Verwaltung der PC-Hardware und Mobile-Device-Management (MDM)
Einstiegsfall
Durch den Schulträger S werden für Lehrkräfte PC mit dem Microsoft Betriebssystem Windows 10/11 beschafft und verwaltet. Für Schülerinnen und Schüler stellt der Schulträger iPads als Leihgeräte für die Teilnahme am digitalen Unterricht bereit. Welche technischen und organisatorischen Maßnahmen sind durch den Schulträger für die Verwaltung der mobilen Endgeräte und Windows-PC zu treffen?
Sachinformation
PC-Hard- und Software
Die PC für die Lehrkräfte sollen aktuellen Anforderungen an Datenschutz und Informationssicherheit genügen. Daher müssen für sie technisch-organisatorische Maßnahmen (TOM) im Sinne des Artikels 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung - DS-GVO) getroffen werden, die ein angemessenes Schutzniveau bei der Verarbeitung personenbezogener Daten gewährleisten können. Praktische Orientierung bietet dazu das IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI).
PC für Lehrkräfte können gemäß den Vorgaben des BSI mit dem Schutzbedarf „normal“ eingerichtet werden. Schutzbedarf „normal“ bedeutet, dass für die Schutzziele „Vertraulichkeit“, „Verfügbarkeit“ und „Integrität“ Voreinstellungen im Betriebssystem Windows 10/11 angepasst werden müssen.
Für die Verwaltung und Nutzung der Windows-10/11-PC müssen Rollen und Regeln definiert werden, die eine sichere und datenschutzkonforme Nutzung erlauben. Die Regeln sollen bekannte und verbreitete Angriffsszenarien verhindern und den Datenschutz verbessern, indem die Nutzung von Cloudspeichern, die nicht der DSGVO unterliegen, verhindert wird. Das Ministerium für Bildung stellt rheinland-pfälzischen Schulen zur Nutzung der iCloud bzw. Microsoft 365 auf Anfrage entsprechende Konfigurationsvorgaben und Vorlagen zur Dokumentation der Datenschutzpflichten zur Verfügung. Diese können vonseiten des Schulträgers oder den Koordinatorinnen und Koordinatoren Bildung in der digitalen Welt über die Serviceplattform des Digitalen Kompetenzzentrums DigiKomp.Service angefragt werden. Mehr zu DigiKomp.Service finden Sie unter Quellen und Links. Zudem sollen Datenübertragungen an Hersteller, die nicht für die Funktionalität nötig sind, deaktiviert werden. Dem Prinzip „privacy-by-default“ folgend, sollen alle Standardeinstellungen datenschutzgerecht vorbelegt sein. Durch Rollen soll festgelegt werden, wer welche Rechte beim Zugriff auf den PC erhält.
Für die Umsetzung der oben genannten Anforderungen müssen die PC so „gehärtet“ und voreingestellt werden, dass sie einem Schutzbedarf „normal“ genügen (siehe unter Links: IT-Grundschutz-Kompendium des BSI). Schutzbedarf „normal“ wird angenommen, wenn für das betrachtete Zielobjekt (hier der PC mit Windows 10/11) bei einer Verletzung der Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit die Schadensauswirkungen begrenzt und überschaubar sind.
- Verletzung der Vertraulichkeit bedeutet, dass vertrauliche Informationen unberechtigt zur Kenntnis genommen oder weitergegeben werden.
- Eine Verletzung der Integrität wird angenommen, wenn die Korrektheit der Informationen und der Funktionsweise von Systemen nicht mehr gegeben ist.
- Die Verfügbarkeit ist verletzt, wenn autorisierte Benutzer am Zugriff auf Informationen und Systeme behindert werden.
Generell empfiehlt das BSI Hard- und Software nur aus vertrauenswürdigen Quellen zu beziehen. PC bekannter Markenhersteller sollten demnach nur über Rahmenverträge der Schulträger beschafft werden. Dies gilt auch für die Beschaffung von Software. Kommt Open-Source-Software zum Einsatz, sollten Repositories wie GitHub verwendet und die Identität des Entwicklers überprüft werden. Die Integrität der Daten (Software) sollte zusätzlich durch den Vergleich von Hash-Werten verifiziert werden.
