Sicherheitshinweis Apps mit Nutzung des UniAccounts
Die Albert-Ludwigs-Universität wurde von der Zentralen Datenschutzstelle der baden-württembergischen Universitäten (ZENDAS) darauf hingewiesen, dass der Anbieter einer Uni-App mit problematischer Sicherheitsarchitektur mit dem Namen der Universität wirbt. Wir nehmen dies zum Anlass einige grundsätzliche Hinweise zu diesem Themenfeld zu geben.
Der konkrete Fall
Im konkreten Fall müssen dem Anbieter die Zugangsdaten des UniAccounts übergeben werden. Diese werden nicht nur auf dem Smartphone selbst gespeichert, sondern auch auf einem Server des Anbieters verarbeitet, um damit auf Dienste der Albert-Ludwigs-Universität und sensible Daten der Betroffenen zuzugreifen (Kontaktdaten, Prüfungsergebnisse, …). Theoretisch besteht keine Gefahr, da Studierende, die sowohl die Verwaltungs- und Benutzungsordnung des Universitätsrechenzentrums der Albert-Ludwigs-Universität (VBO) wie auch die Datenschutzbestimmungen des Anbieters gelesen haben, schnell erkennen können, dass die App nicht genutzt werden darf, da die Weitergabe Ihrer UniAccount-Identifikationsdaten an den Anbieter - schon völlig unabhängig von Sicherheitsüberlegungen - gegen §8 Abs. 10 der VBO verstößt. Trotzdem nachfolgend noch einige weitergehende Informationen.
Service – aber zu welchem Preis?
Neben dem hier beschrieben konkreten Fall gibt es weitere (oft kostenlose) Apps, die einen zusätzlichen Nutzen (z.B. durch die Zusammenfassung von Informationen) versprechen und Mechanismen verwenden, die ähnlich sicherheitskritisch sind. Oft sind die Anbieter durchaus seriös und mit guten Absichten unterwegs, die technische Umsetzung erfolgt aber in einer Art, die unnötige Risiken erzeugt. Mit den technischen Risiken steigen die tatsächlichen Risiken, dass Ihre Accountdaten oder sensible persönliche Daten missbraucht werden.
Die Strategie des Rechenzentrums der Universität Freiburg
Mobile Endgeräte werden zunehmend wichtiger im Uni-Alltag. Neben der Verwendung allgemeiner oder spezieller Apps gibt es aber weitere Möglichkeiten, die Nutzung der Dienste des Universitätsrechenzentrums über mobile Endgeräte zu erleichtern. Das Rechenzentrum der Universität Freiburg setzt hier auf eine Kombination verschiedener Maßnahmen: Responsive Design-Konzepte, Permanent-Login, Single-Sign-On-Verfahren und in Sonderfällen auch spezielle Apps.
Responsive Design-Konzepte sind z.B. im Campus-Management-System HISinOne umgesetzt. Erkennt das System, dass der Zugriff über ein mobiles Endgerät erfolgt, wird die Darstellung und Menüführung speziell für das mobile Gerät optimiert. Die Sicherheitsmechansimen sind identisch zur normalen Anwendung, die Darstellung und Navigation wird optimiert. Zusätzlich kann auf mobilen Endgeräten ein permanenter Login genutzt werden, damit die Zugangsdaten nicht bei jeder Nutzung wieder neu eingegeben werden müssen.
Single-Sign-On-Verfahren kommen z.B. bei der E-Learning-Plattform ILIAS zum Einsatz, bei der über einen einmaligen Shibboleth-Login auch weitere Dienste der Universität ohne zusätzliche Anmeldung genutzt werden können (z.B. Dienste der Universitätsbibliothek).
Für Sonderfälle kommen auch Lösungen über Apps zum Einsatz (z.B. zur Offline-Nutzung von ILIAS-Inhalten auf Tablets). Das Rechenzentrum bevorzugt jedoch grundsätzlich eher die oben genannten Plattform-unabhängigen Ansätze, da eine App-Entwicklung (aus Kostengründen) meist die Festlegung auf bestimmte Geräte- oder Betriebssystemplattformen bedeutet und die Nutzer/innen anderer Plattformen damit ausgegrenzt werden.
Verwenden Sie sichere Passwörter und ändern Sie regelmäßig Ihr Passwort
Schützen Sie Ihre Daten, verwenden Sie sichere Passwörter und ändern Sie diese regelmäßig. Nähere Hinweise zum Thema finden Sie z.B. unter https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html
Wenn Sie die Zugangsdaten Ihres UniAccounts bereits an Dritte weitergeben haben, ändern Sie schnellstmöglich Ihr Passwort über myAccount.
Über Rückmeldungen zu diesem Beitrag freuen wir uns unter der E-Mail-Adresse: beratung@rz.uni-freiburg.de