Mit der zunehmenden Nutzung von Online-Ressourcen (z.B. Fernunterricht) gewinnt die Informationssicherheit und Datenschutz immer mehr am Gewicht. Benutzenden müssen darauf vertrauen können, dass ihre Daten, die sie an Dienste weitergeben sowie ihre sonstigen Interaktionen nicht unterwegs von unbefugten Dritten beobachtet oder manipuliert werden können. Beispielsweise werden üblicherweise Lernfortschritte, die Vergabe von Noten und sonstige Evaluationsbemerkungen (z.B. Hinweise auf Lernschwierigkeiten) geheim gehalten – daran ändert sich nicht wegen des Mediums des Unterrichts: auch im digitalen Umfeld hat man die gleiche Rechte. Dies gilt vor allem angesichts des Einsatzes neuer Technologien im Bildungswesen (z.B. Internet der Dinge), welches durch die jüngsten Infrastruktur-Entwicklungen (z.B. 5G, IPv6) angekurbelt wird – somit dürfte der Bedarf an sicheren Transaktionen nur noch deutlich zunehmen.

Die Verschlüsselungstechniken

Um Vertrauen an ihren Diensten zu gewährleisten, setzen Dienstleistungsanbieter Verschlüsselungstechniken ein. Somit wirkt die Kryptographie, welche Kommunikation zwischen Parteien in Anwesenheit von Gegnern ermöglicht, wie ein Schloss um den Austausch von Daten vor Anderen zu schützen. Durch den Einsatz komplexer mathematischer Operationen werden Botschaften in unverständlichen Datenverkehr umgewandelt, über öffentliche Netzwerke gesendet bevor sie wieder vom Empfänger entschlüsselt werden können. Um solche Schlösser zu betätigen, muss der Dienst im Besitz eines speziellen Schlüssels sein und die Zuordnung dieser Schlüssel zu Firmen, Behörden oder Bildungsinstitutionen muss gewährleistet sein, damit wir sicher sein können, mit wem wir kommunizieren. Dies erfordert zudem, dass die Dienste auch die Schlüssel sicher aufbewahren, die ihre Kommunikationskanäle schützen, damit sie nicht in die Hände anderer fallen, die sich sonst als sie ausgeben könnten.

Kryptographie allein schafft kein Vertrauen

Geheim heisst aber längst noch nicht sicher und eben hier liegt der springende Punkt: Es ist nicht die Kryptographie, welche Vertrauen schafft – die Kryptographie kann es lediglich nur technisch implementieren und durchsetzen. Vertrauen entsteht allein durch die Behörden und Dienstleistungsanbieter, die die Identität und Legitimität von Diensten bestätigen. Dieses Vertrauen kann durch die Ausstellung und den sorgfältigen Schutz der Schlüsselmaterial zertifiziert und aufrechterhalten werden. Sollte aber die Autorität in Frage gestellt werden, die das Vertrauen erteilt hat, dann kann die Kryptographie nichts tun, um die Situation zu retten.

Der Bereich der Schlüsselverwaltung und -zertifizierung wird durch zahlreiche internationale Standards und Normen geregelt und ist ein integraler Bestandteil jedes Informationssicherheits- und Datenschutzsystems. Solche Standards finden sich beispielsweise in der Föderation der Identitätsdienste des Bildungsraum Schweiz (Edulog) und teilweise bei den zugehörigen Identitätsprovidern. Dies wird in den kommenden Jahren weiter ausgebaut damit die nötigen Infrastrukturen für den sicheren Datenaustausch generell dem Bildungsraum zur Verfügung stehen. Solche Massnahmen dürften zusätzliche regulatorische und organisatorische Massnahmen erfordern, um das Vertrauen in das schweizerische Bildungssystem zu verstärken. Mit anderen Worten: eine koordinierte Anstrengung in Bezug auf technische und organisatorische Massnahmen erforderlich ist, um eine Vertrauensinfrastruktur aufrechtzuerhalten.


Kontext: Die dunkle Seite der Verschlüsselung

Die Verschlüsselung hat auch eine dunkle Seite: Wenn sensible Daten auf einer Festplatte gespeichert werden, ist es nicht ungewöhnlich sie «im Ruhezustand» zu verschlüsseln, so dass bei der Erstellung von Backups oder anderen Kopien auch diese geschützt sind. Wenn die Daten gelöscht werden müssen, ist es in der Regel einfacher, den Verschlüsselungsschlüssel zu löschen (sog. «kryptographisches Löschen»), als es zu versuchen, alle Daten sowie ihre Kopien wieder zu finden und zu entfernen. In den letzten Jahren wurde aber dieser Ansatz von Hackern ausgenutzt: Sie versuchen Malware (sog. «Ransomware») auf Computern zu installieren mit dem Ziel Daten zu verschlüsseln und somit unbrauchbar zu machen. Sollte der Opfer kein Lösegeld auszahlen wollen wird gedroht den zugehörigen Schlüssel zu löschen. Weltweit ist dies als zunehmender Trend zu beobachten.

Während die Kryptographie und die damit verbundenen Schlüsselmaterialen sehr nützliche Eigenschaften zur Sicherung von Transaktionen bieten (z.B. Schutz, Integrität, Unleugbarkeit), muss man sich darüber im Klaren sein, dass Vertrauen grundsätzlich eine Facette von sozialen und wirtschaftlichen Beziehungen ist, welche ausserhalb der Technologie existiert und in den Systemen jeder modernen Gesellschaft verankert und bewahrt werden muss.

 

ähnliche Beiträge

Unsere neu kreierte Rubrik will informieren, Wissen vermitteln und zu Diskussionen anregen. Unser erstes Educa Dossier widmen wir der hochaktuellen Thematik «Blockchains in der Bildung». Auch unsere diesjährige Fachtagung Educa23 stand ganz unter diesem Thema, dazu mehr in unserem Rückblick.

Am 1. September 2023 tritt das neue Bundesgesetz über den Datenschutz in Kraft (nDSG). Was bedeutet nun das neue Datenschutzgesetz für die Schulen? Vorab: Für öffentliche Schulen gilt wie bisher das jeweilige kantonale Datenschutzgesetz.

Schulentwicklung heute bedeutet Einsatz von Technologie. Die EdTech-Branche wächst rasant und ermöglicht neue Ansätze in der Bildung. Sie probiert aus, interagiert direkt mit Schulen und entwickelt sich weiter. Ein Zentrum für EdTech-Startups ist der Swiss EdTech Collider in Lausanne, mit dem wir eine Allianz eingegangen sind.

Mit dem neuen «Swiss National EdTech Testbed Programm» des Swiss EdTech Collider gibt es für Lehrpersonen erstmals ein schweizweites Angebot, digitale Tools für den Unterricht zu testen und mitzugestalten. Carmen Sieber vom Swiss EdTech Collider gibt einen Einblick in das Programm.