Was müssen Sie beachten für eine geignete Wahl der Sicherheit des Internetzugangs?
Das Thema Internet-Sicherheit umfasst viele verschiedene Aspekte. Im Folgenden betrachten wir zuerst die Sicherheitsfragen des Internetzugangs, dies betrifft a) die Firewall und b) die Filterung von Inhalten aus dem Internet. Unten stehend eine Orientierungstabelle für die einzelnen Schulstufen mit einer möglichen Auslegung von Firewall und Filterung.
| Schulstufe | Firewall | Filterung | Produkt Beispiele |
|---|---|---|---|
| KG/Unterstufe | externe Firewall | externe Webfilterung | Swisscom CSS1) |
| Mittelstufe | Schuleigene Firewall | externe Webfilterung |
Cisco ASA2) + Monzoon Webfilter |
| Sek I | Schuleigene Firewall | Ressourcenfilterung |
pfSense Appliance3) + Cisco Umbrella4) |
| Sek II | Schuleigene Firewall | Keine Filterung | Sophos UTM5) |
1. Anbieten heisst Mitverantworten
Die Schulen stellen ihre Internetanbindung den Lehrpersonen und Lernenden zur Verfügung und tragen somit eine Mitverantwortung für eine angemessene Sicherheit dieses Angebotes. Die Schulen sind verantwortlich für die Einhaltung der Jugendschutzbestimmungen. Die Verantwortung für den Umgang mit dem Internet liegt trotz effizienter technischer Vorkehrungen nach wie vor bei der Schule, respektive bei der Lehrperson und den Lernenden. Unsere Publikation Café Affenschw@nz gibt Hinweise zum Umgang mit problematischen Inhalten im Internet. Die Schulen übernehmen die Verantwortung für einen sachgerechten Einsatz des Internets im Unterricht. Die Einhaltung von Urheberrechten und Copyrights liegt ebenfalls in der Verantwortung der Schule.
2. Stufengerechte Sicherheit des Internetzugangs
Die Sicherheit des Internetzugangs ist stufengerecht zu betrachten und umzusetzen. Während eine volljährige Schülerin oder ein volljähriger Schüler der Sekundarstufe 2 kaum vor Inhalten im Internet geschützt werden muss, sollen Kindergartenkindern so gut wie nur möglich vor nicht-altersgerechten Inhalten geschützt werden. Während die Lernenden der Berufs- und Mittelschulen durchaus Hackeraktivitäten entwickeln können, ist dies bei Kindergartenkinder kaum zu erwarten. Wenn von Internet-Sicherheit gesprochen wird, ist es wichtig klar zustellen, welche Schulstufe betroffen ist.
3. Cloud Firewall und schuleigene Firewall
Das SAI-Zürcher Bildungsnetz von Swisscom ist ein Intranet, welches durch eine Cloud Firewall abgesichert ist. Seit Herbst 2013 ist die Firewall ein Teil der Cloud Security Services (kurz CSS). Die Swisscom verwendet das Produkt «Zscaler». Für jede bei SAI Standard oder SAI Extra angeschlossene Schule heisst dies, dass sie vor Zugriffen aus dem Internet geschützt ist. Innerhalb des Bildungsnetzes ist der Datenverkehr jedoch nicht eingeschränkt. Gegenüber anderen Schulen im Bildungsnetz kann sich eine Schule am besten mit einer eigenen Firewall-Installation absichern. In der eigenen Schule werden die Zugangsrechte durch eine korrekte Konfiguration und einen sorgfältigen Umgang mit Passwörtern geregelt. Dies ist die wichtigste Massnahme für den Schutz der Daten innerhalb der Schule und gegen aussen.
4. Cloud-basierte Webfilterung
Die Cloud Security Services der Swisscom verfügen auch über einen Cloud-basierten Webfilter6 der Internet-Seiten auf problematische Inhalte überprüft (insbesondere Rassismus, Pornografie und Gewalt). Der Webfilter hat sich als zuverlässig erwiesen. Wie jede technische Lösung bietet der Webfilter jedoch keinen absoluten Schutz. Internetadressen (URL) von Seiten mit problematischen Inhalten, die trotz Filter über das Bildungsnetz aufgerufen werden können, sind dem Helpdesk zu mailen. Die Fachstelle hat einen direkten Zugang zum Webfilter und kann gezielt einzelne Seiten sperren lassen. Seriöse Angebote, die der Webfilter irrtümlich sperrt, können ebenfalls gezielt freigegeben werden.
5. Daten Rekonstruktion
Alle Provider (Swisscom, UPC, EWZ, etc.) haben die rechtliche Vorgabe, die Verbindungsinformation (in Logfiles) zu speichern. Sollte ein begründeter Verdacht seitens Kunde auf „Unregelmässigkeiten“ bestehen, kann der Provider die Daten oft nur mit grossem Aufwand bereitstellen. Voraussetzung für die Herausgabe der Daten ist eine richterliche Verfügung und die Übernahme der Kosten durch den Kunde.
6. Schuleigene Firewall und Filterung
Die Mittel- und Berufsschulen können anstelle der Firewall und der Filterung des Swisscom SAI Angebotes (Cloud Security Services) diese Dienste auch bei anderen Anbietern einkaufen oder selbst betreiben. Die Fachstelle empfiehlt, den Betrieb der Firewall und des durch einen professionellen Anbieter sicher stellen zu lassen. Dies gilt auch für Volkschulen, die nicht über SAI ans Internet angeschlossen sind.
7. Verbindliche Vorgaben des VSA und MBA
-
Wenn Sie eine Internetanbindung im Rahmen von „Schulen ans Netz“ der Swisscom (SAI) wählen, sind Sie vertraglich verpflichtet
a) entweder die SAI-Sicherheit (Firwall und Webfilter) zu wählen oder
b) stufengerechte equivalente technische Sicherheistsmassnahmen zu installieren. - Wenn Sie eine Internetanbindung eines anderen Anbieters wählen, gibt es zur Zeit keine bindenden Vorgaben bzgl. technischen Sicherheitsmassnahmen von Seiten des VSA oder MBA. Zur eigenen Sicherheit sollten sie sich an den Empfehlungen auf diesen Seiten orientieren.
8. Zusammenfassung
Für den Kindergarten und die Primarstufe ist die Wahl der Webfilterung des SAI-Angebotes oder eines äquivalenten Angebotes empfehlenswert. Für die Schulen der Sekundarstufe 1 sind Verfahren, die auf einer einfachen Ressourcen-Filterung (z.B. Cisco Umbrella) basieren inkl. einer eigenen Firewall genügend. An den Schulen der Sekundarstufe 2 kann eine massvolle Ressourcen-Filterung die Diskussion vereinfachen. Es kann aber auch ganz auf die Filterung von Internetseiten verzichtet werden. Eine leistungsfähige Schul-eigene Firewall wird empfohlen. Sicherheit ist jedoch nicht nur eine technische Fragestellung, sondern umfasst ebenso die medienpädagogischen und ICT-Kompetenzen der Lehrpersonen und Lernende, die konkret gelebte Kultur im Umgang mit ICT, sowie die strukturell-organisatorischen Massnahmen. Weitere Informationen zu Internet-Sicherheit finden Sie hier.