Sichere Passwörter und warum sie für Schule so wichtig sind

Datenschutz ist das A und O für digitale Schule. Denn in Ihrer IServ Schulplattform liegen eine ganze Menge persönlicher Informationen, die für den Schulalltag unerlässlich, aber nicht für alle Augen bestimmt sind. Die Grundlage für einen DSGVO-konformen Umgang mit diesen Daten sind sichere Passwörter.

Die Folgen eines unsicheren Passworts können weitreichender sein, als man im ersten Moment denkt: Ein fremder Zugriff führt eben nicht nur dazu, dass Leahs Sitznachbar weiß, was sie ihrer besten Freundin im Chat geschrieben hat. Von Datendiebstahl über das Versenden von Droh- oder Spam-E-Mails bis hin zum Einspielen von Schadsoftware sind jede Menge schwerwiegender Folgen denkbar. Und leider häufen sich genau solche Fälle.

Deshalb kann digitale Schule nur dann funktionieren, wenn sich alle an bestimmte Sicherheitsregeln halten – unter anderem dann, wenn es um Passwörter geht. Das lässt sich natürlich auf jeden Lebensbereich übertragen, der mit personalisierten Konten arbeitet. Umso wichtiger ist es, dass Schüler(innen) so früh wie möglich den sicheren Umgang mit Passwörtern lernen.

Wie sieht ein sicheres IServ-Passwort aus?

Ein sicheres Passwort besteht mindestens aus acht Zeichen – besser sogar noch mehr – und verschiedenen Zeichenarten: Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen. Ein einzelnes Wort mit einem Sonderzeichen ist heutzutage nicht mehr sicher genug. Daumenregel: Passwortlänge geht über Passwortkomplexität. Viele Tipps rund um sichere Passwörter gibt es übrigens auch vom Bundesamt für Sicherheit in der Informationstechnik.

Für die IServ Schulplattform gelten grundsätzlich folgende Passwort-Richtlinien:

• Passwörter müssen immer mindestens acht Zeichen lang sein. Je weniger verschiedene Zeichenklassen vorkommen, desto länger muss das Passwort sein.
• Passwörter dürfen keinen erkennbaren Mustern folgen (z. B. 12345678901)
• Passwörter dürfen nicht auf einem Wort im Wörterbuch basieren – weder vorwärts noch rückwärts (z. B. Baumhaus23 oder suahmuaB23). Vornamen gehören auch dazu.
• Passwörter dürfen nicht auf dem Namen von IServ-Benutzer(inne)n basieren
• Passwörter dürfen kein Palindrom sein (z. B. lagerregal)

»123456« und »Passwort« klappen also nicht – auch wenn genau das vielleicht die Lieblingspasswörter Ihrer Schüler(innen) sind.

Die ernüchternde Nachricht: Sichere Passwörter sind meistens nicht diejenigen, die man sich am besten merken kann. Aber die gute Nachricht: Es gibt verschiedene Methoden, mit denen Sie und Ihre Schüler(innen) sich starke Passwörter ausdenken und merken können, z. B. mit der Satzwortmethode und den Passwortkarten. Dafür geben wir Ihnen Anleitungen mit passenden Erklärvideos an die Hand.

Wie werden Passwörter und Benutzerkonten in der IServ Schulplattform geschützt?

In erster Linie sind Benutzer(innen) selbst dafür verantwortlich, dass niemand Zugriff auf ihren Account erhält. Natürlich setzen wir mit der IServ Schulplattform aber auch zusätzliche Sicherheitsmechanismen ein, damit kein Passwort in falsche Hände gerät:

• Passwörter müssen den Passwortrichtlinien folgen und einen Sicherheitscheck bestehen – andernfalls werden sie nicht akzeptiert
• Accounts können mit der Zwei-Faktor-Authentifizierung zusätzlich abgesichert werden. Ist diese aktiviert, müssen Nutzer(innen) bei jeder Anmeldung zusätzlich zum Passwort einen sechsstelligen Zahlencode – ein sogenanntes One-Time-Password – eingeben.
• Die IServ Schulplattform läuft immer auf einer stabilen Linux-Version und installiert jede Nacht automatisch Sicherheitsupdates
• Passwörter-Raten klappt nicht: Eine Intrusion-Prevention führt dazu, dass bei Falscheingabe des Passworts eine gewisse Zeit lang keine Neueingabe erlaubt ist. Nach einem erneuten Fehlversucht erhöht sich die Sperrzeit. Das führt nach einer gewissen Zahl an Fehlversuchen zu einer Sperrung der Anmeldemöglichkeit vom genutzten Internetanschluss.
• Administrative Tätigkeiten mit schulweiten Auswirkungen sind durch ein zusätzliches Admin-Passwort abgesichert
• Alle Logins werden mit der zugreifenden IP-Adresse aufgezeichnet

Was können Schüler(innen) und Lehrkräfte tun, damit ihr Passwort sicher bleibt? Passwortsicherheit geht alle an: Schüler(innen) müssen verstehen, warum sichere Passwörter wichtig sind, und theoretisches Wissen selbstgesteuert anwenden können. Den Grundstein dafür können Sie als Lehrkraft im Rahmen der Ausbildung von Medienkompetenzen legen.

