IT-Sicherheit und Datenschutz am Beispiel des Informationssystems ...
IT-Sicherheit und Datenschutz am Beispiel des Informationssystems ...
IT-Sicherheit und Datenschutz am Beispiel des Informationssystems ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Fachhochschule Erfurt<br />
University of Applied Sciences<br />
Studiengang Angewandte Informatik<br />
Bachelorarbeit<br />
<strong>IT</strong>-<strong>Sicherheit</strong> <strong>und</strong> <strong>Datenschutz</strong><br />
<strong>am</strong> <strong>Beispiel</strong> <strong>des</strong><br />
<strong>Informationssystems</strong><br />
„Prüfungsergebnisse Online“<br />
Christian Münscher<br />
05. März 1979 in Eschwege<br />
Matrikel-Nummer 111058633<br />
6. September 2004<br />
betreut von Dr. Ines Rossak<br />
zweites Gutachten durch Dr. Rüdiger Schmidt
Zus<strong>am</strong>menfassung<br />
Nach allgemeinen Einführungen in <strong>Datenschutz</strong> <strong>und</strong> <strong>IT</strong>-<strong>Sicherheit</strong> werden eini-<br />
ge relevante bestehende Systeme betrachtet. Die bestehenden Systeme können<br />
aus in der Arbeit dargelegten Gründen nicht oder erst in einigen Jahren zum<br />
Einsatz kommen. Darum wird ein eigenes System entwickelt, das den Anfor-<br />
derungen <strong>des</strong> <strong>Datenschutz</strong>es entspricht. Die Umsetzung geschieht in Java, der<br />
Abruf der Prüfungsergebnisse geschieht über einen Webbrowser.<br />
Abstract<br />
After general introductions into privacy and computer security some relevant<br />
existing systems are being reviewed. The existing systems cannot come to use<br />
or can come to use not until some years have passed because of the reasons<br />
outlined in the bachelor’s thesis. Therefore a system is being developed that<br />
complies with the requirements of privacy. The implementation is done in Java,<br />
the ex<strong>am</strong> results are obtainable via a web browser.
Inhaltsverzeichnis<br />
Abbildungsverzeichnis v<br />
Tabellenverzeichnis vi<br />
Abkürzungsverzeichnis vi<br />
1. Einleitung 1<br />
2. <strong>Datenschutz</strong> 3<br />
2.1. Definition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3<br />
2.2. Geschichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3<br />
3. <strong>IT</strong>-<strong>Sicherheit</strong> 5<br />
3.1. Was bedeutet <strong>IT</strong>-<strong>Sicherheit</strong>? . . . . . . . . . . . . . . . . . . . . 5<br />
3.2. Mögliche Gefahren . . . . . . . . . . . . . . . . . . . . . . . . . 7<br />
3.2.1. Bedrohungen in Netzen . . . . . . . . . . . . . . . . . . . 7<br />
3.2.2. Personen . . . . . . . . . . . . . . . . . . . . . . . . . . . 8<br />
3.3. Schutzbedarfsfeststellung . . . . . . . . . . . . . . . . . . . . . . 8<br />
3.4. Möglichkeiten der Gefahrenabwehr . . . . . . . . . . . . . . . . 9<br />
3.4.1. Technische Maßnahmen . . . . . . . . . . . . . . . . . . 9<br />
3.4.2. Organisatorische <strong>Sicherheit</strong>smaßnahmen . . . . . . . . . 11<br />
3.5. Rechtliche Möglichkeiten . . . . . . . . . . . . . . . . . . . . . . 12<br />
ii
Inhaltsverzeichnis iii<br />
4. Bestehende Systeme 14<br />
4.1. HIS QIS Modul POS . . . . . . . . . . . . . . . . . . . . . . . . 14<br />
