Erste Gedanken zum "Leitfaden Datensicherheit"

Die Lehrerverbände von Deutschland, Österreich und der Schweiz haben im November 2015 einen Leitfaden Datensicherheit (Biblionetz:t18352) publiziert, ähnlich wie sie bereits im September 2013 einen Leitfaden Social Media (Biblionetz:t15740) publiziert hatten.

In diesem Leitfaden beschäftigen sich die Lehrerverbände mit allen Aspekten der Datensicherheit (Biblionetz:w00715) und des Datenschutzes (Biblionetz:w00714) im Umfeld Schule und stellen sieben Forderungen:

1. Zeitgemässe schulische IT-Ausstattung
2. Schnellen und sicheren Internetzugang in der Schule
3. Hard- und Software für Lehrpersonen zur Ausübung ihres Berufsauftrages
4. Systematische, passgenaue und kostenlose LehrerInnen-Bildung im digitalen Bereich
5. Finanzielle und zeitliche Ressourcen für Weiterbildung und Beratung für digital basiertes Unterrichten
6. Klare gesetzliche Grundlagen für den "digitalen" Bildungs- und Erziehungsauftrag
7. Ressourcen und Beispiele zur Entwicklung eines schuleigenen Datensicherheitskonzepts

Diesen Forderung ist zuzustimmen und sie sind gerade angesichts des aktuellen Spardrucks im Bildungswesen (Biblionetz:w02853) sehr relevant.

Problematisch finde ich die relativ starke Ablehnung ausländischer Clouddienste im Leitfaden und zwar aus folgenden Gründen:

• Mit der Favorisierung schuleigener oder staatlicher Lösungen wird einseitig die Gefahr des Datenmissbrauchs fremder Staaten und Unternehmen betont und die Gefahr des Datenmissbrauchs durch eigene Mitarbeitende oder regionale Organisationen beiseite geschoben. Dies scheint mir aus zwei Gründen problematisch:
  • Vermutlich höhere Datensicherheit bei kommerziellen Cloud-Dienstleistern: Für kommerzielle Cloud-Dienstleister ist das sichere Betreiben einer Cloud die Hauptbeschäftigung. Alleine durch die Grösse haben diese oft mehr Ressourcen, sich auch um die Sicherheit ihrer Cloud zu kümmern als eine einzelne Schule oder auch ein regionales Datenzentrum. Alleine weil ihr Ruf und damit ihre Existenz davon abhängt, werden Cloudunternehmen viel investieren, um unkontrollierte Datenabflüsse zu verhindern. Die Gefahr, dass Daten unabsichtlich oder durch Hacking geleakt werden, dürfte somit bei grossen kommerziellen Anbietern geringer sein.
  • Geographische Nähe erhöht das Interesse an spezifischem Datenmissbrauch: Bei der Motivation eines Datenmissbrauchs muss zwischen allgemeiner Auswertung/Analyse (big data, etc.) und spezifischen Interessen unterschieden werden. Ein Clouddienstleister interessiert sich wenig für die psychologischen Abklärungen der Schülerin X oder der Jahresbeurteilung des Lehrers Y - der interne Systemadministrator oder regionale IT-Verantwortliche viel eher. Ich will damit nicht die Gefahr der umfassenden Profilbildung und systematischen Überwachung Durch kommerzielle Unternehmen und Geheimdienste kleinreden. Pragmatisch gesehen ist für mich der lokale Datenmissbrauch jedoch relevanter als die abstrakte Gefahr aus dem Ausland.
• Die Frage Kommerzielle Cloud oder schuleigene Lösung soll und kann nicht durch jede Schule Einzeln gelöst werden. Ähnlich unsinnig wie detaillierte Weiterbildungen zu den Niederungen des Urheberrechts ("Sie dürfen 5%, aber maximal 10 Seiten…,", letzte Woche erlebt) ist auch die generelle Cloudfrage eine, die einzelne Schulen und Lehrpersonen von ihrem Kernauftrag ablenkt.
• Die Negierung von Clouddiensten ist lebensweltfern. Bereits 2013 habe ich über das schulische Cloud-Dilemma geschrieben: (Kommerzielle) Clouds Clouds spielen in der Lebenswelt von Kindern, Jugendlichen und Lehrpersonen eine grosse Rolle. Schulische und staatliche Lösungen schaffen es praktisch nie, an die Funktionalität und vor allem Usability und Systemintegration heranzukommen. Plakativ formuliert mag "BSCW statt Dropbox" den staatlichen Datenschutzauflagen genügen - zeitgemäss ist es jedoch nicht. Genauso wie die Lehrerverbände zu Recht schnelles Internet für die Schulen verlangen - mit ISDN lockt man heute keine Schülerinnen und Schüler mehr vor dem eigenen Handy hervor - dürfen auch die in der Schule genutzten Dienste den ausserhalb der Schule genutzten in Bezug auf Funktionalität und Usability nicht meilenweit hintennach hinken.
• Ebenfalls sehr pragmatisch ist meine Haltung, dass im Drucker liegengebliebene Ausdrucke und offen herumliegende Lehrercomputer vermutlich das grössere Problem darstellen als Clouddienste. Wenn Lehrpersonen ihre Passwörter sooo langsam eintippen, dass Schülerinnen und Schüler maximal zwei Mal zuschauen müssen, dann ist letztlich egal, wo die Daten liegen. Oder vielleicht doch nicht: Kommerzielle Clouddienstleister bieten oft eine Zwei-Faktor-Authentisierung (z.B. Zustellung eines Codes aufs Handy), so dass die Passwörter als alleiniger Zugriffsschutz ihre Bedeutung verlieren.

---

---

Zum Kommentieren ist eine Registration notwendig.

Kategorien: IsaBlog, IsaSchulICT