[dk] [Ticket#2014110710009584] WG: OPAL =?UTF-8?Q?f=C3=BCr=20?=Teile der Nutzer nicht erreichbar
BPS-Support
support at bps-system.de
Fr Nov 14 10:58:48 CET 2014
Sehr geehrter Herr Wolf,
vielen Dank noch einmal, dass Sie das Thema so detailliert aufgreifen und die durchaus interessanten Fragen stellen. Ich will versuchen, im Sinne Ihres letzten Absatzes die Fragen prospektiv zu beantworten und Ihnen auch damit die aktuelle und künftige Situation nahebringen. Der Einfachheit halber werde ich gleich "Inline" antworten und hoffe darauf, dass Sie über diese kleine Unhöflichkeit meinerseits bezüglich guter netiquett hinwegsehen können.
* Sofern ein Nutzer seine Authentisierungsinformationen aufgrund der
Mängel an der Serverkonfiguration unsicher übermittelt, wie wird
festgestellt, dass die Preisgabe der Informationen nicht an einem
Verschulden des Nutzers liegen sofern solche von dritten missbraucht
werden? Ich weise hier auf die Nutzungsbedingungen hin. Da die
Verbindung nicht sicher zustande kommt, verstoßen derzeit Nutzer im
Zweifel unwissentlich gegen die NuBe §2 .
Antwort:
Die Authentifizierungsinformation Passwort verlässt niemals Ihr Hochschulrechenzentrum. Wir haben hier seit Angeginn des OPAL-Betriebes für den Authentifizierungs- und Autorisiereungsprozess die Open Source-Software Shibboleth (siehe auch https://shibboleth.net/) im Einsatz. Diese ermöglicht es, die Prüfung der Richtigkeit der Benutzernamen-Passwortkombination direkt in der Hochschule auf einem Server des Rechenzentrums durchzuführen und an OPAL dann lediglich den Benutzernamen und die Information, ob die Prüfung erfolgreich war, an OPAL zurück zu liefern. Sie können dies auch erkennen, wenn Sie den ersten Schritt des Logins bei OPAL gehen und dabei auf eine Loginseite der HTW Dresden geleitet werden. Das Passwort wir also nicht an uns übertragen. Das von Ihnen aufgegriffene Problem steht als aus unserer Sicht bestenfalls darin, dass der Benutzername abgegriffen werden könnte und die nicht Zugangsdaten komplett.
* Sofern ein Nutzer aufgrund der Nichterreichbarkeit des Dienstes wenn
auch nur teilweise durch die Serverkonfiguration mit Standardsoftware
(ich gehe von Nutzern ohne tiefere Kenntnisse aus) an Teilen von
Bildungsveranstaltungen nicht rechtzeitig teilhaben kann oder Aufgaben
nicht rechtzeitig bearbeiten kann: Wie wird dies behandelt oder
nachweisbar? Ich habe bisher wenig Anlass zu glauben, dass Professoren
hier Kulanz einräumen.
Antwort:
Wie eine Behandlung der Folgen der Nichterreichbarkeit von OPAL in Ihrer Hochschule geregelt ist, das kann ich Ihnen nicht sagen. Wir sind er technische Dienstleister und stellen im Rahmen der Vertragsbeziehung mit der Hochschule ein hochverfügbares System bereit. Mir sind jedoch im Betrieb der letzten 10 Jahre aus anderer Perspektive keine Konsequenzen bekannt geworden, welche den Studenten dramatisch benachteiligt hätten. Insofern sehe ich hier eher den Dialog in der Hochschule im Mittelpunkt als Absprachen mit dem technischen Dienstleister.
Damit diese von Ihnen beschriebene Art der "Nichterreichbarkeit" jedoch nicht zustande kommt, haben wir am vergangenen Montag die Zertifikate auf den OPAL-Servern erneuert und mit SHA2 signiert. Damit stellen nun alle derzeit verfügbaren Browser die Seiten korrekt da.
