Datensicherheit

Für verschiedene Institutionen oder auch Firmen gehört eine ausführliche Sicherheitsprüfung zu den Bedingungen der Installation einer Webanwendung. Für Rechenzentren der Länder beispielsweise ist durch Verwaltungsvorschriften festgelegt, dass erst nach einer Überprüfung nach dem BSI-Standard Cloud Computing C5 eine Installation freigegeben werden kann.

Das IQB unterstützt diese Anforderungen, indem Monita zeitnah umgesetzt werden. Einige Anforderungen stehen jedoch der Funktionalität des Testcenters entgegen oder beruhen auf einem Missverständnis. Diese Punkte sind nachfolgend erläutert.

Content-Security-Policy

Die Content-Security-Policy (CSP) des Testcenters wird gelegentlich als zu locker wahrgenommen. Tatsächlich sind einige – üblicherweise empfohlenen – strengeren Restriktionen aufgrund der modularen Architektur (Verona-Player und -Host) und anderer Anforderungen nicht möglich.

  • data: ist als Quelle für Medien notwendig, um in Units eingebettete Medien zeigen zu können.
  • upgrade-insecure-requests; kann nicht verwendet werden, da das Testcenter in Offline-Szenarien über HTTP benutzt wird.
  • https: http: 'unsafe-eval' für script-src ist nötig für das Nachladen von GeoGebra.

Die CSP wird ausschließlich mit der index.html ausgelifert, denn sie lädt alle weiteren Inhalte, einschießlich der Player oder anderer etwaiger HTML inhalte die dann, weil im iFrame ausgeführt, die CSP erben. API-Endpunkte mit einer CSP zu versehen ist nicht sinnvoll, da nur Browser diese interpretieren und über etwaige sonstige Konsumenten der API keine Aussage gemacht werden kann.

Passwortrichtlinien und Anmeldeverzögerung

Üblicherweise schafft ein Login-Prozess Zugang zu sensiblen schützenswerten Daten. Sinnvollerweise sind daher Richtlinien einzuhalten, um ein Mindestmaß an Sicherheit zu erreichen.

Administratoren

Zur Verwaltung der Inhalte und dem Download der Antwortdaten sind personenbezogene Accounts eingerichtet. Nur ein besonders privilegierter Admin darf diese Accounts anlegen und die Kennworte ändern bzw. vergeben. Nach einer entsprechenden Einweisung stellt diese Person die erforderliche Mindestlänge usw. sicher. Technisch ist eine Mindestlänge von 7 Zeichen eingestellt.

Geplante Weiterentwicklung

Das IQB-Testcenter wird perspektivisch an eine Identitätsverwaltung über OpenID Connect angeschlossen. Damit wird die Vergabe der Kennworte ausgelagert und kann dann bis zur Zweifaktor-Authentifizierung gehen.

Seit der Version 15.1 ist als Sicherheitsmaßnahme gegen unerlaubte Loginversuche eine 0.5s Verzögerung für aufeinanderfolgende Admin-Logins aktiviert.

Testpersonen

Die Anmeldung einer Person, die einen Test oder eine Befragung ausführen soll, gilt nicht als Login. Dies ist vielmehr zu sehen wie das Füllen eines Warenkorbes ohne Account. Folgende Use Cases verhindern die übliche Sichtweise ‘Login’:

  1. Es muss durch das Testcenter abgebildet werden, dass die Personen, die sich anmelden sollen, vorher nicht bekannt sind. Dann werden dieselben Anmeldedaten an eine große Zahl von potenziellen Teilnehmer*innen geschickt (Mailingliste), und das System legt bei jeder Anmeldung eine neue Session/Person an (Modus RUN-HOT-RESTART).
  2. Ein Test soll nur durch die Eingabe eines Link/einer Url gestartet werden können. Dann wird KEIN Kennwort vergeben.

Diese Szenarien bedeuten aus der Sicht der Datensicherheit, dass eine Anmeldung einer Testperson keiner Kennwortrichtlinie unterliegen muss. Der potenzielle Datenverlust besteht auch nur in einer unbeabsichtigten Veröffentlichung von Testitems, die ggf. vertraulich bleiben sollen. Es ist kein Zugriff auf Daten anderer möglich.

Aus diesem Grund ist es auch unbedenklich, dass die Testtaker-Xml nicht verschlüsselt hochgeladen werden. Eine Anmeldeverzögerung für Testpersonen ist ebenfalls nicht erforderlich, sondern würde nur die mögliche Anzahl an Testpersonen, die sich zeitgleich anmelden können, künstlich begrenzen.

Zurück nach oben