IT-Sicherheit und Datenschutz am Beispiel des Informationssystems ...

Fachhochschule Erfurt 

University of Applied Sciences 

Studiengang Angewandte Informatik 

Bachelorarbeit 

IT-Sicherheit und Datenschutz 

am Beispiel des 

Informationssystems 

„Prüfungsergebnisse Online“ 

Christian Münscher 

05. März 1979 in Eschwege 

Matrikel-Nummer 111058633 

6. September 2004 

betreut von Dr. Ines Rossak 

zweites Gutachten durch Dr. Rüdiger Schmidt

Zusammenfassung 

Nach allgemeinen Einführungen in Datenschutz und IT-Sicherheit werden eini- 

ge relevante bestehende Systeme betrachtet. Die bestehenden Systeme können 

aus in der Arbeit dargelegten Gründen nicht oder erst in einigen Jahren zum 

Einsatz kommen. Darum wird ein eigenes System entwickelt, das den Anfor- 

derungen des Datenschutzes entspricht. Die Umsetzung geschieht in Java, der 

Abruf der Prüfungsergebnisse geschieht über einen Webbrowser. 

Abstract 

After general introductions into privacy and computer security some relevant 

existing systems are being reviewed. The existing systems cannot come to use 

or can come to use not until some years have passed because of the reasons 

outlined in the bachelor’s thesis. Therefore a system is being developed that 

complies with the requirements of privacy. The implementation is done in Java, 

the exam results are obtainable via a web browser.

Inhaltsverzeichnis 

Abbildungsverzeichnis v 

Tabellenverzeichnis vi 

Abkürzungsverzeichnis vi 

1. Einleitung 1 

2. Datenschutz 3 

2.1. Definition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 

2.2. Geschichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 

3. IT-Sicherheit 5 

3.1. Was bedeutet IT-Sicherheit? . . . . . . . . . . . . . . . . . . . . 5 

3.2. Mögliche Gefahren . . . . . . . . . . . . . . . . . . . . . . . . . 7 

3.2.1. Bedrohungen in Netzen . . . . . . . . . . . . . . . . . . . 7 

3.2.2. Personen . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 

3.3. Schutzbedarfsfeststellung . . . . . . . . . . . . . . . . . . . . . . 8 

3.4. Möglichkeiten der Gefahrenabwehr . . . . . . . . . . . . . . . . 9 

3.4.1. Technische Maßnahmen . . . . . . . . . . . . . . . . . . 9 

3.4.2. Organisatorische Sicherheitsmaßnahmen . . . . . . . . . 11 

3.5. Rechtliche Möglichkeiten . . . . . . . . . . . . . . . . . . . . . . 12 

ii

Inhaltsverzeichnis iii 

4. Bestehende Systeme 14 

4.1. HIS QIS Modul POS . . . . . . . . . . . . . . . . . . . . . . . . 14 

4.2. SNEP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 

4.3. Stud.IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 

5. Informationssystem „Prüfungsergebnisse Online“ 18 

5.1. Motivation zur Eigenentwicklung . . . . . . . . . . . . . . . . . 18 

5.2. Zielgruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 

5.3. Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 

5.3.1. Was das Informationssystem leisten soll . . . . . . . . . . 19 

5.3.2. Anforderungen des Datenschutzes . . . . . . . . . . . . . 20 

5.3.3. Anforderungen an die IT-Sicherheit . . . . . . . . . . . . 21 

5.4. Objektorientierte Modellierung . . . . . . . . . . . . . . . . . . 23 

5.5. Webdesign . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 

5.6. Datenbankdesign . . . . . . . . . . . . . . . . . . . . . . . . . . 25 

5.6.1. Datenmodell . . . . . . . . . . . . . . . . . . . . . . . . . 25 

5.6.2. Beschreibung der Entitäten . . . . . . . . . . . . . . . . 25 

5.6.3. Beschreibung der Beziehungen . . . . . . . . . . . . . . . 32 

5.6.4. Benutzergruppen und Szenarien . . . . . . . . . . . . . . 33 

5.6.5. Sichten und Rechte . . . . . . . . . . . . . . . . . . . . . 34 

5.7. Implementierung des Informationssystems . . . . . . . . . . . . 36 

5.7.1. Eingesetzte Software . . . . . . . . . . . . . . . . . . . . 36 

5.7.2. Programmierung . . . . . . . . . . . . . . . . . . . . . . 38 

5.8. Erläuterung der Funktion . . . . . . . . . . . . . . . . . . . . . 38 

6. Ausblick 39 

Literaturverzeichnis 41 

A. Anhang 44 

A.1. Datenmodell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 

A.2. Webdesign . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 

A.3. Quelltext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

Inhaltsverzeichnis iv 

Selbständigkeitserklärung . . . . . . . . . . . . . . . . . . . . . . . . 57

Abbildungsverzeichnis 

3.1. Kosten/Nutzen Kurve Sicherheit . . . . . . . . . . . . . . . . . . 5 

5.1. Anwendungsfalldiagramm des Gesamtsystems . . . . . . . . . . 24 

A.1. Relationales Datenmodell . . . . . . . . . . . . . . . . . . . . . 45 

A.2. Webdesign Entwurf Ansicht unangemeldet . . . . . . . . . . . . 46 

A.3. Webdesign Entwurf Startseite . . . . . . . . . . . . . . . . . . . 47 

A.4. Webdesign Entwurf Notenspiegel . . . . . . . . . . . . . . . . . 48 

A.5. Webdesign Entwurf Versand per E-Mail . . . . . . . . . . . . . . 49 

A.6. Webdesign Entwurf Passwort ändern . . . . . . . . . . . . . . . 50 

A.7. Webdesign Entwurf Abmeldung erfolgreich . . . . . . . . . . . . 51 

A.8. Webdesign Entwurf Passwortänderung erfolgreich . . . . . . . . 52 

A.9. Webdesign Entwurf allgemeiner Fehler . . . . . . . . . . . . . . 53 

A.10.Webdesign Entwurf Anmeldung fehlgeschlagen . . . . . . . . . . 54 

A.11.Webdesign Entwurf Passwortänderung fehlgeschlagen . . . . . . 55 

A.12.Webdesign Entwurf Impressum . . . . . . . . . . . . . . . . . . 56 

v

Tabellenverzeichnis 

5.1. Sicht und Berechtigungen unangemeldeter Nutzer . . . . . . . . 34 

5.2. Sicht und Berechtigungen angemeldeter Nutzer . . . . . . . . . . 35 

5.3. Sicht und Berechtigungen des Administrators . . . . . . . . . . . 36 

vi

Abkürzungsverzeichnis 

AES Advanced Encryption Standard 

BDSG Bundesdatenschutzgesetz 

BRD Bundesrepuplik Deutschland 

BSD Berkeley Software Distribution 

BSI Bundesamt für Sicherheit in der Informationstechnik 

BVerfG Bundesverfassungsgericht 

DBMS Datenbank Management System 

DMZ Demilitarisierte Zone 

GPL GNU General Public License 

HIS Hochschulinformationssystem 

HIS GmbH Hochschul-Informations-System GmbH 

IT-Gshb IT-Grundschutzhandbuch 

JSP Java Server Pages 

PDF Portable Document Format 

PIN Persönliche Identifikations-Nummer 

vii

Tabellenverzeichnis viii 

SSL Secure Socket Layer 

StGB Strafgesetzbuch 

ThürDSG Thüringer Datenschutzgesetz 

ThürHG Thüringer Hochschulgesetz 

XHTML Extensible HyperText Markup Language

1. Einleitung 

Der Online-Abruf von Prüfungsergebnissen stellt eine große Vereinfachung für 

die Studierenden und das Prüfungsamt dar. Notenspiegel können von zuhause, 

in der vorlesungsfreien Zeit vom hunderte Kilometer entfernt gelegenen Wohn- 

ort der Eltern oder vom Praktikumsbetrieb im Ausland aus eingesehen werden. 

Studierende können so in Erfahrung bringen, ob und mit welcher Bewertung 

sie Prüfungen bestanden haben. Im Falle des Nichtbestehens einer Prüfung 

kann der Proband sich zeitnah mit dem Gedanken einer Nachprüfung vertraut 

machen und entsprechend vorbereiten. 

Zum Zeitpunkt der Erstellung dieser Arbeit 1 existiert an der Fachhochschu- 

le Erfurt kein System, das Studierenden den Online-Abruf von Prüfungsergeb- 

nissen ermöglicht. Nach Plänen der Hochschulleitung und des Rechenzentrums 

soll in zwei bis drei Jahren ein Modul für das an der Fachhochschule Erfurt ein- 

gesetzte HIS 2 diese Funktionalität anbieten. Studierende müssen sich bisher im 

Prüfungsamt, am Aushang des jeweiligen Studienganges oder bei den Dozenten 

selbst über ihre Prüfungsleistungen informieren. Gerade in der vorlesungsfreien 

Zeit gestaltet sich das aufgrund von Urlaub und teilweise geänderten Sprech- 

zeiten manchmal recht schwierig. 

Im Rahmen dieser Bachelorarbeit soll ein einfaches System geschaffen wer- 

den, dass den Studierenden bis zur Umsetzung der Pläne der Hochschulleitung 

als Interims-Lösung den Online-Abruf von Prüfungsergebnissen ermöglicht. 

Dabei muss insbesondere der Schutz der persönlichen Daten der Studierenden 

1 Juli bis September 2004 

2 Hochschulinformationssystem 

1

1. Einleitung 2 

gewährleistet sein. Dem soll durch den Einsatz verschiedener Massnahmen der 

IT-Sicherheit 3 Rechnung getragen werden. 

Eine allgemeine Einführung in den Datenschutz gibt das Kapitel 2. Die drin- 

gende Notwendigkeit der intensiven Beschäftigung mit IT-Sicherheit erläutert 

Kapitel 3. Einige schon bestehende Systeme werden in Kapitel 4 kurz vorge- 

stellt. Die sich aus diesem Kapitel ergebende Motivation zur Eigenentwick- 

lung eines Informationssystems sowie das System selbst in allen Einzelheiten 

soll Kapitel 5 veranschaulichen. Dabei werden die speziell in diesem Falle gel- 

tenden datenschutzrechtlichen Rahmenbedingungen detailliert dargelegt. Die 

daraus resultierenden Anforderungen an die IT-Sicherheit werden ausführlich 

behandelt. In der abschließenden Betrachtung des 6. Kapitels werden einige 

weiterführende Möglichkeiten aufgezeigt, die sich nach der Entwicklung des 

Systems ergeben. 

3 Sicherheit in der Informationstechnik

2. Datenschutz 

2.1. Definition 

Datenschutz lässt sich folgendermaßen definieren: 

„Gesetzlicher Schutz vor dem Missbrauch von (insbesondere per- 

sönlichen) Daten und gegen die unbefugte Nutzung und Verwer- 

tung in Datenbanken. Grundlage ist nach einem Urteil des BVerfG 

von 1983 das Grundrecht auf informationelle Selbstbestimmung; 

rechtliche Normen und Mindeststandards für den D., insbesondere 

auch die Einsetzung von Datenschutzbeauftragten, schuf das Bun- 

desdatenschutzgesetz (BDSG) i.d.F. von 1990.“ [14] 

2.2. Geschichte 

In den 60er Jahren des 20. Jahrhunderts sollten in den USA alle amerikanischen 

StaatsbürgerInnen computertechnisch erfasst werden. Die Bürger setzten sich 

gegen diese Pläne der amerikanischen Regierung zur Wehr, was dazu führte, 

dass ein „Privacy Act“ 1 erlassen wurde und die Erfassung nicht stattfand. 