Das gemeinsame Ziel ist dabei kein Selbstzweck: Es geht nicht nur um das Abhaken von Lehrplaninhalten, sondern um die Daten, mit denen Sie jeden Tag hantieren – und die besonders schützenswert sind.

Das können Sie als Lehrkraft tun:

• Schaffen Sie bei Ihren Schüler(inne)n ein Bewusstsein dafür, warum sichere Passwörter wichtig sind. Halten Sie Maßnahmen dafür am besten auch in Ihrem schulinternen Curriculum fest.
• Klären Sie Ihre Schüler(innen) über Cybersicherheit auf und thematisieren Sie Sicherheitsrisiken wie Phishing, Hacking oder Social Engineering
• Stellen Sie sicher, dass alle Schüler(inne)n die schulweiten Passwortrichtlinien kennen, verstehen und sie auch anwenden können
• Untersuchen Sie mit Ihren Schüler(inne)n Methoden, um sichere Passwörter zu entwickeln und sie sich zu merken
• Entwickeln Sie Regeln für den Umgang mit digitalen Endgeräten im Unterricht und prüfen Sie, ob Ihre Schüler(innen) sie auch wirklich einhalten

So sorgen Ihre Schüler(innen) dafür, dass ihre Passwörter sicher bleiben:

• Die Schüler(innen) sollten ausschließlich sichere Passwörter für sämtliche Benutzerkonten wählen
• Für jedes Benutzerkonto sollten Ihre Schüler(innen) ein individuelles Passwort vergeben
• Das Passwort muss geheim bleiben: Schüler(innen) dürfen es niemandem verraten, es nirgendwo im Klartext aufschreiben oder an anderer Stelle preisgeben
• Beim Verlassen ihres Endgeräts sollten Schüler(innen) immer die Bildschirmsperrung aktivieren. Auch wenn sie nur kurz zur Tafel gehen oder sich das Lineal einer Mitschülerin leihen.
• Bei geteilten Geräten sollten sie sich nach ihrer Arbeit mit dem Gerät aus ihren Konten ausloggen
• Schüler(innen) müssen verdächtige Nachrichten wie Phishing-E-Mails erkennen und damit adäquat umgehen können
• Die Geräte, die Ihre Schüler(innen) nutzen, sollten immer über ein aktuelles Betriebssystem mit den neusten Sicherheitsupdates verfügen
• Prüfen Sie, ob Ihre Schüler(innen) die Zwei-Faktor-Authentifizierung benutzen sollten, um ihre Benutzerkonten zusätzlich zu schützen. Das bietet sich aufgrund der zusätzlichen Schritte bei älteren Schüler(inne)n eher an als bei jüngeren.

Das ist natürlich nur eine Auswahl an Maßnahmen, mit denen Sie für mehr Sicherheit sorgen. Tauschen Sie sich im Kollegium, mit Ihrem Schulträger oder auch mit Ihrem oder Ihrer Datenschutzbeauftragten darüber aus, was für Sie und Ihre Schüler(innen) am besten funktioniert. Wichtig ist: Ziehen Sie alle am selben Strang und sorgen Sie für einheitliche und verbindliche Regeln.

Was mache ich, wenn jemand ein Passwort herausgefunden hat?

Wenn Sie das Gefühl haben, dass Ihr Passwort oder das Passwort für ein Schülerkonto von einer fremden Person herausgefunden wurde, sollten Sie umgehend Ihrem Admin Bescheid geben und Ihr eigenes Passwort sofort ändern bzw. das Passwort der betroffenen Schüler(innen) zurücksetzen. Ihr Admin kann in den Log-Dateien außerdem überprüfen, mit welcher IP-Adresse sich im Benutzerkonto angemeldet wurde.

Darüber hinaus sollten Sie schulinterne Prozesse entwickeln, denen Sie in etwaigen Notfällen folgen können: Wer muss wem Bescheid geben? Wer klärt, wie das Passwort herausgefunden wurde? Müssen Behörden oder die Polizei eingeschaltet werden? Wer setzt Passwörter zurück? Was muss wo dokumentiert werden? Gibt es bei den Betroffenen Schulungsbedarf? Je mehr Sie vorher geklärt und festgelegt haben, desto schneller können Sie im Ernstfall agieren – und sparen damit wertvolle Zeit, um Schlimmeres verhindern zu können.

Natürlich sollten Sie solche Fälle auch immer zum Anlass nehmen, zusätzliche Sicherheitsmaßnahmen wie das Einrichten der Zwei-Faktor-Authentifizierung (2FA) in Betracht zu ziehen. Und wo wir schon beim Thema sind: Prüfen Sie am besten direkt mal, wie stark Ihr eigenes IServ-Passwort ist! Denn Sie wissen ja: Sicher ist sicher.

Mehr Infos rund um Passwörter in der IServ Schulplattform

Sie wollen noch mehr über den Umgang mit IServ-Passwörtern erfahren? Dann werfen Sie doch mal einen Blick in die Passwort-Rubrik in unsem Hilfe-Center. Dort veröffentlichen wir immer wieder neue Artikel zum Umgang mit Passwörtern – und auch zu vielen weiteren Themen rund um die Arbeit mit der IServ Schulplattform.