21. März 2019 – itslearning
John Arthur Berg, Datenschutzbeauftragter (DSB/DPO) bei itslearning
Mit diesem Beitrag werde ich wahrscheinlich unter Kolleg*innen, Kund*innen oder in unserer Branche im Allgemeinen keine Freunde gewinnen, aber es ist dennoch wahr: die einfache Authentifizierung – wie ein Benutzername und ein Passwort – ist nicht sicher genug, um sensible persönliche Daten in der heutigen Welt zu schützen.
Die Sicherheitsbewussteren unter uns haben möglicherweise die so genannte „Multi-Faktor-Authentifizierung“ (MFA1) auf ihren Facebook-, Dropbox-, Gmail- oder LinkedIn-Konten aktiviert. Doch die meisten Unternehmen und Kunden unserer Branche scheinen sich gerne an einen einfachen Benutzernamen und ein Passwort zu halten, um die oft große Menge an wichtigen persönlichen Daten zu schützen, die sich in Lernplattformen, Bewertungsplattformen, Schülerinformationssystemen und Content-Plattformen befinden.
„Ja, aber verlangt GDPR, dass wir MFA verwenden?“,
könnten Sie fragen. Einfache Frage – komplexe Antwort.
Die vielleicht wichtigste gemeinsame Verantwortung zwischen einem Datenverantwortlichen (z. B. dem Betreiber einer Schule) und einem Datenverarbeiter (z. B. itslearning) besteht darin, eine angemessene technische und organisatorische Sicherheit zu gewährleisten. Was angemessen ist, hängt von der Konsequenz für eine betroffene Person ab, wenn ihre Daten verloren gehen oder gestohlen werden. Mit anderen Worten, was angemessen ist, hängt davon ab, wie schützenswert die von Ihnen verarbeiteten Daten sind.
Daher möchte ich nicht als allgemeine Faustregel sagen, dass die EU-DSGVO die MFA für Bildungsplattformen erfordern würde. Ich werde es zwei Organisationen mit viel mehr Kompetenz in diesem Bereich überlassen, dies für mich zu tun:
-
- „Unserer Meinung nach erfordert der Zugang der Mitarbeiter zu einem LMS einen stärkeren Authentifizierungsmechanismus als Benutzername und Passwort“.
(Aus den norwegischen Richtlinien der Aufsichtsbehörde für Lernmanagementsysteme2.) - „Bildungsbehörden und Anbieter und Hersteller von E-Learning-Plattformen werden aufgefordert, die Verwendung eines Multi-Faktor-Authentifizierungsmechanismus (MFA) für Administratoren und Pädagogen zur Anmeldung an der Plattform zu ermöglichen und zu verlangen, um Missbrauch durch gestohlene Passwörter zu verhindern.“
(Beschluß zu E-Learning-Plattformen von der 40. Internationalen Konferenz der Datenschutzbeauftragten3 .)
[Anmerkung itslearning Deutschland: Unter Mitwirkung des Thüringer Landesbeauftragten für den Datenschutz]
- „Unserer Meinung nach erfordert der Zugang der Mitarbeiter zu einem LMS einen stärkeren Authentifizierungsmechanismus als Benutzername und Passwort“.
Viele haben die Ansicht vertreten, dass es nicht notwendig ist, mit einem stärkeren Authentifizierungsmechanismus zu schützen, es sei denn, die Daten sind „sensibel“ (oder wie GDPR es nennt; „spezielle Kategorien“ personenbezogener Daten). Dies ist eine Übervereinfachung; die Kategorisierung der Daten hängt nicht immer damit zusammen, wie wichtig es ist, sie zu schützen. Wenn Sie Zugriff auf ein Lehrer-Konto in einem Verwaltungssystem erhalten haben, können Sie auf Dutzende von Schülerbewertungen, Privatadressen, Elternangaben und Kontaktinformationen zugreifen. Dies ist genauso wichtig zu schützen wie eine Nachricht von Ihrem Arzt über den Umgang mit Ihrer Schlaflosigkeit.
