Freie Software in der Schule: Verschlüsselung von Daten

Als Lehrkräfte verarbeiten wir personenbezogene Daten, vorweislich Noten und Notizen über Schüler:innen. Diese müssen besonders geschützt werden. Über das Was und Wie lest ihr hier.

Diese Informationen gebe ich auf dem Stand Oktober 2024. Da das Thema immer aktuell bleibt und sich Gesetzgebung sowie Programme verändern, bitte ich dich, die Informationen immer gegenzuprüfen.
Ich bin außerdem kein Jurist oder ein Mensch, der verbindliche rechtliche Empfehlungen geben kann. Hier stelle ich nur das vor, was ich bisher zu dem Thema gefunden und erfahren habe.

Das "Warum"

Als Lehrkräfte verarbeiten wir personenbezogene Daten, vorweislich Noten und Notizen über Schüler:innen. Diese müssen besonders geschützt werden, wie man in der DSGVO vom 27.04.2026 nachlesen kann:

"Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz (...)"

Erschwert wird das noch dadurch, dass es eine Schulpflicht gibt, sodass sich Kinder und Jugendliche nicht aussuchen können, ob sie auf Schule A gehen oder nicht. Mal abgesehen von bestimmter Wahlfreiheit bei weiterführenden Schulen.

Das "Was"

Tja... alles? Das wäre zu einfach (komplette Festplatte sicher verschlüsseln) oder zu schwer (alle Unterrichtsmaterialien in einen riesigen Container packen). Auch ist ein Hefteintrag zur nächsten Unterrichtsstunde kaum im Sinne von obiger Aussage zu schützen, aber dafür alles, was direkt mit Schüler:innen zu tun haben. Also beispielsweise

• Namen und Kontaktmöglichkeiten
• Klassenzugehörigkeit
• Noten
• Notizen (v.a. über Krankheiten, Nachteilsausgleich,...)

Daneben sollte man auch Informationen, die Kolleg:innen betreffen, und offizielle Prüfungsaufgaben als schutzbedürftig einstufen. Um dienstliche EMails über das Postfach der Schule würde ich mir keine Gedanken machen - abgesehen von einem sicheren Passwort. Denn das Postfach liegt in Zuständigkeit der Schule. Sichert diese das nicht richtig ab, dann ist das nicht euer persönliches Problem.

Worüber man sich eher Gedanken machen muss: personenbezogene Daten über EMail verschicken. Dabei gilt:

• EMails soweit möglich nur verschlüsselt verschicken.
• Innerhalb derselben Domain (bspw. schulintern) kann man darauf verzichten.
• Kann man eine EMail nicht verschlüsselt verschicken (also quasi immer, weil GPG ja irgendwie keine Verbreitung hat...), sollte man wenigstens auf passwort-geschützte Container setzen. Datenschutz-Schule.info verweist hierbei auf eine passwort-geschützte ZIP-Datei. Da sage ich mal nichts zu.

Verwaltet ihr dienstliche EMails über euer privates Postfach, empfehle ich, das ganz schnell einzustellen. Auch eine EMail-Weiterleitung ist nicht praktikabel. Das bringt euch in Teufels Küche!

Aus Sicht des Datenschutz ist dieses nicht zulässig. Eine Lehrkraft darf für die Übermittlung von personenbezogenen Daten nur Dienste nutzen, für welche es einen Vertrag zur Auftragsdatenverarbeitung zwischen Schule und Anbieter gibt. Das kann bei einem privaten E-Mail Konto nie der Fall sein. Quelle

Mehr zum EMail-Verkehr: siehe beispielsweise Lehrerfortbildung-bw.de oder bei datenschutz-schule.info. Beim Schreiben merke ich, dass es dazu einen eigenen Kolumnen-Eintrag bedarf.

Das "Wie"

Es bleibt die Frage, wie man diesen besonderen Schutz gerecht wird. Das Thüringer Ministerium für Bildung, Jugend und Sport hat dazu ein FAQ rausgegeben, an dem ich mich orientieren möchte (ist gar nicht so einfach, Aussagen von Kultusministerien etc. zu dem Thema zu erhalten...). Darin steht, dass elektronische Daten auf mobilen Endgeräten bzw. Datenträgern verschlüsselt werden müssen. Zu den Geräten zählen USB-Sticks, externe Festplatten, optische Datenträger, aber auch Laptops, Notebooks und so weiter. Interessanterweise fallen Stand-PCs scheinbar nicht darunter. Auch müssen Daten, die per EMail verschickt werden, verschlüsselt werden. Klargestellt wird auch, dass ein Zugangspasswort am PC/Smartphone nicht ausreicht. Für mich bedeutet das, dass eine Festplattenverschlüsselung bspw. mittels LUKS erforderlich ist, oder die Daten anderweitig verschlüsselt werden müssen.

Nun ist es (leider) so, dass es manigfaltige Möglichkeiten gibt, diesem "Verschlüsselungs-Gebot" nachzukommen. Hier eine Auswahl:

1. Wie oben besprochen, kann man die Daten per LUKS - Linux Unified Key Setup verschlüsseln (bspw. die komplette Festplatte mit Betriebssystem darauf). Das zugehörige Werkzeug Cryptsetup verschlüsselt dabei mit dem dm-crypt Kernelmodul des Linux-Kernels und ist sehr performant. Es unterstützt sogar VeraCrypt- und Bitlocker-verschlüsselte Container/Festplatten.

