Der Umgang mit Passwörtern ist ein wichtiger Teil der technischen und organisatorischen Maßnahmen beim Datenschutz in der Schulverwaltung sowie im pädagogischen Schulnetzwerk, da hier ein direkter Zugang zu personenbezogenen Daten von Lehrkräften sowie Schülerinnen und Schülern hergestellt werden kann. Bei dem passwortgeschützten Zugang zum WLAN oder zu Einzelarbeitsplätzen werden die Infrastruktur und interne Informationen geschützt, die nicht für die Öffentlichkeit bestimmt sind. Sie könnten von Angreifern als „Einstieg“ genutzt werden. Auch die beispielweise auf Lernplattformen oder anderen pädagogischen Angeboten hinterlegten Daten von Schülerinnen und Schülern müssen ausreichend mit einem Passwort gesichert werden.

Sicherheitsrisiken bei Passwörtern

Es gibt viele Wege, Zugriff auf fremde Passwörter zu erhalten: Teilweise werden sie erraten, weil sie zu  kurz oder einfach sind, z. B. „123456“ oder der eigene Name, oder sie werden durch Lücken in IT-Systemen extrahiert.

Weitere Ursachen für den unberechtigten Zugriff:

• Hacker*innen nutzen oft manipulative Techniken wie Überredung und Täuschung, um Benutzer*innen dazu zu bringen, ihre Passwörter preiszugeben (Social Engineering).
• Angreifer*innen bringen durch die Versendung von Anfragen oder Links Benutzer*innen dazu, Passwörter auf gefälschten Websites einzugeben, indem sie sich als vertrauenswürdige Organisationen ausgeben (Phishing-Angriffe).
• Hacker*innen verwenden automatisierte Methoden mit hohen Rechenleistungen, um Millionen von Passwortkombinationen auszuprobieren, bis sie das richtige Passwort gefunden haben (Brute-Force-Angriff).

Ob die persönlichen Zugangsdaten bereits von einem Sicherheitsvorfall betroffen sind, kann auf der Seite https://haveibeenpwned.com/ oder beim HPI Identity Leak Checker geprüft werden.

Sicherheitsmaßnahmen bei der Verwendung von Passwörtern

Um die Sicherheit von sensiblen Informationen zu gewährleisten, sollten für verschiedene IT-Dienste verschiedene Passwörter verwendet werden. Im Unterricht sollten Schülerinnen und Schüler über den besonderen Schutz von Daten und Informationen informiert werden und lernen, wie man sichere Passwörter erstellt. Hierfür empfehlen sich klare Regeln zum Umgang mit Passwörtern in der Schule. Ein starkes Passwort umfasst 3 Schritte:

Ein starkes Passwort ist gut zu merken …

Ein kompliziertes Passwort, welches man ständig vergisst, ist nutzlos. Länge und Komplexität sind aber entscheidend für die Sicherheit eines Passworts. Dabei gibt es zwei vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlene Herangehensweisen:

• Kurzes, komplexes Passwort
  acht bis zwölf Zeichen
  vier verschiedene Zeichenarten
  willkürliche Reihe von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.

Einige Buchstaben können durch ähnlich aussehende Zahlen oder Sonderzeichen ersetzt werden, z. B. „T4xi.f4hr3.1ch.s3lten!“. Man kann auch einen komplizierten Satz bilden und dann nur die Anfangsbuchstaben aneinanderreihen, z. B. „Mgiiu5zT.Kdm?“ (Montags gehe ich immer um 5 zum Turnen. Kommst du mit?)

• Langes, weniger komplexes Passwort
  mindestens 25 Zeichen
  zwei Zeichenarten
  mehrere aufeinanderfolgende Wörter, jeweils durch ein Zeichen voneinander getrennt, z. B. sonne_garten_roller_italien_gelb_kaffeetasse#

Wer sich nicht ausschließlich auf sein Gedächtnis verlassen möchte, kann eine schriftliche Gedankenstütze einsetzen. Der Trick dabei ist, dass man sich einen kleineren Bestandteil des Passworts merkt und nur den zweiten Bestandteil (Zeichenfolge oder Begriffe) notiert. Das BSI stellt dazu einen Vordruck zur Verfügung: „Das sichere Passwort-Merkblatt“.

