Bedienung:

Links-Klick hier springt zur ersten Seite.
Links-Klick in die Kopfzeile springt zur vorherigen Seite.
Links-Klick in die Fußzeile springt zur nächsten Seite.
Rechts-Klick in die Fußzeile springt zur vorherigen Seite.
Links-Klick in die grauen Flächen springt zur nächsten Seite.

Zum Ausdrucken der Inhalte verwenden Sie einfach die Druckfunktion Ihres Browsers.

Anregungen für digitale IDs im Prüfungsamt

Rainer Perske

ca. 45 Min.

Teil 1

Fragestellungen und meine Lösungsvorschläge

Fragestellungen

Nutzung der digitalen ID in Vertretungssituationen (Zugriff auf Outlook-Postfächer)
Oder: Einführung eines Ticketsystems für E-Mail-Anfragen
Nutzung von Gruppenzertifikaten
Archivierung von verschlüsselten Mails
Umgang mit der digitalen ID bei Stellenwechsel

Zweckbestimmung der Nutzerkennungen (1)

Persönliche Nutzerkennungen
- bezeichnen eine Person
- unabhängig von der aktuellen Funktion (Stelle, Position, Amt, Tätigkeit, ...)
- bleiben bei personellen Änderungen an die Person gebunden, nicht an die Funktion
- ⇒ nicht geeignet zur Bearbeitung von Anfragen „an das Prüfungsamt“

Zweckbestimmung der Nutzerkennungen (2)

Unpersönliche Nutzerkennungen
- bezeichnen eine Funktion
- gebunden an die Funktion, nicht an eine Person
- verbleiben bei personellen Änderungen bei der Funktion
- ⇒ gut geeignet zur Bearbeitung von Anfragen „an das Prüfungsamt“

Anregung

Anregung:
- eine unpersönliche Nutzerkennung als E-Mail-Postfach für das Prüfungsamt
- eine unpersönliche Nutzerkennung als E-Mail-Postfach für das Prüfungsamt
- alle Team-Mitglieder erhalten Zugriff auf diese Nutzerkennung

Viele Team-Mitglieder und ein E-Mail-Postfach (1)

Traditionelle E-Mail-Programme?
- Jedes Team-Mitglied müsste das E-Mail-Konto einrichten
- Jedes Team-Mitglied müsste dieselbe digitale ID einrichten
- Jedes Team-Mitglied müsste zwischen persönlichen und stellenbezogenen E-Mails unterscheiden
⇒ Traditionelle E-Mail-Programme sind nicht geeignet und fördern das Chaos

Viele Team-Mitglieder und ein E-Mail-Postfach (2)

Traditionelle E-Mail-Programme nicht mehr für E-Mails „an das Prüfungsamt“ verwenden
- Wohl aber weiterhin für interne und personenbezogene E-Mails
- Wohl aber weiterhin für Kalender, Terminplanung, Aufgabenverwaltung usw.
Da Postfach dann nur persönlich genutzt, kein Zugriff durch Vertreter nötig
Selbstverständlich sollte man eine persönliche digitale ID verwenden.

Viele Team-Mitglieder und ein E-Mail-Postfach (3)

Trouble-Ticket-Systeme
- Behandlung aller Anfragen als Tickets
- Jedes Ticket befindet sich jederzeit in einem definierten Status (neu, offen, geschlossen, ...)
- Jedes Ticket ist entweder frei (von jedermann bearbeitbar) oder gesperrt (gerade in Bearbeitung)
- Verschiedene Warteschlangen für verschiedene Bearbeitergruppen
- u. v. a. m. (Eskalation, Textbausteine, Archivierung, usw.)
- ⇒ Trouble-Ticket-Systeme sind die perfekte Lösung

Viele Team-Mitglieder und ein E-Mail-Postfach (4)