Der Begriff Datenschutz wurde in Deutschland 1970 mit der Verabschiedung 

des hessischen Datenschutzgesetzes eingeführt. Erst 1978 wurde das BDSG 2 

erlassen, welches für Bundesbehörden und die Privatwirtschaft bestimmte Re- 

geln bei der Datenverarbeitung vorgab. Die Bundesländer entwickelten ent- 

sprechende Landesdatenschutzgesetze für die Landesverwaltungen. 1983 sollte 

1 Privatshpärengesetz 

2 Bundesdatenschutzgesetz 

3

2. Datenschutz 4 

eine Volkszählung in Deutschland durchgeführt werden. Klagen vieler Bürger, 

die sich dadurch in ihren Rechten verletzt fühlten, führten zum berühmten 

Volkszählungsurteil des BVerfG 3 : 

„Unter den Bedingungen der modernen Datenverarbeitung wird 

der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speiche- 

rung, Verwendung und Weitergabe seiner persönlichen Daten von 

dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 in Verbin- 

dung mit Art. 1 Abs. 1 GG umfaßt. Das Grundrecht gewährleistet 

insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die 

Preisgabe und Verwendung seiner persönlichen Daten zu bestim- 

men.“ [3] 

Die Bundesgesetzgebung wurde erst 1990 an die Forderungen des BVerfG an- 

gepasst. 2001 wurde mit dreijähriger Verspätung gegenüber den Fristen der 

Europäischen Union die europäische Datenschutzrichtlinie umgesetzt. Weitere 

Überarbeitungen des Gesetzes sind geplant (in Anlehnung an [6, S. 48ff]). 

3 Bundesverfassungsgericht

3. IT-Sicherheit 

3.1. Was bedeutet IT-Sicherheit? 

„Sicherheit bezeichnet einen Zustand, der frei von Risiken der Be- 

einträchtigung ist oder als gefahrenfrei angesehen wird.“ [19] 

Finanzieller 

Aufwand 

( Kosten) 

Schäden 

Gesamtkosten 

Optimum 

Sicherheitsmaßnahmen 

100% 

Sicherheit 

Abbildung 3.1.: Kosten/Nutzen Kurve Sicherheit (aus [12]) 

Da mit zunehmender Sicherheit die Kosten für Sicherheitsmaßnahmen expo- 

nentiell ansteigen, kann vollständige Sicherheit nicht erreicht werden. Um dem 

5


optimalen Maß an IT-Sicherheit möglichst nahe zu kommen, gibt es einige 

Grundforderungen oder zu erreichende Ziele. [11, S. 8], [12] 

Vertraulichkeit 

Viele Informationen sind nicht für beliebige, sondern nur für bestimmte Emp- 

fänger bestimmt. Wenn z.B. durch die Verschlüsselung von Daten oder durch 

einen Briefumschlag dafür Sorge getragen wird, dass nur derjenige, für den 

eine Information bestimmt ist, Zugang zu dieser erlangt, ist in diesem Falle 

Vertraulichkeit erreicht. [11, S. 8] 

Integrität 

Ist von der Integrität von Daten die Rede, so sind Korrektheit und Unver- 

sehrtheit gemeint. Übertragungsfehler oder auch böswillige Veränderungen an 

Daten können deren Inhalt entstellen oder gar ins Gegenteil verkehren, die 

Integrität ist zerstört. [13] 

Eine spezielle Möglichkeit, die Integrität von Daten sicherzustellen, nutzt 

Authentifikation. Dies geschieht durch die Verknüpfung der Daten mit Infor- 

mationen über den Urheber oder Sender, z.B. in Form einer digitalen Signatur. 

Bei der Authentifikation wird überprüft, ob die zu authentifizierende Person 

diejenige ist, die sie vorgibt zu sein. Dies kann durch bestimmte materielle, 

immaterielle, biometrische oder andere Merkmale geschehen. Auch eine Kom- 

bination von Merkmalen ist möglich, wie z.B. die Verwendung von Bankkarte 

und PIN 1 am Geldautomaten. [19], [11, S. 8f] 

Verfügbarkeit 

Die Verfügbarkeit von Daten oder Diensten ist gegeben, wenn diese zugreifbar 

oder nutzbar sind. Um eine hohe Verfügbarkeit zu erreichen, müssen Schutz- 

maßnahmen eingerichtet werden, die Datenspeicher und Geräte vor Störungen 

oder Ausfällen sichern. [11, S. 9] 

1 Persönliche Identifikations-Nummer


3.2. Mögliche Gefahren 

Computer und die darauf gespeicherten Daten sind gerade in Verbindung 

mit Netzwerken nicht sicher vor Manipulation und Diebstahl. Insbesondere 

im kommerziellen Umfeld können durch Verlust oder Diebstahl von Daten 

existenzielle Schäden entstehen. Die häufigsten Gefahren für Daten und IT- 

Infrastruktur sollen hier kurz erläutert werden (nach [11]). 

3.2.1. Bedrohungen in Netzen 

Als die größte öffentlich bewusste Bedrohung für Daten und Rechner können 

derzeit sicherlich Bedrohungen aus Netzen bezeichnet werden. Diese Bedrohun- 

gen existieren sowohl im öffentlichen Internet als auch (mit Einschränkungen) 

im lokalen oder firmeneigenen Intranet. 

Arbeitsplatzrechner sind dabei besonders von bösartigen Programmen wie 

beispielsweise sich selbst reproduzierenden Computerviren bedroht. Weiterhin 

treten häufig sogenannte Trojanische Pferde mit vor dem Nutzer versteckten 

Funktionen und Würmer auf. Letztere benötigen im Vergleich zu Viren keine 

Benutzerinteraktion, sondern nutzen Sicherheitslücken (Fehler) in Betriebssys- 

temkomponenten oder Software aus, um sich selbstständig in Netzwerken zu 

verbreiten und weitere Rechner zu infizieren. Über Sicherheitslücken in der 

Software mobiler Computer, die sowohl im Internet als auch im internen Netz 

eingesetzt werden, kann es so dazu kommen, dass Würmer ein vermeintlich 

sicheres Intranet ohne Verbindung zum Internet stilllegen. 

Besonders Server, also Daten oder Ressourcen zur Verfügung stellende Com- 

puter, sind oft Ziel von Hackern bzw. Crackern. Ein Hacker im eigentlichen Sin- 

ne ist jemand, der mit hohem Sachverstand und Technikwissen mit Computern 

arbeitet. Trifft ein derartiger Hacker mit guten Absichten bei der Untersuchung 

von Computern und Netzwerken auf Sicherheitslücken im System, würde er den 

Systemadministrator davon in Kenntnis setzen. Ein Cracker oder Hacker mit 

bösartigen Absichten sucht explizit nach Sicherheitslücken, um diese zu meist


kriminellen Zwecken wie dem Diebstahl und Missbrauch von Informationen zu 

nutzen. 

3.2.2. Personen 

Oft wird die Gefahr, die in Organisationen von den eigenen Mitarbeitern aus- 

geht, unterschätzt. Durch sogenanntes Social Engineering, d.h. die Vortäu- 

schung falscher Tatsachen mit Überredungskunst und Beeinflussung, können 

Cracker an viele sicherheitsrelevante Informationen gelangen, die ihnen das 

Eindringen in ein System erleichtern. Bei der häufigsten Variante per Telefon 

geben sich Cracker Mitarbeitern gegenüber als Kollege oder Administrator aus 

und erbitten in fingierter dringlicher Notlage Passwörter und andere Informa- 

tionen. 

Alle Daten, auf die ein Mitarbeiter zugreifen kann, könnte er unter Um- 

ständen auch kopieren und missbrauchen. Bedienfehler führen möglicherweise 

zum Löschen oder versehentlichen Versand von Daten an Unbefugte. Unzu- 

reichend geschulte oder nachlässige Administratoren können durch fehlerhafte 

Konfiguration und mangelnde Wartung von Systemen Daten in Gefahr brin- 

gen. Mitarbeiter sind vielerorts nicht für Sicherheitsprobleme sensibilisiert oder 

wissen nicht von organisationsweiten Sicherheitsvorschriften. 

Physische Angriffe 

Daten bzw. deren Trägermedien oder ganze Serveranlagen können bei einem 

Einbruch physisch entwendet werden. 

3.3. Schutzbedarfsfeststellung 

Aufgrund der Bedrohung, die von den im Abschnitt 3.2 genannten Gefahren 

ausgeht, sollte in Organisationen mit sensiblen Daten der Schutzbedarf festge- 

stellt werden: 

„ Schutzbedarfsfeststellung für IT-Anwendungen


Ziel der Schutzbedarfsfeststellung ist es, für jede erfasste IT-Anwendung 

einschließlich ihrer Daten zu entscheiden, welchen Schutzbedarf sie 

bezüglich Vertraulichkeit, Integrität und Verfügbarkeit besitzt. Die- 

ser Schutzbedarf orientiert sich an den möglichen Schäden, die mit 

einer Beeinträchtigung der betroffenen IT-Anwendung verbunden 

sind. “ [1] 

Das im Internet in elektronischer Form kostenlos zu beziehende, zweieinhalb- 

tausend Seiten umfassende IT-Gshb 2 [1] vom BSI 3 bietet eine genaue Anleitung 

zur Einschätzung der Gefahrenlage. Außerdem enthält es umfangreichste Hin- 

weise und Anweisungen zum Schutz der gesamten IT-Infrastruktur. Für den 

schnellen Einstieg oder für Privatpersonen sind auch [9, 11, 2, 10] geeignet. Je 

nach Ergebnis der Schutzbedarfsanalyse sollten daraufhin mehr oder weniger 

umfangreiche Maßnahmen zur Gefahrenabwehr getroffen werden. 

3.4. Möglichkeiten der Gefahrenabwehr 

Die hier genannten Mittel zur Gefahrenabwehr beziehen sich primär auf die 

im Abschnitt 3.2 genannten Gefahren. Dieser Abschnitt soll nur einen groben, 

unvollständigen Überblick über die zur Verfügung stehenden Möglichkeiten 

bieten, für mehr siehe [11]. 

3.4.1. Technische Maßnahmen 

• Um einen gewissen Schutz vor bösartigen Programmen wie Viren, Tro- 

janern und Würmern zu erreichen, sollten Programme aus nicht ver- 

trauenswürdigen Quellen nicht ausgeführt werden. Der Einsatz einer 

Antivirus-Software 4 wird dringend angeraten. Aufgrund der Tatsache, 

dass täglich mehrere neue Viren entdeckt werden, sollte die Antivirus- 

Software mindestens einmal pro Woche aktualisiert werden. 

