Überspringen und zu den Hauptinhalten
Site-Suche
  1. Startseite
  2. Blog
  3. Föderierte Identitätsverwaltung für das Bildungswesen

Föderierte Identitätsverwaltung für das Bildungswesen

Erfahren Sie, wie die Identitätsföderation die IT-Arbeitsabläufe modernisiert und gleichzeitig die Erfahrungen der Beteiligten für Bildungseinrichtungen jeder Größe optimiert und sichert.

April 2 2026 Von

Jesus Vigo

Scrabble-style wooden blocks arranged to spell

Was ist eine Identitätsföderation?

Bevor wir diese Frage beantworten, sollten wir definieren, was wir mit dem Begriff „Identität“ meinen. Eine Identität besteht aus überprüfbaren Attributen, die dazu dienen, eine Person in einem Netzwerk eindeutig zu identifizieren. Gängige Beispiele sind:

  • Personenbezogene Daten (Name, Geburtstag, Ausweisnummer)
  • Biometrische Daten (Fingerabdruck, Gesichtsscan, Stimmprobe)
  • Digitale Artefakte (Passwörter, Pins, Zertifikate)
  • Verhaltensanalyse (IP-Adresse, Standort, Tageszeit)

Identitäten existieren in dem Netzwerk oder System, das sie erstellt und verifiziert hat. Dank der Identitätsföderation können Nutzer mit nur einem Konto sicher auf externe Ressourcen zugreifen, ohne dass mehrere Identitäten auf verschiedenen Systemen oder Netzwerken erstellt werden müssen.

Das Identitätsproblem in Schulen

Das Bildungswesen stellt ein attraktives Ziel für Bedrohungsakteure dar. Das liegt an verschiedenen Faktoren:

  • Umfangreiche Datenspeicher: Sensible, vertrauliche und personenbezogene Daten der Nutzer werden hier dauerhaft gespeichert.
  • Begrenzte Ressourcen: veraltete Technologien, überlastete IT-Teams und kleine Budgets.
  • Anzahl der verwaisten Accounts: aktive Accounts, die nicht mehr benutzt werden, bieten Angreifern viele Angriffspunkte
  • Anfälligkeit für Social Engineering: Phishing ist der wichtigste Bedrohungsvektor, der Cyberkriminellen Tür und Tor öffnet.

Herausforderungen im Bildungswesen

Der Bildungssektor belegt den siebten Platz in der Top-10-Liste der Branchen, die am häufigsten von Cyberangreifern ins Visier genommen werden. Gleichwohl liegt er mit einer Quote von 79 % an zweiter Stelle der Branchen mit den höchsten Gesamtzahlen an Vorfällen im Verhältnis zu Datenpannen, direkt hinter dem Gesundheitswesen (90 %). Laut dem Verizon Data Breach Investigations Report 2025 gab es im Bildungswesen 1.075 Vorfälle, von denen 851 zu einer bestätigten Offenlegung von Daten führten.

Im Folgenden werden wir näher auf die Probleme eingehen, die die Identitätsföderation in Schulen löst.

Skalieren ohne Budget

Der Einsatz von Computern in der Schule geht auf verschiedene Initiativen zurück, darunter die Verbesserung der Chancengleichheit für Schüler mit unterschiedlichen besonderen Bedürfnissen, die Umstellung auf computergestützte Prüfungen (CBT) bei wichtigen Abschlussprüfungen und die Überwindung der digitalen Kluft durch Programme, bei denen jeder Schüler ein eigenes Gerät erhält. Die zunehmende Akzeptanz und Bereitstellung von Geräten beschränkt sich nicht nur auf die Schüler, sie erstreckt sich auch auf Lehrkräfte und Mitarbeiter, bei denen Aufgaben wie die Notenverwaltung, die Erfassung der Anwesenheit und die Aufbewahrung von Unterlagen mittlerweile vollständig auf digitale und cloudbasierte Lösungen umgestellt wurden.

Doch mit jedem neuen Gerät, Anmeldedaten und jeder neuen Softwareanwendung werden die IT-Teams zunehmend überlastet und sind nicht mehr in der Lage, den wachsenden Anforderungen der Schulbezirke gerecht zu werden.

Fragmentierter Zugang

Bildungstechnologie muss reibungslos funktionieren, um den individuellen Bedürfnissen der Lernenden gerecht zu werden. Lernende benötigen außerhalb des Schulgeländes einen ebenso einfachen Zugriff auf Bildungstools wie auf die Ressourcen innerhalb der Schule.

Ein entscheidendes Hindernis für den Fernunterricht sind Geräte, die ein inkonsistentes Benutzererlebnis bieten. Wenn sich die Beteiligten ein Passwort für die Anmeldung an ihrem Gerät merken müssen, ein weiteres für die E-Mail, ein weiteres für den Zugriff auf ein Lernportal und ein halbes Dutzend weitere für verschiedene webbasierte Apps, dann führt das nicht nur zu einem Übermaß an Passwörtern, sondern auch zu vielen Helpdesk-Tickets für passwortbezogene Probleme.

