Im Rahmen einer selbst entwickelten Anwendung zur onlinegestützten Klausuranmeldung behandelt diese Arbeit zu berücksichtigende Datenschutzbestimmungen und setzt sich mit der Datensicherheit bei Online-Anwendungen (SQL-Injection, Cross-Site-Scripting,...) auseinander. Es werden Sicherheitsmaßnahmen gegenüber konkreten Angriffsszenarien vorgestellt und deren Implementierung aufgezeigt.
Inhaltsverzeichnis
1. EINLEITUNG
2. DATENSCHUTZ UND DATENSICHERHEIT
2.1 Datenschutzaspekte von Klausuranmeldungen
2.1.1 Definition des Begriffs Datenschutz
2.1.2 Entwicklung des Datenschutzes
2.1.3 Geltungsbereiche der Datenschutzgesetze
2.1.4 Richtlinien für den Datenschutz
2.1.5 Veröffentlichung von Klausurergebnissen
2.2 Bedrohungsszenarien für Internetanwendungen
2.2.1 Definition des Begriffs Datensicherheit
2.2.2 Schäden durch Bedrohungen
2.2.3 Bedrohungsszenario SQL-Injection
2.2.4 Maßnahmen zum Schutz des Datenbanksystems
2.2.5 Maßnahmen zum Schutz von PHP/ MYSQL -Anwendungen
2.2.6 Bedrohungsszenario Cross-Site-Scripting
2.2.7 Angriffsflächen bei der Übergabe von Variablen
3. VORSTELLUNG DES „KASIB“
3.1 Mängel der bisherigen Lösung
3.2 Öffentlicher Bereich des Systems
3.2.1 Erstanmeldung
3.2.2 Anmeldung über Benutzername und Passwort
3.2.3 Abmeldung
3.2.4 Auflistung der Klausuranmeldungen
3.3 Verwaltungsbereich
3.3.1 Neue Klausur hinzufügen
3.3.2 Angaben eines Klausurtermins ändern
3.3.3 Noten zu einer Klausur eintragen
3.3.4 Link zu veröffentlichten Klausurergebnissen mailen
3.3.5 Daten exportieren
4. SICHERHEITSASPEKTE DES SYSTEMS
4.1 Überprüfung auf Einhaltung der Datenschutzbestimmungen
4.1.1 Erfassung der Anmeldedaten
4.1.2 Veröffentlichung von Prüfungsergebnissen über die Anwendung
4.2 Datensicherheit des KASIB
4.2.1 Architektur
4.2.2 Programmablauf und Fehlerbehandlung
5. VORSTELLUNG ANDERER KLAUSURANMELDESYSTEME
5.1 Virtuelles Prüfungsamt der Fachhochschule Bielefeld
5.1.1 Architektur
5.1.2 Öffentlicher Bereich
5.1.3 Verwaltungsbereich
5.1.4 Administrationsfunktionen
5.1.5 Fazit
5.2 FlexNow
5.2.1 Architektur
5.2.2 Öffentlicher Bereich
5.2.3 Verwaltungsbereich
5.2.4 Fazit
6. FAZIT UND AUSBLICK
Zielsetzung & Themen
Das Hauptziel dieser Arbeit besteht in der Optimierung des bestehenden, internetbasierten Klausuranmeldeverfahrens des Instituts für Betriebswirtschaftslehre durch die Entwicklung des KASIB-Systems, wobei der Fokus auf datenschutzrechtlicher Konformität und der Absicherung gegen gängige Angriffsszenarien liegt.
- Analyse datenschutzrechtlicher Grundlagen und Anforderungen an Internetanwendungen im Hochschulbereich.
- Identifikation und Abwehr von Sicherheitsbedrohungen wie SQL-Injection und Cross-Site-Scripting.
- Entwurf und Implementierung eines funktionalen, anwenderfreundlichen Klausuranmeldesystems mit Verwaltungsmodul.
- Vergleichende Untersuchung etablierter Anmeldesysteme (Virtuelles Prüfungsamt FH Bielefeld, FlexNow) zur Bewertung des KASIB-Ansatzes.
Auszug aus dem Buch
2.2.3 Bedrohungsszenario SQL-Injection
Schon vor der eigentlichen Programmierung des KASIB wurden bereits im Vorfeld mögliche Sicherheitsrisiken analysiert, mit dem Ziel, diese Risiken im Laufe der Entwicklung zu minimieren. Bei Datenbankanwendungen stellt vor allem der Zugriffsprozess auf die Datensätze eine entscheidende Rolle. Viele Angriffsmethoden setzen an diesem Punkt an, da hier tief in das gesamte System eingegriffen werden kann. Ein weit verbreitetes Angriffsszenario ist die Erlangung von Zugriff auf die Datenbank über so genannte SQL-Injections (nach [1&1 Internet AG 2004], [Friedl 2005], [Kiesel 2003], [Wikipedia 2005b]).
