Anregungen für digitale IDs im Prüfungsamt

Teil 1

Fragestellungen und meine Lösungsvorschläge

Fragestellungen

• Nutzung der digitalen ID in Vertretungssituationen (Zugriff auf Outlook-Postfächer)

• Oder: Einführung eines Ticketsystems für E-Mail-Anfragen

• Nutzung von Gruppenzertifikaten

• Archivierung von verschlüsselten Mails

• Umgang mit der digitalen ID bei Stellenwechsel

Zweckbestimmung der Nutzerkennungen (1)

• Persönliche Nutzerkennungen

  • bezeichnen eine Person

  • unabhängig von der aktuellen Funktion (Stelle, Position, Amt, Tätigkeit, ...)

  • bleiben bei personellen Änderungen an die Person gebunden, nicht an die Funktion

  • ⇒ nicht geeignet zur Bearbeitung von Anfragen „an das Prüfungsamt“

Zweckbestimmung der Nutzerkennungen (2)

• Unpersönliche Nutzerkennungen

  • bezeichnen eine Funktion

  • gebunden an die Funktion, nicht an eine Person

  • verbleiben bei personellen Änderungen bei der Funktion

  • ⇒ gut geeignet zur Bearbeitung von Anfragen „an das Prüfungsamt“

Anregung

• Anregung:

  • eine unpersönliche Nutzerkennung als E-Mail-Postfach für das Prüfungsamt

  • eine unpersönliche Nutzerkennung als E-Mail-Postfach für das Prüfungsamt

  • alle Team-Mitglieder erhalten Zugriff auf diese Nutzerkennung

Viele Team-Mitglieder und ein E-Mail-Postfach (1)

• Traditionelle E-Mail-Programme?

  • Jedes Team-Mitglied müsste das E-Mail-Konto einrichten

  • Jedes Team-Mitglied müsste dieselbe digitale ID einrichten

  • Jedes Team-Mitglied müsste zwischen persönlichen und stellenbezogenen E-Mails unterscheiden

• ⇒ Traditionelle E-Mail-Programme sind nicht geeignet und fördern das Chaos

Viele Team-Mitglieder und ein E-Mail-Postfach (2)

• Traditionelle E-Mail-Programme nicht mehr für E-Mails „an das Prüfungsamt“ verwenden

  • Wohl aber weiterhin für interne und personenbezogene E-Mails

  • Wohl aber weiterhin für Kalender, Terminplanung, Aufgabenverwaltung usw.

• Da Postfach dann nur persönlich genutzt, kein Zugriff durch Vertreter nötig

• Selbstverständlich sollte man eine persönliche digitale ID verwenden.

Viele Team-Mitglieder und ein E-Mail-Postfach (3)

• Trouble-Ticket-Systeme

  • Behandlung aller Anfragen als Tickets

  • Jedes Ticket befindet sich jederzeit in einem definierten Status (neu, offen, geschlossen, ...)

  • Jedes Ticket ist entweder frei (von jedermann bearbeitbar) oder gesperrt (gerade in Bearbeitung)

  • Verschiedene Warteschlangen für verschiedene Bearbeitergruppen

  • u. v. a. m. (Eskalation, Textbausteine, Archivierung, usw.)

  • ⇒ Trouble-Ticket-Systeme sind die perfekte Lösung

Viele Team-Mitglieder und ein E-Mail-Postfach (4)

• Anregung:

  • E-Mails „an das Prüfungsamt“ mit einem Trouble-Ticket-System bearbeiten

  • ⇒ OTRS benutzen, Gruppenzertifikat (digitale ID) im OTRS installieren

  • Das System der Verwaltung ist zwar einfacher, kann aber keine digitalen IDs

  • Zugriff über WWW-Browser ⇒ keine Konfiguration auf dem Arbeitsplatz-PCs nötig

  • Komplette Verwaltung übernimmt das ZIV

  • Alle obigen Fragestellungen gelöst

• Das heißt natürlich:

  • Sie müssten sich an ein neues System gewöhnen

    • Aber ehrlich:

      • Müssen Sie sich bei Outlook nicht auch bei jeder Version umgewöhnen?

Teil 2

Erste Einführung: E-Mails und digitale IDs

Probleme bei E-Mails

• Was kann passieren?

  • Die E-Mail kommt nicht beim Empfänger an

  • Die E-Mail wird unterwegs von Dritten gelesen

  • Die E-Mail wird unterwegs von Dritten verändert

  • Dritte senden eine gefälschte E-Mail

• Der Absender will:

  • (dass die E-Mail beim Empfänger ankommt)

  • Lesen durch Unbefugte verhindern

• Der Empfänger will:

  • feststellen ob (oder beweisen dass) die E-Mail unverändert ist

  • feststellen ob (oder beweisen dass) die E-Mail vom angegebenen Absender kommt

Problemlösung Kryptographie

• Verschlüsselung

  • verhindert Lesen durch Dritte

  • erschwert gezieltes Verändern durch Dritte

• Electronische (digitale) Signatur

  • (Nicht verwechseln mit Fußzeilen!)

  • beweist die Identität des Absenders

  • beweist die Unverändertheit der E-Mail

  • auch gegenüber Dritten

• Hilft nicht gegen Verlust der E-Mail

Schlüssel-Paare

• Zwei gemeinsam erzeugte Schlüssel

  • Aus dem einen Schlüssel kann der andere nicht berechnet werden

• Privater Schlüssel – unbedingt geheim halten

• Öffentlicher Schlüssel – wirklich öffentlich

  • eingepackt in Zertifikat (Beglaubigung des Eigentümers)

• Ein Schlüssel verschlüsselt – der andere Schlüssel entschlüsselt

• Ein Schlüssel signiert – der andere Schlüssel verifiziert (prüft die Signatur)

Welcher Schlüssel wofür?

