Vor kurzem endete an der Universität Leipzig die Ringvorlesung „Informatik in der Praxis: Wirtschaft und Industrie“ des aktuellen Sommersemesters. Im kleinen Hörsaal, in der Spitze des Augusteums, hielt meine Arbeitsgruppe samt mir die Abschlusspräsentation über alternative Zugangsmöglichkeiten für Webanwendungen. Welche Zugangsmöglichkeiten wir favorisiert und welches Fazit wir zur Ringvorlesung gezogen haben, erfahrt ihr hier.
Zuerst: Für uns Studenten war die Ringvorlesung eine willkommene Abwechslung zu den sonst rein theoretischen Veranstaltungen im Vorlesungsverzeichnis. Ein solches Angebot bieten meist praxisorientierte Hochschulen und Fachhochschulen an. Für eine Universität ist eine solche Zusammenarbeit mit Praxispartnern aus der Wirtschaft durchaus selten und für uns Studenten daher umso interessanter.
Die Ringvorlesung wird durch Partner der Community ITmitte.de ermöglicht, welche praktische Themen zur Verfügung stellen und damit die Studenten für eine Projektarbeit begeistern. Einer der Praxispartner war dieses Mal auch die forcont business technology gmbh. Mit dem Thema „Zugangsmöglichkeiten zu Webanwendungen“ schaffte es forcont meine Kommilitonen (Nicole, Martin, Benedict und Johann) und mich zu locken. Wir wählten dieses Thema, da wir selbst an der eigenen Sicherheit im Internet interessiert sind.
Zu Beginn unserer Arbeit haben wir überprüft, welche Anmeldeverfahren für Webanwendungen möglich sind. Da sich die Verfahren zum Teil sehr ähnlich sind, folgte eine erste Eingrenzung, um herauszufinden, welche wir davon näher betrachten sollten. Danach begann die eigentliche Arbeit. Unser Team traf sich mehrmals wöchentlich, um die gesammelten Informationen über die einzelnen Verfahren auszuwerten. Dabei kam es oftmals zu umfangreichen Diskussionen. Jeder hatte ein Verfahren, welches er optimal fand. Es gab jedoch auch immer einen in der Gruppe, der dieses kritisierte. Schlussendlich legten wir Bewertungsmaßstäbe fest, mit denen wir die betrachteten Verfahren anhand des gesammelten Informationsmaterials rein objektiv bewerten konnten. Es entstand eine umfangreiche Ausarbeitung, in der wir die einzelnen Verfahren zuerst beschrieben und anschließend anhand verschiedener Kriterien (z. B. Sicherheit, Kosten oder Nutzerakzeptanz) in einer Ergebnismatrix abgebildet und ausgewertet haben.
Das Ergebnis dieser Betrachtung ergab, dass die Zwei-Faktor-Authentifizierung (2FA) die optimalsten Zugangsmöglichkeiten zu Webanwendungen bietet. Das Prinzip dieses Verfahrens wird eigentlich bereits im Namen genannt. Es gibt zwei Faktoren mit denen man sich beim Anmeldeverfahren authentifiziert. Diese 2 Faktoren sind bspw. etwas was man weiß (z. B. eine PIN) und etwas was man besitzt (z. B. eine EC-Karte). Besonders begeistert war unsere Gruppe bei der Untersuchung vom YubiKey. Der YubiKey ist ein USB-Key, der nicht nur durch hohe Sicherheit, sondern auch durch seine simple Bedienbarkeit glänzt: Benutzernamen im Anmeldefenster eingeben, anschließend YubiKey in den Rechner stecken, Taste auf dem Stick drücken, fertig.
Im Anschluss unserer schriftliche Ausarbeitung haben wir uns an die Entwicklung von Beispielanwendungen unserer drei favorisierten Verfahren gemacht:
- mPIN
Hierbei wird ein PIN an die hinterlegte Mobilfunknummer des Nutzers gesendet, welchen er zur Authentifizierung eingeben muss. - YubiKey
Wie schon beschrieben, wird beim YubiKey-Verfahren zusätzlich ein Passwort vom Stick übertragen. - eMail-PIN
Hierbei wird der PIN zur Authentifizierung an die E-Mail-Adresse des Nutzers gesendet.
Gerne hätten wir noch weitere Verfahren wie Rublon und Kerberos realisiert, um auch diese auf Herz und Nieren zu testen. Doch die Zeit für das Projekt war leider beschränkt, so dass wir uns für Qualität statt Quantität bei der Entwicklung entschieden haben. Bei der Abschlusspräsentation haben wir diese Anwendungen dann live vorgeführt und gezeigt, wie die Verfahren funktionieren.
Alles in allem sind wir mit unserer Arbeit recht zufrieden, da wir in der Kürze der Zeit ein umfangreiches Ergebnis hervorgebracht haben. Natürlich war es auch spannend, Einblicke in die Praxis zu erlangen, die Arbeit im Team kennenzulernen, und mit unseren Praxispartnern zusammenzuarbeiten. Die Ringvorlesung können wir daher anderen Studenten wirklich sehr weiterempfehlen und ich denke unsere Gruppe wird forcont als Praxispartner in guter Erinnerung behalten.
Ringvorlesung gestartet (Blogbeitrag)
Gelungenes Finale der IT-Ringvorlesung (News der Community ITmitte.de)