Vorgaben zur Standardisierung der IT-Infrastruktur an Bundesschulen
1 Einleitung
Um die IT-Sicherheit an Schulstandorten zu erhöhen und auf IT-Sicherheitsvorfälle vorbereitet zu sein, werden Maßnahmen in unterschiedlichen Bereichen angeordnet. Unter Mitwirkung der für die IT-Systembetreuung zuständigen Referate an den Bildungsdirektionen sind an den Bundesschulen die im Rundschreiben Nr. 29/2024 beschriebenen Maßnahmen umzusetzen.
2 Standardisierung der bestehenden IT-Infrastruktur
Für die Unterstützung durch die IT-Systembetreuung, hat die Schule sicherzustellen, dass der Betrieb der für den Core-Infrastruktur-Bereich eingesetzten Komponenten (insbesondere Server, Firewalls, Switches) durch geeignete Maßnahmen (zum Beispiel Garantie/Gewährleistung, Service- bzw. Wartungsvertrag, redundante Komponenten) gewährleistet wird.
Vorgaben der Bildungsdirektionen zur Konfiguration der IT-Systeme (insbesondere Server, Firewalls, Switches, Accesspoints, Azure Mandant) sind im Sinne bundesweit einheitlicher Standards jedenfalls einzuhalten.
3 Dokumentation der IT-Infrastruktur
Um bei Störungen und IT-Sicherheitsvorfällen möglichst rasch und umfassend reagieren zu können, ist es erforderlich, dass alle wesentlichen Bereiche der IT-Infrastruktur ausreichend dokumentiert sind.
Zu den zu dokumentierenden Bereichen gehören vor allem:
- Dokumentation aller Server, Backupsystem und Netzwerkkomponenten wie zum Beispiel IP, OS-Version, Patch-Konzept, Zugangsdaten, Location.
- Dokumentation aller VLANs (IPs, GW, Mask, ID), Externer IP-Adressen, deren Verwendung und deren Absicherung.
- Dokumentation zur Verfügbarkeit der Zugangsdaten externer Services wie zum Beispiel ISP, Website, Lernplattformen, Webuntis, Lizenzen und Lizenzportale.
Über Zugriff auf die Dokumentation müssen IT-Manager/innen am Standort, je nach Zuständigkeit bzw. Arbeitsplatzbeschreibung die IT-Systembetreuer/innen und im Anlassfall die Schulleitung verfügen. Die Vollständigkeit der Dokumentation ist periodisch zu überprüfen bzw. zu aktualisieren. Auf Verlangen ist die Dokumentation der Bildungsdirektion oder vom BMBWF dafür autorisierten Personen auszuhändigen und zentral bereitzustellen.
Dokumentationsvorgaben (PDF, 141 KB)
4 Vorliegen eines IT-Sicherheitskonzepts
Bestandteil einer funktionalen Dokumentation ist auch ein Sicherheitskonzept, das für den Fall eines IT-Sicherheitsvorfalls dabei hilft, den Schaden zu minimieren. Sollte ein solches Sicherheitskonzept noch nicht vorliegen, sollte dieses ehestmöglich und gegebenenfalls unter Mitwirkung der Bildungsdirektion erstellt werden.
Folgende Bereiche sollten durch das IT-Sicherheitskonzept abgedeckt sein:
- Multi-Faktor-Authentifizierung (MFA) zumindest für alle privilegierten Zugänge, die aus dem öffentlichen Netz erreichbar sind.
- Mittels Hardware-Firewall und Webfilter ist der Schutz vor Schadsoftware, Bedrohungen und unsachgemäße Inhalte bestmöglich zu gewährleisten.
- Eine Datensicherung jener Systeme, welche für den Schulalltag erforderlich sind, hat am jeweiligen Standort zu erfolgen.
IT-Sicherheitskonzept (PDF, 69 KB)
5 Neue Vorgaben bei Beschaffungen im Bereich IT-Infrastruktur
Die IT-Infrastruktur und Vorgaben zur IT-Sicherheit sind vom pädagogischen Auftrag separat zu betrachten. Deren technische Ausgestaltung liegt im Entscheidungsbereich des Schulerhalters.
Vorgaben der Bildungsdirektionen zur Konzeption und Konfiguration der Architektur und Topologie des Systems sind im Sinne der Umsetzung österreichweit einheitlicher Mindeststandards jedenfalls einzuhalten. Dies vereinfacht im Fall eines IT-Sicherheitsvorfalls, die notwendigen Maßnahmen zur Schadensabwehr.
Insbesondere für die folgenden Beschaffungen ist die Zustimmung des für die IT-Systembetreuung zuständigen Referats gemäß dessen Vorgaben einzuholen:
- Serverhardware sowie USV-Anlagen
- Netzwerkkomponenten wie Switches, Accesspoints, Firewalls
- Infrastructure as a Service (IaaS)
- über den Leistungszeitraum eines Jahres hinausgehende Werkverträge zur Betreuung der IT-Infrastruktur (zum Beispiel Säule-3-Budget) sowie über ein Jahr hinausgehende IT-Dienstleistungsverträge, die mit Unternehmen geschlossen werden, wie zum Beispiel insbesondere Providerdienstleistungen oder Wartungsverträge.
Kleinbeschaffungen, wie etwa Tastaturen oder Monitore erfordern nicht die Einbeziehung der Bildungsdirektion.
6 Vorgehensweise bei IT-Security-Vorfall
Ein Sicherheitsvorfall liegt vor, wenn unautorisierter Zugriff auf ein IT-System erfolgte oder die Informationssicherheit (also Vertraulichkeit, Verfügbarkeit und/oder Integrität) von Daten, Services, Systemen oder Anwendungen beeinträchtigt ist.
In Falle eines solchen Sicherheitsvorfalls sind jedenfalls das für die IT-Systembetreuung zuständige Referat und der Datenschutzbeauftragte umgehend nach Bekanntwerden des Vorfalls zu informieren.