2 IT-Grundschutzhandbuch 

3 Bundesamt für Sicherheit in der Informationstechnik 

4 http://www.heise.de/security/dienste/antivirus/


• Gegen Cracker und Würmer, die Softwarelücken ausnutzen, um in Sys- 

teme einzudringen, können sogenannte Firewalls 5 in begrenztem Umfang 

schützen. Firewalls trennen Netzbereiche voneinander und lassen Daten 

nach vorher definierten Regeln passieren oder blocken diese. Wenn das 

zu schützende Netzwerk oder der zu schützende Rechner keine Diens- 

te in das Internet anbietet, kann eine Firewall beispielsweise sämtlichen 

unaufgefordert aus dem Internet eingehenden Netzwerkverkehr blockie- 

ren. Dabei wird zwischen Firewalls, die ganze Netzwerke sichern und 

Personal Firewalls, die einen einzelnen Rechner schützen, unterschieden. 

Zum Schutz ganzer Netzwerke werden häufig zwei Firewalls hinterein- 

ander eingesetzt. Der Bereich zwischen den beiden Firewalls wird als 

DMZ 6 bezeichnet. In der DMZ stehen Webserver und andere Rechner, 

die Dienste in das Internet anbieten. Erst hinter der zweiten Firewall 

befindet sich das eigentliche Intranet. 

• Zusätlich zu Firewalls bietet sich unter Umständen auch der Einsatz eines 

Intrusion-Detecion-Systems 7 an. Diese Systeme dienen zur Erkennung 

eines Einbruchversuchs. Eine Variante der Intrusion-Detection-Systeme 

versucht über eine Analyse des Netzwerkverkehrs, Anomalien festzustel- 

len. Im Alarmfall können Administratoren benachrichtigt, eine detaillier- 

te Protokollierung zur Beweissicherung gestartet oder bestimmte Pro- 

gramme ausgeführt werden. 

• Sowohl für den Zugriff auf Netzwerkressourcen als auch zu den einzel- 

nen Rechnern selbst werden Zugangskontrollsysteme 8 benötigt, die die 

Authentizität der Benutzer prüfen. Zumindest die bei allen gängigen Be- 

triebssystemen mitgelieferten Standardmethoden sollten genutzt werden. 

• Um die Vertraulichkeit sensibler Daten auch im Falle eines Diebstahls 

der Datenträger weitestgehend zu erhalten, sollte die Verschlüsselung der 

5 http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html 

6 Demilitarisierte Zone 

7 http://www.bsi.de/literat/studien/ids/ids-stud.htm 

8 z.B. http://www.heise.de/ix/artikel/2002/04/148/


Daten durch Hard- oder Software 9 in Erwägung gezogen werden, welche 

anerkannte kryptografische Algorithmen wie z.B. AES 10 einsetzt. 

• Ferner ist das Einspielen von Patches sehr wichtig. Patches sind Feh- 

lerkorrekturen für Betriebssysteme oder andere Software. Oft werden so 

Sicherheitslücken, welche von Crackern oder Würmern ausgenutzt wer- 

den könnten, geschlossen. In der Regel wird man auf den Webseiten der 

Hersteller oder spezieller Sicherheitsdienste 11 darüber informiert. 

• Serverdienste, die nicht benötigt werden, sollten abgeschaltet werden. 

Dadurch kann das Risiko, Opfer einer Sicherheitslücke zu werden, mini- 

miert werden. 

• Zur Prüfung der Sicherheit eines Netzwerkes gibt es einige Programme 12 , 

die nach bekannten Sicherheitslücken suchen und im Bedarfsfall Lösungs- 

vorschläge anbieten. 

• Daten sollten regelmäßig gesichert und die Sicherung nach Möglichkeit an 

einem anderen Ort gelagert werden. Im Havariefall kann dann zumindest 

auf einen etwas älteren Datenbestand zurückgegriffen werden. 

• Die Hardware zumindest von Servern sollte redundant ausgelegt sein, um 

Ausfallzeiten zu minimieren und die Verfügbarkeit zu erhöhen. 

3.4.2. Organisatorische Sicherheitsmaßnahmen 

• Es existieren einige Kriterienwerke und Standards, um den Zeit- und 

Arbeitsaufwand für die Sicherung zu reduzieren. Diese sollen hier nur 

kurz aufgelistet werden [11]: 

– IT-Grundschutzhandbuch [1] 

9 z.B. BestCrypt von http://www.jetico.com/ 

10 Advanced Encryption Standard 

11 z.B. http://www.heise.de/security/ 

12 z.B. http://www.insecure.org/nmap/, http://www.nessus.org/


– Taskforce Sicheres Internet 

– ISO TR 13335 

– FIPS 140 

– ISO 17799 

– ITSEC/Common Criteria 

– ISO 9000 

• Ein strukturierter Plan und Handlungsvorschriften die IT-Sicherheit be- 

treffend sollten in einer Sicherheitsrichtlinie festgehalten werden. 

„Eine sinnvolle Sicherheitsrichtlinie legt fest, was getan werden 

muss, um ein IT-System und die gespeicherten Informationen 

zu schützen. Mit ihrer Hilfe können Mitarbeiter leicht entschei- 

den, was und wie es zu tun ist.“ [11] 

Physische Sicherung 

Um den physischen Diebstahl von Datenträgern oder Hardware zumindest zu 

erschweren, müssen bauliche Maßnahmen ergriffen werden. Türen und Fenster 

der entsprechenden Räumlichkeiten sollten speziell gesichert und verschlossen 

sein. Durch den Einsatz einer Alarmanlage kann das Risiko weiter gesenkt 

werden. 

3.5. Rechtliche Möglichkeiten 

Eine juristische Handhabe gegen Kriminelle des digitalen Zeitalters hat man 

nach dem StGB 13 [5] wie folgt: 

„• Paragraph 202a: Ausspähen von Daten 

13 Strafgesetzbuch 

(1) Wer unbefugt Daten, die nicht für ihn bestimmt und die 

gegen unberechtigten Zugang besonders gesichert sind, sich


oder einem anderen beschafft, wird mit Freiheitsstrafe bis zu 

drei Jahren oder mit Geldstrafe bestraft. 

• Paragraph 263a: Computerbetrug 

(1) Wer in der Absicht, sich oder einem Dritten einen rechts- 

widrigen Vermögensvorteil zu verschaffen, das Vermögen ei- 

nes anderen dadurch beschädigt, daß er das Ergebnis eines 

Datenverarbeitungsvorgangs durch unrichtige Gestaltung des 

Programms, durch Verwendung unrichtiger oder unvollstän- 

diger Daten, durch unbefugte Verwendung von Daten oder 

sonst durch unbefugte Einwirkung auf den Ablauf beinflußt, 

wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe 

bestraft. 

• Paragraph 303a: Datenveränderung 

(1) Wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar 

macht oder verändert, wird mit Freiheitsstrafe bis zu zwei 

Jahren oder mit Geldstrafe bestraft, 

• Paragraph 303b: Computersabotage 

(1) Wer eine Datenverarbeitung, die für einen fremden Be- 

trieb, ein fremdes Unternehmen oder eine Behörde von we- 

sentlicher Bedeutung ist, dadurch stört, daß er 

1. eine Tat nach Paragraph 303a Abs. 1 begeht oder 

2. eine Datenverarbeitungsanlage oder einen Datenträger zer- 

stört, beschädigt oder unbrauchbar macht, beseitigt oder 

verändert, 

wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe 

bestraft.“ [9, 5]

4. Bestehende Systeme 

Die hier vorgestellten Systeme stellen nur eine Auswahl der verfügbaren Optio- 

nen dar. Das HIS QIS Modul POS wurde ausgewählt, da es mit an Sicherheit 

grenzender Wahrscheinlichkeit in zwei bis drei Jahren an der Fachhhochschu- 

le Erfurt eingesetzt werden wird. SNEP wurde ausgewählt, da es in Verbin- 

dung mit der Friedrich Schiller Universität Jena entwickelt worden ist und dort 

dessen Einführung zur Disposition steht. Stud.IP wird vorgestellt, da es am 

Fachbereich Sozialwesen der Fachhochschule Jena evaluiert wird. 

4.1. HIS QIS Modul POS 

Die HIS GmbH 1 Hannover bezeichnet sich selbst als das Softwarehaus der 

Hochschulverwaltungen 2 . Das Grundkapital der Gesellschaft stammt zu zwei 

Dritteln von den sechzehn Bundesländer, zu einem Drittel von der BRD 3 . Auf- 

grund dieser Nähe zur öffentlichen Hand wird die Software der HIS GmbH an 

vielen Hochschulen eingesetzt. Die HIS GmbH bietet Software für die Ver- 

waltung nahezu aller Bereiche einer Hochschule an. Der Bezug der Software 

ist für die Hochschulen nicht mit weiteren Kosten verbunden, allerdings zah- 

len die Bundesländer jährlich einen Pauschalsatz an die HIS GmbH. Je nach 

Anzahl der zu verwaltenden Studierenden fallen Kosten für den Support der 

Software an. Individuelle Erweiterungen und Anpassungen an die jeweilige 

Hochschule sind ebenfalls kostenpflichtig. Die Software zur Verwaltung von 

Prüfungsergebnissen ist das HIS-GX Modul POS. Das HIS QIS Modul POS 

1 Hochschul-Informations-System GmbH 

2 http://www.his.de/ 

3 Bundesrepuplik Deutschland 

14


ist unter anderem für den Online-Abruf von Prüfungsergebnissen zuständig. 

QIS steht für Qualitätssteigerung der Hochschulverwaltung im Internet durch 

Selbstbedienung. HIS QIS Modul POS ist in Java geschrieben und benötigt den 

frei verfügbaren Webserver Apache 4 sowie den ebenfalls frei erhältlichen Java- 

Applikationsserver Tomcat 5 . Als Datenbank kann unter anderem PostgreSQL 6 

verwendet werden, welches ebenfalls lizenzgebührenfrei ist. Aus Sicherheits- 

gründen wird der Einsatz von zwei Servern empfohlen, als Betriebssysteme 

können sowohl Windows als auch Linux zum Einsatz kommen. 

Der Abruf der Prüfungsergebnisse erfolgt per Web-Browser. Auch können 

sich Studierende mit dem HIS QIS Modul POS online für Prüfungen anmel- 

den und Bescheinigungen über abgelegte Prüfungen abrufen. Prüfer können 

Ergebnisse direkt online verbuchen. Es steht eine Schnittstelle zu Tabellenkal- 

kulationssoftware zur Verfügung. [7] 

An der Fachhochschule Erfurt wird zur Zeit eine ältere Version der HIS- 

Software eingesetzt. In zwei bis drei Jahren soll die Umstellung soweit vollzogen 

sein, dass das HIS QIS Modul POS für den Online-Abruf von Prüfungsergeb- 

nissen durch Studierende genutzt werden kann. 

4.2. SNEP 

SNEP wurde vom ehemaligen Jenaer Studenten Rene Stolle entwickelt. Es 

steht für SNEP is No Elearning Platform. Der Quelltext und das gesamte 

Programm sind unter der GPL 7 frei verfügbar und auf den Webseiten von 

TEMPLATEC erhältlich 8 . 