Ja, es wird Ausnahmen geben. Wenn Sie Ihre Plattform nur für die gemeinsame Nutzung einer PowerPoint mit Ihren Schülern nutzen, könnte eine „schwache“ Sicherheit noch ausreichen (zumindest wenn sehr wenige Schülerdaten über das System verfügbar sind). Wenn Sie andere Sicherheitsebenen haben (private Netzwerke, IP-Einschränkungen usw. ), sind Sie vielleicht aus dem Schneider. Aber wenn Sie keine umfassende Risikobewertung durchführen und bestehen, sollte Ihr Standardansatz die MFA sein.
itslearning führt nun eine vollständig integrierte MFA-Funktion ein und diese wird bei einigen Benutzergruppen zwingend eingeschaltet sein. Bei dieser Funktion wird es eventuell für Kunden möglich sein, sie für unterschiedliche Benutzergruppen zu implementieren. Aber viele kommerzielle Plattformen wie itslearning zögerten bisher, Lösungen wie diese zu entwickeln – und das nicht ohne Grund.
Erstens erreichen Funktionen, die von den Kunden nicht benötigt (oder gewünscht) werden, selten den ersten Platz in einer Roadmap. (Es kann durchaus ironisch sein; viele Kunden benötigen „Backend“-Sicherheitsmaßnahmen auf dem gleichen Niveau wie Banken oder Krankenhäuser, verbinden aber die Punkte nicht mit dem Zugriff der Endbenutzer.)
Zweitens, für die meisten Einrichtungen, die eine E-Learning-Plattform nutzen, wird die Authentifizierung in einem separaten System durchgeführt, das intern oder von einem anderen Anbieter bereitgestellt wird. In Norwegen beispielsweise verwendet praktisch jeder Lehrer „Feide“ (ein national föderierter Identitätsanbieter).
Drittens und am Wichtigsten sind alle besorgt über die Umsetzung und die Auswirkungen, die dies auf die Annahme einer Plattform hat. Während die oben genannte „Feide“ seit 2015 die MFA unterstützt, ist die Annahme langsam. Zu den Hürden kann es gehören, mit Lehrern zu verhandeln, die nicht ihr privates Mobiltelefon für Arbeitszwecke ohne Entschädigung nutzen wollen (SMS- oder Authentifikations-Apps sind wahrscheinlich der günstigste Weg, um eine akzeptable MFA-Lösung in Betrieb zu nehmen). Es besteht auch die Befürchtung, dass MFA eine zusätzliche Hürde darstellen könnte, indem es Lehrer dazu bringt, Lehrbücher anstelle von digitalen Plattformen zu nutzen.
Aber wir müssen akzeptieren, dass sich die Welt verändert hat und dass „angemessene“ Sicherheit nicht statisch ist – sie ändert sich, da wir mehr auf Technologie setzen und die Bedrohungslage zunimmt. Ein einfaches Passwort, das den persönlichen Daten Ihrer Schüler im Weg steht und jedem auf der Welt zugänglich ist, reicht einfach nicht aus.
Wenn Sie also für ein E-Learning-System verantwortlich sind, sollten Sie damit beginnen, Ihre Optionen für MFA (itslearning oder jedes andere System, das dies anbieten kann) zu bewerten und sorgfältig einen Implementierungs- und Rollout-Plan zu erstellen, der sich nicht auf die Technologieeinführung auswirkt.
______________________________
1 MFA mag sehr kompliziert klingen, aber es ist wirklich ganz einfach. Es geht darum, Ihre Identität auf verschiedene Weise zu bestätigen, indem Sie in den meisten Fällen nur etwas, das Sie kennen (wie ein Passwort), mit etwas, das nur Sie haben (wie einen einmaligen Code von einem Codegenerator oder eine Textnachricht), kombinieren.
