Sicherheitsniveau des Verwaltungsnetzes

Eine erste Übersicht erhalten wir von der ARBEITSGRUPPE ZUGANGS- UND NUTZUNGSREGELUNGEN FÜR DIE BAYERISCHEN HOCHSCHULNETZE des BAYERISCHEN STAATSMINISTERIUMS FÜR UNTERRICHT, KULTUS, WISSENSCHAFT UND KUNST. Sie gibt Kriterien zur Bewertung der Sicherheit von Systemen der Informationstechnik an, die hier zusammenfassend Verwendung finden:¹²⁸

• E1/E2:
  Sicherheit gegenüber Bedienungsfehlern und einfachen Manipulationsversuchen durch Laien ohne besondere DV-Kenntnisse
• E3/E4:
  Resistenz gegenüber qualifizierten Versuchen missbräuchlicher Nutzung, qualifiziert: profunde technische Kenntnisse und normale begrenzte Ressourcen (Geld, Zeit, Werkzeuge)
• E5/E6:
  sehr hohes Bedrohungpotenzial, staatliche Verschluss-Sachen, Schutz vor Manipulationsversuchen mit beliebig hohem Ressourceneinsatz

Für Schulen sollte also mindestens ein Sicherheitsniveau der Stufen E3/E4 anzustreben sein. Im normalen schulischen Betrieb ist das Bedrohungspotenzial aber nicht als ,,sehr hoch`` einzuschätzen, es reicht also E3/E4 tatsächlich aus.

Diese erste Einstufung ist recht grob, denn der Schutzbedarf der Anwender kann sich gemäß der Definition¹²⁹ von ,,Schutzbedarf`` vom Schutzbedarf der Betroffenen unterscheiden.

• Schutzbedarf der Anwender
  Der Schutzbedarf orientiert sich aus der Sicht der informationstechnischen Sicherheit am Risiko, das eine Organisation trägt, dass Daten unbefugt offenbart, verarbeitet, genutzt, geändert oder gelöscht werden.
• Schutzbedarf der Betroffenen
  Der Schutzbedarf orientiert sich aus der Sicht des Datenschutzes am Schaden, der für den Betroffenen entsteht, wenn seine Daten unbefugt offenbart, verarbeitet oder genutzt werden.

Während der Anwender hauptsächlich Interesse an der Verfügbarkeit und Unverfälschtheit ,,seiner`` Daten hat, ist dem Betroffenen neben der Unverfälschtheit sehr daran gelegen, dass die Umwelt nicht unbedingt Kenntnis von ,,seinen`` Dateninhalten nimmt.

Klassifiziert man den Schutzbedarf nach Gefahren des Verlusts von Integrität und Verfügbarkeit, also gemäß dem Schutzbedarf des Anwenders, und überträgt die Resultate¹³⁰ auf Schulen anstelle von Hochschulen und Kliniken, erhält man folgende Einteilung:

(A)

Daten, deren Modifikation, Verlust oder Missbrauch keine besondere Beeinträchtigung erwarten lässt, d.h. der Verlust ist mit geringem Aufwand ausgleichbar

(B)

Daten, deren Modifikation, Verlust oder Missbrauch die betriebliche Handlungsfähigkeit beeinträchtigt, d.h. der Verlust ist mit vertretbarem Zeit- und Mitteleinsatz ausgleichbar

(C)

Daten, deren Modifikation, Verlust oder Missbrauch die betriebliche Handlungsfähigkeit erheblich beeinträchtigt, d.h. zur Schadensabklärung und -beseitigung sind erheblicher Zeit- und Mitteleinsatz erforderlich

(D)

Daten, deren Modifikation, Verlust oder Missbrauch die Schule als solche beeinträchtigt, d.h. Schadensabklärung und -beseitigung sind sehr umfangreich und nicht kalkulierbar

(E)

Daten, deren Modifikation, Verlust oder Missbrauch die Schule als solche in ihrer Existenz gefährdet, d.h. bleibender Schaden ist zu erwarten bzw. eine Schadensbeseitigung ist nicht garantierbar

Im ersten Moment ist sicherlich schwerlich vorstellbar, durch welche Maßnahme ein solcher Schaden anzurichten ist, dass eine Schule in ihrer Existenz gefährdet wird. Dies trifft aber sicherlich dann zu, wenn sämtliche Datenbestände -- für einen inakzeptablen Zeitraum unwiderbringlich -- vernichtet oder verfälscht werden.¹³¹

Die Klassifikation der Schutzstufen nach dem Schweregrad der Folgen, die eine Verletzung des Schutzes für Betroffene nach sich zieht, ergibt dann:¹³²

(A)

Frei zugängliche Daten (Adressbücher)

(B)

Personenbezogene Daten, deren Missbrauch keine besondere Beeinträchtigung des Betroffenen erwarten lässt (beschränkt-öffentliche Ausschreibung)

(C)

Personenbezogene Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann (Einkommen, Sozialleistungen, Ordungswidrigkeiten)

(D)

Personenbezogene Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigen kann (Unterbringung in Anstalten, Straffälligkeiten, Schulden, Pfändungen)

(E)

Daten, deren Missbrauch Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen kann (sensible Patientendaten, Daten über Personen, die Opfer einer Straftat sein könnten)

Im Regelfall sollte die mittlere Schutzstufe (C) ausreichend sein, in besonderen Fällen jedoch können auch Aspekte der Stufe (D) zutreffend sein.¹³³

Die Unterscheidung nach Schutzbedarf von Betroffenen und Anwendern muss bei der Festlegung des Gesamtschutzbedarfs unbedingt Berücksichtigung finden, weder Betroffene noch Anwender dürfen vernachlässigt werden.

Zusammenfassend lässt sich der Schutzbedarf in der Schule nach unten dadurch abgrenzen, dass die Daten aus Sicht

• des Betroffenen einem mittleren bis höherem Schutzniveau,
• von Integrität und Verfügbarkeit einem hohen Schutzniveau

unterliegen müssen. Nach oben ist eine Begrenzung nicht sinnvoll -- der Schutz sollte immer mindestens so gut sein, wie unter den technischen und finanziellen Rahmenbedingungen möglich. Der Schutzzweck darf sich nicht am Investitionsvolumen für die informationstechnischen Systeme oder an den Kosten der technisch-organisatorischen Maßnahmen orientieren!¹³⁴