Und dabei sind die Risiken für die Datensicherheit, die sich aus der nicht standardisierten Verwendung von Passwörtern ergeben, noch gar nicht berücksichtigt.

Chaos bei Drittanbietern

Anknüpfend an den vorigen Abschnitt umfasst der Markt für Lernsoftware eine Vielzahl von Produktkategorien, die von Übungs- und Trainingsprogrammen über spezifische Anwendungsfälle wie AutoCAD bis hin zu umfassenden Lernmanagementsystemen (LMS) reichen. Im Jahr 2022 wurde festgestellt, dass Schulen im Durchschnitt 72 verschiedene Apps nutzen. Abgesehen vom Risiko der Konformität, auf das wir später noch eingehen werden, dürfen die Auswirkungen auf die Erfahrungen der Beteiligten und die Datensicherheit nicht außer Acht gelassen werden.

Mit separaten Anmeldedaten für jede App, zusätzlich zu den Accounts, die nur für die Anmeldung an den Geräten benötigt werden, werden Lehrkräfte und Schüler gleichermaßen überlastet. Sie sind gezwungen, sich vom Lehren und Lernen abzuwenden, müssen Verzögerungen in Kauf nehmen und auf den Support warten, um Dutzende von Accounts zu verwalten.

Komplexität der Konformität

Aufgrund der Vielfalt und der Menge an regulierten Daten, die der Bildungssektor benötigt, führt dies dazu, dass Schulen einer Vielzahl von Verschriften unterliegen. Je nachdem, wie und wo die Schule tätig ist oder wo eine von ihr genutzte Web-App gehostet wird (z. B. in einem Rechenzentrum in der EU), können dadurch eine oder mehrere Rechtsvorschriften zur Anwendung kommen, die folgende Rechte regeln:

  • Zugang zu Schülerdaten (FERPA)
  • Schutz der Privatsphäre online (COPPA)
  • Datensätze verarbeiten (DSGVO)

Als ob das noch nicht komplex genug wäre, kommt noch die Aufgabe hinzu, nachzuweisen, dass ein Gerät, eine Gruppe von Geräten oder Konten während eines bestimmten Zeitraums oder im Rahmen eines internen Risikobewertungs- und Auditprozesses den Anforderungen entsprochen haben.

Anforderungen an den Zugang durch die Eltern

Durch die digitale Transformation ist es zu einer Realität geworden, dass Eltern Einblick in datenschutzrechtliche Risiken erhalten. Das bedeutet, dass auf formelle Elterngespräche oder vierteljährliche Zeugnisse verzichtet wird und stattdessen in Echtzeit und nur einen Login entfernt kontinuierlich ein Überblick über die Leistungen gewährt wird.

Das Problem verlagert sich von „Wie können wir Eltern Zugang gewähren?“ zu „Wie stellen wir sicher, dass sie nur auf das Notwendige zugreifen können“

Das Prinzip der geringsten Berechtigungen – wonach den Beteiligten nur der Zugriff auf das gewährt wird, was sie zur Erfüllung ihrer Aufgaben benötigen – stellt sicher, dass Schüler auf die Ressourcen zugreifen können, die sie zum Lernen benötigen, Lehrer auf die Tools, die sie für den Unterricht benötigen, und Eltern auf die Informationen, die für den Lernfortschritt ihres Kindes wesentlich sind – und mehr nicht.

Die traditionelle Lösung

Das Wort „traditionell“ im Titel bezieht sich auf einen manuellen Ansatz zur Bewältigung der oben genannten Herausforderungen. Herkömmliche Verwaltungspraktiken verlangen von der IT-Abteilung, dass sie jedes Problem physisch am Gerät löst.

Szenario: Die IT-Abteilung ist für 100 Accounts verantwortlich, die manuell auf einem Gerät konfiguriert und einem bestimmten Schüler zugewiesen werden.

  • Skala: 30 Schüler machen ihren Abschluss, 70 wechseln in die nächste Klasse und 30 Schüler kommen neu dazu.
  • Zugang: 30 Schülerkonten werden als inaktiv markiert, bei 70 werden die Berechtigungen geändert und 30 neue Konten erhalten neue Berechtigungen.
  • Apps: Lizenzen für inaktive Accounts müssen widerrufen werden, App-Zuweisungen müssen für die aktiven Konten hinzugefügt und/oder geändert werden.
  • Konformität: Jedes Gerät und jeder Account eines Schülers muss auditiert werden, um historische Aufzeichnungen zum Nachweis der Konformität zu einem bestimmten Zeitpunkt zu erhalten.
  • Eltern: Auch jedes Elternkonto, das einem inaktiven Schüler zugeordnet ist, muss als inaktiv markiert werden. Für jedes Elternkonto, das an ein aktives Schülerkonto gebunden ist, müssen die Berechtigungen hinzugefügt/geändert werden.

