sie die regelmäßige Neuauthentifizierung verlangen.
Unterricht per Videokonferenz
Plattformen für Videokonferenzen erfahren starken Zulauf, mittlerweile ist aber auch mehr über ihre Schwachstellen bekannt. Damals im Frühjahr, als sich Probleme bei der Benutzung von Zoom zeigten, hatten einige Schulbezirke Bedenken wegen der Sicherheit und verboten das Tool. Das führte dazu, dass das Schulamt von New York City gemeinsam mit Zoom eine speziell für sich lizenzierte Version der Plattform entwickelte, die die geltenden Sicherheitsanforderungen erfüllte. Die Schüler können damit nicht die Kontrolle über den Bildschirm übernehmen, Teilnehmer lassen sich stummschalten und können sich nicht umbenennen, und private Chats sind blockiert. Außer Zoom haben aber auch Webex, Microsoft Teams und BlueJeans viele neue Nutzer gewonnen. Doch egal, welche Plattform Sie verwenden, der Unterricht geht nur dann sicher und reibungslos – das heißt streichfrei – vonstatten, wenn sichergestellt ist, dass nur Befugte Zugang zur jeweiligen Videokonferenz haben, ihre Bildschirme freigeben, Chats führen und das Gespräch leiten dürfen.
Schuleigene Geräte
Zusätzliche Sicherheit beim Online-Unterricht möchten Schulen unter anderem dadurch erreichen, dass die Schülerinnen und Schüler die Videokonferenzen und Schulaufgaben nur über Geräte aufrufen, die ihnen die Schule zur Verfügung stellt. Diese Geräte müssen allerdings auch aus der Ferne verwaltet werden. Hierfür bietet sich MDM-Software (Mobile Device Management) an. Und den Teil von MDM, bei dem es um Zugriffsberechtigungen und Identitätsprüfungen geht, übernimmt eine PKI. Mit MDM haben Sie die Kontrolle über Ihre Geräte, das Sicherheitsprofil und die Zugriffsebene der Gerätebenutzer. Und das Beste ist: Die Administration können Sie von überall aus erledigen.
E-Mails
Schüler und Studenten können, ebenso wie Angestellte und Mitarbeiter in der Geschäftswelt, im Visier von Phishern stehen. Das muss sich nicht einmal finanziell lohnen – Hacker haben einfach ihren Spaß daran, die Lernenden vom Unterricht auszuschließen. Insbesondere bei schuleigenen Geräten muss darauf geachtet werden, dass die Benutzer nicht versehentlich Malware installieren. Zur Absicherung von E-Mails gibt es Protokolle wie S/MIME und die DMARC-Zertifizierung Ihrer Domain.
Wichtige Unterlagen wie Zeugnisse und Abschlussurkunden
Selbstverständlich sollten Schüler und Studenten auch keine Möglichkeit haben, Noten und Beurteilungen zu manipulieren. Um dies zu verhindern, sichern Sie deshalb sensible Dokumente durch digitale Dokumentsignaturen. Digitale Dokumentsignaturen ermöglichen es Einzelpersonen und Organisationen, eine digitale Signatur in Dokumente einzufügen, um die Identität und Authentizität des Absenders zu belegen. Das ist sicherer als eingescannte Unterschriften oder elektronische Belege, die sich beide leicht fälschen lassen. Außerdem laufen sie nicht ab und entsprechen lokalen Vorschriften, sodass die Dokumente rechtskräftig sind.
Mit den richtigen Sicherheitsmaßnahmen behalten Lehrkräfte die Kontrolle über den Unterricht, schützen sensible Schüler- und Studentendaten und helfen somit, Angriffe mit kostspieligen Folgen zu verhindern. Sie sollten Ihr System regelmäßig auf Schwachstellen prüfen, um Probleme von vornherein zu vermeiden. Die Liste der Maßnahmen ließe sich zwar fortführen, doch die genannten sind bereits ein großer Schritt auf dem Weg zu sicherem Online-Unterricht.