Bei der Einrichtung von Benutzerkonten ist es ein gutes Prinzip, administrative von normalen Aufgaben zu trennen und durch entsprechende Rollenzuweisungen in der Benutzerverwaltung umzusetzen. Für ein Standardbenutzerkonto sind administrative Rechte nicht notwendig, sodass bei einer Kompromittierung eines solchen Kontos eventuell entstehender Schaden begrenzt wird. Höherwertige Berechtigungen sollten nur an einen begrenzten Personenkreis vergeben und die Nutzung auf die Tätigkeiten begrenzt werden, für die diese Rechte erforderlich sind.
Bei der Wahl von Passworten sollte beachtet werden, dass die Länge eines Passwortes ausschlaggebender für dessen Sicherheit ist, als dessen Komplexität. Passworte sollten „nie“ in Klartext auf einem Rechner oder auf Papier gespeichert werden. Für die Speicherung von Benutzernamen und Passworten bieten sich Passwortmanager an, die in der Lage sind, Passwörter zu unterschiedlichen Benutzerkonten zu speichern und bei Bedarf auch in der Lage sind, entsprechend vorgegebener Regeln Passworte zu generieren. Es sollte auch vermieden werden, dasselbe Passwort für unterschiedliche Systeme zu verwenden.
Für die Hardware des PC werden durch die Hersteller regelmäßig Aktualisierungen für die Firmware bereitgestellt. Die Firmware ist Software, die die Hardware mit dem Betriebssystem verbindet. Stellt der Hardware-Hersteller eine Aktualisierung bereit, sollte diese schnellstmöglich installiert werden. Damit sichergestellt ist, dass nur vom Hardware-Hersteller signierte Firmware installiert werden kann, sollte dies im UEFI (Unified Extensible Firmware Interface, auf älteren PC das BIOS) eingestellt sein. Es sollte auch voreingestellt sein, dass Firmware-Aktualisierungen über Windows aktiviert sind.
Der Zugriff auf die UEFI-Einstellung sollte durch ein Administratorkennwort abgesichert sein. Um unerlaubten Zugriff auf die Festplatte zu verhindern, sollte die Bootreihenfolge beschränkt werden, falls die verwendete Festplatte nicht verschlüsselt ist.
Für das Betriebssystem Windows werden durch Microsoft in regelmäßigen Zyklen ebenfalls Aktualisierungen bereitgestellt. Diese sollten schnellstmöglich nach ihrer Veröffentlichung eingespielt werden, um damit ggf. bestehende Sicherheitslücken zu schließen.
Bei Drittsoftware, die auf den PC eingesetzt wird, sollten Regeln und Prozesse vereinbart werden, mit denen regelmäßig überprüft wird, ob es Aktualisierungen vom jeweiligen Softwarehersteller gibt und die Nutzerinnen und Nutzer auf eine notwendige Aktualisierung hingewiesen werden, sofern keine zentrale Softwareverwaltung durchgeführt wird bzw. werden kann.
Grundsätzlich sollte bei der Bereitstellung und Installation nach dem Prinzip vorgegangen werden, dass nur die zur Aufgabenerfüllung unbedingt erforderliche Software auf den PC installiert wird. Die bereitgestellte Software sollte ein Virenschutzprogramm mit der Möglichkeit zur regelmäßigen Aktualisierung enthalten. Informationen zur G DATA-Landeslizenz finden Sie unter Quellen und Links.
Um bei einem Verlust oder Diebstahl des PC die Vertraulichkeit der Daten zu gewähren, sollte eine Festplattenverschlüsselung (z. B. Bitlocker) eingesetzt werden.
In Windows 10/11 hat Microsoft eine Komponente implementiert (Telemetrie), die automatisch Daten erhebt und an Microsoft überträgt. Art und Umfang der erhobenen und übertragenen Daten sowie deren Sicherheit bei der Übertragung ist nicht hinreichend bekannt. Es sollten daher die Protokollierung von Daten, die für die Telemetrieübertragung erhoben werden, sowie die eigentliche Übertragung dieser Daten generell deaktiviert werden.