4.2. SNEP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15<br />
4.3. Stud.IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16<br />
5. Informationssystem „Prüfungsergebnisse Online“ 18<br />
5.1. Motivation zur Eigenentwicklung . . . . . . . . . . . . . . . . . 18<br />
5.2. Zielgruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19<br />
5.3. Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 19<br />
5.3.1. Was das Informationssystem leisten soll . . . . . . . . . . 19<br />
5.3.2. Anforderungen <strong>des</strong> <strong>Datenschutz</strong>es . . . . . . . . . . . . . 20<br />
5.3.3. Anforderungen an die <strong>IT</strong>-<strong>Sicherheit</strong> . . . . . . . . . . . . 21<br />
5.4. Objektorientierte Modellierung . . . . . . . . . . . . . . . . . . 23<br />
5.5. Web<strong>des</strong>ign . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25<br />
5.6. Datenbank<strong>des</strong>ign . . . . . . . . . . . . . . . . . . . . . . . . . . 25<br />
5.6.1. Datenmodell . . . . . . . . . . . . . . . . . . . . . . . . . 25<br />
5.6.2. Beschreibung der Entitäten . . . . . . . . . . . . . . . . 25<br />
5.6.3. Beschreibung der Beziehungen . . . . . . . . . . . . . . . 32<br />
5.6.4. Benutzergruppen <strong>und</strong> Szenarien . . . . . . . . . . . . . . 33<br />
5.6.5. Sichten <strong>und</strong> Rechte . . . . . . . . . . . . . . . . . . . . . 34<br />
5.7. Implementierung <strong>des</strong> <strong>Informationssystems</strong> . . . . . . . . . . . . 36<br />
5.7.1. Eingesetzte Software . . . . . . . . . . . . . . . . . . . . 36<br />
5.7.2. Progr<strong>am</strong>mierung . . . . . . . . . . . . . . . . . . . . . . 38<br />
5.8. Erläuterung der Funktion . . . . . . . . . . . . . . . . . . . . . 38<br />
6. Ausblick 39<br />
Literaturverzeichnis 41<br />
A. Anhang 44<br />
A.1. Datenmodell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44<br />
A.2. Web<strong>des</strong>ign . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44<br />
A.3. Quelltext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Inhaltsverzeichnis iv<br />
Selbständigkeitserklärung . . . . . . . . . . . . . . . . . . . . . . . . 57
Abbildungsverzeichnis<br />
3.1. Kosten/Nutzen Kurve <strong>Sicherheit</strong> . . . . . . . . . . . . . . . . . . 5<br />
5.1. Anwendungsfalldiagr<strong>am</strong>m <strong>des</strong> Ges<strong>am</strong>tsystems . . . . . . . . . . 24<br />
A.1. Relationales Datenmodell . . . . . . . . . . . . . . . . . . . . . 45<br />
A.2. Web<strong>des</strong>ign Entwurf Ansicht unangemeldet . . . . . . . . . . . . 46<br />
A.3. Web<strong>des</strong>ign Entwurf Startseite . . . . . . . . . . . . . . . . . . . 47<br />
A.4. Web<strong>des</strong>ign Entwurf Notenspiegel . . . . . . . . . . . . . . . . . 48<br />
A.5. Web<strong>des</strong>ign Entwurf Versand per E-Mail . . . . . . . . . . . . . . 49<br />
A.6. Web<strong>des</strong>ign Entwurf Passwort ändern . . . . . . . . . . . . . . . 50<br />
A.7. Web<strong>des</strong>ign Entwurf Abmeldung erfolgreich . . . . . . . . . . . . 51<br />
A.8. Web<strong>des</strong>ign Entwurf Passwortänderung erfolgreich . . . . . . . . 52<br />
A.9. Web<strong>des</strong>ign Entwurf allgemeiner Fehler . . . . . . . . . . . . . . 53<br />
