Deutsches Forschungsnetz

Session 2DFN-AAI - kontrollierter Zugriff

auf geschützte Ressourcen

Diskussionsforum der Kanzlerinnen und Kanzler mit dem DFN-Verein,

Potsdam, 20.6.2007U. Kähler, J. K. Köcher, Dr. M. Pattloch

Seite 3

Gliederung

• Herausforderung und Beispiele• Nutzen• Sicherheit• Rechtliche Sicht• Zusammenfassung und Ausblick

Seite 4

Herausforderung

• Zunehmend mehr Prozesse müssen hochschul-intern, aber auch mit Externen bewältigt werden

• Dabei sind stets die gleichen Fragen zu bearbeiten– Die im Prozess involvierten Personen müssen

identifiziert werden (Studentenausweis, Personalausweis, persönlich bekannt etc.)

– Berechtigungen von Personen müssen geprüft werden (Darf Herr X sich zum Praktikum anmelden? Darf Frau Y auf die Online-Publikationen des wissenschaftlichen Verlages ABC zugreifen?)

• Der Kern aller Prozesse ist also– das Authentifizieren (Wer ist es?) und anschließend– das Autorisieren (Was darf er/sie?)

Seite 5

Beispiele: Anmeldung Praktikum

��

Hochschule

Nutzerdaten (IDM)

Lehrplan

Authentifizierungs-und

Autorisierungs-Infrastruktur

1. Herr X will sich zum Praktikum

anmelden

2. Herr X ist Student und hat Prüfungen

A,B,C absolviert

3. Student X mit Prüfungen A,B,C

will sich zum Praktikum anmelden

4. Prüfungen A,B,C berechtigen zum

Praktikum

Seite 6

Beispiele: Zugriff auf Verlag

Hochschule A

Nutzerdaten (IDM)

Lizenz-vereinbarung

Berech-tigungen

Authentifizierungs-und

Autorisierungs-Infrastruktur

1. Herr X will lizenz-ierten Artikel lesen

2. Herr X ist Mitarbeiter 3. Mitarbeiter der

Hochschule A will Artikel lesen

Verlag ABC

4. Mitarbeiter der Hochschule A sind berechtigt

DFN-AAI

Seite 7

Was ist DFN-AAI?

• DFN-AAI ist ein Dienst des DFN-Vereins• DFN-AAI schafft

• das notwendige Vertrauensverhältnis zwischen den Anwendern und den Anbietern

• den organisatorisch / technischen Rahmen für den Austausch von Nutzerinformationen

• Der DFN-Verein ist der zentrale Vertragspartnerfür alle Teilnehmer der AAI

• Der DFN-Verein übernimmt zentrale betriebliche Aufgaben• In der DFN-AAI wird das Shibboleth-System verwendet

Seite 8

Was ist „Shibboleth“?

- Streichholzschächtelchen, Eichhörnchenund Strickstrumpf

(http://de.wikipedia.org/wiki/Shibboleth#Etymologie)

- Plattdeutsch: Eekkattensteert

- Bayerisch: Oachkatzlschwoaf(Eichhornschweif)

- Fränkisch: Oozullds Buddlersbaa(abgezaustes Hühnerbein)

(Deutschtest für Ausländer)

Seite 9

Woher kommt „Shibboleth“?

Hintergrund ist eine Stelle aus dem Alten Testament, Buch Richter, Kapitel 12, Vers 5ff:Und die Gileaditer nahmen ein die Furt des Jordans vor Ephraim. Wenn nun sprachen die

Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schibboleth, so sprach er: Sibboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, daß zu der Zeit von Ephraim fielen zweiundvierzigtausend.

Das Wort „Shibboleth“ war somit wohl das erstebiometrische Autorisierungsverfahren!

Schibboleth (hebr. תלובש) ist hebräisch und bedeutet wörtlich „Getreideähre“, wird in der Bedeutung „Kennwort“ verwendet.

