IT-Security

IT-Sicherheit Home-Office & Homeschooling: Cyberangriffe im Bildungsbereich

19. Mai 2020 von PSW GROUP Redaktion

it-sicherheit-home-office
© wip-studio - stock.adobe.com

5
(2)

Die Corona-Pandemie sorgt dafür, dass viele Arbeitnehmer im Home-Office sind – und auch zahlreiche Lehrer und Schüler das sogenannte Homeschooling betreiben: Gearbeitet oder gelernt wird am heimischen Rechner. Das führt dazu, dass neue Lösungen für das Arbeiten miteinander gebraucht werden. Dabei kommen Überlegungen zur IT-Sicherheit im Home-Office oder Homeschooling häufig zu kurz, was nicht zuletzt daran hängt, dass Lösungen zügig verfügbar sein müssen. Unter Zeitdruck wird der Cybersicherheit häufig nur wenig Raum gegeben.

IT-Sicherheit im Home-Office & Homeschooling

Über die IT-Sicherheit im Home-Office haben wir bereits umfangreich berichtet; lesen Sie dazu gerne unsere Artikel „Coronavirus: Was hat das Virus mit IT-Sicherheit zu tun?“ sowie „Home-Office durch Corona: E-Mail-Sicherheit gewährleisten“. Im erstgenannten Beitrag haben wir Ihnen verschiedene Gefahren vorgestellt, die mit der Corona-Pandemie einhergehen, darunter:

  • Corona-Phishing,
  • gefälschte Virus-Karten mit Malware,
  • Informationen zum geplanten Handy-Tracking

Außerdem sind wir darauf eingegangen, wie Sie Cybersecurity im Home-Office praktizieren können. Im zweiten Beitrag ging es um das Kommunikationsmedium E-Mail und um den umfassenden Schutz dieses Kommunikationsweges.

Homeschooling ist ebenfalls betroffen

Als „Homeschooling“ wird der Trend bezeichnet, bei dem Schülerinnen und Schüler von zuhause aus lernen. Man könnte Homeschooling also auch als Haus- oder Fernunterricht bezeichnen. Tatsächlich sind von den Risiken in der IT-Sicherheit nicht nur Unternehmen, sondern auch öffentliche sowie schulische Einrichtungen betroffen, wie die folgenden Beispiele verdeutlichen.

Der mebis-Hack

Die Online-Plattform mebis wurde eingerichtet, um Kinder im Freistaat Bayern von zuhause aus unterrichten zu können. Mitte März dieses Jahres jedoch legten Hacker die Plattform durch DDoS-Angriffe lahm. Die Seitenbetreiber twitterten seinerzeit, dass das „System durch hunderttausendfache automatisierte Seitenaufrufe“ lahmgelegt sei und entsprechende Abwehrmaßnahmen ergriffen wurden.

Zwar erfolgte am selben Nachmittag bereits die Meldung, dass die Plattform wieder erreichbar sei, jedoch gab das Bayerische Kultusministerium zu bedenken, dass am Ausbau und an der Optimierung der Systeme längerfristig gearbeitet werden müsse.

Videounterricht gekapert

Eine Schule in Freiburg hatte das Videokonferenztool Zoom verwendet, als mitten in der Stunde pornografisches Bildmaterial auftauchte. Der Lehrerin blieb nur noch, die Schulstunde abzubrechen, wie unter anderem der SWR berichtete. Nachdem Eltern und Lehrkräfte informiert wurden, ist der Einsatz von Zoom als Videodienst an der Schule untersagt worden.

Obwohl Zoom stark in Kritik geraten war, weil versprochene Sicherheitselemente nicht oder nicht ausreichend implementiert wurden, hatte das baden-württembergische Kultusministerium Schulen die Nutzung des Tools gestattet. Im vorliegenden Fall blieb unklar, ob der virtuelle Unterricht wirklich durch einen Angreifer oder durch einen Schülerstreich unterbrochen wurde.

Schulwebsite missbraucht

Die Website einer Mainzer Grundschule war eigentlich dafür gedacht, Eltern und Schülern den Abruf von Schulinfos zu ermöglichen. Nach einem Hack jedoch sah man keinerlei Schulinfos mehr auf der Website, sondern pornografische Angebote: Nutzer wurden automatisch auf eine Sexseite weitergeleitet.

Rinaldo Roberto erklärte in seiner Funktion als Polizeisprecher, dass dieser Vorfall zumindest im Mainzer Raum der einzige dieser Art gewesen sei, jedoch ähnliche Vorfälle von anderen Schul-Websites bekannt seien.

 

Videochat-Tools werden häufiger genutzt

Videochat- sowie Konferenztools erleben in der Corona-Krise einen Aufschwung: Nicht nur Schüler und Lehrer, sondern auch Unternehmen, die viele Mitarbeiter ins Home-Office geschickt haben, sind darauf angewiesen. Jedoch gibt es bezüglich der IT-Sicherheit dieser Tools einiges zu beachten. So wurde am Beispiel Zoom überdeutlich, dass der Schein von IT-Sicherheit anfangs trügerisch sein kann – ein genauer Blick lohnt sich!

Im Bildungsbereich gibt es einige Tools, die sich anzuschauen lohnen:

  • Bibliotheksportal.de ist eine Website, auf der Sie digitale Angebote verschiedener Büchereien nutzen können.
  • Sofatutor.de lässt sich als virtuelles Klassenzimmer bezeichnen.

