Technisches Konzept Kinderschutz

Ziel der Maßnahme ist, den Zugriff auf unangemessene Inhalte wirksam zu unterbinden. Während der Schutz im Schulnetzwerk auf Netzwerkebene erfolgt, muss er außerhalb der Schule gerätebasiert umgesetzt werden. Da in der “Microsoft 365 Education A3”-Lizenz auch "Microsoft Defender for Endpoint Plan 1" enthalten ist – der über einen integrierten Webfilter verfügt – wird die Zugriffsbeschränkung technisch über dieses Service realisiert.

In Microsoft Intune ist hierfür eine Verbindung zu „Microsoft Defender for Endpoint“ zu aktivieren. Anschließend müssen entsprechende Webfilter konfiguriert und den Schüler/innen-Geräten zugewiesen werden. 

Technische Reorganisation

Derzeit verweisen die Anleitungen auf eine sogenannte "Teilverwaltung", die nur eine Verwaltung der Applikationen bietet. Da für diese Art der Verwaltung die Umgehung von Kinderschutzmaßnahmen nicht verhinderbar und auch sonstige in der IKT-SchulVO geforderte Konfigurationen nicht anwendbar sind, entfällt zukünftig diese Konfigurationsoption.

Eine einheitliche Vorgehensweise zur Umstellung von “teilverwalteten” Geräten (Mobile Application Management) auf “vollverwaltete” Geräte (Mobile Device Management) wird im November 2025 veröffentlicht.

Ausblick und nächste Schritte

Aktuell werden Anleitungen erarbeitet, die alle für die Einrichtung erforderlichen Schritte festlegen. Die finalen Versionen dieser Anleitungen werden bis spätestens Ende Dezember 2025 veröffentlicht. 

Optional wird im 1. Quartal 2026 ein teilweise automatisiertes Konfigurationsservice vom BMB zur Verfügung gestellt, um die manuelle Arbeit an den Schulen – soweit technisch möglich – zu reduzieren.

Um die Schulen bei der Umsetzung der Konfiguration bestmöglich zu unterstützen, werden neben klassischen Anleitungen auch Lösungen zur Automatisierung der Cloud Konfiguration angeboten.

Die Einrichtung der sogenannten "Vollverwaltung" in Kombination mit der Webfilter- Konfiguration auf digitalen Geräten erhöht die Komplexität der Tenant-Konfiguration. Diese muss - je nach Schulart und Schultyp - teilweise auf Schulebene vorgenommen werden. 

Da neben dieser Konfiguration auch eine steigende Anzahl an Konfigurationen im Bereich Datenschutz und Tenant-Sicherheit vorzunehmen ist, entwickelt das BMB ein zentrales Cloud-Konfigurationsservice, das diese Einstellungen nach einmaliger Registrierung weitgehend automatisiert an den Schul-Tenants vornimmt. Zur Anwendung kommt dafür die „Microsoft Graph API“. Diese wird im Rahmen der Registrierung berechtigt, definierte Konfigurationen am jeweiligen Schul-Tenant vorzunehmen. 

Abgrenzung, Transparenz und Schulautonomie

Ziel der automatisierten Konfiguration ist eine rechtskonforme Grundeinstellung der Schultenants sicherzustellen, ohne IT-Administrator/innen zusätzlich zu belasten. 

Von der zentralen Konfiguration nicht betroffen sind jene Einstellungen, die im Rahmen der pädagogischen Schulautonomie individuell angepasst werden müssen. 

Nach einmaliger Registrierung des Cloud-Mandanten werden regelmäßig Konfigurationsänderungen eingespielt. Diese werden dokumentiert und in geeigneter Form kommuniziert. Das System sorgt für rechtskonforme Einstellungen bei voller Transparenz, ohne individuelle Anpassungen einzuschränken.

Ausblick und nächste Schritte

Derzeit erfolgt in Zusammenarbeit mit Microsoft der technische Unterbau für den Verbindungsaufbau vom Tenant zum zentralen Konfigurationsserver. Darüber hinaus werden die für den Webfilter erforderlichen Schritte - soweit technisch möglich -  automatisiert. 

Im Herbst 2025 wird das technische Realisierungskonzept abgeschlossen, das auch die Integration mit dem Bildungsportal umfasst. Die technische Präsentation erfolgt im Zuge einer eLecture der Virtuellen Pädagogischen Hochschule (geplant am 24. November 2025).

Auf dieser Seite finden Sie laufend aktualisierte Informationen zu diesem Thema. Zusätzlich werden hier künftig auch Hinweise und Termine zu eLectures bereitgestellt.