„SNEP ist ein Werkzeug zur organisatorischen Unterstützung von 

traditionellen (universitären) Lehrveranstaltungen (Vorlesungen, Se- 

minare, etc.). Dabei bietet es Dozenten die Möglichkeit der Ankün- 

4 http://www.apache.org 

5 http://jakarta.apache.org/tomcat/ 

6 http://www.postgresql.org/ 

7 GNU General Public License 

8 http://templatec.net/products/snep/


digung, Beschreibung, Verwaltung und Archivierung seiner Lehr- 

veranstaltungen an einem Punkt. Alles was er dazu braucht, ist ein 

beliebiger Internet-Browser (und eine SNEP-Installation auf einem 

Server).“ [16] 

Studierende können sich unter anderem über SNEP per Web-Browser in 

Lehrveranstaltungen einschreiben, Testergebnisse einsehen und haben Zugriff 

auf Unterlagen zu den betreffenden Veranstaltungen. SNEP dient auch als 

Kommunikationsplattform, es können interne E-Mails verschickt werden. Die 

Software basiert auf Java und nutzt ebenso wie HIS QIS Modul POS den Ap- 

plikationsserver Tomcat. Als Datenbank kommt MySQL 9 zum Einsatz, welches 

auch lizenzkostenfrei unter der GPL zu beziehen ist. [16] 

Einige Fakultäten der Friedrich Schiller Universität Jena verwenden SNEP 

erfolgreich im Testbetrieb. 

4.3. Stud.IP 

Stud.IP 10 ist ebenfalls ein Open Source 11 Projekt. Die meisten der Kern- 

Entwickler sind bei der aus der Universität Göttingen heraus gegründeten 

data-quest SUCHI & BERG GmbH 12 tätig, welche das Projekt betreut und 

Unterstützung anbietet. Gefördert wird es durch weitere universitätsnahe göt- 

tinger Einrichtungen. 

„Stud.IP (Studienbegleitender Internetsupport von Präsenzlehre) 

ist eine internetbasierte Arbeitsumgebung zur Unterstützung uni- 

versitärer Lehrveranstaltungen.“ [15] 

Stud.IP bietet den Studierenden über einen Web-Browser neben einer auto- 

matischen Erstellung des Stundeplans eine schnelle Übersicht über alle Veran- 

staltungen und eine die Möglichkeit, auf Lehrmaterialien zuzugreifen. Leh- 

9 http://www.mysql.com/ 

10 http://www.studip.de/ 

11 quelloffen, frei erhältlicher Quelltext 

12 http://www.data-quest.de/


rende können ihre Veranstaltungen verwalten, aktuelle Mitteilungen veröf- 

fentlichen, Arbeitsmaterialien anbieten und Kontakt zu Teilnehmern aufneh- 

men. Prüfungsergebnisse können in Dateiform zum Herunterladen bereitge- 

stellt werden.[15] 

Der Fachbereich Sozialwesen der Fachhochschule Jena setzt Stud.IP mit 

mehreren hundert Veranstaltungen und Nutzern versuchsweise ein.

5. Informationssystem 

„Prüfungsergebnisse Online“ 

5.1. Motivation zur Eigenentwicklung 

Wie schon in der Einleitung und im Abschnitt Bestehende Systeme erläutert, 

wird mit an Sicherheit grenzender Wahrscheinlichkeit in zwei bis drei Jahren 

das HIS QIS Modul POS an der Fachhhochschule Erfurt eingesetzt werden. 

Die Systeme SNEP und Stud.IP wurden in Kapitel 4 als Kandidaten für eine 

Übergangslösung kurz vorgestellt. Der primäre Einsatzzweck beider Lösungen 

ist die organisatorische Unterstützung von Lehrveranstaltungen an Hochschu- 

len. 

In SNEP besteht die Möglichkeit, Ergebnisse zu Veranstaltungen zu erfas- 

sen. Da jedoch persönliche Daten der Studierenden in der selben Datenbank 

gespeichert werden und damit eine Zuordnung einzelner Ergebnisse zu Perso- 

nen möglich wäre, kann SNEP aufgrund datenschutzrechtlicher Bedenken nicht 

eingesetzt werden. Stud.IP sieht die Speicherung von Prüfungsnoten nicht vor. 

Dozenten können jedoch Dateien bereitstellen, die von den Studierenden ein- 

sehbar sind und Noten enthalten. Damit wäre eine Notenspiegeldarstellung 

nicht möglich. In beiden Fällen müssen die Dozenten die Ergebnisse in das 

System einstellen und an das Prüfungsamt leiten. Deshalb wird die Entwick- 

lung einer Lösung angestrebt, die eine Zuordnung von Ergebnissen zu Perso- 

nen durch Außenstehende unmöglich macht oder zumindest deutlich erschwert. 

Durch direkte Verbindung zum Prüfungsamt soll den Dozenten kein zusätzli- 

cher Aufwand entstehen. 

18


5.2. Zielgruppen 

In erster Linie richtet sich das Informationssystem an Studierende. Während 

ihres Studiums benötigen sie des öfteren Zugriff auf einen aktuellen Notenspie- 

gel. Besonders in der vorlesungsfreien Zeit einige Wochen nach den Prüfungen, 

um zu erfahren ob eine oder mehrere Nachprüfungen erforderlich sind. Auf- 

grund verschiedener terminlicher Probleme wegen des Urlaubs von Dozenten 

und Studierenden, geänderten Sprechzeiten und nicht immer aktuellen Aus- 

hängen dauert es mitunter recht lange, bis die Studierenden alle Prüfungser- 

gebnisse in Erfahrung gebracht haben. Studierende, die ihr Praxissemester im 

weiter entfernten In- oder Ausland verbringen, haben es noch schwieriger. Der 

Online-Abruf der Prüfungsergebnisse bringt hier eine erhebliche Vereinfachung. 

Für die Dozenten und speziell das Prüfungsamt bedeutet das System eine 

Arbeitserleichterung. Wenn die Studierenden ihre Ergebnisse online abrufen 

können, bleibt in den Sprechzeiten mehr Raum für die wichtigen Anliegen. 

5.3. Anforderungen 

5.3.1. Was das Informationssystem leisten soll 

Das Informationssystem soll dem Studierenden nach erfolgreicher Authentifi- 

zierung eine Übersicht über seine Prüfungsergebnisse in Form eines Notenspie- 

gels anzeigen. Der Notenspiegel soll in Anlehnung an die vom Prüfungsamt der 

Fachhochschule Erfurt in Papierform erstellten Notenspiegel gestaltet werden, 

sowohl inhaltlich als auch von der Optik her. in Als Clientsoftware zur Anzeige 

soll ein XHTML 1 1.1-konformer Standardbrowser genutzt werden. Um Integri- 

tät und Authentizität der Notenspiegel sicherzustellen, soll der Notenspiegel 

auch als signierte PDF 2 -Datei bereitgestellt werden. 

Es muss durch geeignete Maßnahmen sichergestellt sein, dass jeder Studie- 

rende nur seine eigenen Ergebnisse einsehen kann. Im Falle eines Diebstahls 

1 Extensible HyperText Markup Language 

2 Portable Document Format


des Datenbestandes darf keine direkte Zuordnung von Noten zu Personen oder 

deren Matrikelnummern möglich sein. Eventuell für einen Authentifizierungs- 

prozess eingesetzte Passwörter müssen von den Studierenden änderbar sein. 

Für die Lehrenden soll kein Mehraufwand entstehen. 

5.3.2. Anforderungen des Datenschutzes 

Aufgrund der Tatsache, dass die Hochschulen in der BRD Ländersache sind, 

kommt im Fall des Informationssystems Prüfungsergebnisse Online an der 

Fachhochschule Erfurt das ThürDSG 3 zur Anwendung. Dort heißt es in §2 

Absatz 1: 

„Die Bestimmungen dieses Gesetzes gelten für die Verarbeitung 

und Nutzung personenbezogener Daten durch die Behörden, die 

Gerichte und die sonstigen öffentlichen Stellen des Landes, der Ge- 

meinden und Gemeindeverbände und die sonstigen der Aufsicht 

des Landes unterstehenden juristischen Personen des öffentlichen 

Rechts (öffentliche Stellen).“ [17] 

Nach §3 Absatz 1 des ThürHG 4 sind die Hochschulen des Landes Thüringen 

Körperschaften des öffentlichen Rechts und zugleich staatliche Einrichtungen 

[18]. Demnach ist das ThürDSG für die Fachhochschule Erfurt bindend. Die 

im folgenden genannten Paragraphen entstammen alle dem ThürDSG [17]. 

Das ThürDSG soll verhindern, dass Personen durch den Umgang mit ihren 

personenbezogenen Daten durch öffentliche Stellen in ihrem Persönlichkeits- 

recht beeinträchtigt werden (§1). 

„Personenbezogene Daten sind Einzelangaben über persönliche oder 

sachliche Verhältnisse einer bestimmten oder bestimmbaren natür- 

lichen Person (Betroffener).“ [17, §3 Absatz 1] 

Da die Verarbeitung der Daten der Studierenden für einen Online-Abrufs 

von Noten weder von einem Gesetz noch von einer anderen Rechtsvorschrift 

3 Thüringer Datenschutzgesetz 

4 Thüringer Hochschulgesetz


erlaubt oder angeordnet wird, ist nach §4 Absatz 1-3 und §20 Absatz 2 Punkt 

2 des ThürDSG eine schriftliche, freiwillige Einwilligung der Betroffenen zur 

Verarbeitung ihrer Daten erforderlich. 

Ferner sind nach §9 des ThürDSG geeignete technische und organisatori- 

sche Maßnahmen zu treffen, damit Vertraulichkeit, Integrität, Verfügbarkeit, 

Authenzität, Revisionsfähigkeit und Transparenz der Daten bzw. deren Verar- 

beitung gewährleistet sind. 

Laut §10a Absatz 2 des ThürDSG bedarf das gesamte Verfahren der Freiga- 

be des Beauftragten für den Datenschutz nach §10a Absatz 1 des ThürDSG. 

Dieser muss den Online-Abruf der Noten auch im Verfahrensverzeichnis nach 

§10 des ThürDSG dokumentieren. An der Fachhochschule Erfurt ist dies zum 

Zeitpunkt der Erstellung dieser Arbeit Herr Prof. E. Riehle. 

Die gespeicherten Daten sind entsprechend §16 des ThürDSG zu löschen, 

wenn keine Gründe zur Speicherung mehr vorliegen oder die Einwilligung zur 

Speicherung widerrufen wird. 

5.3.3. Anforderungen an die IT-Sicherheit 

Prüfungsergebnisse sind persönliche Daten, die eines besonderen Schutzes be- 

dürfen. Ein großes Problem bei der Veröffentlichung von Ergebnissen, beson- 

ders im Internet, ist die Möglichkeit der Profilbildung. Daher muss gewähr- 

leistet sein, dass Studierende ausschließlich auf ihre eigenen Daten zugreifen 

können. Das Informationssystem Prüfungsergebnisse Online erfordert daher ei- 

ne Art der Authentifikation, die in Form einer Abfrage von Benutzerkennung 

und Passwort umgesetzt wird. Das Passwort muss mindestens acht Zeichen 

lang sein und Groß- und Kleinschreibung, Zahlen und Sonderzeichen enthal- 

ten. Um Vertraulichkeit und Integrität der übertragenen Daten sicherzustellen, 

muss die Verbindung zwischen Webserver und Browser besonders geschützt 

werden. Hierfür wird das Standardprotokoll SSL 5 verwendet, das anerkannte 

kryptografischen Methoden zur Sicherung der Verbindung einsetzt. 