Seite 10

Gliederung

• Herausforderung und Beispiele• Nutzen• Sicherheit• Rechtliche Sicht• Zusammenfassung und Ausblick

Seite 11

Nutzen für Hochschule• Zukünftige Herausforderungen (z.B. Bologna, Erwartung

zahlender Studenten) verstärken den Druck nach optimierten internen Prozesse– DFN-AAI kann ein zentrales Puzzelstück sein, um interne

Prozesse informatorisch abzubilden• DFN organisiert, dass zunehmend mehr Anbieter (Verlage

etc.) über DFN-AAI erreichbar werden– Einzelne Hochschule profitiert von jedem neuen Anbieter, ohne

selbst tätig sein zu müssen– Der Nutzen von DFN-AAI für die Anbieter kann von Hochschulen als

Argument für verbesserte Lizenzen verwendet werden• Hochschule profiliert sich im Wettbewerb• DFN-AAI entgeltfrei für Teilnehmer DFNInternet

Seite 12

Nutzen für Mitarbeiter/Student

• Zugriff auf alle ihnen zustehenden Angebote intern und extern mit einer Kennung ("single-sign-on")

• Muss nicht persönlich bei externen Anbietern registriert sein: Anonymität

• Berechtigungen werden durch Hochschule im IDM aktualisiert– Wird aus dem Student ein Mitarbeiter, so passen

sich seine Berechtigungen automatisch an

Seite 13

Nutzen für externen Anbieter

• Kann auf Authentifizierung im Rahmen von DFN-AAI vertrauen (Wer fragt an?)

• Berechtigungen des Nutzers sind aktuell und korrekt– Keine "Karteileichen", deren Berechtigung z.B.

abgelaufen oder verändert ist• Eigene Nutzerverwaltung überflüssig

– Kosteneinsparung für Einrichtung und Pflege• Erschließt sich mit mit Anschluss an DFN-

AAI viele potentielle Kunden

Seite 14

Gliederung

• Herausforderung und Beispiele• Nutzen• Sicherheit• Rechtliche Sicht• Zusammenfassung und Ausblick

Seite 15

Sicherheit

• Die Sicherheit in der DFN-AAI ist eine entscheidende Voraussetzung für deren Nutzung

• Sicherheit umfasst mehrere Komponenten– Vertraulichkeit– Integrität– Authentizität– Verfügbarkeit

• DFN-PKI hat sich als wichtige Basis etabliert

Seite 16

Kleiner Exkurs: DFN-PKI (1)

• DFN-PKI– Infrastruktur für digitale Zertifikate im DFN– DFN betreibt zentrale Komponenten, wodurch

der lokale Aufwand stark reduziert wird– Konzept der Auslagerung erlaubt auch „kleinen“

Einrichtungen die Nutzung von Zertifikaten– starkes Sicherheitsniveau in der DFN-PKI, z.B.

durch persönliche Identifizierung– hohes betriebliches Sicherheitsniveau durch

jährliche Audits– ohne zusätzliches Entgelt nutzbar

Seite 17

Kleiner Exkurs: DFN-PKI (2)

• Erfahrungen nach 1,5 Jahren Regelbetrieb– mehr als 100 Einrichtungen nutzen bereits die

Angebote der DFN-PKI– jede Woche kommt ca. eine Einrichtung hinzu– breites Spektrum an Anwendern, von kleinen

Einrichtungen, die bisher keine PKI hatten, bis zu großen Einrichtungen mit viel PKI-Erfahrung

– Dienstangebot der DFN-PKI „passt“

Seite 18

Sicherheit: Vertraulichkeit

• Wie ist gewährleistet, dass die in der DFN-AAI übermittelten Daten nicht durch unbefugte Dritte ausgespäht werden?

• Lösung– Verwendung digitaler Zertifikate der DFN-PKI– Daten werden bei der Übermittlung automatisch

verschlüsselt– unbefugtes Entschlüsseln praktisch nicht

möglich– starke Policy der DFN-PKI ist Basis (z.B.

persönliche Identifizierung)

Seite 19

Sicherheit: Integrität

• Wie ist gewährleistet, dass die in der DFN-AAI übermittelten Daten nicht unbemerkt verändert werden?