…schwer zu erraten …

Hacker*innen sind in der Lage Passwörter zu erraten oder sie durch geeignete Angriffsmethoden und hohe Rechenleistungen zu entschlüsseln. Werden Geburtstage oder Namen naher Angehöriger verwendet oder gar 12345+Name einer Person, ist es sehr leicht, ein Passwort zu knacken. Daher bieten sich persönlichen Informationen oder leicht zu erratene Zeichenabfolgen als Passwort nicht an.

…und geheim

Es gibt viele Wege, an unbekannte Passwörter zu kommen. Viele Schülerinnen und Schüler empfinden es als Freundschaftsbeweis, auch Passwörter miteinander zu teilen. So manche Lehrkraft riskiert die Preisgabe des Passworts bei der Eingabe in das Endgerät, weil Schülerinnen oder Schüler es unbemerkt mitlesen konnten. Andere verwahren es auf einem Sticker unterhalb der Tastatur, in einer Schreibtischschublade oder gar am Monitor klebend. Das Passwort sollte immer vertraulich behandelt und auf keinen Fall weitergegeben werden. Was einige nicht wissen: die Verwendung von fremden Zugangsdaten ist rechtswidrig.

Vermeiden Sie auch die Verwendung von „Passwort merken“-Funktionen auf Websites. Wenn mehrere Personen das gleiche Gerät benutzen, kann es passieren, dass vorher eingegebene Login-Daten in der Anmeldemaske vorgefunden werden. Mit einem Klick kann man sich dann mit einem fremden Account anmelden.

In den letzten Jahren gab es viele Bestrebungen Passwörter noch sicherer zu machen. Um Passwortsicherheit an Schulen zu gewährleisten werden Programme zur Kennwortverschlüsselung empfohlen. Diese so genannten Passwortmanager generieren einzigartige und sehr komplexe Passwörter und speichern sie auf dem Gerät. Passwortmanager sind in der Lage, Passwörter zu unterschiedlichen Benutzerkonten verschlüsselt zu speichern und bei Bedarf nach entsprechend vorgegebenen Regeln auch zu generieren. Mehr dazu finden Sie in den BSI-Artikeln „Passwörter Schritt-für-Schritt merken“ und „Passwörter verwalten mit dem Passwort-Manager“.

Eine 2-Faktor-Authentisierung (2FA) bietet ebenfalls zusätzliche Sicherheit. Neben dem Passwort erhält man in einem weiteren Schritt etwa einen Code, um Zugang zum Online-Dienst zu erhalten. Außerdem wird besonders bei Smartphones immer häufiger ein biometrisches Verfahren angewendet wie beispielsweise die Face ID oder der Fingerabdruck. Bei Datenschützern wird dieses Verfahren besonders deswegen diskutiert, da zugunsten der IT-Sicherheit Abstriche hinsichtlich des Datenschutzes gemacht werden. Denn im Gegensatz zu Passwörtern können biometrische Daten nicht verändert werden. Das BSI empfiehlt daher, Biometrie sparsam und nur für vertrauenswürdige Dienste und Systeme einzusetzen. Ein Fingerabdruck, der durch ein Leak oder aus Versehen öffentlich wird, kann nicht mehr eingesetzt werden (siehe BSI-Artikel „Biometrische Verfahren“).