Warum es für ein „Bestanden“ noch nicht reicht

Das Verhältnis von IT zu Geräten ist zwar relativ klein (1:100), aber bei jeder Veränderung:

  • Muss alles manuell umgesetzt werden.
  • Es müssen alle 100 Geräte konfiguriert werden.
  • Es wird für jede der fünf Kategorien mehrfach wiederholt.

Da der Prozess sehr viel manuellen Aufwand erfordert, besteht eine erhöhte Wahrscheinlichkeit, dass:

  • für diese Aufgaben mehr Zeit als nötig aufgewendet wird.
  • die Ausführung der sich wiederholenden Aufgaben zu Ermüdung führt.
  • menschliche Fehler bei der Konfiguration auftreten.
  • Geräte mit inkonsistenten Einstellungen verteilt werden.

Ganz zu schweigen davon, dass jede Änderung – etwa wenn ein Schüler neu an die Schule kommt oder diese verlässt oder ein Gerät ausgetauscht wird – dazu führt, dass die IT-Abteilung viele dieser Schritte jedes Mal erneut durchführen muss. Und schließlich ist das Verfahren nicht skalierbar. Das heißt, wenn die Schule im nächsten Schuljahr auf 200 Schüler mehr aufnimmt oder ein neues Gebäude gebaut wird, um mehr Klassenstufen zu unterstützen, steigt der Aufwand für die IT-Teams exponentiell an.

Die Föderationslösung

Durch die Implementierung der Föderation muss die IT-Abteilung diese Konfigurationsprobleme nicht mehr manuell angehen. Der zentralisierte Charakter der Identitätsföderation löst jede der Herausforderungen durch Effizienz und Automatisierung.

Szenario: Dasselbe wie im vorherigen Abschnitt.

  • Skalierung: Alle Änderungen an aktiven Accounts werden einmalig automatisiert vorgenommen; inaktive Accounts werden im IdP automatisch als inaktiv markiert.
  • Zugang: Aktive Schüler verfügen über die erforderlichen Berechtigungen, um in die nächste Klasse zu wechseln; neue Accounts werden standardmäßig erstellt. Inaktive Accounts bleiben inaktiv. Den Schülern werden eigene Geräte zugewiesen, aber sie können sich mit ihren Anmeldedaten bei jedem Gerät anmelden.
  • Apps: Bei inaktiven Accounts werden die Lizenzen automatisch widerrufen; App-Zuweisungen werden für aktive Accounts automatisch geändert
  • Konformität: Die Prüfung erfolgt von der zentralen Konsole aus - nicht auf dem Endgerät selbst.
  • Eltern: Die Accounts der Eltern sind zentral mit den Accounts der Schüler verknüpft. Wenn alle Schülerkonten für diesen Elternteil inaktiv sind, wird auch sein Account automatisch inaktiv.

Warum das eine sinnvolle Investition ist

Egal, ob ein IT-Mitarbeiter 100, 1.000 oder 10.000 Geräte verwalten muss – die Arbeitsbelastung für die IT-Teams bleibt dieselbe, da die Föderation auf IdP angewiesen ist, um Kontodaten zu speichern und zu verwalten. Wenn diese zentralisiert werden, können IT-Teams:

  • alle Änderungen als Massentransaktion durchführen, nicht einzeln.
  • Änderungen mithilfe von Skripten, API-Aufrufen und/oder Integrationen mit SIS-Software automatisieren.
  • Ihre gesparte Zeit und Ihre Fähigkeiten nutzen, um außergewöhnliche Technologieerlebnisse zu schaffen.

Die Föderation bietet zusätzliche Vorteile für alle Beteiligten im Bildungssektor. Zum Beispiel:

  • Durch die Authentifizierung wird der Zugriff auf Ressourcen auf einen einzigen Account beschränkt.
  • Der Cloud-basierte Zugriff sorgt für eine nahtlose Nutzung auf und neben dem Schulhof.
  • Die Anmeldedaten sind standardisiert, um modernen Sicherheitsstandards zu genügen.
  • Die Geräte werden standardisiert verteilt und konfiguriert, um die Konformität zu gewährleisten.

Der Austausch von Geräten oder der Wechsel von Schülern, die neu an die Schule kommen oder diese verlassen, erfordert keine manuelle Konfiguration durch die IT-Abteilung mehr. Sie geben dem Schüler einfach ein neues Gerät und seine Anmeldedaten gewähren ihm den Zugriff, den er braucht, um sofort mit dem Lernen zu beginnen.