Windows stellt mit PowerShell und Windows Script Host mächtige Werkzeuge zur Administration und Automatisierung zur Verfügung, die weitgehende Zugriffs- und Ausführungsrechte haben. Wo immer möglich und sinnvoll, sollte die Ausführung von Skripten unterbunden oder eingeschränkt werden. Dies ist insbesondere vor dem Hintergrund der Möglichkeit eines Virusbefalls des Systems sinnvoll, um die Möglichkeiten eines potenziellen Angreifers einzuschränken, unerlaubt Daten auszuleiten bzw. die Funktionalität des PC einzuschränken.
Mobile Endgeräte
Wie die PC für die Lehrkräfte sollen auch die mobilen Endgeräte den aktuellen Anforderungen an Datenschutz und Informationssicherheit genügen und daher gemäß BSI Schutzbedarf „normal“ eingerichtet werden.
Smartphones und Tablets sind unterschiedlichsten Bedrohungen ausgesetzt, die durch Nutzung eines Systems zum Mobile-Device-Management (MDM) reduziert werden können. Mit einem MDM können zudem die Anforderungen des Datenschutzes umgesetzt und kontrolliert werden.
Als grundlegende Entscheidung muss in einer Richtlinie geregelt werden, ob ausschließlich bereitgestellte Endgeräte mit dem MDM verwaltet werden oder ob auch private Geräte („Bring Your Own Device“ - BYOD) integriert werden dürfen. Bei der Zulassung von BYOD sind die individuellen Datenschutzeinstellungen der von den Schülerinnen und Schülern genutzten Geräte zu berücksichtigen. Diese dürfen durch das MDM nicht verändert werden, was die Erstellung einer gemeinsamen Richtlinie erheblich erschwert.
Ist eine Richtlinie festgelegt und vereinbart, sollte sie mit einem MDM-System umgesetzt und für alle mobilen Endgeräte angewendet werden.
Für das MDM muss zuallererst ein Berechtigungskonzept erstellt werden, das klärt, wer welche Geräte verwalten und welche Berechtigungen erteilen darf. Bei der Umsetzung der Richtlinie in Regeln des MDM sollte darauf geachtet werden, wenig komplexe Regeln zu erstellen sowie die Verknüpfung und Abhängigkeit der Regeln untereinander möglichst gering zu halten, um die Gefahr von Fehlkonfigurationen zu minimieren. Bei der Verwendung von Ortungsfunktionen und von Geo-Fencing (dem Freigeben und Sperren von Anwendungen in Abhängigkeit vom Aufenthaltsort) müssen Zweck und mögliche Zugriffe auf Bewegungsprofile datenschutzkonform geregelt sein. Es müssen klare Kriterien definiert sein, die den Zugriff auf Bewegungsprofile erlauben bzw. untersagen. Das MDM muss sicherstellen, dass die verwalteten Geräte regelmäßig synchronisiert werden.
Spezifische Bedrohungen für mobile Endgeräte sind nicht aktualisierte Betriebssysteme, nicht geschlossene Schwachstellen in installierten Anwendungen und Infektionen durch Schadprogramme.
Gefährdungen können auch entstehen, wenn Sprachassistenten im gesperrten Zustand auf Telefonfunktionen oder Kontaktdaten zugreifen können.
Datenschutzverletzungen können entstehen, wenn durch Voreinstellungen schutzwürdige Daten im Sperrbildschirm angezeigt werden oder durch private und dienstliche Nutzung der Zugriff auf Adressbücher möglich ist und diese Daten z. B. über Social-Media-Anwendungen ausgeleitet werden.
Nicht behobene Schwachstellen in den jeweiligen Betriebssystemen können dazu führen, dass Schadsoftware erhöhte Zugriffsrechte erhalten und somit unerlaubter Weise auf Daten zugreifen und die gegebenenfalls ausleiten kann.
