Kontakt

Abschlussbericht · Stand 18.06.2026

Betriebssicherheitsbericht

Bewertung der Softwarequalität, des Datenschutzes und der technischen Sicherheitsmaßnahmen von EduSlot für den täglichen Einsatz in Schulen — für Schulleitung, IT-Beauftragte und Datenschutzverantwortliche.

Gesamtbewertung Sehr gut für den Schulbetrieb geeignet
  • Datenschutz: DSGVO-Werkzeuge (Auskunft, Löschung, Export, Audit-Protokoll), Pseudonymisierung und verschlüsselte Nachrichtenspeicherung — die Schule bleibt Verantwortliche.
  • Zugriffsschutz: IServ-OAuth, CSRF-Schutz per hmac.compare_digest, sichere Sessions (HttpOnly, zeitlich begrenzt), rollenbasierte Berechtigungen und Brute-Force-Sperre.
  • Infrastruktur: HTTPS/TLS, getrennte Docker-Container mit Healthchecks, PostgreSQL mit Zugriffskontrolle und regelmäßige Datensicherung.
  • Betrieb & Wartung: Automatische Updates über ein gesichertes Control Center, token-gesicherte Agent-Kommunikation und Ed25519-Lizenzprüfung.

1. Datenschutz & DSGVO

EduSlot wird an der Schule betrieben — die Schule bleibt datenschutzrechtlich Verantwortliche. Die Software stellt technische Maßnahmen nach Art. 25 und 32 DSGVO bereit und unterstützt die Umsetzung im Schulalltag.

  • DSGVO-Administrationspanel: Auskunft (Art. 15), Löschung und Anonymisierung (Art. 17) sowie Datenexport (Art. 20) direkt im Adminbereich.
  • Audit-Protokoll: Datenschutzrelevante Vorgänge werden revisionssicher in GdprAuditLog dokumentiert (Art. 5 Abs. 2 DSGVO).
  • Datenminimierung & Pseudonymisierung: Schülernamen werden beim Speichern gekürzt (Initialen); fremde Buchungen erscheinen im Wochenplan als „Belegt".
  • Verschlüsselte Nachrichten: Betreff und Text interner Nachrichten werden AES-128-CBC-verschlüsselt in der Datenbank gespeichert.
  • Kein Tracking: Keine Werbe- oder Analyse-Cookies; ausschließlich technisch notwendiges Session-Cookie (§ 25 Abs. 2 TTDSG).
  • Transparenz: Generator für Impressum und Datenschutzerklärung sowie übersichtliche Darstellung der verarbeiteten Daten im Adminbereich.
DSGVO Art. 25 & 32 Pseudonymisierung Kein Tracking AES-Verschlüsselung Audit-Protokoll

2. Authentifizierung & Zugriffsschutz

Der Zugriff auf EduSlot ist mehrstufig abgesichert — von der Anmeldung über IServ bis zur feingranularen Berechtigungssteuerung im Schulbetrieb. Alle sicherheitsrelevanten Checks wurden im aktuellen Release nochmals geprüft und nachgeschärft.

  • IServ Single Sign-On: OAuth 2.0-Anbindung; Nutzerrollen werden serverseitig aus IServ-Claims abgeleitet, nicht aus Formulardaten. Admin-Rollen können durch OAuth nicht überschrieben werden.
  • CSRF-Schutz: Kryptografische Tokens (secrets.token_hex(32)) auf allen schreibenden Routen; Validierung per hmac.compare_digest (timing-sicher).
  • Sichere Sessions: HttpOnly-Cookie, 8-Stunden-Ablauf, kryptografisch zufälliges SESSION_SECRET; Secure/SameSite bei HTTPS (IServ-iFrame). Gelöschte/gesperrte Accounts werden sofort ausgeloggt.
  • Lokaler Login: Passwörter als bcrypt-Hash gespeichert; automatische Kontosperre nach wiederholten Fehlversuchen (atomare DB-Operation). Passwort-Hash wird nie serialisiert oder per API ausgegeben.
  • Rollenbasierte Autorisierung: Getrennte Berechtigungen für Admin, Lehrkraft, Schüler und Staff; Eigentümerprüfung bei Buchungsänderungen. Raumverwaltung nur für Admins.
  • Lizenzprüfung: Ed25519-signierte Lizenzen mit optionalem Strict-Mode zur Durchsetzung gültiger Schul-Lizenzen. Feature-Flags fail-closed (unbekannte Features standardmäßig gesperrt).
IServ OAuth 2.0 CSRF hmac.compare_digest bcrypt Passwort-Hash Brute-Force-Sperre Ed25519-Lizenz Fail-Closed Feature-Flags

3. Sichere Infrastruktur

EduSlot läuft als abgesicherter Docker-Stack hinter einem HTTPS-Reverse-Proxy. Datenbank, Anwendung und Webserver sind in getrennten Containern organisiert. TLS-Zertifikate werden automatisch erneuert und vollständig verifiziert.

