Mit der zunehmenden Nutzung von Online-Ressourcen (z.B. Fernunterricht) gewinnt die Informationssicherheit und Datenschutz immer mehr am Gewicht. Benutzenden müssen darauf vertrauen können, dass ihre Daten, die sie an Dienste weitergeben sowie ihre sonstigen Interaktionen nicht unterwegs von unbefugten Dritten beobachtet oder manipuliert werden können. Beispielsweise werden üblicherweise Lernfortschritte, die Vergabe von Noten und sonstige Evaluationsbemerkungen (z.B. Hinweise auf Lernschwierigkeiten) geheim gehalten – daran ändert sich nicht wegen des Mediums des Unterrichts: auch im digitalen Umfeld hat man die gleiche Rechte. Dies gilt vor allem angesichts des Einsatzes neuer Technologien im Bildungswesen (z.B. Internet der Dinge), welches durch die jüngsten Infrastruktur-Entwicklungen (z.B. 5G, IPv6) angekurbelt wird – somit dürfte der Bedarf an sicheren Transaktionen nur noch deutlich zunehmen.

Die Verschlüsselungstechniken

Um Vertrauen an ihren Diensten zu gewährleisten, setzen Dienstleistungsanbieter Verschlüsselungstechniken ein. Somit wirkt die Kryptographie, welche Kommunikation zwischen Parteien in Anwesenheit von Gegnern ermöglicht, wie ein Schloss um den Austausch von Daten vor Anderen zu schützen. Durch den Einsatz komplexer mathematischer Operationen werden Botschaften in unverständlichen Datenverkehr umgewandelt, über öffentliche Netzwerke gesendet bevor sie wieder vom Empfänger entschlüsselt werden können. Um solche Schlösser zu betätigen, muss der Dienst im Besitz eines speziellen Schlüssels sein und die Zuordnung dieser Schlüssel zu Firmen, Behörden oder Bildungsinstitutionen muss gewährleistet sein, damit wir sicher sein können, mit wem wir kommunizieren. Dies erfordert zudem, dass die Dienste auch die Schlüssel sicher aufbewahren, die ihre Kommunikationskanäle schützen, damit sie nicht in die Hände anderer fallen, die sich sonst als sie ausgeben könnten.

Kryptographie allein schafft kein Vertrauen

Geheim heisst aber längst noch nicht sicher und eben hier liegt der springende Punkt: Es ist nicht die Kryptographie, welche Vertrauen schafft – die Kryptographie kann es lediglich nur technisch implementieren und durchsetzen. Vertrauen entsteht allein durch die Behörden und Dienstleistungsanbieter, die die Identität und Legitimität von Diensten bestätigen. Dieses Vertrauen kann durch die Ausstellung und den sorgfältigen Schutz der Schlüsselmaterial zertifiziert und aufrechterhalten werden. Sollte aber die Autorität in Frage gestellt werden, die das Vertrauen erteilt hat, dann kann die Kryptographie nichts tun, um die Situation zu retten.

Der Bereich der Schlüsselverwaltung und -zertifizierung wird durch zahlreiche internationale Standards und Normen geregelt und ist ein integraler Bestandteil jedes Informationssicherheits- und Datenschutzsystems. Solche Standards finden sich beispielsweise in der Föderation der Identitätsdienste des Bildungsraum Schweiz (Edulog) und teilweise bei den zugehörigen Identitätsprovidern. Dies wird in den kommenden Jahren weiter ausgebaut damit die nötigen Infrastrukturen für den sicheren Datenaustausch generell dem Bildungsraum zur Verfügung stehen. Solche Massnahmen dürften zusätzliche regulatorische und organisatorische Massnahmen erfordern, um das Vertrauen in das schweizerische Bildungssystem zu verstärken. Mit anderen Worten: eine koordinierte Anstrengung in Bezug auf technische und organisatorische Massnahmen erforderlich ist, um eine Vertrauensinfrastruktur aufrechtzuerhalten.


Kontext: Die dunkle Seite der Verschlüsselung

Die Verschlüsselung hat auch eine dunkle Seite: Wenn sensible Daten auf einer Festplatte gespeichert werden, ist es nicht ungewöhnlich sie «im Ruhezustand» zu verschlüsseln, so dass bei der Erstellung von Backups oder anderen Kopien auch diese geschützt sind. Wenn die Daten gelöscht werden müssen, ist es in der Regel einfacher, den Verschlüsselungsschlüssel zu löschen (sog. «kryptographisches Löschen»), als es zu versuchen, alle Daten sowie ihre Kopien wieder zu finden und zu entfernen. In den letzten Jahren wurde aber dieser Ansatz von Hackern ausgenutzt: Sie versuchen Malware (sog. «Ransomware») auf Computern zu installieren mit dem Ziel Daten zu verschlüsseln und somit unbrauchbar zu machen. Sollte der Opfer kein Lösegeld auszahlen wollen wird gedroht den zugehörigen Schlüssel zu löschen. Weltweit ist dies als zunehmender Trend zu beobachten.

Während die Kryptographie und die damit verbundenen Schlüsselmaterialen sehr nützliche Eigenschaften zur Sicherung von Transaktionen bieten (z.B. Schutz, Integrität, Unleugbarkeit), muss man sich darüber im Klaren sein, dass Vertrauen grundsätzlich eine Facette von sozialen und wirtschaftlichen Beziehungen ist, welche ausserhalb der Technologie existiert und in den Systemen jeder modernen Gesellschaft verankert und bewahrt werden muss.

 

ähnliche Beiträge

Bei digitalen Lehrmitteln und Lernapplikationen gibt es im föderalen Bildungssystem unterschiedliche Zuständigkeiten beim Datenschutz. Dies führt zu Unsicherheiten bei den Verantwortlichkeiten, wie das Datennutzungsprojekt im Kanton Aargau zeigt. Notwendig sind klare Verantwortlichkeiten und Sensibilisierung.

Am 1. September 2023 ist das revidierte Bundesgesetz über den Datenschutz in Kraft getreten. Für private Personen (inkl. Unternehmen) und Bundesorgane gibt es wesentliche Änderungen im Umgang mit der Bearbeitung von Personendaten und der Informationspflicht.

Schulen bearbeiten, speichern und verwalten viele schützenswerte (Personen-) Daten. Unser neues Dossier «Datenschutzkonforme Schule» unterstützt Schulen mit praxisnahen Hilfsmitteln im Umgang mit Personendaten. So soll Vertrauen in Schulen gestärkt und der Datenschutz verbessert werden. 

Die bestehende Vereinbarung (ehemals «Rahmenvertrag» genannt) mit Microsoft wurde bis Ende Juli 2025 verlängert. Ein externes Rechtsgutachten hält fest, dass die Rahmenvereinbarungen keine vergaberechtliche Grundlage darstellen.