• Lösung– Verwendung digitaler Zertifikate der DFN-PKI– Daten werden bei der Übermittlung automatisch

mit Prüfsummen versehen– unbefugte Veränderung von Daten wird

automatisch erkannt

Seite 20

Sicherheit: Authentizität

• Wie ist gewährleistet, dass die in der DFN-AAI beteiligten Instanzen (Personen, Server) wirklich die sind, die sie vorgeben zu sein?

• Lösung– Verwendung digitaler Zertifikate der DFN-PKI– digitales Zertifikat als „elektronischer Ausweis“– Server müssen digitales Zertifikat haben und

sind dadurch eindeutig und nachvollziehbar ausgewiesen

– Personen können - je nach Sicherheitsbedarf -ein digitales Zertifikat verwenden

Seite 21

Sicherheit: Verfügbarkeit

• Wie ist gewährleistet, dass die DFN-AAI hoch verfügbar zur Verfügung steht?

• Lösung– Redundanzkonzept für technische Komponenten

der DFN-PKI und der DFN-AAI– betriebliche Prozesse auf hohe Verfügbarkeit

ausgelegt

Seite 22

Gliederung

• Herausforderung und Beispiele• Nutzen• Sicherheit• Rechtliche Sicht• Zusammenfassung und Ausblick

Seite 23

Recht: verschiedene Blickwinkel

• Rechtliche Sicht aus verschiedenen Blickwinkeln– Datenschutz– Datensicherheit– Personalrat– Haftung– Telemediengesetz– Signaturgesetz

Seite 24

Recht: Datenschutz

• Authentifizierung durch die Hochschule

– Vorteil: Anonymität gegenüber Anbieter– Voraussetzung: Vorhandenes IDM

• Datenschutzrechtliche Fragen bei Errichtung• Landesrechtliche Besonderheiten

– Problem: Grundsatz der Zweckbindung• Authentifizierung ist ggf. zweckändernde Nutzung

– Erfordert gesetzliche Erlaubnis oder Einwilligung

Seite 25

Recht: Einwilligung

– Lösung: Elektronische Einwilligung auf der Startseite:

Beispiel:Mit der Verwendung der zu meiner elektronischen Hochschulidentität gespeicherten Daten zur Prüfung der Berechtigung zur Nutzung von mir ausgewählter Dienste bin ich einverstanden.

User ID …Passwort …

Seite 26

Recht: Datensicherheit

• Vertraulichkeit durch Verschlüsselung

– § 9 BDSG und vglb. Normen LDSGe• Technische und organisatorische Maßnahmen

– Schutz der Übermittelten Inhalte vor unautorisierten Zugriffen

Seite 27

Recht: Personalrat

• Mitarbeiter als Nutzer– Authentifizierung in der Einrichtung ermöglicht

festzustellen, welcher Nutzer auf welchen Anbieter zugegriffen hat (nicht Inhalte)

• Technische Leistungs- und Verhaltenskontrolle – z.B. § 72 Abs. 3 Nr. 2 LPersVG NRW– Objektive Eignung hierzu ausreichend

• Personalrat sollte beteiligt werden!

Seite 28

Recht: Haftung

• Missbräuchliche Nutzung– Weil z.B. Identität nicht korrekt gepflegt (kein neues

Problem)– DFN - Anbieter: Haftungsbeschränkungen geregelt

• DFN steht für die korrekte Übermittlung• DFN wirkt darauf hin, dass IDM von Hochschulen gepflegt ist

• Aufgabe Hochschulen– Hochschule - Anbieter: Lizenzvereinbarungen prüfen!– Gewährleistung ordentlicher Pflege IDM

• Unter dem Strich: Mit AAI wird Haftungsrisiko ggü. heutigem Stand aber durch Einbindung IDM eher geringer!