  • HTTPS/TLS mit Zertifikatsprüfung: Verschlüsselte Datenübertragung zwischen Browser und Server; TLS-Terminierung am nginx-Reverse-Proxy. SMTP-Verbindungen nutzen ebenfalls verifizierten SSL-Context.
  • Getrennte Container: PostgreSQL, Anwendung (Gunicorn/Flask), nginx und Agent als isolierte Dienste mit definierten Abhängigkeiten und Speichergrenzen (mem_limit).
  • Healthchecks: Automatische Erreichbarkeitsprüfung der Datenbank (pg_isready) und Anwendung (/health); nginx startet erst nach bestätigtem App-Betrieb.
  • PostgreSQL: Parametrisierte Abfragen über SQLAlchemy ORM; Datenbankzugriff ausschließlich über die Anwendungsschicht. Fehlermeldungen maskieren DB-Credentials.
  • Sicherheits-Header: X-Content-Type-Options, X-XSS-Protection, Referrer-Policy und Permissions-Policy auf allen Antworten.
  • Agent-Kommunikation: Ausgehendes HTTPS zum Control Center (Pull-Modell); interne APIs mit Bearer-Token (AGENT_INTERNAL_SECRET) abgesichert.
TLS verifiziert Container-Isolation Healthchecks ORM parametrisiert Security-Header

4. Datensicherung & Betrieb

Schuldaten werden regelmäßig gesichert und der Betriebszustand laufend überwacht — für Verfügbarkeit und Wiederherstellbarkeit im Regelbetrieb.

  • Automatische Backups: pg_dump-Sicherung vor jedem Update sowie geplante tägliche Backups über den Agent; optionale AES-Verschlüsselung.
  • Wiederherstellung: Datenbank-Restore über Control Center oder Agent-Befehl; Code-Rollback-Snapshots bei Software-Updates.
  • Betriebsüberwachung: Agent-Heartbeat meldet CPU, RAM, Speicher und installierte Version an das Control Center (~30 s Intervall).
  • Speicherschutz: Speichergrenzen pro Container (mem_limit) gegen Speicherüberläufe; nginx mit dynamischem Upstream für stabile Weiterleitung.
  • Kapazitätsprüfung: Raumbelegungen werden datenbanknah geprüft, um Doppelbuchungen im Kollegiumsalltag zuverlässig zu verhindern.
Tägliche Backups Rollback-Snapshots Echtzeit-Monitoring Speichergrenzen

5. Updates & Fernwartung

Software-Updates werden zentral über das EduSlot Control Center bereitgestellt — kontrolliert, nachvollziehbar und ohne Git-Zugriff auf Schulservern.

  • Gesichertes Control Center: Superuser-Login mit optionaler Zwei-Faktor-Authentifizierung (TOTP) und IP-Whitelist.
  • Signierte Release-Pakete: Schulserver beziehen Updates als geprüfte Archive — kein direkter Quellcode-Zugriff auf dem Schulserver.
  • Update-Ablauf: Preflight-Prüfung, automatisches DB-Backup, Code-Snapshot, Docker-Rebuild und Health-Check vor Freigabe; Rollback bei Fehlern.
  • Deploy-Authentifizierung: Webhook-Updates erfordern Bearer-Deploy-Token; Agent-Befehle über token-gesicherte interne Schnittstellen.
  • Fernwartung ohne Vor-Ort-Termin: Wartung und Updates entlasten schulische IT-Ressourcen; persönlicher Support bei Einrichtung und Betrieb.
2FA / TOTP IP-Whitelist Signierte Pakete Bearer-Token Deploy Preflight + Rollback
Sehr gut für den Schulbetrieb geeignet

Fazit

EduSlot vereint stabile Buchungs- und Verwaltungsfunktionen mit durchdachten technischen Schutzmaßnahmen: timing-sicherer CSRF-Schutz, IServ-OAuth mit rollengeschützten Admin-Rechten, TLS-verifizierte Übertragung, vollständige DSGVO-Werkzeuge mit Audit-Protokoll, bcrypt-gespeicherte Passwörter und regelmäßige verschlüsselte Datensicherung.

Datenschutz und Sicherheit sind keine nachträglichen Ergänzungen, sondern integraler Bestandteil der Architektur. Die Schule behält die datenschutzrechtliche Kontrolle — EduSlot liefert die technische Grundlage dafür.

Stand 18.06.2026
EduSlot · Maurizio Morelli · Hemmingen