Der Schulcomputer als Sicherheitslücke

Zürcher Schulen sichern ihre Websites nicht gut genug. Zu diesem Schluss kommt der Zürcher Datenschützer Bruno Baeriswyl. Bei einer systematischen Überprüfung von zehn Schulwebsites wiesen alle Sicherheitslücken auf.

Schülerinnen am Computer

Bildlegende: Was passiert mit meinen Daten im Internet? Auch die Schülerinnen und Schüler müssen sich damit auseinandersetzen. Colourbox

Mängel stellte Bruno Baeriswyl zum Beispiel bei der Benutzung von Drittdiensten fest. So setzen Schulen zum Beispiel Drittdienste wie Google Maps nicht datenschutzkonform ein.

Schwerer wiegen die Sicherheitslücken, die bei allen überprüften Schulwebsites zum Vorschein kamen: Auf einer Site war diese Lücke sogar «kritisch», wie Bruno Baeriswyl gegenüber dem «Regionaljournal» sagt: «Es war möglich, dass extern auch auf sensible Inhalte der Sites, wie Personaldaten, hätte zugegriffen werden können.» Es wäre sogar ohne weiteres möglich gewesen, über die Website unerwünschte Programme mit allenfalls schädlichen Funktionen zu verbreiten.

Bei einer anderen Schule war die Administrationswebsite ohne Passwort zugänglich. Auch in diesem Fall hätte der Inhalt verändert werden können.

Unsichere Clouds

Viele Lehrerinnen und Lehrer, Schülerinnen und Schüler, vertrauen ihre Daten sogenannten Clouds an. Gigantischen, virtuelle Ablagen im Ausland, wie zum Beispiel die «Dropbox». Ein Sicherheitsrisiko, warnt Baeriswyl:

«  Personendaten sollten nicht in Clouds abgelegt werden. Sie sind nicht sicher, denn auch Dritte haben Zugriff. »

Bruno Baeriswyl
Datenschutzbeauftragter Kanton Zürich

Der Datenschutzbeauftragte fordert daher die Schulen auf, Drittdienste datenschutzkonform einzusetzen und die Schwachstellen zu beheben. Wegen der vielen Mängel will Baeriswyl weitere Schulwebsites überprüfen.

Sicherheitslücken auch in vielen Gemeinden

Schlecht steht es um die IT-Sicherheit auch in vielen Gemeinden des Kantons Zürich. Jede 4. Verwaltung – vor allem jene in kleineren Gemeinden – ist nicht à jour, was den Schutz gegen Viren, Trojaner und Hacker angeht. «Und bei den Verantwortlichen sehe ich oft auch nicht den Willen, etwas zu ändern», kritisiert der Datenschützer. Wesentlich besser seien hingegen die grossen Verwaltungseinheiten, wie etwa jene des Kantons, geschützt.

Die Arbeit des Datenschützers