A.10.Web<strong>des</strong>ign Entwurf Anmeldung fehlgeschlagen . . . . . . . . . . 54<br />
A.11.Web<strong>des</strong>ign Entwurf Passwortänderung fehlgeschlagen . . . . . . 55<br />
A.12.Web<strong>des</strong>ign Entwurf Impressum . . . . . . . . . . . . . . . . . . 56<br />
v
Tabellenverzeichnis<br />
5.1. Sicht <strong>und</strong> Berechtigungen unangemeldeter Nutzer . . . . . . . . 34<br />
5.2. Sicht <strong>und</strong> Berechtigungen angemeldeter Nutzer . . . . . . . . . . 35<br />
5.3. Sicht <strong>und</strong> Berechtigungen <strong>des</strong> Administrators . . . . . . . . . . . 36<br />
vi
Abkürzungsverzeichnis<br />
AES Advanced Encryption Standard<br />
BDSG B<strong>und</strong>esdatenschutzgesetz<br />
BRD B<strong>und</strong>esrepuplik Deutschland<br />
BSD Berkeley Software Distribution<br />
BSI B<strong>und</strong>es<strong>am</strong>t für <strong>Sicherheit</strong> in der Informationstechnik<br />
BVerfG B<strong>und</strong>esverfassungsgericht<br />
DBMS Datenbank Management System<br />
DMZ Demilitarisierte Zone<br />
GPL GNU General Public License<br />
HIS Hochschulinformationssystem<br />
HIS GmbH Hochschul-Informations-System GmbH<br />
<strong>IT</strong>-Gshb <strong>IT</strong>-Gr<strong>und</strong>schutzhandbuch<br />
JSP Java Server Pages<br />
PDF Portable Document Format<br />
PIN Persönliche Identifikations-Nummer<br />
vii
Tabellenverzeichnis viii<br />
SSL Secure Socket Layer<br />
StGB Strafgesetzbuch<br />
ThürDSG Thüringer <strong>Datenschutz</strong>gesetz<br />
ThürHG Thüringer Hochschulgesetz<br />
XHTML Extensible HyperText Markup Language
1. Einleitung<br />
Der Online-Abruf von Prüfungsergebnissen stellt eine große Vereinfachung für<br />
die Studierenden <strong>und</strong> das Prüfungs<strong>am</strong>t dar. Notenspiegel können von zuhause,<br />
in der vorlesungsfreien Zeit vom h<strong>und</strong>erte Kilometer entfernt gelegenen Wohn-<br />
ort der Eltern oder vom Praktikumsbetrieb im Ausland aus eingesehen werden.<br />
Studierende können so in Erfahrung bringen, ob <strong>und</strong> mit welcher Bewertung<br />
sie Prüfungen bestanden haben. Im Falle <strong>des</strong> Nichtbestehens einer Prüfung<br />
kann der Proband sich zeitnah mit dem Gedanken einer Nachprüfung vertraut<br />
machen <strong>und</strong> entsprechend vorbereiten.<br />
Zum Zeitpunkt der Erstellung dieser Arbeit 1 existiert an der Fachhochschu-<br />
le Erfurt kein System, das Studierenden den Online-Abruf von Prüfungsergeb-<br />
nissen ermöglicht. Nach Plänen der Hochschulleitung <strong>und</strong> <strong>des</strong> Rechenzentrums<br />
soll in zwei bis drei Jahren ein Modul für das an der Fachhochschule Erfurt ein-<br />
gesetzte HIS 2 diese Funktionalität anbieten. Studierende müssen sich bisher im<br />
Prüfungs<strong>am</strong>t, <strong>am</strong> Aushang <strong>des</strong> jeweiligen Studienganges oder bei den Dozenten<br />
selbst über ihre Prüfungsleistungen informieren. Gerade in der vorlesungsfreien<br />
Zeit gestaltet sich das aufgr<strong>und</strong> von Urlaub <strong>und</strong> teilweise geänderten Sprech-<br />
zeiten manchmal recht schwierig.<br />
Im Rahmen dieser Bachelorarbeit soll ein einfaches System geschaffen wer-<br />