Wie Föderation in Schulen funktioniert

Integration der Systeme

Stellen Sie sich vor, ein Schüler muss auf YouTube zugreifen, um sich eine Unterrichtseinheit anzuschauen, um dann einen Bericht über diese Stunde zu schreiben. Nach der Fertigstellung muss der Bericht zur Benotung in die Dropbox des Lehrers hochgeladen werden. Der Schüler benötigt mindestens vier spezifische Accounts, um die Aufgabe zu erfüllen: einen für jeden der drei Dienste und einen für die Anmeldung an seinem Laptop.

Föderation funktioniert so, dass sich der Schüler an jedem der vier Schritte der Aufgabe lediglich mit seinem Schülerkonto identifizieren müssen, um die jeweilige Teilaufgabe zu erledigen.

Vertrauensverhältnis

Um einen sicheren Zugriff auf Ressourcen zu ermöglichen, die über mehrere Organisationen hinweg gespeichert sind, und dabei nur einen einzigen Satz von Anmeldedaten zu verwenden, muss zunächst eine Vertrauensbeziehung zwischen dem Anforderer, der die Identität verwaltet (IdP), und dem Dienstanbieter (SP) der angeforderten Ressource hergestellt werden.

Im Großen und Ganzen funktioniert das Vertrauen folgendermaßen:

  1. Anfrage: Ein Stakeholder beantragt den Zugriff auf eine Ressource bei einem SP.
  2. Weiterleitung: Der SP leitet die Anfrage an den vertrauenswürdigen IdP weiter.
  3. Authentifizierung: Der Stakeholder authentifiziert sich mit seinen Anmeldedaten bei dem IdP.
  4. Token: Nach der Überprüfung generiert der IdP ein kryptografisch signiertes Token, das die Identität des Beteiligten bestätigt.
  5. Zugriff: Das Token wird an den SP weitergeleitet. Nach der Überprüfung erhält der Stakeholder Zugriff auf die angeforderte Ressource.

Was ist mit Plattformen, die sich nicht vernetzen lassen?

Appa und Dienste, die keine modernen Protokolle (SAML/OAuth/OIDC) für den sicheren Austausch von Authentifizierungs- und Autorisierungsdaten zwischen IdPs und SPs unterstützen, können und sollten dennoch mit Zero Trust Network Authentication (ZTNA) gesichert werden.

Dies funktioniert bei Apps/Diensten, die keinen direkten Pfad zur Föderation oder eine API bieten, über die Entwickler die Ressource verwalten können. Durch die Bereitstellung eines sicheren Zugriffs auf die Ressource über ZTNA gewährleistet die IT-Abteilung Folgendes:

  • Eine Authentifizierung mit verwalteten Anmeldedaten ist erforderlich.
  • Der Zustand des Geräts wird jedes Mal überprüft, was die Angriffsfläche verringert.
  • Durch kontextbezogene Richtlinien werden Risiken durch unbefugten Zugriff minimiert.
  • Die Beteiligten erhalten nur Zugriff auf das, was sie benötigen (im Gegensatz zu herkömmlichen VPNs).
  • Alle Anmeldedaten, Geräte und Anfragen werden für die Prüfung der Konformität protokolliert.

Integration von Apple Geräten

Was die Geräteintegration angeht, unterstützt Jamf nativ Apple-Technologien, die die Identitätsföderation nicht nur einfach zu implementieren machen, sondern sich auch nahtlos in den Hintergrund einfügen, sodass der Fokus auf dem Lehren und Lernen liegen kann und nicht auf der Behebung von Störungen, die das Lernerlebnis beeinträchtigen.

Jamf for K-12

Durch die Identitätsföderation werden manuelle Verwaltungsaufgaben in Schulen durch skalierbare, sichere Abläufe ersetzt. Auf der Grundlage von Jamf tragen eine zentralisierte Identitätsverwaltung und ein automatisiertes Lebenszyklusmanagement dazu bei, Risiken zu minimieren, Konformitätsvorgaben durchzusetzen und den Akteuren im Bildungsbereich wertvolle Zeit zu verschaffen.

Das Ergebnis ist eine nahtlose, konsistente Erfahrung und der Zugang zu digitalen Ressourcen, die den Unterricht unterstützen, Daten schützen und das Lernen ohne Unterbrechung ermöglichen.

Jamf unterstützt Lernende und Lehrende, indem es die Verwaltung von Geräten, Identität und Sicherheit im Hintergrund erledigt, damit sie sich um nichts kümmern müssen.

Mehr erfahren
Ähnliche Ressourcen
Viewport offering a deep, fisheye view into a long hallway and all angles
  • Blog
Ein ganzheitlicher Ansatz für die Sicherheit: Identitäts- und Zugriffsmanagement (IAM)
  • Jamf Blog
Erfahren Sie mehr im Jamf Blog