Elektronischer Schlüssel stoppt Passwort-Flut: In geschützte Datenbereiche nur mit Zertifikat

Grundlegende Entwicklungsarbeit für eine entscheidende Verbesserung der Datensicherheit an Hochschulen wurde an der FernUniversität in Hagen geleistet. Nach jahrelangen Vorbereitungen und Pilotprojekten an der FernUniversität, den Fachhochschulen Münster und Bochum sowie einigen weiteren Einrichtungen können Studierende sich missbrauchssicher beim Abruf spezieller Serviceangebote sowie personenbezogener Daten authentisieren. Hierfür hat die Koordinierungsstelle für Informations- und Kommunikationstechnik in den Hochschulverwaltungen des Landes Nordrhein-Westfalen zusammen mit der Certification Authority (CA) der FernUniversität eine Rahmenvereinbarung mit der Firma Aladdin Knowledge Systems geschlossen. Der Vertrag ermöglicht es künftig allen NRW-Hochschulen sowie einigen weiteren, dem Wissenschaftsministerium unterstellten Einrichtungen, eToken der Firma Alladin sowie die zugehörigen Softwareprodukte zu Sonderkonditionen zu beziehen.

Bei eToken handelt es sich um türschlüsselgroße USB-Smartcards, auf denen ein Zertifikat gespeichert wird, das den Benutzer oder die Benutzerin eindeutig authentifiziert. Bei gleicher Sicherheit sind sie benutzerfreundlicher als andere Smardcards, da kein zusätzliches Lesegerät benötigt wird.

Initialisiert werden die eToken durch den Zertifizierungsdienst der Certification Authority (CA) der FernUniversität, der von vielen der beteiligten Einrichtungen genutzt wird und auch anderen Interessenten offen steht. Der zuständige Projektleiter an der FernUniversität, Henning Mohren, blickt mit großer Zufriedenheit auf mehrjährige positive Erfahrungen bei der Verwendung des eToken zurück: „Deshalb freut es uns umso mehr, dass nun auch die Studierenden und Beschäftigten anderer Hochschulen von den gesteigerten Bemühungen um Datenschutz und -sicherheit profitieren können.“

Ausgangspunkt für die Arbeit der CA im Rechenzentrum der FernUniversität war vor einigen Jahren die Überlegung, dass die Zahl der Passworte und PIN-Kombinationen, die sich PC- und Netzbenutzer merken müssen, rasant zunimmt. Damit man sich die unterschiedlichen Passworte merken kann, werden sie oft aufgeschrieben. Man vergisst sie leicht, ändert sie zu selten oder benutzt nur eines für viele Zwecke. Sie können leicht ausspioniert werden, besonders, wenn es sich um einfache Begriffe wie Namen handelt. Oft werden sie auch bewusst weiter gegeben.

Passworte sollten daher durch eine einzige Kennung, digitale Zertifikate, ersetzt werden. Diese Zertifikate werden auf einem eToken gespeichert und mit dem Zertifikat auf einem FernUni-Server verglichen, wenn der Nutzer oder die Nutzerin in einen datengeschützten Bereich „eintreten“ will. Die Speicherung auf dem „elektronischen Schlüssel“ hat bei hoher Sicherheit auch den Vorteil, dass das Zertifikat flexibel und ortsungebunden eingesetzt werden kann.

Henning Mohren unterstreicht: „Mit diesem Verfahren sichern wir unterschiedliche Daten bei der Kommunikation der Studierenden mit der Universität und universitätsintern ab und schützen auch Lehrinhalte, Prüfungsergebnisse oder Verwaltungsinhalte gegen Mitlesen, unbefugte Veränderung sowie Diebstähle.“

Die Vorteile des Verfahrens brachten es mit sich, dass vor dem Hintergrund der Einführung zertifikatsbasierter Anmeldeprozesse auch in zahlreichen anderen NRW-Hochschulverwaltungen die Ausgabe von Zertifikaten an Studierende immer interessanter wurde. Dem Hagener Verfahren haben sich inzwischen die Universitäten Bonn, Duisburg-Essen, Düsseldorf und Paderborn sowie die Fachhochschulen Bochum, Köln, Münster und Gelsenkirchen angeschlossen. Aber auch außerhalb Nordrhein-Westfalens werden die Hagener Entwicklungen genutzt. Seit letztem Jahr ist der Server auch an der Universität Heidelberg und der Fachhochschule Zwickau im Einsatz. Weitere Interessenten – auch aus dem privatwirtschaftlichen Bereich – haben starkes Interesse an einer Mitnutzung des Servers angemeldet.