5 Secure Socket Layer


Um den Webserver möglichst gut gegen Angriffe aus dem Internet zu schüt- 

zen, darf dieser Rechner keine weiteren Dienste für das Internet anbieten, da 

diese ein Sicherheitsrisiko darstellen. Er muss durch eine Firewall geschützt 

werden, die nur Zugriff auf die für den Betrieb nötigen Bereiche zulässt. Zur 

besonderen Sicherung des Datenbestandes muss nach dem Webserver eine wei- 

tere Firewall folgen, aus Netzwerksicht dahinter der Datenbankserver. Der 

Webserver befindet sich damit in der DMZ, der Datenbankserver im besonders 

geschützten Bereich. Das kann das Intranet sein, sollte aber zur Gewährleis- 

tung höchster Sicherheit ein eigenes abgeschlossenes Netzwerk sein. 

Für den Fall, dass auf irgendeine Art und Weise ein Angreifer Zugang zum 

Datenbankserver und den darauf gelagerten Datenbestand erhalten sollte, wer- 

den die Daten pseudonymisiert [17, §3, Absatz 10]. Hier bedeutet dies, dass 

die für die Authentifikation genutzte, von den Studierenden frei wählbare Be- 

nutzerkennung dabei die Matrikelnummer ersetzt und als Pseudonym dient. 

Frei wählbar nur soweit, wie diese keine Rückschlüsse auf den wirklichen Na- 

men des jeweiligen Studierenden zulässt und mindestens acht Zeichen umfasst. 

Persönlichen Daten der Studierenden werden nicht mit den Prüfungsergebnis- 

sen zusammen gespeichert. Damit bleibt gewährleistet, dass die Studierenden 

ausschließlich ihre eigenen Daten erhalten. So kann jemand, der über den Stu- 

dierendenausweis, fehlerhafte Aushänge oder anderweitig Zugang zu Matrikel- 

nummern erhalten hat, kein Profil von Studierenden anhand ihrer Matrikel- 

nummern erstellen. Allerdings muss dafür die Zuordnung von Benutzerkennung 

zu Matrikelnummer beispielsweise im Prüfungsamt sicher verwahrt sein. Es 

muss eine Möglichkeit existieren, die Prüfungsdaten derjenigen Studierenden, 

die den Online-Abruf von Prüfungsergebnissen nutzen möchten, zu pseudony- 

misieren und auf den Datenbankserver zu übertragen. 

Da so trotzdem noch die theoretische Möglichkeit besteht, dass jemand die 

Zuordnung von Benutzerkennung zu Matrikelnummer in Erfahrung bringt, ist 

laut den Ausführungen der Anforderungen des Datenschutzes die Abgabe ei- 

ner schriftlichen Einverständniserklärung der Studierenden zur Teilnahme am 

Online-Abruf der Prüfungsergebnisse nötig.


Auf Anwendungsebene werden noch weitere Maßnahmen eingesetzt, um Ver- 

traulichkeit und Integrität der Daten sicherzustellen. So haben, wie der Ab- 

schnitt über das Datenbankdesign ausführlich erläutert, die Datenbankbenut- 

zer nur die unbedingt benötigten Berechtigungen. Über den Einsatz von bind- 

Variablen 6 wird sichergestellt, dass bei der Übergabe von Parametern wie der 

Benutzerkennung oder eines Passwortes an die Datenbank keine bösartige Ab- 

fragen eingeschleust werden können. 

Die Integrität der angezeigten Daten wird dadurch erhöht, dass die Noten- 

spiegel in Form von signierten PDF-Dateien angeboten werden. Die Signatur 

ist eine durch kryptografische Methoden gesicherte Art der Unterschrift, die 

hier die ausgebende Hochschule als Urheber der Daten bestätigt. 

5.4. Objektorientierte Modellierung 

Das Gesamtsystem Prüfungsergebnisse Online besteht aus mehreren Teilsyste- 

men. Im ersten Teilsystem werden von einer Hochschuleinrichtung die schrift- 

liche Einverständniserklärung und die notwendigen Daten der Studierenden 

erfasst. Dies beinhaltet die Auswahl der Benutzerkennung, die Erfassung der 

von der Hochschule vergebenen E-Mail Adresse, den Versand eines automa- 

tisch generierten Passwortes an diese Adresse sowie die Speicherung dieser 

Daten zusammen mit der Matrikelnummer in einer separaten Datenbank. 

Pseudonymisierung der Daten und den Transfer zum Prüfungsergebnisse 

Online Datenbankserver umfasst das zweite Teilsystem. Dabei werden die re- 

levanten Daten der für den Online-Abruf angemeldeten Studierenden in ein 

textbasiertes Format exportiert, auf das Datenmodell von Prüfungsergebnisse 

Online konvertiert, Matrikelnummern durch Benutzerkennungen ersetzt und 

E-Mail Adressen und Passwörter übernommen. Die fertig aufbereiteten Da- 

ten werden per Datenträger oder über das Netzwerk zum Datenbankserver 

transferiert und dort importiert. 

6 Damit ist gewährleistet, dass Parameter nicht als Anweisung, sondern als String interpre- 

tiert werden


Abbildung 5.1.: Anwendungsfalldiagramm des Gesamtsystems 

Den Zugang zum Notenspiegel ermöglicht der dritte Teil. Die Studieren- 

den melden sich über Benutzerkennung und Passwort am System an. Nach 

erfolgreicher Anmeldung können sie sich den Notenspiegel anzeigen oder per 

E-Mail als PDF-Daten schicken lassen. Auch eine Änderung des Passwortes 

ist möglich. Dieser Teil wird im Rahmen dieser Arbeit programmiertechnisch 

Umgesetzt. 

• Klassendiagramm


5.5. Webdesign 

Der Entwurf des Webdesigns befindet sich im Anhang A.2. Es werden sämtliche 

vorgesehenen Ansichten dargestellt. 

5.6. Datenbankdesign 

5.6.1. Datenmodell 

Ein detailliertes Datenmodell befindet sich im Anhang A.1. Dort sind die En- 

titäten mit ihren Attributen und die Beziehungen der Entitäten untereinander 

ausführlich dargestellt. 

5.6.2. Beschreibung der Entitäten 

Pruefungsergebnisse 

Für jeden Studierenden wird zu jeder absolvierten Prüfung das Ergebnis als 

Dezimalwert, Prozentwert oder ähnliches (siehe Ergebnistypen) gespeichert. 

Jedes Ergebnis hat einen optionalen Modulbereich, der um individuelle Be- 

gebenheiten zu berücksichtigen vom Standard-Modulbereich abweichen kann. 

Solche Begebenheiten können im Bemerkungsfeld genau dokumentiert werden. 

Der Prüfungsstatus gibt z.B. an, ob ein eventuell vorhandener Freiversuch nicht 

bestanden oder ob eine Leistung anerkannt worden ist. Zu jedem Prüfungser- 

gebnis kann das Datum der Leistungserbringung gespeichert werden. 

• ergebnisse_id (Primärschlüssel) 

Eine eindeutige Nummer für jedes Ergebnis. 

• dozenten_id (Fremdschlüssel) 

Die ID des Hauptprüfers (Dozent) des Prüfungsergebnisses. 

• studierenden_id (Fremdschlüssel) 

Die ID des Studierenden, der dem Prüfungsergebnis zugeordnet ist.


• pruefungsstatus_id (Fremdschlüssel) 

Die ID des Prüfungsstatus des Ergebnisses. 

• modulbereich_id (Fremdschlüssel) 

Die ID des Modulbereiches des Prüfungsergebnisses. 

• ergebnistypen_id (Fremdschlüssel) 

Die ID des Ergebnistypen, der dem Ergebnis zugeordnet ist. 

• module_id (Fremdschlüssel) 

Die ID des Moduls, das dem Prüfungsergebnis zugeordnet ist. 

• pruefungsdatum 

Das Datum der Prüfung. 

• versuch 

Die Laufende Nummer des Versuches. 

• bewertung 

Die Bewertung des Versuches, die Einheit wird durch den Ergebnistyp 

bestimmt. 

• bemerkung 

Hier können individuelle Besonderheiten dokumentiert werden. 

Studierende 

Die Studierenden, deren Prüfungsergebnisse gespeichert werden, werden hier 

erfasst. Aus Gründen des Datenschutzrechts wird die Matrikelnummer nicht 

gespeichert. Die Studierenden, welche den Online-Abruf ihrer Prüfungsergeb- 

nisse nutzen möchten, müssen dies z.B. bei der Rückmeldung mit ihrer Un- 

terschrift bestätigen. Dabei werden auch eine mindestens acht Zeichen lange, 

eindeutige Benutzerkennung, welche keine Rückschlüsse auf den Namen der 

Studierenden ermöglicht, und die E-Mail Adresse der Studierenden erfasst. 

Bei der Übertragung der Prüfungsergebnisse in das System Prüfungsergebnis- 

se Online werden sämtliche Matrikelnummern durch die Benutzerkennungen


ersetzt und damit pseudonymisiert. Ein automatisch generiertes Passwort wird 

an die E-Mail Adresse der Studierenden gesandt. Dies kann auf Wunsch geän- 

dert werden, muss allerdings mindestens acht Zeichen lang sein und bestimm- 

ten Kriterien entsprechen (Groß- und Kleinschreibung, mindestens eine Zahl 

und ein Sonderzeichen enthalten etc.). Außerdem haben Studierende in der 

Regel ab einem bestimmten Semester eine Spezialisierung, ansonsten wird hier 

Grund- oder allgemein Hauptstudium vermerkt. 

• studierenden_id (Primärschlüssel) 

Eine eindeutige Nummer für jeden Studierenden. 

• spezialisierungen_id (Fremdschlüssel) 

Die ID der Spezialisierung des Studierenden. 

• benutzerkennung 

Eine mindestens acht Zeichen lange, vom Studierenden zu wählende, ein- 

deutige Benutzerkennung. 

• passwort 

Ein mindestens acht Zeichen langes, automatisch generiertes Passwort. 

Wird an die E-Mail Adresse des Studierenden gesandt und kann nach 

erfolgreicher Anmeldung am Prüfungsergebnisse Online-System geändert 

werden. 

• email 

Module 

Die E-Mail Adresse des Studierenden. Vorzugsweise die vom Rechenzen- 

trum der Hochschule vergebene Adresse. 

In jedem Semester (Zeitpunkt, z.B. SS04 ) werden Veranstaltungen (Seminare, 

Vorlesungen) von mindestens einem oder mehreren Dozenten gehalten. Diese 

werden als Module bezeichnet und sind in der Regel mit einer gewissen Anzahl 

von Kreditpunkten einer bestimmten Spezialisierung zugeordnet. Auch haben


sie einen sogenannten Modulbereich, der die Zugehörigkeit z.B. zum Pflicht- 

oder Wahlbereich angibt. 

• module_id (Primärschlüssel) 

Eine eindeutige Nummer für jedes Modul. 

