Der Gebrauch von Cookies erlaubt uns Ihre Erfahrungen auf dieser Website zu optimieren. Wir verwenden Cookies zu Statistikzwecken und zur Qualitätssicherung. Durch Fortfahren auf unserer Website stimmen Sie dieser Verwendung zu.

Der Gebrauch von Cookies erlaubt uns Ihre Erfahrungen auf dieser Website zu optimieren. Wir verwenden Cookies zu Statistikzwecken und zur Qualitätssicherung. Durch Fortfahren auf unserer Website stimmen Sie dieser Verwendung zu.

Der Gebrauch von Cookies erlaubt uns Ihre Erfahrungen auf dieser Website zu optimieren. Wir verwenden Cookies zu Statistikzwecken und zur Qualitätssicherung. Durch Fortfahren auf unserer Website stimmen Sie dieser Verwendung zu.

Vorgaben zur Standardisierung der IT-Infrastruktur an Bundesschulen

1 Einleitung

Um die IT-Sicherheit an Schulstandorten zu erhöhen und auf IT-Sicherheitsvorfälle vorbereitet zu sein, werden Maßnahmen in unterschiedlichen Bereichen angeordnet. Unter Mitwirkung der für die IT-Systembetreuung zuständigen Referate an den Bildungsdirektionen sind an den Bundesschulenfolgende Maßnahmen umzusetzen.

2 IT-Betreuung

Die IT-Betreuung an Bundesschulen besteht aus drei Bereichen, die unterschiedliche Aufgaben abdecken:

I. Pädagogisch-fachliche Betreuung

Fachkundige Lehrpersonen übernehmen Aufgaben im Rahmen des IT-Managements. Dazu gehören die pädagogische Begleitung digitaler Werkzeuge, die Betreuung von Lernplattformen oder die Unterstützung bei der Integration digitaler Medien in den Unterricht. Diese Tätigkeiten werden auf die Lehrverpflichtung angerechnet.

II.  Technische Betreuung

IT-Systembetreuerinnen und -betreuer kümmern sich um Hardware, Netzwerke und Systeme vor Ort. Sie sind in der Regel Verwaltungsbedienstete, die durch die Bildungsdirektionen zugewiesen werden. Ihre Aufgabe ist es, den laufenden Betrieb sicherzustellen, technische Störungen zu beheben und Infrastruktur aktuell zu halten.

III. IT-System- und IT-Sicherheitsmanagement

Für Aufgaben im Bereich IT-System- und IT-Sicherheitsmanagement kann die Schule externe Leistungen zukaufen. Dazu gehören zum Beispiel komplexe Netzwerkkonfigurationen, Wartungsverträge oder Sicherheitsmaßnahmen, die über das Alltagsgeschäft hinausgehen.

Die Übernahme der Tätigkeiten des Bereiches I gehört zu den Dienstpflichten speziell vorgebildeter Lehrender (IT-Managerinnen und IT-Manager).

Die Aufgaben des Bereiches II werden von IT-Systembetreuerinnen und IT-Systembetreuer erledigt. Diese sind technisch qualifizierte Verwaltungsbedienstete, die durch die Bildungsdirektionen für die entsprechenden Arbeiten an den Schulstandorten eingeteilt werden.

Die Aufgaben des Bereiches III sind als Sachleistungen zu qualifizieren und können von den Schulleitungen im Rahmen ihres Sachbudgets eingekauft werden. Dafür ist folgender Schlüssel vorgesehen:

Sockelbetrag je Schulstandort: 6.395,00 Euro
Betrag je Schüler/in:  14,70 Euro

Die Anzahl der Schüler/innen ergibt sich aus den für das laufende Schuljahr gemeldeten Zahlen der jeweiligen Schule. Die Betreuung der Lehrpersonen ist in den Sätzen bereits berücksichtigt.

