SchulConnect SchulConnect-Logo

10. April 2026

NetzwerksicherheitSchul-ITFirewallWLANIT-SicherheitSchulträger

Netzwerksicherheit an Schulen: Schwachstellen erkennen, Risiken minimieren

Schulnetzwerke sind häufig schlecht gesichert und damit ein leichtes Ziel für Angreifer. Dieser Artikel erklärt die häufigsten Schwachstellen, welche Schutzmaßnahmen wirklich greifen und was IT-Verantwortliche an Schulen konkret tun können.

Netzwerksicherheit an Schulen: Schwachstellen erkennen, Risiken minimieren

Schulen sind attraktive Ziele für Cyberangriffe - und das nicht trotz, sondern wegen ihrer typischen IT-Struktur. Veraltete Hardware, knappe Personalressourcen, heterogene Geräteflotten und ein offener Zugang für Hunderte von Nutzern täglich schaffen eine Angriffsfläche, die professionelle Unternehmen sich nicht leisten würden. Dabei stehen hinter den Netzwerken Schulen personenbezogene Daten von Minderjährigen, Zeugnisdaten, Gesundheitsinformationen und interne Verwaltungsdokumente.

Dieser Artikel richtet sich an IT-Verantwortliche, Systemadministratoren und Schulleiter, die verstehen wollen, wo die konkreten Risiken liegen - und was sich dagegen tun lässt.

Warum Schulnetzwerke besonders verwundbar sind

Der Betrieb eines Schulnetzwerks unterscheidet sich grundlegend von einem Unternehmensnetz. Die Nutzerstruktur ist extrem heterogen: Schülerinnen und Schüler bringen eigene Geräte mit (BYOD), Lehrkräfte arbeiten mit privaten Notebooks, und Verwaltungsgeräte teilen sich dieselbe Infrastruktur mit Unterrichtsrechnern. Gleichzeitig fehlt in vielen Schulen ein dedizierter IT-Verantwortlicher - die Aufgabe liegt oft bei einer Lehrkraft, die dafür kaum Stundenentlastung erhält.

Laut dem BSI-Lagebericht zur IT-Sicherheit in Deutschland (2023) zählen Bildungseinrichtungen zu den am häufigsten von Ransomware-Angriffen betroffenen Sektoren im öffentlichen Bereich. In mehreren deutschen Bundesländern - darunter Bayern, NRW und Brandenburg - mussten Schulen oder ganze Schulträger ihren IT-Betrieb nach Verschlüsselungsangriffen für Wochen einstellen.

Die häufigsten Schwachstellen im Überblick

Bei Sicherheitsanalysen von Schulnetzwerken tauchen immer wieder dieselben Probleme auf:

  • Flaches Netzwerk ohne Segmentierung: Verwaltung, Unterricht und Gäste-WLAN laufen im selben Netzsegment. Ein kompromittiertes Schülergerät kann damit theoretisch auf Verwaltungsdaten zugreifen.
  • Veraltete Firmware auf Netzwerkgeräten: Router, Switches und Access Points werden oft jahrelang nicht aktualisiert. Bekannte Sicherheitslücken bleiben damit dauerhaft offen.
  • Schwache oder geteilte WLAN-Passwörter: Einmal verteilte WLAN-Zugangsdaten kursieren unter Schülerinnen und Schülern, ehemaligen Lehrkräften und sogar Eltern - oft über Jahre.
  • Fehlende Netzwerkzugangskontrolle (NAC): Jedes Gerät, das sich ins WLAN einbucht, erhält Netzwerkzugang - ohne Prüfung, ob es den Sicherheitsrichtlinien entspricht.
  • Keine oder unzureichende Protokollierung: Ohne Logging lassen sich Angriffe weder rechtzeitig erkennen noch im Nachhinein rekonstruieren.
  • Standard-Zugangsdaten auf Netzwerkgeräten: Manche Geräte laufen noch mit den Werkspasswörtern des Herstellers.

Netzwerksegmentierung: Das wichtigste Strukturprinzip

Die wirkungsvollste organisatorische Maßnahme ist die konsequente Segmentierung des Schulnetzwerks. Das bedeutet: Verschiedene Nutzergruppen und Gerätekategorien erhalten separate Netzsegmente, die durch eine Firewall voneinander getrennt sind.