• spezialisierung_id (Fremdschlüssel) 

Die ID der Spezialisierung des Moduls. 

• modulbereiche_id (Fremdschlüssel) 

Die ID des Modulbereiches des Moduls. 

• bezeichnung 

Die genaue Bezeichnung des Moduls. 

• zeitpunkt 

Der Zeitpunkt, zu dem das Modul stattgefunden hat als Semester 

• kreditpunkte 

Die Anzahl der für das Modul vergebenen Kreditpunkte. 

Modulbereiche 

Die Zugehörigkeit eines Moduls z.B. zum Pflicht- oder Wahlbereich. 

• modulbereiche_id (Primärschlüssel) 

Eine eindeutige Nummer für jeden Modulbereich. 


Die exakte Bezeichnung des Modulbereiches. 

Pruefungsstatus 

Der Pruefungsstatus gibt z.B. an, ob ein eventuell vorhandener Freiversuch 

nicht bestanden, eine Leistung anerkannt oder endgültig nicht bestanden wor- 

den ist.


• pruefungsstatus_id (Primärschlüssel) 

Eine eindeutige Nummer für jeden Prüfungsstatus. 


Die vollständige Bezeichnung 

Ergebnistypen 

Ergebnisse können z.B. als Prozentwert, Dezimalwert (z.B. 2,3) oder ähnliches 

gespeichert werden. 

• ergebnistypen_id (Primärschlüssel) 

Eine eindeutige Nummer für jeden Ergebnistyp. 


Dozenten 

Die Bezeichnung des Ergebnistyps. 

Dozenten sind die Lehrkräfte, die Veranstaltungen abhalten. Sie sind in der 

Regel einem Fachbereich primär zugeordnet. Sie können auch von außerhalb 

der Hochschule kommen. 

• dozenten_id (Primärschlüssel) 

Eine eindeutige Nummer für jeden Dozenten. 

• fachbereiche_id (Fremdschlüssel) 

Die ID des Fachbereiches des Dozenten. 

• titel 

Der (akademische) Titel des Dozenten. 

• vorname 

Der Vorname des Dozenten. 

• nachname 

Der Nachname des Dozenten.


• extern 

Gibt an, ob der Dozent von außerhalb der Hochschule kommt oder nicht. 

Mo_haben_Do 

Da jedes Modul von mehreren Dozenten gemeinsam gehalten werden kann, 

werden die Dozenten hier den Modulen zugeordnet. 

• mo_haben_do_id (Primärschlüssel) 

Eine eindeutige Nummer für jede Zuordnung. 

• module_id (Fremdschlüssel) 

Die ID des zugeordneten Moduls. 

• dozenten_id (Fremdschlüssel) 

Die ID des zugeordneten Dozenten. 

Spezialisierungen 

Jede Spezialisierungsrichtung gehört zu einem Studiengang. 

• spezialisierungen_id (Primärschlüssel) 

Eine eindeutige Nummer für jede Spezialisierung. 

• studiengaenge_id (Fremdschlüssel) 

Die ID des Studienganges der Spezialisierung. 


Die Bezeichnung der Spezialisierung. 

Studiengaenge 

Hier werden die an der Hochschule vorhandenen Studiengänge gespeichert. 

• studiengaenge_id (Primärschlüssel) 

Eine eindeutige Nummer für jeden Studiengang.


• fachbereiche_id (Fremdschlüssel) 

Die ID des Fachbereiches des Studienganges. 


Die Bezeichnung des Studienganges. 

Fachbereiche 

Jeder Studiengang gehört einem Fachbereich an. 

• fachbereiche_id (Primärschlüssel) 

Eine eindeutige Nummer für jeden Fachbereich. 


Die genaue Bezeichnung des Fachbereiches. 

Pruefungsordnungen 

Über die Prüfungsordnungen der Studiengänge in verschiedenen Versionen 

kann den Studierenden dargelegt werden, wieviele Kreditpunkte sie in welchen 

Modulbereichen erreicht haben und wieviele noch benötigt werden. Prüfungs- 

ordnungen haben daher mindestens einen Modulbereich. 

• pruefungsordnungen_id (Primärschlüssel) 

Eine eindeutige Nummer für jede Prüfungsordnung. 

• studiengaenge_id (Fremdschlüssel) 

Die ID des Studienganges der Prüfungsordnung. 

• version 

Die Versionsnummer der Prüfungsordnung. 

Po_haben_Mb 

Die Modulbereiche der entsprechenden Prüfungsordnungen werden hier erfasst.


• po_haben_mb_id (Primärschlüssel) 

Eine eindeutige Nummer für jede Zuordnung. 

• pruefungsordnungen_id (Fremdschlüssel) 

Die ID der zugeordneten Prüfungsordnung. 

• modulbereiche_id (Fremdschlüssel) 

Die ID des zugeordneten Modulbereiches. 

• kreditpunkte 

Die Anzahl der für diesen Modulbereich benötigten Kreditpunkte. 

5.6.3. Beschreibung der Beziehungen 

In der folgenden Beschreibung sind n-zu-m-Beziehungen zusammengefasst. 

1 Jedem Prüfungsergebnis ist genau ein Studierender zugeordnet. Jeder Stu- 

dierende ist mindestens einem Prüfungsergebnis zugeordnet. 

2 Jedem Prüfungsergebnis ist genau ein Modul zugewiesen. Jedes Modul kann 

mehreren Prüfungsergebnissen zugeordnet sein. 

3 Jedes Prüfungsergebnis kann genau einen Modulbereich haben. Jeder Mo- 

dulbereich kann mehreren Prüfungsergebnissen zugeordnet sein. 

4 Jedes Prüfungsergebnis hat genau einen Prüfungsstatus. Jeder Prüfungssta- 

tus kann mehreren Prüfungsergebnissen zugeordnet sein. 

5 Jedem Prüfungsergebnis ist genau ein Ergebnistyp zugewiesen. Jeder Ergeb- 

nistyp kann mehreren Prüfungsergebnissen zugewiesen sein. 

6 Jedem Prüfungsergebnis ist genau ein Dozent (Hauptprüfer) zugeordnet. 

Jeder Dozent ist mindestens einem Prüfungsergebnis zugeordnet. 

7 Jedes Modul hat genau einen Modulbereich. Jeder Modulbereich kann meh- 

reren Prüfungsergebnissen zugeordnet sein.


8 Jedes Modul hat mindestens einen Dozenten. Jeder Dozent ist mindestens 

einem Modul zugeordnet. 

9 Jedes Modul kann genau eine Spezialisierung haben. Jede Spezialisierung 

kann mehreren Modulen zugeordnet sein. 

10 Jeder Studierende hat genau eine Spezialisierung. Jede Spezialisierung kann 

mehreren Studierenden zugewiesen sein. 

11 Jede Spezialisierung hat genau einen Studiengang. Jeder Studiengang kann 

mehreren Spezialisierungen zugeordnet sein. 

12 Jeder Studiengang hat genau einen Fachbereich. Jeder Fachbereich hat min- 

destens einen Studiengang. 

13 Jeder Prüfungsordnung ist genau ein Studiengang zugewiesen. Jedem Stu- 

diengang ist mindestens eine Prüfungsordnung zugewiesen. 

14 Jede Prüfungsordnung hat mindestens einen Modulbereich. Jeder Modulbe- 

reich kann mehreren Prüfungsordnungen zugeordnet sein. 

15 Jeder Dozent gehört genau einem Fachbereich an. Jeder Fachbereich kann 

mehreren Dozenten zugeordnet sein. 

5.6.4. Benutzergruppen und Szenarien 

• Unangemeldete Nutzer 

Unangemeldete Nutzer sehen eine kurze Erklärungsseite mit einem An- 

meldeformular. Auf der Erklärungsseite wird kurz erläutert, wie Stu- 

dierende zu einer Benutzerkennung und einem Passwort kommen. Für 

die Anmeldemöglichkeit braucht der unangemeldete Nutzer SELECT- 

Rechte auf Benutzerkennung und Passwort der Tabelle Studierende, um 

den Anmeldevorgang durchführen zu können. Der unangemeldete Nut- 

zer kann sich nur vom Prüfungsergebnisse Online Webserver aus mit der 

Datenbank verbinden.


• Angemeldete Nutzer 

Ein angemeldeter Nutzer hat den Anmeldevorgang erfolgreich durchge- 

führt. Nach Möglichkeit agiert jeder dieser Nutzer mit einem eigenen 

Datenbankbenutzer, welcher nach der Benutzerkennung benannt sein 

sollte. Der angemeldete Nutzer hat SELECT-Rechte auf seine eigenen 

Daten in den Tabellen Studierende und Pruefungsergebnisse sowie auf 

alle Felder anderer Tabellen, die aufgrund von Verknüpfungen mit den 

beiden erstgenannten benötigt werden. UPDATE-Rechte hat der ange- 

meldete Nutzer auf sein eigenes Passwort und die eigene E-Mail Adresse. 

Der angemeldete Nutzer kann sich nur vom Prüfungsergebnisse Online 

Webserver aus mit der Datenbank verbinden. 

• Administrator 

Der Prüfungsergebnisse Online Administrator wird zur Übernahme der 

Daten von Prüfungsamt / Studentensekretariat eingesetzt und benötigt 

alle Rechte auf der Prüfungsergebnisse Online Datenbank. Dieser Benut- 

zer muss auch in der Lage sein, die Tabelle Studierende zu exportieren, 

damit diese mit eventuell geänderten Passwörtern gesichert oder mit dem 

Studentensekretariat synchronisiert werden kann, sodass im Havariefall 

keine Daten verlorengehen. Der Prüfungsergebnisse Online Administra- 

tor kann sich ausschließlich von der lokalen Maschine (dem Datenbank- 

server) an der Datenbank anmelden. Er ist nicht gleich dem globalen 

Datenbankadministrator mit allen Rechten und hat nur Zugriff auf die 

Prüfungsergebnisse Online Datenbank. 

5.6.5. Sichten und Rechte 

Unangemeldete Nutzer 

Tabelle Spalte Rechte 

SEL UPD INS DEL 

Studierende benutzerkennung X – – – 

passwort X – – –


Tabelle 5.1.: Sicht und Berechtigungen unangemeldeter Nutzer 

Angemeldete Nutzer 



Pruefungsergebnisse * O – – – 

Studierende studierenden_id O – – – 

spezialisierungen_id O – – – 

benutzerkennung O – – – 

passwort O O – – 

email O – – – 

Module * X – – – 

Modulbereiche * X – – – 

Pruefungsstatus * X – – – 

Ergebnistypen * X – – – 

Dozenten * X – – – 

Mo_haben_Do * X – – – 

Spezialisierungen * X – – – 

Studiengaenge * X – – – 

Fachbereiche * X – – – 

Pruefungsordnungen * X – – – 

Po_haben_Mb * X – – – 

Tabelle 5.2.: Sicht und Berechtigungen angemeldeter Nutzer


Administrator 

Legende 



Pruefungsergebnisse * X X X X 

Studierende * X X X X 

Module * X X X X 

Modulbereiche * X X X X 

Pruefungsstatus * X X X X 

Ergebnistypen * X X X X 

Dozenten * X X X X 

Mo_haben_Do * X X X X 

Spezialisierungen * X X X X 

Studiengaenge * X X X X 

Fachbereiche * X X X X 

Pruefungsordnungen * X X X X 

Po_haben_Mb * X X X X 

Tabelle 5.3.: Sicht und Berechtigungen des Administrators 

SEL = select, UPD = update, INS = insert, DEL = delete, 

X = alle Datensätze, O = eigene Datensätze, – = keine Datensätze 

5.7. Implementierung des Informationssystems 

5.7.1. Eingesetzte Software 

Als Betriebssystem sowohl für den Web- als auch für den Datenbankserver 

wird der Einsatz eines frei verfügbaren Unix-Derivats wie Linux 7 oder einer 

7 http://www.linux.de/linux/


BSD 8,9 -Variante empfohlen. Diese haben den Ruf, relativ sicher konfigurierbar 

zu sein. Einmal entdeckte Sicherheitslücken und Programmfehler werden dank 

der frei verfügbaren Quelltexte in der Regel zeitnah behoben. 

