Zugangssicherheit: Unterschied zwischen den Versionen
Tberg (Diskussion | Beiträge) |
Tberg (Diskussion | Beiträge) |
||
Zeile 6: | Zeile 6: | ||
#Auf der Loginseite kann jeder Nutzer vor einem Login durch Klick auf das Schloss-Icon in den SSL-Modus wechseln. Mitarbeiter mit Sonderfunktionen werden auf der Startseite nochmals aufgefordert, per Mausklick in den SSL-Modus zu wechseln. Im SSL-Modus wird der komplette Datenverkehr hochgradig verschlüsselt. | #Auf der Loginseite kann jeder Nutzer vor einem Login durch Klick auf das Schloss-Icon in den SSL-Modus wechseln. Mitarbeiter mit Sonderfunktionen werden auf der Startseite nochmals aufgefordert, per Mausklick in den SSL-Modus zu wechseln. Im SSL-Modus wird der komplette Datenverkehr hochgradig verschlüsselt. | ||
#Mitarbeiter mit höheren Rechten können nicht gleichzeitig mit unterschiedlichen IP-Adressen, wie es bei Verschleierungssoftware vorkommt, im System unterwegs sein. Sobald sich in einer Session die IP wechselt, muss der Nutzer sich erneut einloggen, um arbeiten zu können. | #Mitarbeiter mit höheren Rechten können nicht gleichzeitig mit unterschiedlichen IP-Adressen, wie es bei Verschleierungssoftware vorkommt, im System unterwegs sein. Sobald sich in einer Session die IP wechselt, muss der Nutzer sich erneut einloggen, um arbeiten zu können. | ||
+ | #Auto-Sicherheits-Check: Im Bereich Privat/Passwort können Mitarbeiter mit höherem Status den "Auto-Sicherheits-Check" selber aktivieren. Dies führt dazu, dass das TraiNex jedes Login dieses Mitarbeiters vergleicht mit dem historischen Login-Verhalten dieses Mitarbeiters und dem Mitarbeiter eine E-Mail sendet, sobald eine ungewöhnliche Login-Aktivität beobachtet wurde. Dies könnte zum Beispiel ein Login aus dem Ausland oder ein Login zu einer, für den Mitarbeiter, ungewöhnlichen Zeit sein. Der Auto-Sicherheits-Check führt nur zu einer Mail-Warnung und zu keiner funktionellen Einschränkung. (siehe Bild)[[Datei:ipcheck.JPG|300px|thumb|right|TraiNex als LAN-Intranet einrichten bei einem Mitarbeiter, der nur mit einem Rechner/einer IP arbeitet.]] | ||
+ | #IP-Restriktionen: Durch den Einsatz von IP-Restriktionen kann das TraiNex von einem WWW-Extranet-System quasi in ein LAN-Intranet-System überführt werden. Administratoren mit dem Sonderrecht "IP-Restriktionen", sog. IP-Admin, können bei anderen Mitarbeitern festlegen, dass diese das TraiNex nur betreten dürfen mit bestimmten IP-Adressen. Dies kann zum Beispiel sinnvoll sein für einen Notenbeauftragten, der innerhalb der Hochschule tagsüber eine feste IP verwendet. Der IP-Admin würde hier zu auf dem Datenblatt des Notenbeauftragten zunächst prüfen, welche IP-Adressen zu welcher Zeit verwendet wurden. Danach kann der IP-Admin festlegen, welche IP-Adressen zukünftig für diesen Notenbeauftragten erlaubt sind. Die Eingabe von ("192.3.4" / nicht nachts) bedeutet dabei, dass der Notenbeauftragte alle IP-Adressen verwenden kann, die mit 192.3.4 beginnen, allerdings nicht nachts. Wenn eine Restriktion gereift, dann ist für diesen Nutzer keine Hauptnavigation im TraiNex mehr möglich, außer die Buttons Start, Privat und Logout. Diese Maßnahme der IP-Restriktion wird von uns empfohlen für Administratoren mit Sonderrechten, die als z.B. Verwaltungsmitarbeiter in einem festen Büro arbeiten. (siehe Bild) | ||