Zur Zusammenarbeit von Teams in Unternehmen haben sich Slack und Microsoft Teams etabliert. Slack muss die Vorgaben der DSGVO erfüllen, während Microsoft als Teams-Entwickler Privacy-Shield-registriert ist und damit einen gleichwertigen EU-Datenschutz erlauben muss. Da Skype ein Microsoft-Produkt ist, gilt hier gleiches – jedoch ausschließlich in der Business-Version! Ein weiteres DSGVO-konformes Kommunikationstool kommt von der Studio Funk GmbH & Co. KG aus Hamburg: roonect erlaubt die Realtime-Kommunikation über den Browser (Chrome oder Edge werden derzeit unterstützt), Videochats sind in Planung.

Als Projektmanagementtools haben sich etabliert:

  • Asana: Projektverwaltung von Anfang bis Ende mit mehreren Teammitgliedern.
  • Jira: Softwareteams können dank Jira mit allen beteiligten Mitgliedern Software entwickeln.
  • Trello: Auch dieses Kollaborationstool erlaubt es, Teams in Projekten zusammenarbeiten zu lassen.

Dropbox gehört zu den führenden Cloud-Anbietern, und natürlich ist die Cloud zu Pandemie-Zeiten ein hervorragendes Kollaborationstool. Jedoch handelt es sich um ein US-Unternehmen: Ihre Daten landen auf US-Servern. Ergänzende Tools wie Cryptomator oder Boxcryptor verschlüsseln die Daten, die Sie bei Cloud-Anbietern wie Dropbox, Box.de oder anderen ablegen.

Videokonferenzen lassen sich auch mit den Open Source-Tools Jitsi und Big Blue Button realisieren. Studierende aus Karlsruhe und Darmstadt haben unter senfcall.de beispielsweise einen Server eingerichtet, mit dem Videokonferenzen über Big Blue Button kostenfrei möglich sind.

 

IT-Sicherheit im Home-Office und beim Homeschooling

Die folgenden Tipps unterstützen Sie dabei, die IT-Sicherheit im Home-Office, aber auch beim Homeschooling zu erhöhen:

  • Verantwortungen und Kompetenzen: Die Verantwortung für den Datenschutz liegt immer beim Unternehmen selbst, respektive bei der Schule. Diese Verantwortung lässt sich auch nicht ins Home-Office „umdelegieren“. Für eine Datenpanne muss das Unternehmen geradestehen, nicht der einzelne Mitarbeiter. Je sensibler die Daten sind, die verarbeitet werden, umso höher müssen die Vorkehrungen für die Vertraulichkeit ausfallen. Benennen Sie einen Ansprechpartner rund um den Datenschutz und einen für die IT-Sicherheit, sodass die Kompetenzen in Ihrer Organisation für alle Mitarbeiter klar erkenntlich sind.
  • Vereinbarungen: Vereinbaren Sie mit Ihren Mitarbeitern schriftlich die Ausgestaltung der Arbeit im Home-Office. Informieren Sie Ihre Mitarbeiter in dieser Vereinbarung über ihre Pflichten, lassen Sie darüber hinaus eine Verschwiegenheitserklärung unterzeichnen, die alle Haushaltsmitglieder umfasst.
  • Trennung von privat und beruflich: Idealerweise trennen Mitarbeiter Privates von Beruflichen – auch auf ihren Geräten. Das Home-Office ist idealerweise ein abschließbares Arbeitszimmer. Falls dies nicht möglich ist, muss der Bildschirm gegen Blicke geschützt werden. Soft- und Hardware sind vom Arbeitgeber zu stellen. Halten Sie auch fest, dass vertrauliche Telefonate nicht in Anwesenheit Dritter erledigt werden.
  • Verschlüsselung und sichere Passwörter: Lassen Sie E-Mails verschlüsseln, aber auch Daten auf dem Rechner, dem Smartphone und Tablet, falls diese Geräte für die Arbeit eingesetzt werden. Selbiges gilt für die WLAN-Verbindung: Sie muss verschlüsselt sein. Zugang zum Unternehmensnetz darf ebenfalls ausschließlich über verschlüsselte Verbindungen erfolgen. Die Anmeldung durch eine Zwei-Faktor-Authentifizierung bringt zusätzliche Sicherheit. Auch Passwörter müssen sicher sein, dürfen nicht achtlos auf Zetteln neben dem Rechner liegen und sind idealerweise selbst vor dem Zugriff durch unbefugte Dritte durch Verschlüsselung geschützt.
  • Aufräumen: Sowohl Notizzettel mit sensiblen Informationen als auch Datenmüll in digitaler Form gehört zügig und sicher entsorgt.
  • Kommunizieren: Vereinbaren Sie mit Ihren Home-Office-Mitarbeitern regelmäßige Gespräche, in denen die Mitarbeiter positive Punkte, aber auch Negatives ansprechen und etwaige Fragen klären können. Kommunizieren Sie, dass jeder Daten-Vorfall unverzüglich gemeldet werden muss.
  • Aktualisieren: Halten Sie in Ihrer Vereinbarung fest, dass Mitarbeiter verpflichtet sind, die Software auf sämtlichen Geräten aktuell zu halten. (Sicherheits-)Updates sollten unverzüglich, idealerweise automatisiert eingespielt werden.

Weitere Sicherheitstipps haben wir Ihnen im Beitrag „Coronavirus: Was hat das Virus mit IT-Sicherheit zu tun?“ unter „Cybersecurity im Home-Office“ verraten. Haben Sie weitere Tipps und Hilfestellungen für unsere Leserinnen und Leser? Unterstützen Sie andere im Home-Office gerne in den Kommentaren!

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 2



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu