Das Bildungswesen, das sensible Daten von Tausenden von Schülern und Angestellten sammelt, ist einer der am stärksten gefährdeten Sektoren für Datenschutzverletzungen. Mit ihren begrenzten Budgets und Kenntnissen im Bereich der Cybersicherheit sind Schulen ein leichtes Ziel für Cyberkriminelle und besonders anfällig für die Nachlässigkeit ihrer Mitarbeiter. Immer strengere Vorschriften machen den Datenschutz jedoch auch im Bildungswesen zur Pflicht, und es drohen hohe Strafen für Einrichtungen, die die persönlichen Daten von Schülern und Mitarbeitern nicht schützen.
In den USA verbietet der Family Educational Rights and Privacy Act (FERPA) die Weitergabe von Schülerdaten ohne die schriftliche Erlaubnis der Eltern oder, wenn der Schüler über 18 Jahre alt ist, der eigenen. Verstöße gegen FERPA können den Zugang zu Finanzmitteln des US-Bildungsministeriums einschränken, so dass die Einhaltung des Gesetzes für Schulen auf allen Ebenen ein wichtiges Anliegen ist. Jede Einrichtung, die EU-Datenv in ihren Programmen hat, muss automatisch auch die strengen Anforderungen der EU-Datenschutzgrundverordnung (DSGVO) einhalten, die eine extraterritoriale Reichweite und sehr hohe Geldstrafen bei Nichteinhaltung hat.
Laut dem Bericht „Cost of a Data Breach 2022“ von IBM und dem Ponemon Institute ist menschliches Versagen für 26 % aller Datenschutzverletzungen im Bildungswesen verantwortlich – eine der höchsten Raten in allen Sektoren. Eine E-Mail mit persönlichen Schülerdaten, die versehentlich an die falsche Person oder an alle Personen in einem E-Mail-Thread gesendet wird, stellt bereits einen Verstoß gegen FERPA dar. Hacker können sich auch leicht über die Computer der Universitätsbibliotheken Zugang zu den Schulnetzwerken verschaffen und diese über mit Malware verseuchte USB-Sticks infizieren.
Um die Einhaltung der Datenschutzbestimmungen und die Sicherheit zu gewährleisten, müssen Bildungseinrichtungen sicherstellen, dass grundlegende Cybersicherheitsmaßnahmen wie Antivirenlösungen und Firewalls eingesetzt werden. Um Datenlecks zu verhindern und der Nachlässigkeit der Mitarbeiter entgegenzuwirken, müssen Bildungseinrichtungen jedoch noch einen Schritt weiter gehen und sich mit Lösungen zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) befassen.
Sensible Daten direkt kontrollieren und überwachen
DLP-Lösungen sind zu einer wichtigen Komponente der Datenschutzbemühungen von Bildungseinrichtungen geworden. Sie ermöglichen Bildungseinrichtungen die Überwachung und Kontrolle der von ihnen erfassten sensiblen Daten durch vordefinierte Richtlinien für personenbezogene Daten und die Einhaltung von Vorschriften wie DSGVO.
Durch kontextbezogenes Scannen und Inhaltsprüfung können DLP-Lösungen wie Endpoint Protector sensible Daten in über hundert Dateitypen identifizieren und ihre Übertragung über unsichere Kanäle wie beliebte Messaging-Apps, File-Sharing-Dienste oder persönliche E-Mails blockieren. DLP-Tools können auch verhindern, dass sensible Daten kopiert und eingefügt oder gedruckt werden. Alle Versuche, gegen die DLP-Richtlinien zu verstoßen, werden protokolliert und gemeldet, so dass Bildungseinrichtungen schlechte Datenschutzpraktiken oder gängige unerlaubte Datenaustrittskanäle erkennen können.
Kontrolle von Wechseldatenträgern
Wie bereits erwähnt, können USB-Geräte von Cyberkriminellen als Infektionswerkzeuge genutzt werden, um Anmeldebildschirme zu umgehen und Zugriff auf einen Computer zu erhalten. Eine Infektion kann jedoch auch unbeabsichtigt erfolgen, wenn ein Schüler ein USB-Gerät an einen Schulcomputer anschließt, ohne zu wissen, dass sein Gerät infiziert ist. Wenn sensible Daten auf einen USB-Stick kopiert werden, sind sie auch anfällig für Verlust, da USB-Sticks bekanntermaßen leicht verloren oder vergessen werden können.
DLP-Lösungen verfügen über Richtlinien zur Gerätekontrolle, die Bildungseinrichtungen dabei helfen, die Verwendung von tragbaren Geräten einzuschränken oder zu blockieren. Die Verwendung von USB-Geräten kann so auf vertrauenswürdige Geräte, wie z. B. von der Schule ausgegebene USB-Geräte, beschränkt werden, und jede Übertragung sensibler Daten auf Wechseldatenträger kann gekennzeichnet werden, so dass Bildungseinrichtungen einen klaren Einblick erhalten, wer wann und mit welchem Gerät versucht hat, sensible Daten zu übertragen.
Schutz sensibler Daten auf allen Betriebssystemen
Schüler und Angestellte verwenden oft ihre persönlichen Geräte, um sich mit Schulnetzwerken zu verbinden. Diese Geräte laufen auf verschiedenen Betriebssystemen, nicht nur auf Windows, und umfassen oft macOS und verschiedene Linux-Distributionen. Um einen kontinuierlichen Datenschutz zu gewährleisten, müssen Bildungseinrichtungen plattformübergreifende Cybersicherheitslösungen in Betracht ziehen, die über eine einzige Schnittstelle verwaltet werden können.
Solche zentral verwalteten Lösungen bieten zwei große Vorteile. Sie senken die Kosten, da eine einzige Lösung mehrere spezialisierte Tools für verschiedene Betriebssysteme ersetzt. Außerdem vereinfachen sie die Verwaltung des Datenschutzes, wenn das IT-Personal begrenzt ist. Oft reicht eine Person aus, um sie zu verwalten. Bildungseinrichtungen, die sich für eine plattformübergreifende Lösung entscheiden, müssen jedoch sicherstellen, dass die von ihnen gewählten Lösungen für alle Betriebssysteme die gleichen Funktionen bieten und nicht nur für das primäre Betriebssystem, für das sie ursprünglich entwickelt wurden, geeignet sind.
FAQ's
Bildungseinrichtungen erheben große Mengen personenbezogener Daten wie Namen, E-Mail-Adressen und Anschriften, aber auch besondere Datenkategorien wie Gesundheitsinformationen, Disziplinarakten oder ethnische Zugehörigkeit von einer großen Zahl von Studenten, Angestellten und Ehemaligen. Daher müssen alle Bildungseinrichtungen, die betroffenen Personen aus der EU Zugang zu Bildungsprogrammen und -diensten bieten, die Datenschutz-Grundverordnung einhalten. Lesen Sie mehr über DSGVO.
Eine der wichtigsten Bestimmungen der DSGVO verlangt von den für die Datenverarbeitung Verantwortlichen und den Verarbeitern, dass sie wissen, wo personenbezogene Daten gespeichert sind und wie sie verarbeitet werden. Die meisten DLP-Lösungen enthalten Datenerkennungsfunktionen, mit denen Administratoren die gesamte Computer- und Geräteflotte eines Unternehmens auf der Suche nach sensiblen Informationen durchsuchen können, die durch spezielle Compliance-Profile für Gesetze wie DSGVO, HIPAA oder CCPA, internationale Standards wie PCI DSS, personenbezogene Daten (PII), Dateierweiterungen, Dateinamen und mehr definiert sind. Auf diese Weise können Unternehmen herausfinden, wie sensible Daten von Mitarbeitern genutzt und gespeichert werden. DLP-Tools können auch die Datenbewegungen protokollieren und Berichte erstellen, die den Datenschutzbehörden auf Anfrage oder zur Unterstützung von Audits zur Verfügung gestellt werden können.
Gemäß Artikel 4 (1) der Datenschutz-Grundverordnung sind personenbezogene Daten alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Lesen Sie den vollständigen Text der Datenschutz-Grundverordnung.