Die Entscheidung, wie personelle und finanzielle Ressourcen genutzt werden, kann am Schulstandort im Einvernehmen mit der Bildungsdirektion getroffen werden. Beim Abschluss eines Werkvertrages ist der Werkunternehmer im Rahmen der Erfüllung der Leistungen zur Herstellung des Erfolges sowie zur Gewährleistung aus allfälligen Mängeln der Leistungen verpflichtet (vergleiche §§ 1165 ff ABGB). Bei der Vergabe der Aufträge sind die haushalts- und vergaberechtlichen Vorschriften und – sofern der Auftrag an Bundesbedienstete vergeben wird – die einschlägigen dienst-, steuer- und sozialversicherungsrechtlichen Bestimmungen einzuhalten.

2 Standardisierung und Dokumentation 

Für die Unterstützung durch die IT-Systembetreuung, hat die Schule sicherzustellen, dass der Betrieb der für den Core-Infrastruktur-Bereich eingesetzten Komponenten (insbesondere Server, Firewalls, Switches) durch geeignete Maßnahmen (zum Beispiel Garantie/Gewährleistung, Service- bzw. Wartungsvertrag, redundante Komponenten) gewährleistet wird.

Vorgaben der Bildungsdirektionen zur Konfiguration der IT-Systeme (insbesondere Server, Firewalls, Switches, Accesspoints, Azure Mandant) sind im Sinne bundesweit einheitlicher Standards jedenfalls einzuhalten.

Um bei Störungen und IT-Sicherheitsvorfällen möglichst rasch und umfassend reagieren zu können, ist es erforderlich, dass alle wesentlichen Bereiche der IT-Infrastruktur ausreichend dokumentiert sind.

Zu den zu dokumentierenden Bereichen gehören vor allem:

  • Dokumentation aller Server, Backupsystem und Netzwerkkomponenten wie zum Beispiel IP, OS-Version, Patch-Konzept, Zugangsdaten, Location.
  • Dokumentation aller VLANs (IPs, GW, Mask, ID), Externer IP-Adressen, deren Verwendung und deren Absicherung.
  • Dokumentation zur Verfügbarkeit der Zugangsdaten externer Services wie zum Beispiel ISP, Website, Lernplattformen, Webuntis, Lizenzen und Lizenzportale.

Über Zugriff auf die Dokumentation müssen IT-Manager/innen am Standort, je nach Zuständigkeit bzw. Arbeitsplatzbeschreibung die IT-Systembetreuer/innen und im Anlassfall die Schulleitung verfügen.  Die Vollständigkeit der Dokumentation ist periodisch zu überprüfen bzw. zu aktualisieren. Auf Verlangen ist die Dokumentation der Bildungsdirektion oder vom BMB dafür autorisierten Personen auszuhändigen und zentral bereitzustellen.

Dokumentationsvorgaben (PDF, 108 KB)

4 Vorliegen eines IT-Sicherheitskonzepts

Bestandteil einer funktionalen Dokumentation ist auch ein Sicherheitskonzept, das für den Fall eines IT-Sicherheitsvorfalls dabei hilft, den Schaden zu minimieren. Sollte ein solches Sicherheitskonzept noch nicht vorliegen, sollte dieses ehestmöglich und gegebenenfalls unter Mitwirkung der Bildungsdirektion erstellt werden.

Folgende Bereiche sollten durch das IT-Sicherheitskonzept abgedeckt sein:

  • Multi-Faktor-Authentifizierung (MFA) zumindest für alle privilegierten Zugänge, die aus dem öffentlichen Netz erreichbar sind.
  • Mittels Hardware-Firewall und Webfilter ist der Schutz vor Schadsoftware, Bedrohungen und unsachgemäße Inhalte bestmöglich zu gewährleisten.
  • Eine Datensicherung jener Systeme, welche für den Schulalltag erforderlich sind, hat am jeweiligen Standort zu erfolgen.

IT-Sicherheitskonzept (PDF, 57 KB)

5 Neue Vorgaben bei Beschaffungen im Bereich IT-Infrastruktur

Die IT-Infrastruktur und Vorgaben zur IT-Sicherheit sind vom pädagogischen Auftrag separat zu betrachten. Deren technische Ausgestaltung liegt im Entscheidungsbereich des Schulerhalters. 

Vorgaben der Bildungsdirektionen zur Konzeption und Konfiguration der Architektur und Topologie des Systems sind im Sinne der Umsetzung österreichweit einheitlicher Mindeststandards jedenfalls einzuhalten. Dies vereinfacht im Fall eines IT-Sicherheitsvorfalls, die notwendigen Maßnahmen zur Schadensabwehr.

