eToken: Elektronische Türsteher sichern Universitäten

Elektronische Türsteher sichern Universitäten Wer heute ein Studium absolviert, ist mit seiner Universität verbunden – und zwar über das Internet. Leihfristen für Bücher, Klausurthemen, Recherchen oder Rückmeldungen wickeln Studenten zunehmend online ab. Um eventuellem Missbrauch vorzubeugen, hat die Fernuniversität Hagen, gemeinsam mit mehreren anderen Hochschulen in Nordrhein- Westfalen, nun eine Public-Key-Infrastructure-Lösung erprobt. Mit einem so genannten eToken haben die Studenten dabei von jedem beliebigen PC aus einen sicheren Zugriff auf das Netzwerk der Hochschule. Es sind personenbezogene Daten und sensible Informationen, die es unabdingbar machen, das Netzwerk einer Hochschule abzusichern. Gleichzeitig sollen sich alle Studierende aber auch problemlos in die für sie relevanten Bereiche einloggen können, am besten von jedem beliebigen Ort der Welt. Eine große Herausforderung, denn „personenbezogene Daten müssen jederzeit vor unerlaubten Zugriffen, Veränderungen oder Diebstählen bewahrt werden“, wie Robert Dürr, Solution Line Manager für das Thema Security beim Kölner Netzwerkdienstleister NK Networks & Services, betont. Zwar sind die Rechenzentren der Bildungseinrichtungen in der Regel durch Firewalls und Virenscanner gut gegen Angriffe von außen geschützt. “Doch oft ist es nicht die Bedrohung von außen, sondern die Bedrohung von innen, die den Hochschulen Probleme bereitet“, so der Experte. Das größte Problem ist dabei die hohe Anzahl der Nutzer, die zudem ständig wechselt, etwa wenn die Studenten ihr Studium beenden oder neu beginnen. Hinzu kommt, dass die Nutzer nicht wahllos auf alle, sondern tatsächlich nur auf die für sie bestimmten Daten zugreifen dürfen. Um diesen besonderen Anforderungen an den Datenschutz gerecht zu werden, setzen immer mehr Bildungseinrichtungen auf eine so genannte Public Key Infrastructure (PKI). Diese Infrastruktur bildet die Grundlage für die Verschlüsselung der vorhandenen Daten und sorgt gleichzeitig dafür, dass jeder Anwender beim Einloggen ins Netz zweifelsfrei identifiziert wird. So ist gewährleistet, dass ein Nutzer auch tatsächlich nur die für ihn bestimmten Informationen lesen oder gar verändern kann. Als „Sesam öffne Dich“ bekommt jeder Nutzer ein Schlüsselpaar zum Codieren und Entziffern der Informationen. Fehlt einer der beiden Schlüssel oder ist ungültig, sorgt der elektronische Türsteher dafür, dass der Nutzer ausgesperrt bleibt. USB-Stick als Lösung In Nordrhein-Westfalen haben mittlerweile mehrere Hochschulen diese Lösung getestet und sind dabei bisher auf überwiegend positive Resonanz gestoßen. Zumal die erprobte Lösung mit einem neuen „Zaubergerät“, dem so genannten eToken verbunden ist. Was wie eine neue Spezies von Tamagochis klingt, ist ein USB-Stick, hat die Größe eines normalen Hausschlüssels und den Vorteil einer integrierten Smartcard, auf der ein privater Schlüssel sowie das dazugehörige Zertifikat gespeichert sind. Wird dieser, von der israelischen Firma Aladdin Knowledge Systems entwickelte Speicherstift, in den USB-Anschluss eines beliebigen Computers im Hochschulnetzwerk gesteckt, braucht der Nutzer nur noch das dazugehörige Passwort eingeben, um einen sicheren Zugriff auf die für ihn bestimmten hochschulinternen Anwendungen zu erhalten. Und mit Hilfe eines One-Time- Passwortes, das in Verbindung mit einem persönlichen Code nur wenige Sekunden gültig ist, ist sogar der sichere Zugriff auf das Hochschulnetz über das offene Internet gewährleistet. Ein Feature, das vor allen Dingen Hochschulen wie der Fernuniversität in Hagen zugute kommt, deren Studenten nicht nur über ganz Deutschland, sondern über die ganze Welt verteilt sind. „Bereits seit 1996 testen wir hier PKI-Lösungen im Rahmen von Förderprojekten und setzen sie im Produktionsbetrieb ein“, berichtet Henning Mohren, Projektleiter an der Fernuniversität Hagen. Allerdings war es der Hochschule zu wenig, damit lediglich die Flexibilität zu erhöhen. Die Verantwortlichen wollten außerdem die Ausstellung der für die PKI-Lösung notwendigen Zertifikate vereinfachen, denn bislang musste dieses Verfahren durch das Administrationspersonal der Hochschule manuell bedient werden. Die Lösung fand sich schließlich mit der Entwicklung eines „Zertifizierungsautomaten“. Er sorgt dafür, dass die Studenten nun nicht mehr persönlich in Hagen erscheinen müssen, um sich zertifizieren zu lassen. Benutzerdatenbank als Grundlage Grundlage der Identifikation ist die bestehende Benutzerdatenbank an der Hochschule. Um ein Zertifikat zu erhalten, muss der Student an einem von ihm selbst gewählten, beliebigen internetfähigen Arbeitsplatz die Website der Fernuni in Hagen aufrufen und seine Matrikelnummer angeben. Der Webserver sucht aus der Benutzerdatenbank den entsprechenden Datensatz heraus, generiert ein Passwort und schickt dieses per Post an die gefundene Adresse. In einem zweiten Schritt wird das Passwort dem Adress-Satz hinzugefügt. Hat der Student das Passwort erhalten, beantragt er über ein weiteres Webformular sein Zertifikat. „Durch die Ablösung der bisherigen Softwarezertifikate mit dem eToken erreicht die Fernuniversität in Hagen eine sichere Zweifaktor-Authentisierung“, berichtet Mohren. Mit dem Einsatz des USB-Sticks lasse sich die bisherige Arbeitsplatz- und Browser-Bindung aufheben. Auch weitere Nutzungsmöglichkeiten des eToken werden an der Fernuni in Hagen bereits getestet. So ist ein Ziel das Single Sign-on, bei dem sich der Anwender anhand seines eToken und des eToken-Passwortes sicher an verschiedenen Applikationen anmelden kann. „Damit braucht man sich nicht mehr verschiedene Passworte zu merken und hat jederzeit eine Garantie für den Schutz seiner persönlichen Daten“, betont Sicherheitsexperte Robert Dürr. Und auch für Studenten, die bisher keine Erfahrung auf dem Gebiet der PKI-Nutzung hatten, ist das Verfahren einfach durchführbar. In Hagen ist man deshalb davon überzeugt, dass sich der eToken bald in der gesamten deutschen Hochschullandschaft durchsetzen wird.