Entwurf: Vor dem Start der Tests werden die Richtlinien von der SLKe verabschiedet und hier in vollem Umfang als PDF zur Verfügung gestellt.

Social Engineering (Zusammenfassung, ENTWURF)


Zweckklarheit

  • Ziel ist Sensibilisierung und Verbesserung der Sicherheit
  • Nicht: Blossstellung, Leistungsbeurteilung oder Disziplinarmassnahmen

Begrenzter Personenkreis

  • Nur Mitarbeitende (Lehrpersonen, Verwaltung, Schulleitung)
  • Keine Schüler:innen, keine Eltern, keine Externen

Datensparsamkeit

  • Persönliche Daten (z. B. eingegebene Passwörter oder andere Zugangsdaten, Geburtstag etc.) werden nicht weiterverwendet, nicht für echte Zugriffe genutzt, nicht gespeichert oder weitergegeben
  • Technische Erkenntnisse werden – wenn nötig – anonymisiert oder aggregiert ausgewertet und nach Auswertung wieder gelöscht.

Lernfokus statt Sanktionen

  • Ergebnisse dienen Schulung und Sensibilisierung
  • Individuelle Nachschulungen ohne Stigmatisierung
  • Keine arbeitsrechtlichen Konsequenzen aus Testergebnissen

Schutz der Mitarbeitenden

  • Keine Drohungen, Nötigungen oder andere unangemessene Inhalte 
  • Kein Ausnutzen privater, gesundheitlicher, emotionaler oder belastender Situationen
  • Die Tests werden verhältnismässig und respektvoll durchgeführt

Transparenz auf Organisationsebene

  • Mitarbeitende wissen grundsätzlich: „Es kann Social-Engineering-Tests geben, welche aber verhältnismässig und respektvoll durchgeführt werden“.
  • Nicht: Ankündigung von Zeitpunkt oder konkreter Form
  • Es gibt in geeigneter Form ein entsprechendes Feedback nach den Kampagnen.


Pen-Testing (ENTWURF)


Zweckklarheit

  • Ziel ist Verbesserung der Sicherheit
  • Überprüfung der Infrastruktur auf Lücken und ggf. die Schliessung derselben 
  • Nicht: Leistungsbeurteilung oder Disziplinarmassnahmen

Begrenzter Zugriff

  • Nur Infrastruktur der Schule MeWo 
  • Keine persönlichen Geräte

Datensparsamkeit

  • Persönliche Daten (z. B. Geburtstag, AHV-Nummer etc.) werden nicht weiterverwendet, nicht gespeichert oder weitergegeben
  • Technische Erkenntnisse werden – wenn nötig – anonymisiert oder aggregiert ausgewertet und nach Auswertung wieder gelöscht.

Lernfokus statt Sanktionen

  • Keine arbeitsrechtlichen Konsequenzen aus Testergebnissen
  • Die Tests werden verhältnismässig durchgeführt

Transparenz auf Organisationsebene

  • Testergebnisse werden in geeigneter Form der IT, Schulleitung und Vorstand zur Verfügung gestellt.