Als die Schüler der 8. Klasse einer Realschule im Unterricht zu Übungszwecken die auf einem gemeinsam genutzten Laufwerk abgelegte Datei auf ihren Laptop übertragen und öffnen, präsentiert sich ihnen statt der erwarteten Excel-Arbeitsmappe ein Quiz über die Lehrer der Schule. Dabei sollen Fragen nach dem Muster "Findest Du Frau XY gut?" beantwortet werden. Wird die "falsche" Antwort angeklickt, erscheint in entsprechender Hinweis im Vollbild, der sich nicht ohne weiteres wieder entfernen lässt.
Der Missetäter ist schnell identifiziert, hat er sich doch durch seine bisher hervorragenden Leistungen im Informatikunterricht selbst verdächtig gemacht. Allerdings muss er vor seiner Bestrafung erst höflich darum gebeten werden, die Blockade der Rechner aufzuheben, da keine von den für die Schul-IT zuständigen Lehrkräften dazu in der Lage ist.
In diesem tatsächlich so abgelaufenen Fall ist für die Schule der materielle Schaden gering geblieben. Der Verlust der zuständigen Lehrkräfte an Autorität und Glaubwürdigkeit war allerdings enorm, verbreitete sich die Geschichte doch wie ein Lauffeuer unter der Schülerschaft und wird wohl noch einige Jahre an die nachfolgenden Schülergenerationen weitergereicht werden.
Strukturelle Schwierigkeiten der Schul-IT
Das Beispiel macht das Dilemma in Bezug auf IT-Sicherheit an deutschen Schulen deutlich. Oft sollen ein oder zwei nur unzureichend auf ihre Aufgaben vorbereitete Lehrkräfte zusätzlich zu ihrer Lehrtätigkeit und mit geringem Budget dafür sorgen, dass sich die wachsende Zahl an IT-Ausstattung sicher nutzen lässt. Zugleich sind die Anforderungen hoch. Schließlich sollen die Lehrkräfte durch die Systeme nicht in ihrer Arbeit eingeschränkt werden, zugleich müssen aber die Vorgaben des Jugendschutzes für unterschiedliche Altersgruppen erfüllt und sollten breit gestreute Angriffe mit Spam- und Phishing-Mails oder Ransomware zuverlässig unterbunden werden.
Lesetipp: Digitalpakt Schule - Tablet und WLAN als Heilsbringer?
Spezielle Sicherheitssoftware, die genau dafür ausgelegt ist, wäre wünschenswert. Es gibt sie aber nicht. Die Verantwortlichen müssen daher gängige, für Unternehmen konzipierte Software so konfigurieren, dass sie den Anforderungen von Einrichtungen im Bildungswesen entspricht. Zudem können Schulen und Bildungseinrichtungen bei der Auswahl der Lösungen vielfach nur eingeschränkt entscheiden, weil die Vorauswahl bereits durch Rahmenverträge getroffen wurde.
Das ist zum Beispiel in Rheinland-Pfalz der Fall. Dort bietet das Pädagogische Landesinstitut noch bis August 2020 allen Schulen, Lehrkräften, Schülerinnen und Schülern Lizenzen für den Virenschutz von G Data auch für die Nutzung auf deren persönlichen Geräten an. In Bremen hat sich die Schulbehörde dagegen für über 140 Schulen für Software von Sophos entschieden. Als wesentlichen Vorteil nennen die Verantwortlichen in einem Referenzbericht die "zentrale Überwachung des Virenschutzes praktisch ohne Einarbeitungs- und Administrationsaufwand" - bei einer neunköpfigen IT-Abteilung, die für 1500 Verwaltungsfachkräfte und 6000 Lehrkräfte mit 7000 PC-Arbeitsplätzen und 250 Servern zuständig ist, ein durchaus nachvollziehbares Argument.
Ansatzpunkte für sichere Schul-IT
Zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) haben die kommunalen Spitzenverbände ein IT-Grundschutz-Konzept ausgearbeitet. Die Schulverwaltung Nordrhein-Westfalen empfiehlt, sich danach zu richten, um die technische Sicherheit in den von der Verwaltung und für Lehrzwecke genutzten Netzwerken der Schulen zu gewährleisten. Allerdings ist das BSI-Grundschutz-Kompendium sehr umfangreich und für Experten verfasst. Die Schulverwaltung NRW legt Schulen daher nahe, diese Grundlage zusammen mit dem Schulträger zum Anlass zu nehmen, um die Infrastruktur durch den kommunalen Sicherheitsbeauftragten prüfen zu lassen.
Generell wünschenswert wäre sicherlich ein eigenes IT-Grundschutz-Profil für Schulen. Derartige Profile sollen unterschiedlichen Anwendergruppen helfen, den IT-Grundschutz selbständig auf ihre Bedürfnisse anzupassen. Bei diesen Profilen setzt das BSI auf Anwender, die diese erstellen und danach auf der Website der Behörde veröffentlichen. Bislang hat sich dazu im Bildungswesen aber offenbar noch keiner bereitgefunden.
Um das Geschäft mit Bildungseinrichtungen anzugehen, können Fachhändler und Systemhäuser jedoch auf Grundlage des IT-Grundschutz-Profils "Basis Absicherung Kommunalverwaltung" mit vertretbarem Aufwand ein eigenes Grundkonzept erstellen und das dann jeweils gemeinsam mit dem Verantwortlichen des aktuellen Projektpartners anpassen. Auch der "Erlass über IT-Sicherheit und Datenschutz in Schulverwaltungen, zur Nutzung von E-Mail und zur Erhebung und Veröffentlichung interner Daten" des Hessischen Kultusministeriums sowie die Website zu "IT-Datenschutz an Schulen und in der KV" des Kultusministeriums des Landes Baden-Württemberg bieten hilfreiche Hinweise, was bei der Absicherung von Schul-IT zu beachten ist.
