Mit der zunehmenden Nutzung von Online-Ressourcen (z.B. Fernunterricht) gewinnt die Informationssicherheit und Datenschutz immer mehr am Gewicht. Benutzenden müssen darauf vertrauen können, dass ihre Daten, die sie an Dienste weitergeben sowie ihre sonstigen Interaktionen nicht unterwegs von unbefugten Dritten beobachtet oder manipuliert werden können. Beispielsweise werden üblicherweise Lernfortschritte, die Vergabe von Noten und sonstige Evaluationsbemerkungen (z.B. Hinweise auf Lernschwierigkeiten) geheim gehalten – daran ändert sich nicht wegen des Mediums des Unterrichts: auch im digitalen Umfeld hat man die gleiche Rechte. Dies gilt vor allem angesichts des Einsatzes neuer Technologien im Bildungswesen (z.B. Internet der Dinge), welches durch die jüngsten Infrastruktur-Entwicklungen (z.B. 5G, IPv6) angekurbelt wird – somit dürfte der Bedarf an sicheren Transaktionen nur noch deutlich zunehmen.

Die Verschlüsselungstechniken

Um Vertrauen an ihren Diensten zu gewährleisten, setzen Dienstleistungsanbieter Verschlüsselungstechniken ein. Somit wirkt die Kryptographie, welche Kommunikation zwischen Parteien in Anwesenheit von Gegnern ermöglicht, wie ein Schloss um den Austausch von Daten vor Anderen zu schützen. Durch den Einsatz komplexer mathematischer Operationen werden Botschaften in unverständlichen Datenverkehr umgewandelt, über öffentliche Netzwerke gesendet bevor sie wieder vom Empfänger entschlüsselt werden können. Um solche Schlösser zu betätigen, muss der Dienst im Besitz eines speziellen Schlüssels sein und die Zuordnung dieser Schlüssel zu Firmen, Behörden oder Bildungsinstitutionen muss gewährleistet sein, damit wir sicher sein können, mit wem wir kommunizieren. Dies erfordert zudem, dass die Dienste auch die Schlüssel sicher aufbewahren, die ihre Kommunikationskanäle schützen, damit sie nicht in die Hände anderer fallen, die sich sonst als sie ausgeben könnten.

Kryptographie allein schafft kein Vertrauen

Geheim heisst aber längst noch nicht sicher und eben hier liegt der springende Punkt: Es ist nicht die Kryptographie, welche Vertrauen schafft – die Kryptographie kann es lediglich nur technisch implementieren und durchsetzen. Vertrauen entsteht allein durch die Behörden und Dienstleistungsanbieter, die die Identität und Legitimität von Diensten bestätigen. Dieses Vertrauen kann durch die Ausstellung und den sorgfältigen Schutz der Schlüsselmaterial zertifiziert und aufrechterhalten werden. Sollte aber die Autorität in Frage gestellt werden, die das Vertrauen erteilt hat, dann kann die Kryptographie nichts tun, um die Situation zu retten.

Der Bereich der Schlüsselverwaltung und -zertifizierung wird durch zahlreiche internationale Standards und Normen geregelt und ist ein integraler Bestandteil jedes Informationssicherheits- und Datenschutzsystems. Solche Standards finden sich beispielsweise in der Föderation der Identitätsdienste des Bildungsraum Schweiz (Edulog) und teilweise bei den zugehörigen Identitätsprovidern. Dies wird in den kommenden Jahren weiter ausgebaut damit die nötigen Infrastrukturen für den sicheren Datenaustausch generell dem Bildungsraum zur Verfügung stehen. Solche Massnahmen dürften zusätzliche regulatorische und organisatorische Massnahmen erfordern, um das Vertrauen in das schweizerische Bildungssystem zu verstärken. Mit anderen Worten: eine koordinierte Anstrengung in Bezug auf technische und organisatorische Massnahmen erforderlich ist, um eine Vertrauensinfrastruktur aufrechtzuerhalten.


Kontext: Die dunkle Seite der Verschlüsselung

Die Verschlüsselung hat auch eine dunkle Seite: Wenn sensible Daten auf einer Festplatte gespeichert werden, ist es nicht ungewöhnlich sie «im Ruhezustand» zu verschlüsseln, so dass bei der Erstellung von Backups oder anderen Kopien auch diese geschützt sind. Wenn die Daten gelöscht werden müssen, ist es in der Regel einfacher, den Verschlüsselungsschlüssel zu löschen (sog. «kryptographisches Löschen»), als es zu versuchen, alle Daten sowie ihre Kopien wieder zu finden und zu entfernen. In den letzten Jahren wurde aber dieser Ansatz von Hackern ausgenutzt: Sie versuchen Malware (sog. «Ransomware») auf Computern zu installieren mit dem Ziel Daten zu verschlüsseln und somit unbrauchbar zu machen. Sollte der Opfer kein Lösegeld auszahlen wollen wird gedroht den zugehörigen Schlüssel zu löschen. Weltweit ist dies als zunehmender Trend zu beobachten.

Während die Kryptographie und die damit verbundenen Schlüsselmaterialen sehr nützliche Eigenschaften zur Sicherung von Transaktionen bieten (z.B. Schutz, Integrität, Unleugbarkeit), muss man sich darüber im Klaren sein, dass Vertrauen grundsätzlich eine Facette von sozialen und wirtschaftlichen Beziehungen ist, welche ausserhalb der Technologie existiert und in den Systemen jeder modernen Gesellschaft verankert und bewahrt werden muss.

 

ähnliche Beiträge

25.8.2022

Im Interview erläutert die Datenschutzbeauftragte des Kantons Zürich Dr. Dominika Blonski die Bedeutung des Datenschutzes in der Bildung und was es aus ihrer Sicht bei der künftigen Datennutzungspolitik zu beachten gilt.

15.6.2022

Gerd Kortemeyer, Leiter Lehrentwicklung und -technologie der ETH Zürich, zeigt anhand von Beispielen wie verifizierbare Nachweise im digitalen Raum funktionieren – und wozu sie nutzen. Verifizierbar heisst: Die digitalen Nachweise können einfach, sicher und vertrauenswürdig überprüft werden.

18.10.2022

Microsoft hat einige Änderungen vorgenommen, welche auch unseren Rahmenvertrag tangieren: Der garantierte Serverstandort Schweiz ist nur noch bis Ende Juli 2023 sichergestellt und ein Lizenzprogramm soll sistiert werden. Damit Sie weiterhin vom Rahmenvertrag profitieren können, haben wir die Vertragsverhandlungen mit Microsoft und Google aufgenommen.

24.8.2022

Bei der Konzeption einer Datenföderation für die Berufsbildung muss der Datenschutz von Beginn an mitgedacht werden. Die Datenspeicherung wie auch die Einhaltung der Datenschutzgesetze sind dabei zentrale Themen, mit denen wir uns vertieft auseinandersetzen.