Sichere Passwörter im Unterricht

Es ist wichtig, dass Schülerinnen und Schüler früh lernen, wie man sichere Passwörter erstellt und verwaltet, um sich vor Risiken zu schützen. Hierfür bietet sich an, verbindliche Regeln festzulegen, die für alle schulischen Passwörter gelten. Diese sollten folgende Punkte erhalten:

1. Eine Verpflichtung, komplexe und schwer zu erratende Passwörter zu verwenden. Die Regeln über Länge und Sonderzeichen kann die Schule festlegen.
2. Nach Beendigung der Nutzung eines Dienstes sollte die Verpflichtung bestehen, sich abzumelden.
3. Eine Verpflichtung auf absolute Geheimhaltung sowie auf sofortige Änderung des Passwortes, falls Verdacht besteht, es sei kompromittiert und eine Mitteilung an die Aufsichtspersonen, falls ein fremdes Passwort in die falschen Hände gelangt.
4. Sanktionen für den Fall der Zuwiderhandlung.
5. Einen datenschutzrechtlichen Hinweis, dass in Verdachtsfällen die Administratorin bzw. der Administrator die Log-In Protokolle einsehen kann. Dafür ist es empfehlenswert, nur schulische Nutzungen der Zugänge durch die Schülerinnen, Schüler und Lehrkräfte zu erlauben. Ist die Internetnutzung ausschließlich für schulische Zwecke erlaubt, so muss die Schule die Betroffenen (bei minderjährigen Schülerinnen und Schülern deren Eltern) über die Protokollierung informieren. Ist jedoch ebenfalls eine private Nutzung erlaubt, um in den Freistunden das WLAN privat zu nutzen, so wird eine ausdrückliche Einwilligung der Schülerinnen, Schüler und Lehrkräfte in die Protokollierung benötigt. Auch hier gilt: handelt es sich um Minderjährige, so ist ebenfalls die Einwilligung der Eltern erforderlich.

Durch die Umsetzung dieser Regelungen lernen die Schülerinnen und Schüler nicht nur den richtigen Umgang mit den Zugangsdaten, die Schule kann auch eine sichere Passwortstruktur aufbauen und den Schutz von personenbezogenen Daten sowie sensiblen Informationen gewährleisten.

QR-Codes

Übrigens: Auch QR-Codes können für den Zugang zu sensiblen Daten wie Kontodetails, etc. verwendet werden, so dass bei deren Verwendung ähnliche Vorsichtsmaßnahmen wie bei anderen Online-Aktivitäten zu treffen sind.

QR-Codes werden als Verknüpfungen zu Online-Inhalten wie Websites, Kontaktdetails oder Texten verwendet. Hinsichtlich der IT-Sicherheit sollten bestimmte Aspekte berücksichtigt werden:

1. Daten, die durch einen QR-Code übertragen werden, können von jedem gelesen werden, der über eine QR-Code-Lesesoftware verfügt.
2. QR-Codes in der Schule sollten nur von vertrauenswürdigen Quellen eingelesen werden.
3. Es gibt QR-Code-Generatoren, die möglicherweise Daten über Schülerinnen und Schüler sammeln, wie z. B. den Standort und den Inhalt des QR-Codes. Es ist wichtig, die Datenschutzrichtlinien dieser Dienste zu überprüfen, bevor ein QR-Code erstellt oder gescannt wird. Ein QR-Code-Generator, der datenschutzfreundlich genutzt werden kann ist z. B. t1p.de.
4. Es ist ebenfalls wichtig, dass die Datenschutzbestimmungen der Ziel-Websites überprüft werden, auf die der QR-Code verweist.

Viele Smartphone-Kameras erkennen QR-Codes automatisch. Wird ein QR-Scanner separat eingesetzt, sollte man bei der Auswahl auf Datenschutz und Sicherheit achten. Mehr über „Privacy Friendly Apps“ für Android und speziell eine „Privacy Friedly QR-Scanner App“ erfahren Sie auf der Seite der Forschungsgruppe SECUSO.

Quellen und Links

Hinweise zu Passwortgestaltung und –Aufbewahrung gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) unter:

• https://www.bsi.bund.de/dok/6596574
• https://www.bsi.bund.de/dok/6701116

BSI-Basisschutz: Sichere Passwörter

• Faktenblatt (pdf)
• Passwort-Merkblatt (pdf)

Jugendschutz.net

• Passwort-Schlüssel-Automat