Mit der zunehmenden Nutzung von Online-Ressourcen (z.B. Fernunterricht) gewinnt die Informationssicherheit und Datenschutz immer mehr am Gewicht. Benutzenden müssen darauf vertrauen können, dass ihre Daten, die sie an Dienste weitergeben sowie ihre sonstigen Interaktionen nicht unterwegs von unbefugten Dritten beobachtet oder manipuliert werden können. Beispielsweise werden üblicherweise Lernfortschritte, die Vergabe von Noten und sonstige Evaluationsbemerkungen (z.B. Hinweise auf Lernschwierigkeiten) geheim gehalten – daran ändert sich nicht wegen des Mediums des Unterrichts: auch im digitalen Umfeld hat man die gleiche Rechte. Dies gilt vor allem angesichts des Einsatzes neuer Technologien im Bildungswesen (z.B. Internet der Dinge), welches durch die jüngsten Infrastruktur-Entwicklungen (z.B. 5G, IPv6) angekurbelt wird – somit dürfte der Bedarf an sicheren Transaktionen nur noch deutlich zunehmen.

Die Verschlüsselungstechniken

Um Vertrauen an ihren Diensten zu gewährleisten, setzen Dienstleistungsanbieter Verschlüsselungstechniken ein. Somit wirkt die Kryptographie, welche Kommunikation zwischen Parteien in Anwesenheit von Gegnern ermöglicht, wie ein Schloss um den Austausch von Daten vor Anderen zu schützen. Durch den Einsatz komplexer mathematischer Operationen werden Botschaften in unverständlichen Datenverkehr umgewandelt, über öffentliche Netzwerke gesendet bevor sie wieder vom Empfänger entschlüsselt werden können. Um solche Schlösser zu betätigen, muss der Dienst im Besitz eines speziellen Schlüssels sein und die Zuordnung dieser Schlüssel zu Firmen, Behörden oder Bildungsinstitutionen muss gewährleistet sein, damit wir sicher sein können, mit wem wir kommunizieren. Dies erfordert zudem, dass die Dienste auch die Schlüssel sicher aufbewahren, die ihre Kommunikationskanäle schützen, damit sie nicht in die Hände anderer fallen, die sich sonst als sie ausgeben könnten.

Kryptographie allein schafft kein Vertrauen

Geheim heisst aber längst noch nicht sicher und eben hier liegt der springende Punkt: Es ist nicht die Kryptographie, welche Vertrauen schafft – die Kryptographie kann es lediglich nur technisch implementieren und durchsetzen. Vertrauen entsteht allein durch die Behörden und Dienstleistungsanbieter, die die Identität und Legitimität von Diensten bestätigen. Dieses Vertrauen kann durch die Ausstellung und den sorgfältigen Schutz der Schlüsselmaterial zertifiziert und aufrechterhalten werden. Sollte aber die Autorität in Frage gestellt werden, die das Vertrauen erteilt hat, dann kann die Kryptographie nichts tun, um die Situation zu retten.

Der Bereich der Schlüsselverwaltung und -zertifizierung wird durch zahlreiche internationale Standards und Normen geregelt und ist ein integraler Bestandteil jedes Informationssicherheits- und Datenschutzsystems. Solche Standards finden sich beispielsweise in der Föderation der Identitätsdienste des Bildungsraum Schweiz (Edulog) und teilweise bei den zugehörigen Identitätsprovidern. Dies wird in den kommenden Jahren weiter ausgebaut damit die nötigen Infrastrukturen für den sicheren Datenaustausch generell dem Bildungsraum zur Verfügung stehen. Solche Massnahmen dürften zusätzliche regulatorische und organisatorische Massnahmen erfordern, um das Vertrauen in das schweizerische Bildungssystem zu verstärken. Mit anderen Worten: eine koordinierte Anstrengung in Bezug auf technische und organisatorische Massnahmen erforderlich ist, um eine Vertrauensinfrastruktur aufrechtzuerhalten.


Kontext: Die dunkle Seite der Verschlüsselung

Die Verschlüsselung hat auch eine dunkle Seite: Wenn sensible Daten auf einer Festplatte gespeichert werden, ist es nicht ungewöhnlich sie «im Ruhezustand» zu verschlüsseln, so dass bei der Erstellung von Backups oder anderen Kopien auch diese geschützt sind. Wenn die Daten gelöscht werden müssen, ist es in der Regel einfacher, den Verschlüsselungsschlüssel zu löschen (sog. «kryptographisches Löschen»), als es zu versuchen, alle Daten sowie ihre Kopien wieder zu finden und zu entfernen. In den letzten Jahren wurde aber dieser Ansatz von Hackern ausgenutzt: Sie versuchen Malware (sog. «Ransomware») auf Computern zu installieren mit dem Ziel Daten zu verschlüsseln und somit unbrauchbar zu machen. Sollte der Opfer kein Lösegeld auszahlen wollen wird gedroht den zugehörigen Schlüssel zu löschen. Weltweit ist dies als zunehmender Trend zu beobachten.

Während die Kryptographie und die damit verbundenen Schlüsselmaterialen sehr nützliche Eigenschaften zur Sicherung von Transaktionen bieten (z.B. Schutz, Integrität, Unleugbarkeit), muss man sich darüber im Klaren sein, dass Vertrauen grundsätzlich eine Facette von sozialen und wirtschaftlichen Beziehungen ist, welche ausserhalb der Technologie existiert und in den Systemen jeder modernen Gesellschaft verankert und bewahrt werden muss.

 

ähnliche Beiträge

18.11.2021

Vor eineinhalb Jahren haben wir die Web-Applikation «Navigator» lanciert. Kürzlich konnten wir die 100. Anwendung publizieren. Es freut uns, dass die verantwortlichen Personen in Schulen und Schulverwaltungen mit jedem Eintrag eine bessere und breitere Übersicht als Orientierungshilfe erhalten.

23.8.2022

Die Datenschutzaufsichtsbehörden veröffentlichen jährlich ihre Tätigkeitsberichte. Wir haben diese thematisch ausgewertet. Neben spezifischen Themen zu Datennutzung im Bildungsraum Schweiz haben sich die Datenschutzaufsichtsstellen 2021 auch mit bereichsübergreifenden Fragen beschäftigt.

24.8.2022

Bei der Konzeption einer Datenföderation für die Berufsbildung muss der Datenschutz von Beginn an mitgedacht werden. Die Datenspeicherung wie auch die Einhaltung der Datenschutzgesetze sind dabei zentrale Themen, mit denen wir uns vertieft auseinandersetzen.

15.6.2022

Gerd Kortemeyer, Leiter Lehrentwicklung und -technologie der ETH Zürich, zeigt anhand von Beispielen wie verifizierbare Nachweise im digitalen Raum funktionieren - und wozu sie nutzen. Verifizierbar heisst: Die digitalen Nachweise können einfach, sicher und vertrauenswürdig überprüft werden.