Wird man beispielsweise hier: https://www.ssllabs.com/ssltest/analyze.html?d=bildungsportal.sachsen.de einen Test der Sicherheit der URL bildungsportal.sachsen.de laufen lassen, bekommt man dennoch eine schlechte Bewertung (Rating F). Dies hängt damit zusammen, dass wir an einigen Stellen noch ältere Verschlüsselungsmechanismen im Einsatz haben (SSL 2 / SSL 3). Grund ist hier, dass mit dem Update alle Benutzer, welche unter WinXP und IE6 arbeiten, danach nicht mehr auf die Anwendung zugriefen können. Dies mussten wir zunächst mit uns bekannten potentiellen Anwendern klären. Ein entsprechendes Sicherheitsupdate wird aber am 28.11.14 erfolgen, so das danach ein Rating A+ zu erwarten ist.
* Ist es durch sie realisierbar, dass die Support-Seite und Impressum
via http direkt erreichbar bleibt sofern eine Verbindung via https
scheitert? Bisher ist dies nicht der Fall, da die Weiterleitung von http
auf https dem zuvor kommt. Ich bin zwar kein Anwalt, aber würde hier das
Risiko ableiten, dass u.a. der Impressumspflicht nach TMG nicht
ausreichend nachgekommen sein kann. Dies u.a. stellt ein unnötiges, auch
finanzielles, Risiko dar.
Wir haben aus Sicherheitsgründen bis dato alle Informationswege verschlüsselt angeboten. Diesen Weg wollen wir auch in Zukunft nicht verlassen. Natürlich gibt es in solchen Zeiten des "Umstieges", wie wir sie jetzt gerade vorfinden, hier auch mal Schwierigkeite mit der Anzeige der von Ihnen genannten Seiten. Dieses Problem haben wir aber (planmäßig) behoben und sehen so derzeit keine Veranlassung, den bisherigen Weg zu verlassen.
Ein weiterer Hinweis:
Wir, die BPS Bildungsportal Sachsen GmbH, betreiben den Dienst OPAL "im Auftrage Ihrer Hochschule" (siehe §7 SächDSG). Verantwortlich für dieses Webangebot im juristischen Sinne ist also die HTW selbst (Nutzungsbedingungen, Impressum). Letztlich bindend sind also hier diese Angaben auf den Webseiten der HTW Dresden und deren Ordnungen.
Nun hoffe ich, dass ich Ihre Fragen zu Ihrer Zufriedenheit beantworten und gleichzeitig darstellen konnte, das die ursprünglichen Problemstellungen (Sicherheitsrisiko und verbauter Zugang zu OPAL durch aktuelle Browser) unsrerseits im Blick und ausgeräumt wurden. Vielen Dank auch nochmals für Ihre konstruktiven Fragen.
Mit freundlichen Grüßen
Frank Richter
--
BPS Bildungsportal Sachsen GmbH
Tel: +49 371 666 2739-6
Fax: +49 371 666 2739-9
Web: http://www.bps-system.de
Firmensitz: Bahnhofstraße 6, D-09111 Chemnitz
Registergericht: Amtsgericht Chemnitz, HRB 21806
Geschäftsführer: Sven Morgner
Aufsichtsratsvorsitzender: Prof. Dr. Gerhard Thiem
************************************************************************
Bereits 10 Jahre Innovationen, Erfolge und vertrauensvolle
Kundenbeziehungen. Wir sagen DANKE!
************************************************************************
07.11.2014 15:50 - Wolf schrieb:
> Hallo Herr Weiß & Kollegen,
>
> ich reduziere mal den Empfängerkreis auf ein aus meiner Sicht
> notwendiges Maß.
>
> Danke für die ausführliche Antwort, es ergeben sich tatsächlich weitere
> Fragen:
>
> * Sofern ein Nutzer seine Authentisierungsinformationen aufgrund der
> Mängel an der Serverkonfiguration unsicher übermittelt, wie wird
> festgestellt, dass die Preisgabe der Informationen nicht an einem
> Verschulden des Nutzers liegen sofern solche von dritten missbraucht
> werden? Ich weise hier auf die Nutzungsbedingungen hin. Da die
> Verbindung nicht sicher zustande kommt, verstoßen derzeit Nutzer im
> Zweifel unwissentlich gegen die NuBe §2 .