Anregung:
- E-Mails „an das Prüfungsamt“ mit einem Trouble-Ticket-System bearbeiten
- ⇒ OTRS benutzen, Gruppenzertifikat (digitale ID) im OTRS installieren
- Das System der Verwaltung ist zwar einfacher, kann aber keine digitalen IDs
- Zugriff über WWW-Browser ⇒ keine Konfiguration auf dem Arbeitsplatz-PCs nötig
- Komplette Verwaltung übernimmt das ZIV
- Alle obigen Fragestellungen gelöst
Das heißt natürlich:
- Sie müssten sich an ein neues System gewöhnen
  - Aber ehrlich:
    - Müssen Sie sich bei Outlook nicht auch bei jeder Version umgewöhnen?

Teil 2

Erste Einführung: E-Mails und digitale IDs

Probleme bei E-Mails

Was kann passieren?
- Die E-Mail kommt nicht beim Empfänger an
- Die E-Mail wird unterwegs von Dritten gelesen
- Die E-Mail wird unterwegs von Dritten verändert
- Dritte senden eine gefälschte E-Mail
Der Absender will:
- (dass die E-Mail beim Empfänger ankommt)
- Lesen durch Unbefugte verhindern
Der Empfänger will:
- feststellen ob (oder beweisen dass) die E-Mail unverändert ist
- feststellen ob (oder beweisen dass) die E-Mail vom angegebenen Absender kommt

Problemlösung Kryptographie

Verschlüsselung
- verhindert Lesen durch Dritte
- erschwert gezieltes Verändern durch Dritte
Electronische (digitale) Signatur
- (Nicht verwechseln mit Fußzeilen!)
- beweist die Identität des Absenders
- beweist die Unverändertheit der E-Mail
- auch gegenüber Dritten
Hilft nicht gegen Verlust der E-Mail

Schlüssel-Paare

Zwei gemeinsam erzeugte Schlüssel
- Aus dem einen Schlüssel kann der andere nicht berechnet werden
Privater Schlüssel – unbedingt geheim halten
Öffentlicher Schlüssel – wirklich öffentlich
- eingepackt in Zertifikat (Beglaubigung des Eigentümers)
Ein Schlüssel verschlüsselt – der andere Schlüssel entschlüsselt
Ein Schlüssel signiert – der andere Schlüssel verifiziert (prüft die Signatur)

Welcher Schlüssel wofür?

Merkhilfe: Welche Aktionen darf nur eine Person können?
- Dafür den privaten Schlüssel dieser Person verwenden
- Für das Gegenteil wird der zugehörige öffentliche Schlüssel (bzw. Zertifikat) verwendet
Signieren und Verifizieren
- Nur der Absender darf signieren können: Privater Schlüssel des Absenders
- Also dient der öffentliche Schlüssel (Zertifikat) des Absenders zum Verifizieren
Verschlüsseln und Entschlüsseln

Nur der Empfänger darf entschlüsseln können: Privater Schlüssel des Empfängers
Also dient der öffentliche Schlüssel (Zertifikat) des Empfängers zum Verschlüsseln
Wie beim Nachttresor der Bank

Ich will eine E-Mail signieren

Das mache ich mit meinem privaten Schlüssel
(Ich signiere alle meine E-Mails)
E-Mail-Programme machen das auf Wunsch automatisch, sonst reicht ein Häkchen
(Das gilt auch für OTRS)

Ich will eine Signatur prüfen

Woher erhalte ich den öffentlichen Schlüssel (Zertifikat) des Absenders?

Bei E-Mails im S/MIME-Format ist der öffentliche Schlüssel (Zertifikat) in der Signatur enthalten
Jeder kann problemlos alle signierten E-Mails prüfen
E-Mail-Programme machen das automatisch und zeigen es an
(Das gilt auch für OTRS)

Signieren und Verifizieren

Schematische Funktionsweise Signieren und Verifizieren

Ich will eine E-Mail verschlüsseln

Woher erhalte ich den öffentlichen Schlüssel (Zertifikat) des Empfängers?