Die Wahl der Programmiersprache fiel auf Java 10 . Java hat mittlerweile auch 

im Bereich der Web-Anwendungen einen hohen Verbreitungsgrad erreicht. Es 

ist setzt die objektorientierten Prinzipien um, wird an vielen Hochschulen ge- 

lehrt, ist sehr gut dokumentiert, es gibt frei erhältliche Entwicklungs- und 

Laufzeitumgebungen und es ist plattformunabhängig. Es werden die JSP 11 , 

Java Servlets 12 und Java Beans 13 eingesetzt. 

Als Web- und Applikationsserver wird der unter der Apache Software License 

frei erhältliche Apache Jakarta Tomcat 14 verwendet. Die Verwendung eines 

zusätlichen Webservers ist nicht erforderlich, da primär dynamisch mit Hilfe 

der Datenbankinhalte generierte Webseiten ausgeliefert werden. 

Für das DBMS 15 PostgreSQL 16 sprachen einige Gründe. Die Analyse von 

Open-Source DBMS in der Bachelorarbeit von Andreas Pantlowsky ergab, 

dass PostgreSQL von den verglichenen Systemen am besten den Anforderun- 

gen des Informationssystems Prüfungsergebnisse Online entspricht, da es sehr 

gut dokumentiert und frei verfügbar ist [?]. Hinzu kommt, dass die HIS GmbH 

in den kommenden Versionen Ihrer Software HIS-GX Modul POS zur Verwal- 

tung von Prüfungsergebnissen PostgreSQL als primäre Datenbank einsetzt. 

Damit ist eine einfachere Übernahme von Daten aus dem HIS-GX Modul POS 

möglich. 

Um das Rad nicht neu erfinden zu müssen, werden bei der Umsetzung in 

Java einige frei verfügbare Komponenten eingesetzt. Insbesondere sei hier das 

8Berkeley Software Distribution 

9http://www.leo.org/information/computer/software/unix/bsd/overview_de. html 

10http://java.sun.com/ 11Java Server Pages 

12Java-Programme auf der Serverseite 

13Java-Bausteine, hier zur Kapselung von Daten gebraucht 

14http://jakarta.apache.org/tomcat/ 15Datenbank Management System 

16http://www.postgresql.org/


frei verfügbare iText 17 hervorgehoben, das zur vereinfachten Erzeugung von 

PDF-Dokumenten genutzt wird. 

5.7.2. Programmierung 

• Quellcode im Anhang 

• SQL-Code von Andreas Pantlowsky? 

5.8. Erläuterung der Funktion 

• Verbal, Screenshots 

17 http://www.lowagie.com/iText/

6. Ausblick 

Im Rahmen dieser Arbeit wurde nur das Teilsystem zur Anzeige der Prüfungs- 

ergebnisse umgesetzt. Zur Erfassung der Benutzerdaten der Studierenden sowie 

für Export, Konvertierung, Pseudonymisierung und Datentransfer ist die Ent- 

wicklung weiterer Softwarekomponenten erforderlich. Besonders Export und 

Konvertierung der Daten erfordern eine sehr enge Zusammenarbeit mit dem 

Prüfungsamt und eine intensive Einarbeitung in die Datenstrukturen der HIS- 

Systeme. 

Bei nicht-hochschulweitem Einsatz des Systems kann möglicherweise auf 

die Entwicklung weiterer Komponenten verzichtet werden. Die Datenerfassung 

könnte über grafische Frontends wie z.B. pgAdmin 1 erledigt werden. Prüfungs- 

ergebnisse könnten tagesaktuell bei Vorliegen eingepflegt werden, die Zuord- 

nung von Studierenden könnte in einer Tabellenkalkulationssoftware gesche- 

hen, sofern dabei die Vertraulichkeit der Daten gewährleistet ist. 

Eine Möglichkeit, den Online-Abruf von Prüfungsergebnissen ohne die Er- 

fassung einer Einverständniserklärung der Studierenden zu ermöglichen, ist in 

[20] beschrieben. Die Zentrale Datenschutzstelle der baden-württembergischen 

Universitäten verweist dort auf den 10. Tätigkeitsbericht des Landesbeauftrag- 

ten für den Datenschutz und das Recht auf Akteneinsicht Brandenburg [4, S. 

115f]. Dort wird vorgeschlagen: 

„Datenschutzfreundlicher ist es, jede einzelne Klausur zusätzlich 

mit einer laufenden Nummer zu versehen, die sich die Studieren- 

den merken müssen. Nach der Korrektur der Aufgaben würde dann 

die Note der Klausurnummer zugeordnet werden können, während 

1 http://www.pgadmin.org/ 

39

6. Ausblick 40 

die Verarbeitung der übrigen Daten wie Name und Immatrikulati- 

onsnummer im internen Bereich der Prüfungsverwaltung verbleibt. 

Ins Internet (oder auch wie bisher ans Schwarze Brett) würden 

dann nur die Nummer der Klausur nebst Note gestellt werden. Ei- 

ne über diese Einzelprüfung hinausgehende Zusammenfassung von 

unterschiedlichen Leistungen anhand einer einheitlichen Nummer 

ist damit unmöglich, da für jede Prüfung neue Nummern vergeben 

werden.“ [4] 

Abschließend muss noch darauf hingewiesen werden, dass die Erfassung ei- 

ner E-Mail Adresse der Studierenden datenschutzrechtlich ein gewisses Risiko 

darstellt. Angreifer können über Verzeichnisse oder direkte Kommunikation 

mit Studierenden in deren Besitz gelangen und Bezüge zu reellen Personen 

herstellen. Sollte es einem solchen Angreifer dann gelingen, den Datenbankser- 

ver zu kompromittieren, könnten über die E-Mail Adressen wiederum Profile 

einzelner Studierender gebildet werden. Da die E-Mail Adresse in Prüfungs- 

ergebnisse Online nur erfasst wird, um ein automatisch generiertes Passwort 

sowie den Notenspiegel per E-Mail zu versenden, sollten diese Funktionalitäten 

und die Erfassung der Adresse bei datenschutzrechtlichen Bedenken gestrichen 

werden.

Literaturverzeichnis 

[1] Bundesamt für Sicherheit in der Informationstechnik: IT- 

Grundschutzhandbuch, 5. Ergänzungslieferung Stand Oktober 2003, ISBN 

3887849159, http://www.bsi.bund.de/gshb/ 3.3, 3.4.2 

[2] Bundesamt für Sicherheit in der Informationstechnik: Leitfa- 

den IT-Sicherheit, Stand 2003, http://www.bsi.bund.de/gshb/ 3.3 

[3] Bundesverfassungsgericht: Volkszählungsurteil, Urteil vom 

15.12.1983-1 BvR 209783 und andere http://www.google.de/search? 

hl=de\&ie=UTF-8\&q=Volksz%C3%A4hlungsurteil\&btnG=Suche\ 

&meta= 2.2 

[4] Der Landesbeauftragte für den Datenschutz und für das 

Recht auf Akteneinsicht Brandenburg: Tätigkeitsbericht 

2001, http://www.lda.brandenburg.de/media/1666/10tb2001.pdf 6 

[5] Deutscher Bundestag: Strafgesetzbuch, Fassung vom 03. Juli 2004, 

http://bundesrecht.juris.de/bundesrecht/stgb/ 3.5, 3.5 

[6] Garstka, Hansjürgen: Informationelle Selbstbestimmung und Da- 

tenschutz in: Schulzki-Haddouti, Christiane (Hrsg.): Bürgerrechte 

im Netz, Bundeszentrale für Politische Bildung 2003, ISBN 3810038725, 

http://www.bpb.de/publikationen/UZX6DW,,0,B%FCrgerrechte_im_ 

Netz.html 2.2 

41


[7] Hochschul-Informations-System GmbH, Stand 30. August 2004, 

http://www.his.de/ 4.1 

[8] Pantlowsky, Andreas: Open-Source Datenbank Management Systeme 

im Vergleich, Bachelorarbeit, Erfurt, September 2004 

[9] Plate, Prof. Jürgen; Holzmann, Dipl.-Ing. Jörg: Sicherheit in 

Netzen, Stand 07. April 2004, 01:01:03, http://www.netzmafia.de/ 

skripten/sicherheit/ 3.3, 3.5 

[10] Regionales Rechenzentrum für Niedersachsen / Universität 

Hannover: Computersicherheit im Internet, 1. Auflage Juni 2001, http: 

//www.rrzn.uni-hannover.de/buecher.html 3.3 

[11] Regionales Rechenzentrum für Niedersachsen / Universität 

Hannover: Internetworking: Sicherheit, 1. Auflage März 2003, http: 

//www.rrzn.uni-hannover.de/buecher.html 3.1, 3.1, 3.1, 3.1, 3.2, 3.3, 

3.4, 3.4.2 

[12] Schmidt, Dr. Rüdiger: IT-Sicherheit, Hochschulrechenzentrum der 

Fachhochschule Erfurt, Vorlesungsskript Sommersemester 2004, http: 

//www.fh-erfurt.de/ai/mitarbeiter/schmidt/ 3.1 

[13] Schneier, Bruce: Secrets & Lies, 1. Auflage, Heidelberg (dpunkt) 2001, 

ISBN 3898643026, http://www.schneier.com/ 3.1 

[14] Schubert, Klaus; Klein, Martina: Das Politiklexikon, Bonn, Ver- 

lag J.H.W. Dietz 2001, ISBN 3801203131, http://www.bpb.de/wissen/ 

H75VXG,,,Wissen.html 2.1 

[15] Stud.IP, Stand 30. August 2004, http://www.studip.de/ 4.3 

[16] TEMPLATEC, Stand 30. August 2004, http://www.templatec.net/ 

4.2


[17] Thüringer Landtag: Thüringer Datenschutzgesetz, Fassung vom 

10. Oktober 2001, http://datenschutz.thueringen.de/gesetze_ 

rechtsvorschriften/datenschutzgesetz_neu.htm 5.3.2, 5.3.3 

[18] Thüringer Landtag: Thüringer Hochschulgesetz, Fassung vom 01. Mai 

2004, http://www.thueringen.de/de/tmwfk/hochschulen/hsg/ 5.3.2 

[19] Wikimedia Foundation Inc.: WIKIPEDIA, Die freie Enzyklopädie, 

Stand 27. August 2004, http://de.wikipedia.org/ 3.1, 3.1 

[20] Zentrale Datenschutzstelle der baden-württembergischen 

Universitäten: Veröffentlichung von Prüfungsergebnissen im Internet, 

Stand 15. Juli 2004, 11:59, http://www.zendas.de/recht/bewertung/ 

noten_im_internet.html 6

A. Anhang 

A.1. Datenmodell 

A.2. Webdesign 

A.3. Quelltext 

Hier wird der Quelltext der Anwendung angehängt werden. 