2. Daneben gibt es die gut bekannten VeraCrypt-Container, die vermutlich am weitesten verbreitet sind. Dabei handelt es sich um den Nachfolger von TrueCrypt. Man legt eine bestimmte Größe für einen Container fest und dieser wird analog zu einem USB-Stick über das Programm ins System eingebunden. Dann können Programme auf die Daten zugreifen. Von außen sieht man nur einen x MB großen Block, in dem mehr oder weniger viele Dateien sein können.

3. Möchte man eine native(re) Oberfläche haben, kann man zuluCrypt benutzen, das neben sichtbaren oder unsichtbaren True/VeraCrypt-Containern auch Container für LUKS oder dm-crypt erstellen kann. An der Stelle überlasse ich euch die Recherche über die einzelnen Verfahren und Vor-/Nachteile. Gut zu bedienen finde ich zuluCrypt nicht.

4. Am Android-Gerät kann man per EDS Lite auf True/VeraCrypt- sowie LUKS- und EncFS-Container zugreifen. Laut Webseite wird das allerdings nicht mehr weiterentwickelt und es wird die App EDSNG empfohlen, das aber nur im PlayStore verfügbar ist. Getestet habe ich es bisher nicht, da mir EDS Lite keine Probleme bereitet.

5. In KDE gibt es ein Plasma Widget namens Vaults/Tresore, über das man verschlüsselte Tresore erstellen und in der Oberfläche relativ einfach öffnen und schließen kann. Sie werden wahlweise mit CryFS, EncFS oder gocryptfs erstellt, in einem beliebigen Ordner abgespeichert und auch gemountet. CryFS sichert Dateien so, dass zwar die Gesamtgröße, nicht aber die Anzahl oder Einzelgröße von Dateien sichtbar ist.

6. Wer eher auf dem GNOME-Desktop zu Hause ist, dem gefällt da vielleicht Vaults, das ebenfalls mit CryFS oder gocryptfs arbeitet - diese müssen auf dem System installiert sein.

7. Recht beliebt scheint auch das Programm Cryptomator zu sein. Es ist verfügbar für alle Plattformen und wirkt auf mich relativ intuitiv. Beworben wird es damit, dass es auch für die Cloud sicher und geeignet ist. Persönlich würde ich allerdings keine Schüler:innen-Daten in die Cloud spiegeln - egal wie verschlüsselt sie sind.

Video-Reihe

Ich habe auch eine Video-Reihe zu verschiedenen Verschlüsselungsprogrammen unter Linux, Android und teilweise plattformübergreifend erstellt, die oben genannte Programme beleuchtet und die Nutzung (kurz) vorstellt. Gerne nehme ich auch Wünsche für weitere FOSS-Apps auf.

Mein Setup

Aktuell nutze ich einen KDE Plasma-Vaults-Container gespeichert auf einer LUKS-verschlüsselten Partition und einen passwort-geschützten USB-Stick, den ich von der Schule erhalten habe. Wie bei allen Daten gilt die 3-2-1-Regel auch für verschlüsselte Daten.

Was benutzt ihr denn so zum Sichern von personenbezogenen Daten?

Quellen:

• https://www.iste.org/de/explore/entrsekt/Safeguarding-student-data%3A-When-students-are-connected%2C-they-must-be-protected
• DSGVO: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE (38)
• Empfehlungen des Thüringer Ministerium für Bildung, Jugend und Sport (und weiteres): https://www.tlfdi.de/fileadmin/tlfdi/datenschutz/schule/faq_datenschutz_in_schulen.pdf
• E-Mail zwischen Schule und Eltern: https://lehrerfortbildung-bw.de/st_recht/daten/ds_neu/daten/email/
• Datenschutz-Schule.info zu EMails: https://datenschutz-schule.info/themen/e-mail-kommunikation-sicher-nutzen/
• LUKS: https://wiki.ubuntuusers.de/LUKS/
• Cryptsetup: https://gitlab.com/cryptsetup/cryptsetup
• VeraCrypt: https://www.veracrypt.fr/code/VeraCrypt/
• zuluCrypt: https://mhogomchungu.github.io/zuluCrypt/
• EDS Lite: https://f-droid.org/de/packages/com.sovworks.edslite/
• Anleitung zu Plasma Tresore: https://curius.de/2018/05/plasma-vault-cloudspeicherverschluesselung-einfach-gemacht/
• Vaults: https://flathub.org/apps/io.github.mpobaschnig.Vaults
• Cryptomator: https://cryptomator.org/de/
• Video-Reihe: https://video-cave-v2.de/w/p/tQgAVtub3YfwXNKA8FrVpZ
• 3-2-1-Regel: https://hth-computer.de/it-wissen/3-2-1-backup/

Bilderquellen:

• Bild zu VeraCrypt: https://commons.wikimedia.org/wiki/File:VeraCrypt_screenshot.png

Die anderen Bilder sind selbst erstellt.

---

GNU/Linux.ch ist ein Community-Projekt. Bei uns kannst du nicht nur mitlesen, sondern auch selbst aktiv werden. Wir freuen uns, wenn du mit uns über die Artikel in unseren Chat-Gruppen oder im Fediverse diskutierst. Auch du selbst kannst Autor werden. Reiche uns deinen Artikelvorschlag über das Formular auf unserer Webseite ein.