Insbesondere für die folgenden Beschaffungen ist die Zustimmung des für die IT-Systembetreuung zuständigen Referats gemäß dessen Vorgaben einzuholen: 

  • Serverhardware sowie USV-Anlagen
  • Netzwerkkomponenten wie Switches, Accesspoints, Firewalls
  • Infrastructure as a Service (IaaS) 
  • über den Leistungszeitraum eines Jahres hinausgehende Werkverträge zur Betreuung der IT-Infrastruktur (zum Beispiel Säule-3-Budget) sowie über ein Jahr hinausgehende IT-Dienstleistungsverträge, die mit Unternehmen geschlossen werden, wie zum Beispiel insbesondere Providerdienstleistungen oder Wartungsverträge. 

Kleinbeschaffungen, wie etwa Tastaturen oder Monitore erfordern nicht die Einbeziehung der Bildungsdirektion.

6 Vorgehensweise bei IT-Security-Vorfall

Ein IT-Sicherheitsvorfall liegt vor, wenn Unbefugte Zugriff auf Systeme erlangen oder die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten beeinträchtigt ist. Beispiele sind Hackerangriffe, Schadsoftware, der Verlust von Datenträgern oder gestohlene Geräte.

Schulleitungen stellen sicher, dass bei einem Vorfall sofort das für die IT-Systembetreuung zuständige Referat und die Datenschutzbeauftragten der Bildungsdirektion umgehend informiert werden. Eine gut gepflegte Dokumentation erleichtert die rasche Reaktion und verhindert Folgeschäden.

7 IT-Nutzungsordnung

Eine klare IT-Nutzungsordnung schafft verbindliche Regeln für den Umgang mit digitalen Geräten und Diensten am Schulstandort. Sie schützt Personen- und Schuldaten, unterstützt die sichere Nutzung digitaler Systeme und gibt allen Beteiligten Orientierung. Schulleitungen verankern diese Ordnung organisatorisch und sorgen dafür, dass sie allen Nutzerinnen und Nutzern bekannt ist.

Alle Schulen sind verpflichtet, eine IT-Nutzungsordnung zu erlassen und zu veröffentlichen (§ 12 Abs. 4 der IKT-Schulverordnung). Diese Ordnung gilt für alle Personen, die IT-Dienste oder Geräte der Schule verwenden – insbesondere für Lehrpersonen, Schülerinnen und Schüler, Verwaltungsbedienstete sowie externe Personen mit Zugang zur Schul-IT.

Schulleitungen erstellen, beschließen und kommunizieren die IT-Nutzungsordnung für ihren Standort. Sie

  • legen fest, wie die Ordnung veröffentlicht wird (zum Beispiel auf der Schulhomepage, im Intranet, als Aushang oder in der Schulplattform),
  • informieren alle Personengruppen regelmäßig über die geltenden Regeln,
  • verankern die Kenntnisnahme der Nutzungsordnung in Schul- und Aufnahmeprozessen (zum Beispiel bei Schulbeginn, Neueintritten oder Dienstantritt),
  • sorgen für regelmäßige Aktualisierung, wenn sich rechtliche oder technische Rahmenbedingungen ändern.

Die Nutzungsordnung regelt insbesondere:

  • Installation von Programmen nur mit Zustimmung der IT-Verantwortlichen,
  • sichere Aufbewahrung und Geheimhaltung von Passwörtern,
  • Schutz vor unbefugtem Zugriff (zum Beispiel durch Sperren nicht genutzter Geräte),
  • den Umgang mit dienstlichen E-Mail-Adressen,
  • die Rückgabe von Geräten und Löschung personenbezogener Daten beim Ausscheiden,
  • keine Sicherung oder Aufbewahrung privater Daten auf Schulgeräten,
  • Meldung von Schäden oder Verlusten an die Schule,
  • Fristen zur Löschung von Benutzerkonten nach dem Ausscheiden.

Folgendes Muster-Dokument kann als Vorlage für die IT-Nutzungsordnung herangezogen werden: IT-Nutzungsordnung (Word, 44 KB)