Folgende Features werden auf Anfrage aktiviert/deaktiviert: | Folgende Features werden auf Anfrage aktiviert/deaktiviert: | ||
#Unterscheidung von Groß- und Kleinschreibung beim Passwort für alle Nutzer. [[Datei:autocheck.JPG|300px|thumb|right|Auto-Sicherheits-Check.]] | #Unterscheidung von Groß- und Kleinschreibung beim Passwort für alle Nutzer. [[Datei:autocheck.JPG|300px|thumb|right|Auto-Sicherheits-Check.]] | ||
− | |||
− | |||
#Passwort-Export: Deaktivierung des administrativen Passwort-Exportes für Studierende. (Standard und empfohlen) | #Passwort-Export: Deaktivierung des administrativen Passwort-Exportes für Studierende. (Standard und empfohlen) | ||
#Passwort-Anforderung: die Passwortanfrage bei "Zugangsdaten vergessen" sendet statt den Zugangsdaten nur einen Rücksetzlink. (Standard und empfohlen) | #Passwort-Anforderung: die Passwortanfrage bei "Zugangsdaten vergessen" sendet statt den Zugangsdaten nur einen Rücksetzlink. (Standard und empfohlen) |
Version vom 13. Januar 2018, 13:13 Uhr
Datensicherheit und Datenschutz haben im TraiNex höchste Priorität. Unter Datensicherheit verstehen wir insbesondere, dass wichtige Daten physisch gesichert werden bzw. gesichert werden können und nicht unberechtigt manipuliert werden können. Unter Datenschutz verstehen wir, dass niemand unberechtigt Einsicht nehmen darf auf Daten, für die er keinen Zugriff haben darf oder soll. Dem TraiNex liegt ein Datenschutz- und Datensicherheitskonzept zu Grunde, welches NICHT öffentlich zur Verfügung gestellt wird. Die Zugangssicherheit ist ein wichtiger Teil dieses Konzeptes und betrifft u.a. die Möglichkeiten, die die Mitwirkung der Nutzer erforderlich macht. Insbesondere für Dozenten und Administratoren wurde spezielle Zugangssicherheit realisiert
- bereits beim Anlegen eines Mitarbeiters sollte das Passwort mit einer hohen Komplexität angelegt werden. Auch das Login kann komplex gewählt werden, damit niemand es erraten kann.
- je nach Status des Mitarbeiters wird der Mitarbeiter nach dem Betreten des TraiNex gegebenenfalls dazu aufgefordert, die Komplexität des Passwortes zu erhöhen. TraiNex zeigt während der Passwort-Definition an, wie sicher es das Passwort einschätzt. Solange der Mitarbeiter der Aufforderung zur Erhöhung der Komplexität nicht nachkommt, wird die Startseite funktionell eingeschränkt.
- jedem Mitarbeiter sollte nur die benötigte Rechtestufe und nur die benötigten Funktionen (Sonderfunktion) zugeordnet werden, die ihm erst danach den lesenden oder schreibenden Zugang zu den speziellen Daten oder Studiengruppen ermöglichen.
- Auf der Loginseite kann jeder Nutzer vor einem Login durch Klick auf das Schloss-Icon in den SSL-Modus wechseln. Mitarbeiter mit Sonderfunktionen werden auf der Startseite nochmals aufgefordert, per Mausklick in den SSL-Modus zu wechseln. Im SSL-Modus wird der komplette Datenverkehr hochgradig verschlüsselt.
- Mitarbeiter mit höheren Rechten können nicht gleichzeitig mit unterschiedlichen IP-Adressen, wie es bei Verschleierungssoftware vorkommt, im System unterwegs sein. Sobald sich in einer Session die IP wechselt, muss der Nutzer sich erneut einloggen, um arbeiten zu können.
