5 Kriterien, woran man ein sicheres Software-Produkt erkennt
Jürgen Pointinger, unser Head of Technology, erklärt die wichtigsten Punkte einer datenschutzkonformen Schulsoftware.
"Zugegebenermaßen ist es nicht immer einfach auf den ersten Blick zu erkennen, ob ein Produkt oder ein Dienst sicher oder datenschutzkonform ist. Doch es gibt ein paar Indikatoren, die sich auch von außen gut überprüfen lassen."
Jürgen Pointinger, Head of Technology der Untis GmbH.
Strenge Einhaltung der DSGVO
Alle am Schulalltag beteiligten Personen - Administrator*innen, Lehrkräfte, Schulleitung, Erziehungsberechtigte und Schüler*innen einer Bildungseinrichtung – haben natürlich das Recht auf den Schutz ihrer personenbezogenen Daten. Bei der Verwendung einer Schulsoftware werden diese Nutzerdaten von der Schuladministration an den Software-Hersteller übermittelt und dort gespeichert. Für diese Verarbeitung der Daten schreibt Artikel 28 der EU-Datenschutz-Grundverordnung vor, dass eine vertragliche Vereinbarung zwischen Schule und Hersteller getroffen werden muss.
“Sollten Sie von einem Software-Anbieter keinen Auftragsverarbeitungsvertrag vorgelegt bekommen, sollten Sie stutzig werden”, warnt Jürgen Pointinger, der seit über 20 Jahren im IT-Bereich tätig ist.
Datenschutz ist nicht gleich Datensicherheit
Während es sich beim Begriff Datenschutz um den rechtlichen Schutz personenbezogener Daten und somit der Privatsphäre von Menschen dreht, geht es beim Begriff der Datensicherheit darum, mit technischen Maßnahmen die Manipulation, den Verlust oder den Zugriff Unbefugter auf Daten zu verhindern. Das Motto seriöser Software-Anbieter sollte lauten: ‘So viele anonymisierte Daten wie nötig, besser aber so wenig wie möglich’. Denn wo viele Daten gespeichert werden, können auch viele Daten verloren gehen oder gestohlen werden. “Nach diesem Prinzip funktioniert zB. der Messenger von Untis, für den kein Austausch von privaten Daten wie Handynummern oder E-Mail-Adressen von Schüler*innen oder Lehrkräften notwendig ist.”
Serverstandorte in der Europäischen Union
Nach der Frage ”Welche Daten werden gespeichert?” sollte man sich sofort fragen “Wo werden die Daten gespeichert?”. Und heutzutage sollte man nicht nur darauf achten, in welchem Land die eigenen Daten landen, sondern auch welches Unternehmen dahintersteckt und ob ein Zugriffsrisiko auf diese Daten besteht. In mehreren Urteilen, u.a. auch vom Europäischen Gerichtshofs (EuGH), wurde das US-amerikanische Datenschutzniveau als nicht ausreichend eingeschätzt. Um auf Nummer sicher zu gehen, sollte man auf heimische, sprich europäische Hochleistungsserver z.B. in Deutschland oder Ö-Cloud-Dienste in Österreich setzen.
Regelmäßige ISO-27001-Zertifizierungen
Die ISO-27001-Zertifizierung ist der bekannteste, internationale Standard im Bereich der IT- und Informationssicherheit. Die Norm beschreibt wie ein Informationssicherheits-Managementsystem (ISMS) aufgebaut und betrieben wird, und definiert, was ein Unternehmen tun muss, um Risiken durch Datenmissbrauch, Hackerangriffe und Datenverlust zu minimieren. Ein verantwortungsvolles Software-Unternehmen wie die Untis GmbH lässt sich jährlich von unabhängigen Auditor*innen überprüfen und alle 3 Jahre rezertifizieren. Dieses enorme Engagement des Unternehmens, in puncto Daten- und Informationssicherheit immer am aktuellen Stand zu bleiben, zeugt von großem Verantwortungsbewusstsein für die Sicherheit der Kundendaten. Es ist also vor allem darauf zu achten, ob das Unternehmen an sich zertifiziert wurde und nicht nur Dienste oder beauftragte Partner, die jenes Unternehmen einbezieht.
Sichere Passwörter und Multifaktor-Authentifizierung
Wie bereits erwähnt sind personenbezogene Daten einem ständigem Missbrauchsrisiko von Unbefugten ausgesetzt. Um dem vorzubeugen, sollte man darauf achten, für verschiedene Dienste unterschiedliche Passwörter zu verwenden. Diese sollten sicher in einem Passwort-Tresor verwahrt werden und keine persönlichen Informationen enthalten, die man erraten oder durch soziale Manipulation herausfinden könnte, wenn man Sie näher kennt.
"Am sichersten ist es, wenn der Software-Anbieter ein starkes Passwort verlangt, das mindestens 8, besser aber 10 Merkmale aufweist. Das Passwort sollte keine Muster und keine verbreiteten Wörterbucheinträge enthalten. Es sollte sich aus einer Mischung von Buchstaben, Zahlen, Sonderzeichen und einer Groß- und Kleinschreibung ergeben”, sagt Jürgen Pointinger. “Auch Zwei- oder Multifaktor-Authentifizierung bietet einen erhöhten Schutz, da man hier neben Benutzername und Passwort noch eine zweite Information bestätigen muss. Das können z. B. Textnachrichten, Anrufe, Biometrie und einmalige Passcodes aus einer separaten App sein.”