Ein sinnvolles Grundmodell sieht typischerweise mindestens vier Segmente vor:

  1. Verwaltungsnetz - nur für Schulverwaltung, Sekretariat und Schulleitung
  2. Pädagogisches Netz - für Lehrkräfte und Unterrichtsgeräte
  3. Schülernetz - mit eingeschränkten Rechten und kontrolliertem Internetzugang
  4. Gäste-WLAN - vollständig isoliert, ohne Zugang zu internen Ressourcen

Die technische Umsetzung erfolgt in der Regel über VLANs (Virtual Local Area Networks) auf verwalteten Switches und einem entsprechend konfigurierten Firewall-Regelwerk. Moderne Schulrouter und Managed-Switch-Systeme unterstützen VLAN-Segmentierung - die Konfiguration erfordert allerdings Fachkenntnis und sollte dokumentiert werden.

WLAN-Sicherheit: Mehr als ein starkes Passwort

Das Schul-WLAN ist einer der sensibelsten Punkte im Netz, weil es von einer Vielzahl unkontrollierter Geräte genutzt wird. Ein paar grundlegende Maßnahmen machen hier einen erheblichen Unterschied:

WPA3 oder mindestens WPA2-Enterprise statt WPA2-Personal: WPA2-Personal (der klassische WLAN-Schlüssel) hat einen entscheidenden Nachteil: Wer das Passwort kennt, kann den gesamten WLAN-Verkehr anderer Nutzer entschlüsseln, wenn er den Verbindungsaufbau mitgeschnitten hat. WPA2-Enterprise mit 802.1X-Authentifizierung weist jedem Nutzer individuelle Zugangsdaten zu und verhindert genau das.

Regelmäßiger Passwortwechsel: Auch bei WPA2-Personal gilt: Zugangsdaten sollten mindestens einmal jährlich gewechselt werden - konsequent und dokumentiert.

Rogue Access Point Detection: Nicht autorisierte WLAN-Hotspots (etwa ein Schüler, der einen eigenen Router ans Schulnetz anschließt) lassen sich mit entsprechenden Monitoring-Tools erkennen.

SSID-Trennung: Jedes Netzwerksegment sollte eine eigene SSID haben - Verwaltung, Lehrernetz und Schülernetz sind strikt zu trennen.

Firewall und Filterung: Grundschutz, der tatsächlich funktioniert

Eine Firewall ist kein Allheilmittel, aber unverzichtbar. Wichtig ist dabei nicht nur das Vorhandensein einer Firewall, sondern ihre Konfiguration und regelmäßige Pflege.

Typische Fehler in der Praxis:

  • Firewall ist vorhanden, aber seit Jahren nicht aktualisiert
  • Regeln wurden für einzelne Zwecke erstellt und nie wieder bereinigt - sogenannte "Regelfriedhöfe"
  • Ausgehender Datenverkehr wird nicht gefiltert - Schadsoftware kann ungehindert nach Hause telefonieren
  • Es gibt keine Intrusion Detection (IDS) oder Intrusion Prevention (IPS)

Für Schulen ohne eigene Firewall-Expertise empfiehlt sich der Einsatz von Unified-Threat-Management-Systemen (UTM), die Firewall, Content-Filter, Antivirus-Inspektion und IDS in einer Appliance bündeln. Anbieter wie Sophos, Fortinet oder die Open-Source-Lösung OPNsense bieten entsprechende Systeme auch für kleinere Budgets an.

Patch-Management: Der unterschätzte Dauerbetrieb

Die meisten erfolgreichen Angriffe auf Schulnetzwerke nutzen keine Zero-Day-Lücken - sie nutzen bekannte Schwachstellen in ungepatchter Software. Das BSI empfiehlt für kritische Sicherheitsupdates eine maximale Reaktionszeit von 72 Stunden nach Veröffentlichung.

