EDU Tech Special - Datensicherheit bei Schulwechsel oder Diebstahl

Neben der optimalen Funktionsweise der Surface-Geräte mit den Office-Anwendungen im Schulalltag ist es wichtig, dass sich Schulen gleichermaßen damit beschäftigen, was mit den Daten auf den Geräten geschieht, wenn die Lernenden von der Schule abgehen, wie im Notfall zu handeln ist und vor allem, welche Vorteile die Surface-Geräte mit den Softwarelösungen von Microsoft in diesem Zusammenhang bieten können.

Im Folgenden informieren wir über die drei gängigsten Ereignisse und Lösungen, die wir für Ihre Bildungseinrichtung ermöglichen können. Voraussetzung hierfür ist die Verwaltung und Organisation der Geräte über Intune. (Mehr Infos dazu hier.)

1. Ein Lernender oder Lehrender verlässt die Schule.

Die Daten müssen vom Gerät entfernt werden. Über Intune wird das jeweilige Gerät zunächst ausgewählt. Über die Funktion des Autopilot Reset können nun sämtliche Daten auf dem Gerät gelöscht werden. Dabei ist zu beachten, dass lediglich die nutzerbezogenen Daten vom Gerät entfernt werden. Dabei bleiben sämtliche Grundeinstellungen erhalten und das Gerät wird nicht aus dem Tennant der Schule in Intune, also der Online-Gruppierung für Richtlinien und Zugehörigkeit (beispielsweise „Lernende Oberstufe“), entfernt. Das Gerät wird durch diesen Vorgang für einen neuen Nutzer innerhalb der Bildungseinrichtung eingerichtet.

2. Ein Lernender oder Lehrender verlässt die Schule.

Die Geräte waren nicht über die Schule, sondern privat finanziert, sodass sich die Geräte weiterhin im Eigentum der Person befinden werden. Mit der Funktion des Retire, auch über Intune, kann in einem solchen Fall dafür gesorgt werden, dass nicht nur die nutzerbezogenen Daten der Schule gelöscht werden, sondern dass dieses Gerät zusätzlich aus dem Tennant der Bildungseinrichtung entfernt wird. Dabei wird das Betriebssystem nicht gelöscht, jedoch unterliegt das Gerät dann nicht mehr den Richtlinien der Schule, die über Intune festgelegt wurden und kann vom Besitzer frei weitergenutzt werden.

3. Ungewollt, aber leider möglich: Diebstahl.

Über Intune kann für das jeweilige Gerät nun durch den Befehl des Wipe folgendes ausgelöst werden: Das Gerät wird vollständig zurückgesetzt. Sämtliche Daten, Einstellungen und Systeme werden gelöscht. Außerdem wird es aus dem Tennant der jeweiligen Organisation entfernt. Das Gerät befindet sich nun wieder vollständig in den Werkseinstellungen.


Drei Lösungen, die in jedem Fall die ideale Möglichkeit bieten, den eigenen Aufwand zu reduzieren und Risiken zu minimieren. Jedoch setzen all diese Lösungen voraus, dass das Gerät nach dem Verlassen der Schule/ einem Diebstahl wieder mit dem Internet verbunden wird. Was für ein Gerät im Besitz der Lehrenden oder Lehrenden als sehr wahrscheinlich angenommen werden kann, ist eventuell im Fall des Diebstahls anders: Wird das gestohlene Gerät nicht mehr mit dem Internet verbunden, kann der Dieb auf sämtliche Daten zugreifen, die offline verfügbar sind und die Befehle über Intune können dies nicht verhindern, solange das Gerät offline bleibt.

Wie sichert man sich nun auch für diesen Fall ab?

Hier ist ein wesentlicher Vorteil der Surface-Geräte von Bedeutung: Alle Geräte der Surface-Reihe sind immer mit einem TPM-Chip (Trusted Plattform Module) ausgestattet, über welches standardmäßig Bitlocker läuft. Bitlocker ist demnach auf allen Surface-Geräten aktiviert und kann in den Einstellung bei Bedarf abgeschaltet werden. Wie sich im Folgenden erklären wird, wird grundsätzlich empfohlen, diese Funktion anzuschalten.

Der Bitlocker schützt die gesamte Festplatte, sowie sämtliche sich darauf befindende Daten und Dokumente. Auch wenn nun ein Gerät gestohlen werden sollte, kann der Dieb nicht auf Daten zugreifen, da der Zugang zu den Daten auch offline nur durch die Zugangsdaten des jeweiligen Eigentümers möglich ist. Der Datenschutz wird so durch das Zusammenspiel dieser Eigenschaft der Surface-Geräte und den Möglichkeiten über Microsoft Intune online sowie offline perfekt gewährleistet.

Sollten keine Surface-Gerät genutzt werden oder sollten Sie sich doppelt absichern wollen, gibt es eine weitere Lösung, die auf jedem Gerät bereitgestellt werden kann: Azure Information Protection. Mit Hilfe dieser Lösung können sämtliche Dateien auf Dokumentebene gesichert werden. Das funktioniert durch die jeweilige Klassifizierung in verschiedene Vertraulichkeitsstufen unterteilt werden, die individuell definiert werden können. Auch hierdurch ist es möglich, Dokumente offline zu schützen. Des Weiteren wird durch diese Klassifizierung die Verfolgung der Daten ermöglicht. Versuchen Nutzer gegen die Richtlinien der Klassifizierung zu verstoßen, werden die Administratoren umgehend darüber benachrichtigt.


Surface.Love ist Ihr Partner für den modernen Schulalltag, nicht nur dann, wenn alles glatt läuft, auch im Notfall sind Sie mit unserer Unterstützung auf der richtigen Seite. Bei Fragen zu den verschiedenen Möglichkeiten, Ihre Daten im digitalen Klassenzimmer zu sichern, kontaktieren Sie uns per E-Mail: sales@de.surface.love oder rufen Sie uns an: 0800-SURFACE