Von personenbezogenen Daten von Studenten und geistigem Eigentum in der Forschung bis hin zu sensiblen Spenderdaten und vertraulichen Zuschussanträgen – der Bildungssektor hat sich schnell an die Spitze einer Datenschutzherausforderung gestellt. Laut dem jüngsten IBM-Cost of a Databreach Report gehört der Bildungssektor zu den 10 teuersten Sektoren für Datenschutzverletzungen, wobei sich die durchschnittlichen Kosten schnell auf 4 Millionen US-Dollar belaufen.
Während Vorschriften wie FERPA dazu beitragen, personenbezogene Daten von Studenten zu schützen, stellen viele Universitäten und Hochschulen fest, dass umfassendere Branchenvorschriften wie HIPAA Auswirkungen darauf haben, wie sie ihre Sicherheitslage im Zusammenhang mit umfassenderen Forschungsarbeiten verwalten. Die Notwendigkeit der Zusammenarbeit (oft mit externen Forschungs- oder Finanzierungspartnern) und die Notwendigkeit des Schutzes sensibler geistiger Eigentumsrechte sind zu einer täglichen Herausvorderung für Sicherheitsbeauftragte geworden.
Auch internationale Vorschriften sind zu beachten. So muss beispielsweise jede Bildungseinrichtung mit internationalen Studenten aus der EU sicherstellen, dass sie die strengen Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) einhält, die weltweit gilt und bei Nichteinhaltung sehr hohe Geldstrafen vorsieht.
Wie sollten Bildungseinrichtungen also reagieren, um der sich rasch verändernden Datenschutzlandschaft gerecht zu werden?
Woher kommt das Risiko?
Datenlecks sind in den meisten Fällen nicht wirklich ruchloser Natur. Vielmehr ist menschliches Versagen für mehr als ein Viertel aller Datenschutzverletzungen im Bildungswesen verantwortlich – eine der höchsten Raten in allen Sektoren. So stellt beispielsweise eine E-Mail mit persönlichen Schülerdaten, die versehentlich an die falsche Person gesendet wird, einen Verstoß gegen FERPA dar.
Welche Arten von Daten sollten geschützt werden?
Die Arten von Daten, die im Rahmen einer Datenschutzstrategie berücksichtigt werden sollten, lassen sich grob wie folgt definieren:
- PII – Schutz von Schüler- und Fakultätsunterlagen und PII vor unbefugter Weitergabe.
- Forschungsdaten – Schutz von streng vertraulichen Daten und geistigem Eigentum, einschließlich PHI, die dem HIPAA unterliegen.
- Zuschüsse, Budgetierungs- und Zahlungsdaten – Schutz von Finanzunterlagen und sensiblen Zuschussdokumenten.
Um die Einhaltung der Datenschutzbestimmungen und die Sicherheit dieser Datentypen zu gewährleisten, müssen Bildungseinrichtungen Data Loss Prevention (DLP)-Lösungen in Betracht ziehen.
Die Rolle von DLP im Bildungswesen
DLP-Lösungen sind zu einer wichtigen Komponente der Datenschutzbemühungen von Bildungseinrichtungen geworden. Sie ermöglichen es den Einrichtungen, die von ihnen gesammelten sensiblen Daten durch vordefinierte Richtlinien für personenbezogene Daten und die Einhaltung von Vorschriften wie DSGVO, FERPA, HIPAA usw. zu überwachen und zu kontrollieren sowie IP und sensible Finanzdaten zu schützen.
Durch kontextbezogenes Scannen und Inhaltskontrolle können DLP-Lösungen wie Endpoint Protector von CoSoSys sensible Daten in Hunderten von Dateitypen identifizieren und ihre Übertragung über unsichere Kanäle wie beliebte Messaging-Apps, File-Sharing-Dienste oder E-Mails blockieren. DLP-Tools können auch verhindern, dass sensible Daten gedruckt oder kopiert und eingefügt werden. Alle Versuche, gegen DLP-Richtlinien zu verstoßen, werden protokolliert und gemeldet, so dass Bildungseinrichtungen gängige Datenabflusskanäle oder potenzielle Bedrohungen für die Datenexfiltration erkennen können.
Kontrolle von Wechseldatenträgern
Die Verwendung von Wechseldatenträgern ist im Bildungswesen nach wie vor weit verbreitet, in der Regel, um Daten zwischen verschiedenen Standorten und Geräten zu verschieben. Sie stellen jedoch eines der größten Risiken für jede Organisation dar, da sie eine Möglichkeit für Verlust oder Diebstahl bieten.