In der Praxis bedeutet das:

  • Betriebssysteme, Anwendungen und Netzwerkgeräte-Firmware müssen systematisch und regelmäßig aktualisiert werden
  • Für größere Schulen oder Schulträger mit vielen Geräten empfiehlt sich ein zentrales Patch-Management-System (z.B. WSUS für Windows-Umgebungen oder kommerzielle Lösungen wie Baramundi oder Tanium)
  • Nicht mehr supportete Betriebssysteme (Windows 10 läuft ab Oktober 2025 aus, Windows 7 und 8 sind bereits seit Jahren ohne Support) müssen aus dem produktiven Betrieb entfernt werden

Veraltete Betriebssysteme sind ein rechtliches und ein faktisches Sicherheitsrisiko. Wer als Schulträger wissentlich ungepatchte Systeme betreibt, auf denen personenbezogene Daten gespeichert sind, handelt möglicherweise gegen Artikel 32 DSGVO, der "geeignete technische und organisatorische Maßnahmen" zum Schutz dieser Daten vorschreibt.

Zugriffsrechte und Administrationskonten

Ein häufig vernachlässigtes Thema: die Verwaltung von Administrationskonten und privilegierten Zugängen. Konkret bedeutet das:

  • Kein gemeinsam genutztes Admin-Passwort: Jede Person mit administrativem Zugang braucht ein eigenes Konto. Geteilte Passwörter lassen sich nach Personalwechsel nicht sinnvoll zurückziehen.
  • Prinzip der minimalen Rechte (Least Privilege): Nutzerkonten erhalten nur die Berechtigungen, die sie für ihre tatsächliche Tätigkeit benötigen.
  • Mehrstufige Authentifizierung (MFA) für Administrationskonten: Gerade für Konten mit weitreichenden Rechten sollte MFA Pflicht sein - nicht optional.
  • Regelmäßige Überprüfung aktiver Konten: Ausgeschiedene Lehrkräfte, ehemalige Administratoren und nicht mehr genutzte Dienstkonten müssen zeitnah deaktiviert werden.

Dieser Punkt ist direkt mit dem Thema Nutzerverwaltung verbunden: Eine zentrale Verwaltung von Nutzerkonten - etwa über ein Directory wie Active Directory oder LDAP - macht es erheblich einfacher, Zugriffsrechte konsistent zu vergeben und zu entziehen.

Was der Schulträger verantworten muss

Rechtlich liegt die Verantwortung für die technische Sicherheit der Schulnetzwerke in den meisten Bundesländern beim Schulträger - also bei der Gemeinde, dem Landkreis oder der Stadt. Die Schule selbst ist häufig Auftragsverarbeiter oder zumindest Nutzer der Infrastruktur, die der Träger bereitstellt.

Aus der DSGVO (Art. 32) ergibt sich die Pflicht, den Stand der Technik bei der Absicherung personenbezogener Daten zu berücksichtigen. Das bedeutet nicht, dass jede Schule ein Security Operations Center betreiben muss - aber es bedeutet, dass grundlegende Maßnahmen wie Netzwerksegmentierung, Patch-Management und Zugriffskontrollen nicht optional sind.

Daneben empfiehlt das BSI im Rahmen des IT-Grundschutzes spezifische Bausteine für Bildungseinrichtungen. Die Bausteine INF.12 (Gebäudeautomation) sowie NET.1.1 (Netzarchitektur und -design) und SYS.2.1 (Allgemeiner Client) sind dabei besonders relevant. Wer die IT-Grundschutz-Methodik nicht vollständig umsetzen kann, sollte zumindest eine strukturierte Risikoanalyse dokumentieren.

Notfallplanung: Was tun, wenn es trotzdem passiert?

Selbst gut gesicherte Netzwerke können kompromittiert werden. Entscheidend ist dann, wie schnell und strukturiert reagiert wird. Ein einfacher IT-Notfallplan sollte mindestens folgende Punkte abdecken:

  • Wer ist im Ernstfall erster Ansprechpartner (intern und extern)?
  • Gibt es aktuelle, offline verfügbare Backups aller kritischen Systeme?
  • Sind die Netzwerksegmente so gebaut, dass befallene Bereiche isoliert werden können?
  • Wann und wie muss die Datenschutzaufsichtsbehörde informiert werden (72-Stunden-Frist nach Art. 33 DSGVO)?
  • Gibt es eine Kommunikationsregelung für Eltern und Öffentlichkeit?