Daher sollte für die Nutzung von mobilen Endgeräten als erstes eine Richtlinie erarbeitet werden, die den Nutzungszweck regelt, eine sichere Grundkonfiguration festlegt, den Geräteschutz mit einem Gerätesperrcode vorschreibt, regelmäßige Betriebssystemaktualisierungen sicherstellt und datenschutzgerechte Voreinstellungen, z. B. für Kamera, Mikrofon, Ortungsdienst sowie den Zugriff auf Gesundheits- und Fitnessdaten, vorgibt. Die sichere Grundkonfiguration wird über das MDM auf die verwalteten Endgeräte übertragen. Der jeweilige Gerätestatus kann durch Abruf überprüft werden. Ebenso sollten Verhaltensregeln bei Verlust eines Gerätes definiert werden. Bei Verlust oder Diebstahl eines mobilen Endgerätes muss über das MDM die Fernlöschung möglich sein. Werden Geräte außer Betrieb genommen oder einer anderen Person zugeordnet, muss ein Prozess ausgeführt werden, der vorher alle personen- oder institutionsbezogenen Daten löscht.
Funktionale Erweiterung sollten nur restriktiv genutzt werden. In der Unterrichtssituation kann es allerdings erforderlich sein, dass Zugriffe auf Kamera und Mikrofon oder aber auch auf die AirDrop-Funktion des Apple IOS-Betriebssystems zumindest temporär nutzbar sein müssen.
Um den Rückschluss auf Benutzerin oder Benutzer und Institutionen unmöglich zu machen, sollten Geräte- und Benutzernamen keine Hinweise auf reale Personen oder Institutionen enthalten.
Nicht benutzte Kommunikationsschnittstellen sollten möglichst deaktiviert sein. Die Nutzung von Sprachassistenten sollte nur erlaubt sein, wenn sie zwingend erforderlich ist.
Für die Nutzung von Cloud-Diensten muss geregelt sein, unter welchen Bedingungen diese genutzt bzw. nicht genutzt werden dürfen. Es ist auch zu regeln, ob nur durch das MDM verwaltete und bereitgestellte Apps verwendet werden dürfen oder ob durch Nutzerinnen und Nutzer auch eigene Apps installiert werden dürfen.
IOS
Durch die Nutzung aller von der Firma Apple zur Verfügung gestellten Dienste mit einem Benutzerkonto (Apple-ID), erhöht sich das Risiko von Datenabfluss und -missbrauch, wenn Unbefugte auf eine schlecht abgesicherte Apple-ID zugreifen können. Einige der von Apple bereitgestellten Dienste (iMessage, FaceTime, Siri, Backup) können ausschließlich unter Verwendung der Apple-Infrastruktur genutzt werden.
Die Nutzung von Apps auf IOS-basierten Geräten kann durch ein MDM verwaltet und geregelt sowie die Löschungen von Konfigurationsprofilen verhindert werden.
Funktionen, die Diagnose- und Nutzungsdaten an Apple übermitteln, sollten über das MDM deaktiviert werden. Die Anzeige personenbezogener bzw. vertraulicher Informationen auf dem Sperrbildschirm sollte ebenfalls abgeschaltet sein.
Das Ministerium für Bildung stellt rheinland-pfälzischen Schulen zur Nutzung der iCloud auf Anfrage entsprechende Konfigurationsvorgaben und Vorlagen zur Dokumentation der Datenschutzpflichten zur Verfügung. Diese können vonseiten des Schulträgers oder den Koordinatorinnen und Koordinatoren Bildung in der digitalen Welt über die Serviceplattform des Digitalen Kompetenzzentrums DigiKomp.Service angefragt werden. Mehr zu DigiKomp.Service finden Sie unter Quellen und Links.
Android
Beim Android-Betriebssystem wird der Startprozess durch ein Herstellerzertifikat abgesichert. Dies verhindert, dass ein anderes als das vom Hersteller bereitgestellte Betriebssystem verwendet wird. Die Funktion sollte daher nicht deaktiviert werden.