- Auto-Sicherheits-Check: Im Bereich Privat/Passwort können Mitarbeiter mit höherem Status den "Auto-Sicherheits-Check" selber aktivieren. Dies führt dazu, dass das TraiNex jedes Login dieses Mitarbeiters vergleicht mit dem historischen Login-Verhalten dieses Mitarbeiters und dem Mitarbeiter eine E-Mail sendet, sobald eine ungewöhnliche Login-Aktivität beobachtet wurde. Dies könnte zum Beispiel ein Login aus dem Ausland oder ein Login zu einer, für den Mitarbeiter, ungewöhnlichen Zeit sein. Der Auto-Sicherheits-Check führt nur zu einer Mail-Warnung und zu keiner funktionellen Einschränkung. (siehe Bild)
- IP-Restriktionen: Durch den Einsatz von IP-Restriktionen kann das TraiNex von einem WWW-Extranet-System quasi in ein LAN-Intranet-System überführt werden. Administratoren mit dem Sonderrecht "IP-Restriktionen", sog. IP-Admin, können bei anderen Mitarbeitern festlegen, dass diese das TraiNex nur betreten dürfen mit bestimmten IP-Adressen. Dies kann zum Beispiel sinnvoll sein für einen Notenbeauftragten, der innerhalb der Hochschule tagsüber eine feste IP verwendet. Der IP-Admin würde hier zu auf dem Datenblatt des Notenbeauftragten zunächst prüfen, welche IP-Adressen zu welcher Zeit verwendet wurden. Danach kann der IP-Admin festlegen, welche IP-Adressen zukünftig für diesen Notenbeauftragten erlaubt sind. Die Eingabe von ("192.3.4" / nicht nachts) bedeutet dabei, dass der Notenbeauftragte alle IP-Adressen verwenden kann, die mit 192.3.4 beginnen, allerdings nicht nachts. Wenn eine Restriktion gereift, dann ist für diesen Nutzer keine Hauptnavigation im TraiNex mehr möglich, außer die Buttons Start, Privat und Logout. Diese Maßnahme der IP-Restriktion wird von uns empfohlen für Administratoren mit Sonderrechten, die als z.B. Verwaltungsmitarbeiter in einem festen Büro arbeiten. (siehe Bild)
Folgende Features werden auf Anfrage aktiviert/deaktiviert:
- Unterscheidung von Groß- und Kleinschreibung beim Passwort für alle Nutzer.
- Passwort-Export: Deaktivierung des administrativen Passwort-Exportes für Studierende. (Standard und empfohlen)
- Passwort-Anforderung: die Passwortanfrage bei "Zugangsdaten vergessen" sendet statt den Zugangsdaten nur einen Rücksetzlink. (Standard und empfohlen)
- Komplettverschlüsselung der Passwort-Speicherung: Passwörter werden so gespeichert, dass diese auch bei physischem Tabellenzugriff nicht auslesbar sind (empfohlen von TraiNex und Bundesamt für Sicherheit in der Informationstechnik)
- Session-Footprint: Mitarbeiter ab einem bestimmten Recht dürfen während einer Session nicht den Browser oder das Betriebssystem wechseln dürfen (digital footprint/Standard und empfohlen).
- Auto-Logout: der automatische Logout bei Inaktivität loggt den Benutzer nach einer allgemein festgelegten Zeit (z.B. 45 Minuten) automatisch aus. Je höher das Recht des Nutzers, desto kürzer die akzeptierte Inaktivitätszeit. Dies Funktion wird auf Anfrage deaktiviert/geändert. (Standard und empfohlen)
- die AGB verdeutlichen dem Nutzer einen angemessene Umgang mit TraiNex-Daten. (Standard und empfohlen)
- Die aktuelle Konfiguration findet sich im Bereich der Logdatei.
Weitere Sicherheitsfunktionen, z.B. bezüglich der Session-Identifikation, SQL-Injektion-Abwehr oder Session-hijacking sowie Honigtöpfen, sind nur nicht-öffentlich und nur ggf. auf Anfrage zugänglich. Bitte bedenken Sie: Höhere Sicherheitshürden können zu eingeschränkter Nutzungsmöglichkeit des TraiNex führen. Das Sicherheitslevel sollte deshalb mit Trainings-Online abgesprochen, optimiert und geplant werden. Beachten Sie auch den zugehörigen Workshop "Experte SH/Sicherheitskonzepte" unter http://akademie.trainings-online.de
Letzte funktionale Änderungen
- September 2016: Zugangssicherheit: verbesserte Komplettverschlüsselung der Passwort-Speicherung