Informationssicherheit

Die Schule muss ihre Informationen mit angemessenen organisatorischen und technischen Sicherheitsmassnahmen schützen. Die umzusetzenden Massnahmen richten sich nach der Art der Informationen, nach Art und Zweck der Bearbeitung und nach dem jeweiligen Stand der Technik. Je sensitiver die Informationen, desto umfassender sind die Massnahmen, die zu treffen sind. Diese richten sich nach den in § 7 IDG statuierten Schutzzielen:

  • Vertraulichkeit
    Es muss verhindert werden, dass Unberechtigte Kenntnis von den Informationen erlangen.
    Mögliche Massnahmen: Zugriffskonzept und Beschränkung der Zugriffe auf die für die Ausübung der Funktion notwendigen Daten, Verschlüsselung der Daten, Virenschutz, Firewall, Verwendung sicherer Passwörter
  • Integrität
    Informationen müssen richtig und vollständig sein.
    Mögliche Massnahme: Protokollierung der Änderungen
  • Verfügbarkeit
    Informationen müssen bei Bedarf vorhanden sein.
    Mögliche Massnahmen: Sicherung der Daten (Back-up), redundante Architektur der Systeme
  • Zurechenbarkeit
    Jede Bearbeitung von Informationen muss einer Person zugerechnet werden können.
    Mögliche Massnahme: Protokollierung der Zugriffe, persönliche Benutzerkonten
  • Nachvollziehbarkeit
    Veränderungen von Informationen müssen erkennbar und nachvollziehbar sein.
    Mögliche Massnahme: Protokollierung der Änderungen und der Zugriffe

§ 7 IDG

Im Massnahmenkatalog finden die verantwortlichen IT-Leiterinnen und IT-Leiter die für die Schule angemessenen Massnahmen.

Eine Übersicht zum Thema sowie Anleitungen und Vorlagen für die Umsetzung der organisatorischen und technischen Massnahmen sind in Bearbeitung und werden im 2. Quartal 2019 auf der Website aufgeschaltet. Die Datenschutzbeauftragte berät Sie gerne bei Fragen.

Siehe auf Youtube Max schützt sich.
Siehe auf Youtube Die dümmsten Passwörter.
Siehe auf Youtube Wie werde ich nicht gehackt?

E-Mails
Allgemeine Hinweise, Einladungen usw. dürfen per E-Mail versandt werden. Enthalten die Nachrichten sensitive Informationen, dürfen diese nur verschlüsselt oder anonymisiert über ungesicherte Netze wie das Internet versandt werden. Es dürfen keine Rückschlüsse auf die betroffenen Schülerinnen oder Schüler möglich sein, selbst wenn die Namen abgekürzt sind.

Siehe Website Sichere E-Mails

Private Geräte / Bring Your Own Device
Werden private Geräte (Smartphones, Notebooks, Tablets) zur Erfüllung der schulischen Aufgaben eingesetzt, müssen die Informationen mit den geeigneten organisatorischen und technischen Massnahmen geschützt werden. Unbeaufsichtigte, vergessene oder unsichere Geräte bergen Risiken.

Minimummassnahmen sind:

  • Passwort- oder PIN-Schutz
  • Installation eines Virenschutzes
  • aktuelle Firewall
  • regelmässige Updates
  • Verschlüsselung sensitiver Daten bei der Speicherung und Übermittlung

Siehe Leitfaden Einsatz von mobilen Geräten in der Verwaltung

Papierdossiers
Auch physische Dossiers müssen geschützt werden, wobei die Vertraulichkeit eine grosse Rolle spielt. Die Massnahmen müssen gewährleisten, dass nur berechtigte Personen Zugang zu den Inhalten haben. Beispielsweise sind Personal- und Schülerdossiers oder Prüfungsergebnisse in abschliessbaren Schränken aufzubewahren.

Private E-Mail-Accounts von Lehrpersonen und Mitgliedern der Schulleitung
Wenn Lehrpersonen, Mitglieder der Schulleitung oder andere Schulangehörige Informationen von ihrer schulischen E-Mail-Adresse an ihre private E-Mail-Adresse weiterleiten, muss die Schule angemessene organisatorische und technische Massnahmen zum Schutz dieser Daten umsetzen.
E-Mails mit vertraulichem Inhalt müssen verschlüsselt werden, da der Datentransfer ausserhalb des Schulnetzes nicht sicher ist.

VPN-Zugang zu besonderen Personendaten
Für den Zugriff auf besondere Personendaten per VPN sind neben den üblichen Sicherheitsmassnahmen die folgenden Massnahmen erforderlich:

  • starke Authentifizierung analog Online-Banking-Lösungen (beispielsweise mittels SMS-Code und Passwort, Chipkarte mit PIN usw.)
  • Transport über das Internet nur mit einer sicheren Verschlüsselung
  • Protokollierung und regelmässige Überprüfung der externen Zugriffe

Website
Die Datenschutzbeauftragte überprüft auf Anfrage Ihre Website mit einem Webscanner automatisiert auf Schwachstellen und Sicherheitslücken.