44

A. Anhang 45 

1 

Module 

module_id: INTEGER 

spezialisierungen_id: INTEGER (FK) 

8 Modul hat Dozenten 

Mo_haben_Do 

mo_haben_do_id: INTEGER 

module_id: INTEGER (FK) 

dozenten_id: INTEGER (FK) 

8 Dozent hat Module 

Dozenten 

dozenten_id: INTEGER 

fachbereiche_id: INTEGER (FK) 

modulbereiche_id: INTEGER (FK) 

bezeichnung: VARCHAR(100) 

zeitpunkt: VARCHAR(10) 

kreditpunkte: INTEGER 

titel: VARCHAR(50) 

vorname: VARCHAR(30) 

nachname: VARCHAR(35) 

extern: BOOL 

7 Modul hat Modulbereich 

Modulbereiche 

modulbereiche_id: INTEGER 


9 Modul hat Spezialisierung 

6 Prüfung hat Dozent (Hauptprüfer) 

2 Prüfungsergebnis hat Modul 

3 Prüfungsergebnis hat Modulbereich 

Spezialisierungen 

spezialisierungen_id: INTEGER 

studiengaenge_id: INTEGER (FK) 


Pruefungsergebnisse 

ergebnisse_id: INTEGER 

dozenten_id: INTEGER (FK) 

studierenden_id: INTEGER (FK) 

pruefungsstatus_id: INTEGER (FK) 


15 Dozent hat Fachbereich 

4 Prüfungsergebnis hat Prüfungsstatus 

ergebnistypen_id: INTEGER (FK) 

module_id: INTEGER (FK) 

pruefungsdatum: DATE 

versuch: INTEGER 

bewertung: FLOAT 

bemerkung: VARCHAR(255) 

Pruefungsstatus 

pruefungsstatus_id: INTEGER 

11 Spezialisierung hat Studiengang 


10 Student hat Spezialisierung 

Fachbereiche 

fachbereiche_id: INTEGER 


1 Prüfungsergebnis hat Studierenden 

12 Studiengang hat Fachbereich 

14 Modulbereiche haben Pruefungsordnung 

5 Prüfungsergebnis hat Ergebnistyp 

Ergebnistypen 

ergebnistypen_id: INTEGER 


Studierende 

studierenden_id: INTEGER 

spezialisierungen_id: INTEGER (FK) 

Studiengaenge 

studiengaenge_id: INTEGER 

fachbereiche_id: INTEGER (FK) 


Abbildung A.1.: Relationales Datenmodell 

benutzerkennung: VARCHAR(25) 

passwort: VARCHAR(25) 

email: VARCHAR(100) 

13 Prüfungsordnung hat Studiengang 

Po_haben_Mb 

po_haben_mb_id: INTEGER 

pruefungsordnungen_id: INTEGER (FK) 

14 Pruefungsordnung hat Modulbereiche 

Pruefungsordnungen 

pruefungsordnungen_id: INTEGER 

studiengaenge_id: INTEGER (FK) 

version: SMALLINT 


kreditpunkte: SMALLINT

A. Anhang 46 

Fachochschule Erfurt 


Benutzerkennung: Passwort: 

Notenspiegel abrufen 

Prüfungsergebnisse online 

anmelden 

Sofern Sie an der Fachhochschule Erfurt immatrikuliert sind, können Sie hier Ihren Notenspiegel abrufen. 

Dazu geben Sie bitte oben Ihre Benutzerkennung und Ihr Passwort ein und bestätigen mit Enter oder 

einem Klick auf die „anmelden“-Schaltfläche. 

Benutzerkennung und Passwort erhalten Sie nach schriftlicher Anmeldung und unter Angabe einer 

gültigen E-Mail Adresse im Studentensekretariat in der Altonaer Straße 25a, Haus 7. 

Impressum Kontakt: pruefungsergebnisse-online@fh-erfurt.de 

Abbildung A.2.: Webdesign Entwurf Ansicht unangemeldet

A. Anhang 47 




Abmelden | Notenspiegel anzeigen | Notenspiegel per E-Mail | Passwort ändern | Startseite 

Aktuelle Informationen 

Am 05.05.2005 wird das System aufgrund von Wartungsarbeiten nicht zur Verfügung stehen! 


Abbildung A.3.: Webdesign Entwurf Startseite

A. Anhang 48 




Fachbereich: Versorgungstechnik 

Studiengang: Angewandte Informatik 

N O T E N S P I E G E L 

Datum: 15.12.2004 

Benutzerkennung: crion050379 

Modul Kredits Versuch Datum Note Bemerkung 

Vorprüfung 28 von 60 

Mathematik II 10 1 20.01.2003 66 BE 

Rechnerarchitektur II 4 1 74 BE AK 

Algorithmierung 6 1 13.02.2002 84 BE 

Betriebssysteme II 3 1 01.07.2003 87 BE 

Internet 3 1 31.01.2003 89 BE 

Computerenglisch 2 1 01.07.2002 83 BE 

Hauptstudium 

- Pflicht 6 von 120 

Datenbanken I 3 1 27.01.2003 98 BE 

Netzwerke II 1 1 06.02.2003 80 BE 

Betriebswirtschaftslehre II 2 2 10.02.2003 69 BE 

- Wahlpflicht 20 von 60 


Mediendesign 5 1 11.02.2003 82 BE 

Medienproduktion und -technik 4 1 29.01.2003 35 NB FNB 

Medienproduktion und -technik 5 1 03.07.2003 58 BE 

Multimedia-Technologie Dozent: 2 1 04.07.2003 79 BE 

Videoproduktion Spierling, Ulrike 4 

Fachbereich Architektur 

1 13.02.2003 92 BE 

Der Notenspiegel Modul: enthält alle Studien- und Prüfungsleistungen, die bisher 

erbracht wurden. Hauptstudium 

ALLE ANGABEN PRÜFEN Medieninformatik 

UND UNSTIMMIGKEITEN DEM PRÜFUNGSAMT MELDEN. 

Dieser Notenspiegel ist ohne Unterschrift gültig. 

Zeitpunkt: 

WS 02/03 

Erläuterungen der oben benutzten Abkürzungen: 

AK = anerkannt 

BE = bestanden, NB = nicht bestanden, EN = endgültig nicht bestanden 

Erläuterungen zu Freiversuchen: 

FNB = nicht bestanden, FNE = Verlust wegen Nichterscheinen 

FMT = Verlust wegen Täuschung, FBE = Notenverbesserung 

FRU = unentschuldigter Rücktritt, FFU = Fristüberschreitung 

Hinweis zur Prozentualen Bewertung der Prüfungen: 

sehr gut (86-100%), gut (76-85%), befriedigend (66-75%), ausreichend (51-65%) 


Abbildung A.4.: Webdesign Entwurf Notenspiegel

A. Anhang 49 





Notenspiegel erfolgreich per E-Mail versandt! 

Ihr Notenspiegel wurde als PDF-Datei erfolgreich an die von Ihnen angegebene E-Mail Adresse versandt. 


Abbildung A.5.: Webdesign Entwurf Versand per E-Mail

A. Anhang 50 





Passwort ändern 

Bitte geben Sie Ihr altes Passwort, Ihr neues Passwort und zur Bestätigung erneut Ihr neues Kennwort ein. 

Altes Passwort: 

Neues Passwort: Bestätigung: ändern 


Abbildung A.6.: Webdesign Entwurf Passwort ändern

A. Anhang 51 



Abmeldung erfolgreich 

Sie haben Sich erfolgreich vom System abgemeldet! 

Bei Bedarf können Sie sich erneut anmelden. 


Benutzerkennung: Passwort: anmelden 


Abbildung A.7.: Webdesign Entwurf Abmeldung erfolgreich

A. Anhang 52 





Passwortänderung erfolgreich! 


Abbildung A.8.: Webdesign Entwurf Passwortänderung erfolgreich

A. Anhang 53 

Fehler 




Es ist ein Fehler aufgetreten. Bitte versuchen Sie es in einigen Sekunden erneut. Im wiederholten 

Fehlerfall nehmen Sie bitte mit der zuständigen Hochschuleinrichtung persönlich oder unter unten 

angegebener E-Mail Adresse Kontakt auf. 


Abbildung A.9.: Webdesign Entwurf allgemeiner Fehler

A. Anhang 54 



Benutzerdaten unbekannt / falsch 


Entweder gibt es diesen Benutzernamen nicht oder das Kennwort ist falsch. Bitte überprüfen Sie Ihre 

Eingaben. Achten Sie bei der Eingabe auch darauf, dass die Feststelltaste für Großschreibung auf Ihrer 

Tastatur nicht eingeschaltet ist. Im wiederholten Fehlerfall nehmen Sie bitte mit der zuständigen 

Hochschuleinrichtung persönlich oder unter unten angegebener E-Mail Adresse Kontakt auf. 


Abbildung A.10.: Webdesign Entwurf Anmeldung fehlgeschlagen

A. Anhang 55 





Passwortänderung fehlgeschlagen! 

Entweder war das alte Kennwort nicht korrekt, oder das neue Kennwort und die Bestätigung haben nicht 

exakt übereingestimmt. Bitte überprüfen Sie Ihre Eingaben. Achten Sie bei der Eingabe auch darauf, dass 

die Feststelltaste für Großschreibung auf Ihrer Tastatur nicht eingeschaltet ist. 


Abbildung A.11.: Webdesign Entwurf Passwortänderung fehlgeschlagen

A. Anhang 56 

Impressum 




Gemäß § 6 des Teledienstegesetzes (Allgemeine Informationspflichten) wird hiermit informiert über 

Einrichtung: Fachhochschule Erfurt, 

Altonaer Str. 25, D-99085 Erfurt 

Herausgeber: Der Rektor 

Telefon: (0361) 6700-0 

Telefax: (0361) 6700-703 

E-Mail: pruefungsergebnisse-online@fh-erfurt.de 

zuständige Aufsichtsbehörde: Thüringer Ministerium für Wissenschaft, Forschung und Kunst 

Die Fachhochschule Erfurt distanziert sich ausdrücklich von verfassungsfeindlichen, kriminellen, 

pornographischen, rassistischen oder Gewalt verherrlichenden Inhalten. 

Die Hochschule übernimmt keine Verantwortung für Seiteninhalte verlinkter fremder Seiten. 


Abbildung A.12.: Webdesign Entwurf Impressum

Selbständigkeitserklärung 

Ich erkläre, dass ich die vorliegende Bachelorarbeit selbständig und nur unter 

Verwendung der angegebenen Quellen und Hilfsmittel angefertigt habe. 

Erfurt, den 6. September 2004

IT-Sicherheit und Datenschutz am Beispiel des Informationssystems ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?