Seite 29

Recht: Haftung

• Nutzer kann Angebot nicht nutzen, weil IDM nicht erreichbar oder nicht korrekt ist– Beispiel: Anmeldung zur Prüfung kann nicht

erfolgen, weil DFN-AAI nicht verfügbar -> Frist verstreicht

• Haftungsbeschränkungen• Alternativen• Kulanz

– z.B. durch Fristverlängerung

Seite 30

Recht: Telemediengesetz (TMG)

• Für Hochschulen relevant, wenn sie selbst Anbieter sind:

– Informationspflichten §§ 4 – 6 TMG– Verantwortlichkeit §§ 7 – 10 TMG– Datenschutz §§ 11 – 15 TMG

• Wird außerhalb dieses Diskussionsforums behandelt

Seite 31

Recht: Signaturgesetz

• DFN-PKI: Fortgeschrittene Signatur – erfüllt nicht die Erfordernisse der Schriftform

i.S.v. § 126a BGB und § 3a VwVfG

• Hierauf kommt es bei Server- und Einzelzertifikaten auch nicht an– Geeignetheit zur Herstellung eines

Vertrauensverhältnisses– DFN-PKI: Starke Policy und persönliche

Identifizierung

Seite 32

Gliederung

• Herausforderung und Beispiele• Nutzen• Sicherheit• Rechtliche Sicht• Zusammenfassung und Ausblick

Seite 33

Zukunftssicherheit / Verbreitung

• DFN-PKI zukunftssicher– Globales Vertrauen durch "Root im Browser"– Aufgestellt auch für Massenerzeugung von Zertifikaten– >100 Einrichtungen nehmen bereits an DFN-PKI teil

• Software für DFN-AAI stammt aus Internet2– Dynamische Weiterentwicklung– Ist international de facto Standard ("shibboleth")

• Viele Anwendungsfälle sind im entstehen– Bibliotheken– Wissenschaftliche Verlage– eLearning Verbünde (z.B. "SaXis")

Seite 34

Leistung von DFN

• Fortgeschrittene Zertifikate über Dienst DFN-PKI• Betrieb der technischen Infrastruktur DFN-AAI• Vertragspartner für Teilnehmer (insbesondere

Hochschulen) und externe Anbieter (z.B. Verlage)• Laufende Anpassung an neue Anwendungsfälle

– Verlage, Bibliotheken, eLearning, Grid uvm.• Organisation der internationalen Einbettung• Beratung und Schulung• Nicht Leistung von DFN: Lizenzverträge (z.B. mit

Verlagen)

Seite 35

Beispiele: Zugriff auf Verlag

Hochschule A

Nutzerdaten (IDM)

Lizenz-vereinbarung

Berech-tigungen

Authentifizierungs-und

Autorisierungs-Infrastruktur

1. Herr X will lizenz-ierten Artikel lesen

2. Herr X ist Mitarbeiter 3. Mitarbeiter der

Hochschule A will Artikel lesen

Verlag ABC

4. Mitarbeiter der Hochschule A sind berechtigt

DFN-AAI

Seite 36

Mitwirkung: Hochschulen

• Geregelt im Teilnehmervertrag – Der Teilnehmer betreibt ein System zur

Nutzerverwaltung und stellt sicher, dass seinen Nutzern Attribute zugeordnet werden und Änderungen zeitnah (innerhalb von zwei Wochen) in der Nutzerverwaltung gepflegt werden.

• Betrieb eines eigenen IDM• Teilnahme am Dienst DFN-PKI

Seite 37

Aufwand für Hochschulen

• Nutzung DFN-AAI und DFN-PKI für Teilnehmer von DFNInternet entgeltfrei

• Aufbau und Betrieb von IDM– hochschulweite Aufgabe– langfristig bedeutende Effizienz-Potentiale!

• Betrieb eine Registrierungsstelle von DFN-PKI– Identifizierung von Personen und Bearbeitung von Anträgen für die

Ausstellung von digitalen Zertifikaten– Wesentlich geringerer Aufwand als für eine selbst betriebene

Zertifizierungsstelle

• hochschulinterne Prozesse auf die kommenden Herausforderungen anpassen

Seite 38

Zeitplan DFN-AAI

• seit Januar 2006: Regelbetrieb DFN-PKI• November 2006: Konzept DFN-AAI fertig• seit März 2007: Pilotbetrieb• seit April 2007: Teilnehmervertrag fertig• seit Mai 2007: Akquisition weiterer Anbietern

(z.Zt. aktuell: Verlage)• Geplant ab Herbst 2007: Regelbetrieb• Geplant ab 2008: Hochverfügbarkeit durch

Redundanzkonzept

Seite 39

Fragen ...?

? ??