Wie wird sich die Covid-Pandemie langfristig auf das Bildungssystem auswirken? Welche Folgen werden das Schrems-II-Urteil des Gerichtshofs der Europäischen Union auf digitale Dienste in der Schweiz haben? Welche Massnahmen müssen Schulen beachten, um sich vor einem Ransomware-Angriff zu schützen? All diese Fragen beschreiben Unsicherheiten, mit denen das Bildungssystem im digitalen Zeitalter konfrontiert ist. Aber wie kann man solche Themen systematisch, effektiv und effizient angehen?

Das Risikomanagement hat sich heute zu einer spezialisierten Disziplin entwickelt, die in einer Vielzahl von Tätigkeitsbereichen zu finden ist. Zum Risikomanagement kommen mehrere Standards zum Einsatz: von der breiten ISO/IEC 3100-Norm bis hin zu sehr spezifischen Normen, die sich auf das Informationssicherheitsmanagement oder den Datenschutz beziehen.

Edulog: Fokus auf Datenschutz und Infrastruktursicherheit

Da das Risikomanagement immer den Kontext widerspiegeln muss, in dem es praktiziert wird, variieren die spezifischen Aktivitäten danach, ob es sich um strategische, projektbezogene oder operative Risiken handelt. Im Zusammenhang mit Edulog suchen wir beispielsweise regelmässig nach neuen Risiken, welche den Datenschutz verletzen oder die Sicherheit der Infrastruktur beeinträchtigen könnten.

Das erreicht wir, indem wir proaktiv Sicherheitsdatenbanken abfragen, oder die Entwicklungen in den Bereichen Bildung, Recht oder Technologie beobachten. Sobald wir ein Risiko identifiziert und analysiert haben, definieren wir geeignete Massnahmen und setzen diese um. Oft führt dieses Vorgehen zur Implementierung von neuen Kontrollen. Eine Kontrolle ist ein Mittel zur Integration von Risikomanagementpraktiken in bestehende Prozesse. Ein konkretes Beispiel für ein solches Vorgehen wäre, wie Edulog sich vor dem Risiko eines Ransomware-Angriff schützen soll. Dazu muss eine Reihe von technischen und organisatorischen Massnahmen (z.B. Malware-Schutz einschliesslich Anti-Phishing- Vorkehrungen, regelmässige Backup-Verfahren, Überwachung des Netzwerkverkehrs etc.) umgesetzt werden. Diese Massnahmen werden dann laufend kontrolliert, um sicherzustellen, dass sie wirklich wirksam bleiben. Alle solche Risiken und deren Kontrollen pflegen wir für Edulog in einem Informationssicherheits-Managementsystem (ISMS), welches nach ISO/IEC 27001 zertifiziert ist und durch externe Auditoren geprüft wird.

Eine Chance für das Bildungswesen

Während bei einem Risiko in der Regel davon ausgegangen wird, dass es sich auf etwas Negatives bezieht, kann es manchmal der Fall sein, dass die zugrundeliegende Unsicherheit auch auf eine Chance für das Bildungswesen hinweist. Dies kann dann der Fall sein, wenn eine neue systemische Entwicklung innerhalb des Bildungswesens die Kantone zusammenbringt und es ermöglicht, bewährte Praktiken auszutauschen (z.B. Einsatz von Identitätsmanagement-Lösungen) oder sich über Qualitätsverbesserungen zu einigen (z.B. Umgang mit Daten). Solche Situationen bedürfen einer angemessenen Analyse, um herauszufinden, wie man am besten Synergien erzeugen kann. Das erfordert wiederum eine offene Kommunikation mit allen Betroffenen.

Risikomanagement ist eine Praxis, die sich über alle Aktivitäten innerhalb unserer Fachagentur erstreckt und dazu dient, alle Mitarbeitenden hinsichtlich Informationssicherheit und Datenschutz während ihrer Arbeit zu sensibilisieren, um fundierte und gut informierte Entscheidungen treffen zu können.

ähnliche Beiträge

9.6.2022

Dieser Frage sind wir an der Dialogveranstaltung «Esprit Data» Ende April nachgegangen. Der Anlass will zwischen den verschiedenen Akteuren im Bildungswesen Brücken schlagen, um gemeinsame Wege im Umgang mit Daten zu finden. 

9.12.2022

Deutschland arbeitet ebenso wie die Schweiz an einem zentralen, vereinfachten und sicheren Zugang zu Online-Diensten im Bildungswesen. Es gibt viele Gemeinsamkeiten. Und nicht zuletzt die Chance, voneinander zu lernen.

26.4.2022

Adi und Ida haben die Schule Fliedermatte verlassen, um ihre Ausbildung fortzusetzen. Ida hat ein zweisprachiges Gymnasium Deutsch-Französisch begonnen. Adi besucht sie und erfährt, wie Edulog seine ehemalige Mitschülerin begleitet hat.

3.11.2022

Die Kantone haben beschlossen, die Einführungsphase von Edulog bis 2024 zu verlängern. Ziel ist es, den Kantonen mehr Zeit zu verschaffen, ihre Schulen an die Föderation anzuschliessen. Die Geschäftsstelle Edulog hat die Akquisition von Dienstleistungsanbietern bereits intensiviert und wird diese fortsetzen.