Lizenz- und Margen-Situation
Die Anbieter von Security-Software haben in der Regel keine speziellen Varianten ihrer Produkte für Schulen und Bildungseinrichtungen im Portfolio. Sie begründen das damit, dass Bildungseinrichtungen grundsätzlich denselben Gefahren ausgesetzt sind wie gewerbliche Firmenkunden.
"Was wir jedoch anbieten, sind spezielle Konditionen für diese Zielgruppe, die im Vergleich zu den Standardpreisen deutlich reduziert sind", so Peter Neumeier, Head of Channel Germany bei Kaspersky Lab. "Diese Sonderkonditionen beziehen sich auf die empfohlenen Endkundennettopreise und wirken sich nicht auf die Marge des Partners aus. Dieser erhält weiterhin seine volle Marge gemäß unseres Partnerprogramms."
Lesetipp: Mit Managed Services Schulen digitalisieren
"Trend Micros Lizenzierungsprogramm für Organisationen aus den Bereichen öffentliche Verwaltung, Forschung und Lehre sowie für gemeinnützige Organisationen bietet flexible Lösungen, die auf die Größe und Beschaffungspräferenz der jeweiligen Organisation zugeschnitten sind. Die Anforderungen der öffentlichen Verwaltung sind je nach Segment unterschiedlich und Organisationen beschaffen in der Regel Softwarelizenzen und Cloud-Dienste über Rahmenverträge und eigens ausgehandelte Konditionen. Die Margen der Reseller sind dabei denen im Vertrieb an den Mittelstand ähnlich", schildert Thomas Huber, bis Ende 2019 Director Channel Sales bei Trend Micro.
"Grundsätzlich gewähren wir Schul- und Forschungseinrichtungen einen Rabatt von 50 Prozent auf Lizenzen von Business- und Privatanwender-Produkten. Dabei spielt es keine Rolle, ob diese in unserem Webshop oder bei einem Eset-Reseller erwerben werden. Die Margen für Reseller bleiben gleich", versichert auch Daniel Stephan, Channel Sales Manager bei Eset Deutschland. Box-Produkte seien davon allerdings ausgeschlossen, da die Rabatte insbesondere in den Flächenmärkten schwer abzubilden seien.
G Data ist im Bildungssektor mit G Data Client Security Business und G Data Endpoint Protecion Business vertreten. "Im Education-Bereich setzen wir auf eine pauschale Lizenzierung mit einem Umfang von bis zu 1.000 Clients", sagt Hendrik Flierman, Global Sales Director bei G Data. "Die Education-Lizenzen werden zu einem pauschalen Preis verkauft, das wirkt sich natürlich auch auf die Margen für die Händler aus."
"Sophos definiert Sonderkonditionen und bietet dem Partner damit die nötige Sicherheit, auch über lange Laufzeit hinweg. Das wirkt sich positiv auf die Marge aus, da sie garantiert ist und über den kompletten Zeitraum läuft", versichert Ingo Rosenbaum, Senior Manager Enterprise Sales bei Sophos.
Managed Security Services als Problemlöser
Gezielt auf den Bildungsbereich ausgerichtete Spezialisierungen oder Zertifizierungen für ihre Partner bieten die bekannten Security-Hersteller nicht an. Sie sind sich aber darin einige, dass Managed Security Services in diesem Bereich viel Potenzial haben. Bei dessen Erschließung sind sie aber unterschiedlich weit gekommen.
"Tatsächlich gibt es schon zahlreiche Schulen, die IT-Sicherheit managen lassen", berichtet Sophos-Manager Rosenbaum. Die Anbieter müssten dafür die richtige Plattform liefern. "Hier spielen die XG Firewall und Sophos Central als zentrale Verwaltungskonsole eine wichtige Rolle. Alle angeschlossenen Einrichtungen können aus einem Account heraus mit individuellen Einstellungen gemanagt werden. Das bietet gerade im Bereich von Schulen ein großes Potenzial, da häufig kein dediziertes Personal mit Know-how vor Ort ist", so Rosenbaum weiter.
"Unsere Spezialisierungen, die wir seit diesem Jahr im Rahmen unseres neuen Partnerprogramms anbieten, beziehen sich nicht auf spezielle Branchen, sondern auf Produkt- und Lösungsgruppen", erklärt Peter Neumeier, bis Juni 2020 Head of Channel Germany bei Kaspersky Lab. "Beispielsweise bieten wir nun Spezialisierungen im Bereich Managed Service Provider (MSP) an. Dieses Modell ist für Schulen ein durchaus sinnvoller Weg und eröffnet dem Partner gleichzeitig ein neues und spannendes Geschäftsmodell."
"Auch bei Schulen und Bildungseinrichtungen spricht sich langsam herum, dass man mit Managed Services Kosten einsparen und sogar mehr Service erhalten kann", so Eset-Sprecher Stephan. Vorteil des eigenen MSP-Modells seien etwa tagesgenaue Abrechnung und flexible Skalierung. "Der Renner ist unser Pause-Button, über den Schulen und Bildungseinrichtungen abrechnungsfrei gestellt werden. Bei der Vielzahl an Ferientagen kommt da ein hübsches Sümmchen zusammen, das gespart werden kann."