Durch die meisten Hersteller werden regelmäßig Aktualisierungen für Betriebssystem und Anwendungen bereitgestellt. Diese sollten unmittelbar installiert werden, da mit den Aktualisierungen in der Regel Schwachstellen in Android beseitigt werden. Werden durch einen Hersteller keine regelmäßigen Aktualisierungen zur Verfügung gestellt oder ist das verwendete Gerät schon so alt, dass dafür keine Aktualisierungen mehr bereitgestellt werden, sind solche Geräte besonders gefährdet.
Bei Android ist eine Installation von Apps aus beliebigen Playstores möglich. Die Installation von Apps sollte immer über den offiziellen Playstore von Google erfolgen, da hier sichergestellt ist, dass keine Schadsoftware in den bereitgestellten Apps enthalten ist.
Analog zur Apple-ID bei IOS ist bei Android die Google-ID die Benutzerkennung für die Zugriffe auf alle Google-Dienste. Die Google-ID kann darüber hinaus für die Authentisierung an Diensten von Drittanbietern verwendet werden und ist somit besonders schützenswert.
Zur Absicherung der Geräte sollten die Entwickler-Optionen deaktiviert sein. Sollen mehrere Personen auf ein Gerät zugreifen können, muss abgewogen werden, ob der Multi-User oder Gäste-Modus verwendet wird.
Im Einstiegsfall sollte sich Schulträger S demzufolge mit folgenden technischen und organisatorischen Maßnahmen auseinandersetzen:
- Festlegung von Regeln und Rollen für die Verwaltung und Nutzung von PC und mobilen Endgeräten
- Regelmäßige Aktualisierung der Hard- und Software
- Deaktivierung nicht benötigter Funktionen (Telemetrie)
- Ausschließliche Verwendung DSGVO-konformer Cloudspeicher
- Passwortschutz
- Aktueller Virenschutz
- Verschlüsselung (Festplatte)
- Regelmäßige Datensicherung
- Räumlicher Zugangsschutz (Rechnerraum, iPad-Container)
Gesetze und Vorschriften
Hier finden Sie Links zu allen Gesetzen und Vorschriften, die für Baustein 2.1 - Verwaltung der PC-Hardware und Mobile-Device-Management - relevant sind.
Art. 25 DS-GVO - Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Quellen und Links
Hier finden Sie eine Übersicht über die in Baustein 2.1 - Verwaltung der PC-Hardware und Mobile-Device-Management - verwendeten Quellen und weiterführende Links.
IT-Grundschutz-Kompendium des BSI, Edition 2021
Abrufbar unter https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html
„Empfehlungen zur Härtung von Windows 10 mit Bordmitteln“ des BSI
Abrufbar unter https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Studien/SiSyPHuS_Win10/AP11/SiSyPHuS_AP11_node.html
SYS.3.2.1: „Allgemeine Smartphones und Tablets“
Abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs/07_SYS_IT_Systeme/SYS_3_2_1_Allgemeine_Smartphones_und_Tablets_Edition_2020.pdf?__blob=publicationFile&v=1
SYS 3.2.2 „Mobile Device Management (MDM)“
Abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs/07_SYS_IT_Systeme/SYS_3_2_2_Mobile_Device_Management_Edition_2020.pdf?__blob=publicationFile&v=1
SYS.3.2.3: „iOS (for Enterprise)“
Abrufbar unter
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/07_SYS_IT_Systeme/SYS_3_2_3_iOS_for_Enterprise_2021.html
SYS.3.2.4: „Android“
Abrufbar unter
httpss://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/07_SYS_IT_Systeme/SYS_3_2_4_Android_Edition_2021.html
Informationen zur Virenschutz-Software für Schulen (G Data Landeslizenz)
Abrufbar unter
https://bildung.rlp.de/bildungsnetz/virenschutz
Digitales Kompetenzzentrum des Pädagogischen Landesinstituts, Informationen zur Koordination Bildung in der digitalen Welt
Abrufbar unter
https://bildung.rlp.de/digikomp/kbiddw
Informationen zur Serviceplattform DigiKomp.Service
Abrufbar unter
https://bildung.rlp.de/digikomp/kbiddw
Datenschutzkonforme Angebote des Pädagogischen Landesinstituts zum Online-Lehren, -Lernen und - Zusammenarbeiten
- Bildungsportal, Schulcampus RLP, Lernplattform@RLP, MNS+
Abrufbar unter https://bildung.rlp.de/pl/leistungen/it-dienste.html - Schulbox RLP - Cloud-Lösung für Schulen, die weder Schulcampus, lernplattform@RLP noch MNS+ nutzen
Abrufbar unter https://bildung.rlp.de/bildungsnetz/groupware-und-cloud/schulbox
Weitere Fallbeispiele
Hier finden Sie zu Baustein 2.1 - Verwaltung der PC-Hardware und Mobile-Device-Management - passende Fallbeispiele.
