Rubriken

FernUni-News - Berichte

Als erste Hochschule weltweit: Begehrtes Webtrust-Siegel für die FernUniversität

Internet-„TÜV“ prüfte ZMI – Hagener Hochschule kann Server und Web-Seiten anderer Organisationen zertifizieren

Zertifikate: Nicht nur in der Finanz- und Bankenwelt sind sie (selbst dem Laien) ein Begriff, sondern auch im Internet bekommt es der „User“ immer häufiger mit ihnen zu tun. Anders als im Vorfeld der Wirtschaftskrise stehen Zertifikate beim Umgang mit Computern aber tatsächlich für Sicherheit und Vertrauenswürdigkeit.

Die FernUniversität in Hagen hat jetzt dank des enormen Einsatzes ihres Zentrums für Medien und IT einen Riesenschritt gemacht, um einerseits die persönlichen Daten ihrer Studierenden noch besser als bisher vor unerlaubten Zugriffen zu schützen. Ein weiterer wichtiger Grund war der hohe Aufwand für den Support der Studierenden, denen der Helpdesk bei der Installation der FernUni-Sicherheitszertifikate half. Nicht zuletzt kann sie in der Hochschulwelt zukünftig eine Schlüsselrolle übernehmen: Die FernUniversität ist weltweit die erste Hochschule, die dann Webseiten und Server anderer Hochschulen, Organisationen und Unternehmen zertifizieren kann.

Begehrt das Webtrust-Siegel

Begehrt: das Webtrust-Siegel

Wer kennt ihn nicht, den Warnhinweis „Es besteht ein Problem mit dem Sicherheitszertifikat der Webseite“ des Internet-Explorers, den man ähnlich formuliert auch bei anderen Webbrowsern liest? Er erscheint, wenn man vom wirklichen Betreiber verschlüsselte Seiten – erkennbar an dem zusätzlichen „s“ bei https://... – aufsucht, ohne ein Wurzelzertifikat heruntergeladen und im Browser installiert zu haben. Also oft auch, wenn Studierende der FernUniversität bestimmte Seiten aufrufen, z.B. Prüfungsportale oder die Virtuelle Universität.

Auch wenn es nicht empfohlen wird kann man durchaus auf die gewünschte Seite weiter gelangen. Aber man weiß dann nicht, ob es sich wirklich um eine FernUni-Seite handelt. Es kann – zumindest theoretisch – auch eine gefälschte Seite sein, mit der persönliche Daten wie Benutzernamen und Passwörter oder Matrikelnummern von Studierenden in virtuelle Fälscherwerkstätten umgeleitet werden, um dann vielleicht auf deren Kosten Studienmaterialien zu bestellen. Auch wenn dies an der FernUniversität bisher noch kein Problem war, will die Hochschule für die Zukunft gewappnet sein.

Im Wirtschaftleben, besser: In der Wirtschaftskriminalität ist das kriminelle „Phishing“ von Zugangsdaten ein Tatbestand, mit dem wohl jeder Internetnutzer bereits konfrontiert war. Wer hat noch keine Mail mit der Aufforderung einer „Bank“ bekommen, auf deren (manipulierte) Webseite zu gehen und dort seine Zugangsdaten einzugeben oder zu ändern? Diese Daten landen „just in time“ auf dem Rechner eines Hackers, der dann blitzschnell das Konto leer räumt. Hier sind heute echte Profis am Werk. Die perfekt nachgebauten Webseiten sind nur noch von Fachleuten als Fälschungen zu erkennen.

Sicherheit bieten Zertifikate. Sie schützen sicherheitsrelevante Seiten. Der Benutzer wird aufgefordert, sich ein Zertifikat beim rechtmäßigen Betreiber herunter zu laden und in seinem Browser zu installieren. Ist dies geschehen öffnet es wie ein Schlüssel die Tür zu der Seite, die Sicherheitswarnung taucht erst gar nicht auf.

Bei der FernUniversität findet man diese „Wurzelzertfikate“ bei der Certification Authority (CA, https://ca.fernuni-hagen.de/). Das Zentrum für Medien und IT (ZMI) betreibt seit einigen Jahren eine eigene Zertifizierungsinstanz (Certification Authority – CA), die Studierenden und Beschäftigten der FernUniversität auf Wunsch ein SSL-Zertifikat ausstellt. Mit diesem SSL-Zertifikat kann man sich dann u.a. bei verschiedenen Online-Diensten der FernUniversität anmelden oder aber auch Mails signieren.

Hier kann man sich die benötigten aktuellen Zertifikate herunterladen und für die dauerhafte Verwendung installieren. Und schon ist der Weg auf geschützte Seiten bequem und frei zugänglich. Und man weiß: Hier bin ich wirklich und sicher in der FernUniversität (und nicht auf einem Hacker-Server).

In Zukunft soll das allerdings noch einfacher und komfortabler ablaufen: Das Wurzelzertifikat der FernUni soll direkt in die gängigsten Browser (Internet Explorer, Firefox, Opera, Safari) integriert werden.

Der Integrationsprozess wird voraussichtlich bis Mitte nächsten Jahres abgeschlossen sein, die ersten Gespräche, z.B. mit Microsoft, verliefen erfolgversprechend. Danach würden die Server der FernUniversität weltweit als sichere Hosts zertifiziert sein und alle von der FernUni-CA ausgestellten Benutzerzertifikate global akzeptiert werden.

Die FernUniversität könnte dann als „vertrauenswürdige Stammzertifizierungsstelle“ Webseiten und Server anderer Hochschulen, Organisationen und Unternehmen zertifizieren. Bei gängigen Browsern sollte die Integration auf den Benutzer-PC automatisch bei einem Software-Update gelingen.

Voraussetzung für die Integration in die Browser ist aber grundsätzlich das Prüfsiegel der kanadischen Vereinigung Webtrust. Dafür musste sich das ZMI in den letzten zwei Jahren einer aufwändigen Webtrust-Zertifizierung unterziehen. Unter anderem fertigten Daniel Löffler und Ralph Knoche eine insgesamt rund 250 Seiten umfassende Dokumentation an, in der auch detailliert beschrieben ist, wie Arbeitsprozesse in der CA ablaufen, von denen zudem einige geändert werden mussten. Der Personenkreis mit Zugriff auf CA-Server wurde drastisch reduziert und das Gerät von der Außenwelt praktisch abgeschnitten. Die Wirtschaftsprüfungsgesellschaft KPMG kontrollierte die Maßnahmen alleine zwei Wochen lang in Hagen, eine zweite Prüfungsgesellschaft checkte deren Ergebnisse nochmals gegen. Die Arbeit von Löffler und Knoche lohnte sich aber auf jeden Fall, seit kurzem hat das ZMI das begehrte Siegel.

Übrigens: Fast alle Seiten der FernUniversität sind auch als https-Versionen erreichbar, sie bieten so maximalen Schutz, weil gewährleistet ist, dass der Server tatsächlich der FernUniversität gehört (das „s“ muss allerdings immer von Hand in der Webadresse an das http angehängt werden).

Gerd Dapprich | 07.12.2009
FernUni-Logo FernUniversität in Hagen, 58084 Hagen, Telefon: +49 2331 987-01, E-Mail: fernuni@fernuni-hagen.de