Backups sind dabei kein IT-Detail, sondern die wichtigste Versicherung gegen Ransomware. Die Backup-Regel 3-2-1 gilt auch im Schulumfeld: drei Kopien der Daten, auf zwei verschiedenen Medientypen, davon eine außerhalb des Schulgebäudes oder der Schulinfrastruktur.

Praktische Einstiegspunkte für IT-Verantwortliche

Wer nicht weiß, wo anfangen, kann sich an folgendem strukturierten Vorgehen orientieren:

  1. Bestandsaufnahme: Welche Geräte hängen im Netz? Gibt es ein aktuelles Netzwerkdiagramm? Tools wie Nmap oder LanSweeper helfen bei der Inventarisierung.
  2. Schwachstellen-Scan: Ein einfacher Vulnerability-Scan (z.B. mit OpenVAS/Greenbone) zeigt bekannte Lücken auf verwalteten Systemen.
  3. Priorisierung: Nicht alles lässt sich auf einmal angehen. Verwaltungsnetz isolieren, Admin-Passwörter ändern und kritische Patches einspielen haben höchste Priorität.
  4. Dokumentation: Jede Konfigurationsänderung, jede Sicherheitsmaßnahme sollte dokumentiert werden - auch als Nachweis gegenüber Datenschutzaufsichtsbehörden.
  5. Externe Unterstützung: Wenn internes Wissen fehlt, ist ein Sicherheits-Audit durch einen externen Dienstleister sinnvoll und im Schadensfall deutlich günstiger als ein ungeplanter Ausfall.

Plattformen wie SchulConnect, die auf eine zentrale Nutzerverwaltung und DSGVO-konforme Dienste setzen, können dabei einen Teil der Angriffsfläche reduzieren - indem dezentrale Passwörter, unsichere Drittdienste und unkontrollierte Konten durch eine strukturierte, administrierbare Infrastruktur ersetzt werden. Das löst keine Netzwerkprobleme, ist aber ein sinnvoller Baustein im Gesamtbild.

Fazit

Netzwerksicherheit an Schulen ist kein Luxusprojekt - sie ist eine rechtliche Pflicht und eine praktische Notwendigkeit. Die gute Nachricht: Die wirksamsten Maßnahmen sind keine Hightech-Lösungen, sondern strukturelle Grundlagen: Netzwerksegmentierung, konsequentes Patch-Management, starke Zugriffskontrollen und ein dokumentierter Notfallplan.

Wer heute mit einer ehrlichen Bestandsaufnahme beginnt, ist morgen erheblich besser aufgestellt - und hat gleichzeitig eine belastbare Grundlage für Gespräche mit dem Schulträger über Budget und Ressourcen.

Weitere Beiträge

17. April 2026

Softwarelizenzmanagement an Schulen: Was IT-Verantwortliche wissen müssen

Schulen jonglieren täglich mit Dutzenden Softwarelizenzen - oft ohne klaren Überblick. Dieser Artikel erklärt, wie Lizenzmanagement an Schulen funktioniert, welche rechtlichen Pflichten bestehen und wie IT-Verantwortliche die Kontrolle behalten.

14. April 2026

Bring Your Own Device an Schulen: Chancen, Risiken und was IT-Verantwortliche wirklich beachten müssen

BYOD an Schulen klingt praktisch - doch private Geräte im Schulnetz bringen erhebliche Datenschutz- und Sicherheitsrisiken mit sich. Dieser Artikel erklärt, worauf IT-Verantwortliche und Schulträger bei der Einführung achten müssen.

3. April 2026

Nutzerverwaltung an Schulen: Warum dezentrale Konten ein Sicherheitsrisiko sind

Viele Schulen verwalten Nutzerkonten noch immer dezentral und fehleranfällig. Dieser Artikel erklärt, welche Risiken damit verbunden sind, was eine zentrale Nutzerverwaltung leisten muss und welche gesetzlichen Anforderungen dabei gelten.

Alle Beiträge