DLP-Lösungen umfassen Richtlinien zur Gerätekontrolle, die Bildungseinrichtungen dabei helfen, die Verwendung von tragbaren Geräten einzuschränken oder zu blockieren. Die Verwendung von USB-Geräten kann dann kontrolliert werden, indem die Nutzung entweder vollständig eingeschränkt oder auf vertrauenswürdige Geräte, wie z. B. nur von der Schule ausgegebene USB-Geräte, beschränkt wird. Alle sensiblen Datenübertragungen auf Wechseldatenträger können gekennzeichnet werden, so dass Bildungseinrichtungen einen klaren Einblick erhalten, wer wann und mit welchem Gerät versucht hat, sensible Daten zu übertragen. Alternativ können Sicherheitsverantwortliche mit Tools wie Endpoint Protector automatisch sicherstellen, dass Daten, die auf Wechseldatenträger übertragen werden, mit 256-Bit-AES-Verschlüsselung und Remote-Wipe-Funktionen verschlüsselt werden.
Schutz sensibler Daten auf allen Betriebssystemen
Der Einsatz von Apple-Computern nimmt in vielen Bereichen zu, nicht zuletzt im Bildungswesen. Das bedeutet, dass Sicherheitsverantwortliche jetzt sicherstellen müssen, dass Datenschutzrichtlinien für Windows-, macOS– und sogar Linux-Rechner gelten. Leider bieten nicht alle DLP-Lösungen dieselben Funktionen für mehrere Betriebssysteme. Einige unterstützen sogar macOS und Linux überhaupt nicht.
Solche zentral verwalteten Multi-OS-Lösungen, wie Endpoint Protector, bieten zwei große Vorteile. Sie reduzieren die Kosten, da eine einzige Lösung mehrere spezialisierte Tools für verschiedene Betriebssysteme ersetzt. Außerdem vereinfachen sie das Datenschutzmanagement, wenn die IT-Ressourcen begrenzt sind.
Nächste Schritte
Universitäten, Hochschulen und jede andere Art von Bildungseinrichtung müssen ständig wachsam sein. Das Risiko einer Datenverletzung umfasst nicht nur personenbezogene Daten, sondern auch sensible Finanz-, Spender- und Forschungsdaten. Die Bewältigung dieses Risikos bei gleichzeitiger Förderung einer Kultur der Zusammenarbeit bleibt eine der wichtigsten Herausforderungen für Sicherheitsadministratoren.
Wenn Sie mehr über Endpoint Protector erfahren möchten und darüber, wie wir Universitäten, Hochschulen und Bildungseinrichtungen dabei helfen, ihre Ziele in Bezug auf die Cybersicherheit und die Einhaltung von Datenschutzbestimmungen zu erreichen, vereinbaren Sie einen Demo-Termin mit einem unserer Experten für Data Loss Prevention-Lösungen.
FAQ's
Bildungseinrichtungen sammeln große Mengen personenbezogener Daten wie Namen, E-Mail-Adressen und Anschriften, aber auch besondere Datenkategorien wie Gesundheitsinformationen, Disziplinarakten oder ethnische Zugehörigkeit von einer großen Zahl von Studenten, Mitarbeitern und Ehemaligen. Daher müssen alle Bildungseinrichtungen, die betroffenen Personen aus der EU Zugang zu Bildungsprogrammen und -dienstleistungen bieten, die DSGVO einhalten.
Eine der wichtigsten Bestimmungen der DSGVO verlangt von den für die Datenverarbeitung Verantwortlichen und den Verarbeitern, dass sie wissen, wo personenbezogene Daten gespeichert sind und wie sie verarbeitet werden. Die meisten DLP-Lösungen enthalten Datenerkennungsfunktionen, mit denen Administratoren die gesamte Computer- und Geräteflotte eines Unternehmens auf der Suche nach sensiblen Informationen scannen können, die durch spezielle Compliance-Profile für Gesetze wie DSGVO, HIPAA oder CCPA, internationale Standards wie PCI DSS, personenbezogene Daten (PII), Dateierweiterungen, Dateinamen und mehr definiert sind. Auf diese Weise können Unternehmen herausfinden, wie sensible Daten von Mitarbeitern verwendet und gespeichert werden. DLP-Tools können auch die Datenbewegungen protokollieren und Berichte erstellen, die den Datenschutzbehörden auf Anfrage oder zur Unterstützung von Audits zur Verfügung gestellt werden können.
Gemäß Artikel 4 (1) der DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Lesen Sie den vollständigen Text der Datenschutz-Grundverordnung.