>
> * Sofern ein Nutzer aufgrund der Nichterreichbarkeit des Dienstes wenn
> auch nur teilweise durch die Serverkonfiguration mit Standardsoftware
> (ich gehe von Nutzern ohne tiefere Kenntnisse aus) an Teilen von
> Bildungsveranstaltungen nicht rechtzeitig teilhaben kann oder Aufgaben
> nicht rechtzeitig bearbeiten kann: Wie wird dies behandelt oder
> nachweisbar? Ich habe bisher wenig Anlass zu glauben, dass Professoren
> hier Kulanz einräumen.
>
> * Ist es durch sie realisierbar, dass die Support-Seite und Impressum
> via http direkt erreichbar bleibt sofern eine Verbindung via https
> scheitert? Bisher ist dies nicht der Fall, da die Weiterleitung von http
> auf https dem zuvor kommt. Ich bin zwar kein Anwalt, aber würde hier das
> Risiko ableiten, dass u.a. der Impressumspflicht nach TMG nicht
> ausreichend nachgekommen sein kann. Dies u.a. stellt ein unnötiges, auch
> finanzielles, Risiko dar.
>
> * U.a. diese beiden ersten Aspekte sollten ggf. ohne Authentisierung
> oder https zugänglich dokumentiert sein.
>
> Am Rande: Ich bin mir durchaus im Klaren darüber, dass genug ohne diese
> Dinge an Arbeit vorhanden ist. Auch, dass die Implementierung und Tests
> ihren Prozessen folgen und nicht an einem Tag mal eben fix erfolgen.
> Dennoch bitte ich nicht zuviel Energie auf die Beründung von hoffentlich
> bald Vergangenem zu verwenden, im Zweifel ist das angreifbar und hilft
> auch gerade niemandem weiter - mir ist ausschließlich an einer
> Verbesserung der Situation für studierende gelegen.
>
>
> Vielen Dank
>
> Am 07.11.2014 um 14:38 schrieb BPS-Support:
> > Sehr geehrter Herr Wolf,
> >
> > vielen Dank für Ihre Anfrage und die Anregungen zum sicheren Zugang zu OPAL. Wir möchten Ihnen hiermit natürlich gern unsere Antwort darauf übermitteln.
> >
> > Wir sind hinsichtlich der angesprochenen Sicherheitsentwicklungen natürlich stets im Bilde über den Stand und weiteren Ausblick. Ebenso testen wir stets aktuell und zeitnah unsere Systeme auf ihre Sicherheitsmechanismen und Aktualisierbarkeiten. Dabei gilt es nicht nur zu prüfen, ob es Neuheiten hinsichtlich der Sicherheit gibt, sondern auch die Kompatibilität und der Zugang für eine breite Schicht von Nutzern mit den verschiedensten System muss dabei betrachtet und eingeschätzt werden. Hierzu werden von uns Tests durchgeführt und auch Bewertungen zum Sicherheitslevel vorgenommen. Seien Sie also versichert, dass wir um die angesprochenen Themen wissen und diese auch regelmäßig und zeitnah in die Systeme einpflegen. Die von Ihnen ganz konkret angesprochenen Entwicklungen sind beispielsweise bereits in der Testphase und werden demnächst auch online gehen.
> >
> > Für weitere Fragen stehen wir Ihnen gern zur Verfügung.
> >
> > Mit besten Grüßen
> >
> > Ronny Weiß
> > --
> > BPS Bildungsportal Sachsen GmbH
> >
> > Tel: +49 371 666 2739-6
> > Fax: +49 371 666 2739-9
> > Web: http://www.bps-system.de
> >
> > Firmensitz: Bahnhofstraße 6, D-09111 Chemnitz
> > Registergericht: Amtsgericht Chemnitz, HRB 21806
> > Geschäftsführer: Sven Morgner
> > Aufsichtsratsvorsitzender: Prof. Dr. Gerhard Thiem
> >
> > ************************************************************************
> > Bereits 10 Jahre Innovationen, Erfolge und vertrauensvolle
> > Kundenbeziehungen. Wir sagen DANKE!
> > ************************************************************************
>
>
>
Mehr Informationen über die Mailingliste dk