• Merkhilfe: Welche Aktionen darf nur eine Person können?

  • Dafür den privaten Schlüssel dieser Person verwenden

  • Für das Gegenteil wird der zugehörige öffentliche Schlüssel (bzw. Zertifikat) verwendet

• Signieren und Verifizieren

  • Nur der Absender darf signieren können: Privater Schlüssel des Absenders

  • Also dient der öffentliche Schlüssel (Zertifikat) des Absenders zum Verifizieren

• Verschlüsseln und Entschlüsseln

• Nur der Empfänger darf entschlüsseln können: Privater Schlüssel des Empfängers

• Also dient der öffentliche Schlüssel (Zertifikat) des Empfängers zum Verschlüsseln

• Wie beim Nachttresor der Bank

Ich will eine E-Mail signieren

• Das mache ich mit meinem privaten Schlüssel

• (Ich signiere alle meine E-Mails)

• E-Mail-Programme machen das auf Wunsch automatisch, sonst reicht ein Häkchen

• (Das gilt auch für OTRS)

Ich will eine Signatur prüfen

Woher erhalte ich den öffentlichen Schlüssel (Zertifikat) des Absenders?

• Bei E-Mails im S/MIME-Format ist der öffentliche Schlüssel (Zertifikat) in der Signatur enthalten

• Jeder kann problemlos alle signierten E-Mails prüfen

• E-Mail-Programme machen das automatisch und zeigen es an

• (Das gilt auch für OTRS)

Signieren und Verifizieren

Ich will eine E-Mail verschlüsseln

Woher erhalte ich den öffentlichen Schlüssel (Zertifikat) des Empfängers?

• Sie verwenden ein entsprechendes externes Adressbuch im E-Mail-Programm

  • LDAP der DFN-PKI: ldap.pca.dfn.de:389, Base-DN: O=DFN-Verein,C=DE

  • Zentrales Exchange-Adressbuch der WWU

• Sie haben vorher eine signierte E-Mail erhalten (notfalls darum bitten)

  • E-Mail-Programme merken sich die öffentlichen Schlüssel (Zertifikate)

  • (Nur Outlook muss man explizit dazu auffordern)

• Den Rest erledigt Ihr E-Mail-Programm automatisch

• (OTRS ist hier schwach: Verschlüsseln geht nur an vorher eingerichtete Kunden.)

Ich will eine an mich gerichtete E-Mail entschlüsseln

• Das mache ich mit meinem privaten Schlüssel

• E-Mail-Programme machen das meist automatisch

• (Das gilt auch für OTRS)

Signieren, Verschlüsseln, Entschlüsseln und Verifizieren

Warum Zertifikate?

• Gehört ein öffentlicher Schlüssel wirklich der angegebenen Person?

• Zertifikate enthalten:

  • den öffentlichen Schlüssel

  • den Namen des Inhabers und weitere Angaben

  • aber nicht den privaten Schlüssel

• Zertifikate sind signiert und beglaubigen die Echtheit der Angaben

• E-Mail-Programme verwenden nicht nur den öffentlichen Schlüssel, sondern das ganze Zertifikat

Warum unsere Zertifikate?

• E-Mail-Programme verifizieren die Zertifikate

• E-Mail-Programme akzeptieren Zertifikate nur von bestimmten Zertifizierungsstellen

• Wir (Zertifizierungsstelle Universität Münster) gehören dazu!

• Aber nur, weil wir uns streng an die Regeln halten!

  • persönliche Identitätskontrolle anhand Personalausweis/Reisepass

  • Sicherheitsmaßnahmen

  • . . .

Sicherheit Ihres privaten Schlüssels

• Gefahr: Identitätsklau

• Privaten Schlüssel schützen

  • Firefox / Thunderbird: Masterpasswort verwenden

  • Internet Explorer / Outlook: Hohe Sicherheit einschalten

• Gesundes Misstrauen:

  • Der private Schlüssel wird nur zum Signieren und Entschlüsseln benötigt, sonst nie!

• Verschlüsseltes Backup („PKCS#12“-Dateien *.p12 oder *.pfx)

  • Privaten Schlüssel und Zertifikate in passwortgeschützte Datei sichern

  • Datei und Passwort an getrennten Stellen außerhalb des Rechners aufbewahren

  • Datei kann in beliebige E-Mail-Programme importiert werden.

Teil 3

Zusammenfassung

Meine Empfehlungen

• Für personengebundene Kommunikation sollte jedes Teammitglied:

  • eine digitale ID in MeinZIV beantragen

  • diese digitale ID in seine persönlichen E-Mail-Programme importieren

  • Anleitungen: https://www.uni-muenster.de/WWUCA/de/howto.html

• Für funktionsgebundene Kommunikation sollte:

  • überhaupt kein E-Mail-Programm mehr verwendet werden

  • sondern ein zentral administriertes Trouble Ticket System

  • OTRS ist in der WWU weit verbreitet und kann sehr gut mit digitalen IDs umgehen

  • OTRS hilft hervorragend bei der systematischen Bearbeitung von Kundenanfragen

  • Live-Demo

Vielen Dank für Ihre Aufmerksamkeit!

• Rainer Perske

• Westfälische Wilhelms-Universität
  Zentrum für Informationsverarbeitung
  Zertifizierungsstelle
  Röntgenstraße 7–13
  48149 Münster

• ca@uni-muenster.de
  +49 251 83 31590 (fon)
  +49 251 83 31555 (fax)
   

• https://www.uni-muenster.de/WWUCA/