Sie verwenden ein entsprechendes externes Adressbuch im E-Mail-Programm
- LDAP der DFN-PKI: ldap.pca.dfn.de:389, Base-DN: O=DFN-Verein,C=DE
- Zentrales Exchange-Adressbuch der WWU
Sie haben vorher eine signierte E-Mail erhalten (notfalls darum bitten)
- E-Mail-Programme merken sich die öffentlichen Schlüssel (Zertifikate)
- (Nur Outlook muss man explizit dazu auffordern)
Den Rest erledigt Ihr E-Mail-Programm automatisch
(OTRS ist hier schwach: Verschlüsseln geht nur an vorher eingerichtete Kunden.)

Ich will eine an mich gerichtete E-Mail entschlüsseln

Das mache ich mit meinem privaten Schlüssel
E-Mail-Programme machen das meist automatisch
(Das gilt auch für OTRS)

Signieren, Verschlüsseln, Entschlüsseln und Verifizieren

Schematische Funktionsweise Signieren, Verschlüsseln, Entschlüsseln und Verifizieren

Warum Zertifikate?

Gehört ein öffentlicher Schlüssel wirklich der angegebenen Person?
Zertifikate enthalten:
- den öffentlichen Schlüssel
- den Namen des Inhabers und weitere Angaben
- aber nicht den privaten Schlüssel
Zertifikate sind signiert und beglaubigen die Echtheit der Angaben
E-Mail-Programme verwenden nicht nur den öffentlichen Schlüssel, sondern das ganze Zertifikat

Warum unsere Zertifikate?

E-Mail-Programme verifizieren die Zertifikate
E-Mail-Programme akzeptieren Zertifikate nur von bestimmten Zertifizierungsstellen
Wir (Zertifizierungsstelle Universität Münster) gehören dazu!
Aber nur, weil wir uns streng an die Regeln halten!
- persönliche Identitätskontrolle anhand Personalausweis/Reisepass
- Sicherheitsmaßnahmen
- . . .

Sicherheit Ihres privaten Schlüssels

Gefahr: Identitätsklau
Privaten Schlüssel schützen
- Firefox / Thunderbird: Masterpasswort verwenden
- Internet Explorer / Outlook: Hohe Sicherheit einschalten
Gesundes Misstrauen:
- Der private Schlüssel wird nur zum Signieren und Entschlüsseln benötigt, sonst nie!
Verschlüsseltes Backup („PKCS#12“-Dateien *.p12 oder *.pfx)
- Privaten Schlüssel und Zertifikate in passwortgeschützte Datei sichern
- Datei und Passwort an getrennten Stellen außerhalb des Rechners aufbewahren
- Datei kann in beliebige E-Mail-Programme importiert werden.

Teil 3

Zusammenfassung

Meine Empfehlungen

Für personengebundene Kommunikation sollte jedes Teammitglied:
- eine digitale ID in MeinZIV beantragen
- diese digitale ID in seine persönlichen E-Mail-Programme importieren
- Anleitungen: https://www.uni-muenster.de/WWUCA/de/howto.html
Für funktionsgebundene Kommunikation sollte:
- überhaupt kein E-Mail-Programm mehr verwendet werden
- sondern ein zentral administriertes Trouble Ticket System
- OTRS ist in der WWU weit verbreitet und kann sehr gut mit digitalen IDs umgehen
- OTRS hilft hervorragend bei der systematischen Bearbeitung von Kundenanfragen
- Live-Demo

Vielen Dank für Ihre Aufmerksamkeit!

Rainer Perske
Westfälische Wilhelms-Universität
Zentrum für Informationsverarbeitung
Zertifizierungsstelle
Röntgenstraße 7–13
48149 Münster
ca@uni-muenster.de
+49 251 83 31590 (fon)
+49 251 83 31555 (fax)
https://www.uni-muenster.de/WWUCA/