Lehrer L plant für seine neue Klasse 7 zur Speicherung von Arbeitsergebnissen den Einsatz eines Cloud-Speichers, für den die DS-GVO Anwendung findet. Im Mobile-Device-Management möchte er Benutzernamen für die Schülerinnen und Schüler einrichten. Diese setzt er aus dem jeweiligen Vornamen sowie Geburtsdatum zusammen. Ist das zulässig?
Lösung:
Nein. Benutzernamen von Schülerinnen und Schülern sollen pseudonymisiert sein. Vorname und Geburtsname erfüllen nicht das Kriterium für ein Pseudonym, da Rückschlüsse auf eine reale Person möglich sind. Ein Pseudonym könnte gebildet werden aus dem Vornamen und der Klassenbezeichnung sowie einer fortlaufenden Nummer, bei gleichen Vornamen. Die Schülerinnen und Schüler müssen explizit eingewiesen und unterrichtet werden, dass sie ihre Arbeitsergebnisse nur in dem extra eingerichteten Cloud-Speicher ablegen.
Lehrerin L möchte sich die Arbeitsergebnisse ihrer Klasse 7 nach dem Unterricht anschauen. Sie richtet daher die Dateiablage so ein, dass die im Unterricht erstellten Dateien im Cloudspeicher von Apple gespeichert werden. Damit sie die Schülerinnen und Schüler unterscheiden kann, verwendet sie für die Ordner eine Kombination aus Vornamen und dem ersten Buchstaben des Nachnamens sowie die Klassenbezeichnung. Ist das zulässig?
Lösung:
Das Ministerium für Bildung stellt rheinland-pfälzischen Schulen zur Nutzung der iCloud auf Anfrage entsprechende Konfigurationsvorgaben und Vorlagen zur Dokumentation der Datenschutzpflichten zur Verfügung. Diese können von Koordinatorinnen und Koordinatoren Bildung in der digitalen Welt über die Serviceplattform des Digitalen Kompetenzzentrums DigiKomp.Service angefragt werden.
Weitere Informationen dazu sowie zum Austausch von Materialien mittels der datenschutzkonformen Landeslösung Schulbox finden Sie unter Quellen und Links.
Der Schultechniker Herr N muss defekte Geräte aussondern. Einige der Geräte sind noch funktionsfähig und enthalten Benutzerprofile. Herr N entscheidet sich, für diese Geräte einen Hardware-Reset durchzuführen. Hat er damit alle erforderlichen Maßnahmen durchgeführt?
Lösung:
Nein. Zunächst muss Herr N prüfen, ob auf den Geräten noch Benutzerkonten vorhanden sind. Sind zu den Benutzerkonten lokal Daten gespeichert, müssen diese gelöscht werden. Herr N kann dazu auf die Löschfunktion „Shreddern“ von G Data zurückgreifen. Sind zu den Benutzerkonten Daten in einem Cloud-Speicher vorhanden, muss vor einer Löschung überprüft werden, ob die Daten erhalten bleiben sollen.
Informationen zur G DATA-Landeslizenz finden Sie unter Quellen und Links.