Sollen Benutzereingaben in einer Datenbank gespeichert werden, dann werden diese meist aus Formularfeldern ausgelesen und die ermittelten Werte werden an das Programm übergeben. Dieses baut intern eine Verbindung zur Datenbank auf und fügt die zwischengespeicherten Daten in die Datenbank ein.
Zusammenfassung der Kapitel
1. EINLEITUNG: Darstellung der Motivation hinter dem KASIB zur Automatisierung von Verwaltungsaufgaben unter Berücksichtigung von Sparzwängen an Universitäten.
2. DATENSCHUTZ UND DATENSICHERHEIT: Theoretische Untersuchung gesetzlicher Datenschutzanforderungen und Analyse technischer Bedrohungsszenarien für datenbankgestützte Webanwendungen.
3. VORSTELLUNG DES „KASIB“: Detaillierte Beschreibung der Systemfunktionen für Studierende und Verwaltung, basierend auf einer Optimierung des vorangegangenen, manuellen Verfahrens.
4. SICHERHEITSASPEKTE DES SYSTEMS: Evaluation der umgesetzten Sicherheitsmaßnahmen zur Einhaltung von Datenschutzvorgaben sowie der technischen Implementierung zum Schutz gegen Angriffe.
5. VORSTELLUNG ANDERER KLAUSURANMELDESYSTEME: Untersuchung und Vergleich von Alternativlösungen wie dem Virtuellen Prüfungsamt der FH Bielefeld und FlexNow.
6. FAZIT UND AUSBLICK: Zusammenfassende Bewertung der KASIB-Entwicklung im Vergleich zu größeren Systemen und Einschätzung zukünftiger Anforderungen.
Schlüsselwörter
Klausuranmeldung, Datenschutz, Datensicherheit, SQL-Injection, Cross-Site-Scripting, KASIB, PHP, Datenbank, Informatik, Hochschulverwaltung, IT-Sicherheit, Webanwendung, Session-Handling, Anmeldeverfahren.
Häufig gestellte Fragen
Worum geht es in dieser Arbeit?
Die Arbeit beschäftigt sich mit dem Entwurf und der technischen Implementierung eines internetbasierten Systems zur Verwaltung von Klausuranmeldungen am Institut für Betriebswirtschaftslehre.
Was sind die zentralen Themenfelder?
Die Schwerpunkte liegen auf der Schnittstelle zwischen datenschutzrechtlichen Anforderungen, der technischen Datensicherheit bei Webanwendungen und der praktischen Umsetzung effizienter Verwaltungsprozesse.
Was ist das primäre Ziel des KASIB?
Das Ziel ist die Optimierung des bestehenden, manuellen Klausuranmeldeverfahrens durch ein automatisiertes, webbasiertes System, das sowohl den Studierenden als auch der Verwaltung den Prozess erleichtert.
Welche wissenschaftliche Methode wird verwendet?
Es handelt sich um einen entwicklungszentrierten Ansatz, der Theorieanalyse (Datenschutzgesetze, Angriffsszenarien) mit der praktischen Systementwicklung sowie einem Benchmarking durch Vergleichsanalysen anderer Systeme kombiniert.
Was wird im Hauptteil behandelt?
Der Hauptteil gliedert sich in eine theoretische fundierte Bedrohungsanalyse, die ausführliche Vorstellung der KASIB-Funktionen anhand von Beispielen sowie die Sicherheitsbewertung der gewählten Systemarchitektur.
Welche Keywords charakterisieren die Arbeit?
Klausuranmeldung, Datenschutz, Datensicherheit, SQL-Injection, Cross-Site-Scripting, KASIB und IT-Sicherheit sind die prägenden Begriffe.
Wie unterscheidet sich KASIB von FlexNow?
KASIB ist als eine spezialisierte Insellösung für ein einzelnes Institut konzipiert, während FlexNow ein hochkomplexes, modulares System darstellt, das die gesamte Organisationsstruktur einer Universität abbilden kann.
Warum ist Datenschutz bei Klausuranmeldungen so kritisch?
Da bei Prüfungsanmeldungen sensible, personenbezogene Daten verarbeitet werden, muss sichergestellt sein, dass diese Daten vor unbefugtem Zugriff geschützt sind und die Privatsphäre der Studierenden gewahrt bleibt.
Wie geht das KASIB mit dem Problem von SQL-Injections um?
Das System nutzt Sicherheitsmechanismen wie das Escaping von Eingabedaten und restriktive Programmierung, um das Einschleusen von bösartigem SQL-Code in Datenbankabfragen zu verhindern.
Warum wurde bei KASIB auf Javascript verzichtet?
Es wurde bewusst auf Javascript verzichtet, um die volle Funktionalität des Systems für alle Studierenden zu gewährleisten, unabhängig von den Sicherheitseinstellungen ihrer jeweiligen Browser.
- Quote paper
- Marcel Minke (Author), 2005, Entwurf und Implementierung eines Online-Klausuranmeldesystems unter besonderer Berücksichtigung datenschutzrechtlicher Aspekte, Munich, GRIN Verlag, https://www.grin.com/document/38223
