In der Sonderausgabe der FU-Nachrichten zur Reorganisation und Verwaltungsmodernisierung kritisierte der FU-Absolvent Niclas Dewitz in einem Interview, dass man bei der Nutzung des FU-Bibliothekskatalogs <http://opac.fu-berlin.de/> unnötigerweise vor einem angeblich ungültigen Sicherheitszertifikat gewarnt würde. Dazu erreichte uns eine Stellungnahme des Leiters der Zugangsbearbeitung und des IT-Sicherheitsbeauftragten der UB.
Herrn Dewitz Kritik basiert auf eigenen Erfahrungen. Unglücklicherweise benutzte er einen Apple-Rechner mit Internet Explorer, denn der IE für Macintosh ist der einzige (uns bekannte) Browser, bei dem es zu dem genannten Problem kommt. Eine Nachfrage in der UB oder ein Test mit beliebigen anderen Browsern oder Betriebssystemen hätte Herrn Dewitz vor seiner falschen Verallgemeinerung bewahrt. Der Vergleich mit der TU zeigt überdies ein hohes Maß an Unverständnis für Sicherheits- und Verschlüsselungsfragen.
Die FU legt großen Wert auf hohe Sicherheitsstandards. Dazu gehören verschlüsselte Verbindungen bei der Übertragung von personenbezogenen Daten. Wenn Nutzer sich im Onlinekatalog anmelden, um Bücher zu bestellen oder zu verlängern, kommt es zu schützenswerten Datenübertragungen. Deshalb ist der FU-Onlinekatalog über eine verschlüsselte Http-Verbindung zu erreichen, erkennbar an dem s in der Protokollbezeichnung der URL https:// statt http://.
Um verschlüsselte Verbindungen aufzubauen, muss ein Sicherheitszertifikat akzeptiert und ein entsprechender &Mac226;Schlüssel generiert werden. Aus praktischen und finanziellen Gründen verwenden wir zur Zeit ein selbst ausgestelltes Zertifikat. Solche Zertifikate werden von allen Browsern zunächst als unsicher eingestuft, weil sie nicht als einer übergeordneten Stelle bekannt bestätigt werden. Für den gewünschten Zweck der verschlüsselten Verbindung ist das Zertifikat jedoch völlig ausreichend.
Das Zertifikat muss aber vom Nutzer akzeptiert werden und kann bei fast allen Browsern mit Ausnahme des IE für Macintosh permanent gespeichert werden. Eine entsprechende Beschreibung findet sich in der Onlinehilfe des Katalogs unter dem Stichwort HTTPS und SSL.
Die Verwendung eines Zertifikats für den Zugriff auf den FU-Katalog im Vergleich mit den unverschlüsselten Verbindungen der anderen Berliner Universitäten sollte eigentlich Anlass zur Freude sein, weil sie die Sorgfalt der FU im Umgang mit personenbezogenen Daten an der FU zeigt.
Vor diesem Hintergrund ist die Kritik doppelt ärgerlich, weil sie nicht nur von der gänzlichen Unkenntnis der Sicherheitsproblematik zeugt, sondern auch das vielfältige und kaum zu übersehende Auskunftsangebot ignoriert.
Wir werden die Kritik aber zum Anlass nehmen, komfortablere Zertifizierungsalternativen im FU-Bereich zu prüfen. Das wird zwar Geld kosten, könnte aber einem sorglosen Umgang der Nutzer mit Sicherheitswarnungen vorbeugen.
Remco van Capelleveen & Andreas Sabisch
|