den, dass den Studierenden bis zur Umsetzung der Pläne der Hochschulleitung<br />
als Interims-Lösung den Online-Abruf von Prüfungsergebnissen ermöglicht.<br />
Dabei muss insbesondere der Schutz der persönlichen Daten der Studierenden<br />
1 Juli bis September 2004<br />
2 Hochschulinformationssystem<br />
1
1. Einleitung 2<br />
gewährleistet sein. Dem soll durch den Einsatz verschiedener Massnahmen der<br />
<strong>IT</strong>-<strong>Sicherheit</strong> 3 Rechnung getragen werden.<br />
Eine allgemeine Einführung in den <strong>Datenschutz</strong> gibt das Kapitel 2. Die drin-<br />
gende Notwendigkeit der intensiven Beschäftigung mit <strong>IT</strong>-<strong>Sicherheit</strong> erläutert<br />
Kapitel 3. Einige schon bestehende Systeme werden in Kapitel 4 kurz vorge-<br />
stellt. Die sich aus diesem Kapitel ergebende Motivation zur Eigenentwick-<br />
lung eines <strong>Informationssystems</strong> sowie das System selbst in allen Einzelheiten<br />
soll Kapitel 5 veranschaulichen. Dabei werden die speziell in diesem Falle gel-<br />
tenden datenschutzrechtlichen Rahmenbedingungen detailliert dargelegt. Die<br />
daraus resultierenden Anforderungen an die <strong>IT</strong>-<strong>Sicherheit</strong> werden ausführlich<br />
behandelt. In der abschließenden Betrachtung <strong>des</strong> 6. Kapitels werden einige<br />
weiterführende Möglichkeiten aufgezeigt, die sich nach der Entwicklung <strong>des</strong><br />
Systems ergeben.<br />
3 <strong>Sicherheit</strong> in der Informationstechnik
2. <strong>Datenschutz</strong><br />
2.1. Definition<br />
<strong>Datenschutz</strong> lässt sich folgendermaßen definieren:<br />
„Gesetzlicher Schutz vor dem Missbrauch von (insbesondere per-<br />
sönlichen) Daten <strong>und</strong> gegen die unbefugte Nutzung <strong>und</strong> Verwer-<br />
tung in Datenbanken. Gr<strong>und</strong>lage ist nach einem Urteil <strong>des</strong> BVerfG<br />
von 1983 das Gr<strong>und</strong>recht auf informationelle Selbstbestimmung;<br />
rechtliche Normen <strong>und</strong> Min<strong>des</strong>tstandards für den D., insbesondere<br />
auch die Einsetzung von <strong>Datenschutz</strong>beauftragten, schuf das Bun-<br />
<strong>des</strong>datenschutzgesetz (BDSG) i.d.F. von 1990.“ [14]<br />
2.2. Geschichte<br />
In den 60er Jahren <strong>des</strong> 20. Jahrh<strong>und</strong>erts sollten in den USA alle <strong>am</strong>erikanischen<br />
StaatsbürgerInnen computertechnisch erfasst werden. Die Bürger setzten sich<br />
gegen diese Pläne der <strong>am</strong>erikanischen Regierung zur Wehr, was dazu führte,<br />
dass ein „Privacy Act“ 1 erlassen wurde <strong>und</strong> die Erfassung nicht stattfand.<br />
Der Begriff <strong>Datenschutz</strong> wurde in Deutschland 1970 mit der Verabschiedung<br />
<strong>des</strong> hessischen <strong>Datenschutz</strong>gesetzes eingeführt. Erst 1978 wurde das BDSG 2<br />
erlassen, welches für B<strong>und</strong>esbehörden <strong>und</strong> die Privatwirtschaft bestimmte Re-<br />
geln bei der Datenverarbeitung vorgab. Die B<strong>und</strong>esländer entwickelten ent-<br />
sprechende Lan<strong>des</strong>datenschutzgesetze für die Lan<strong>des</strong>verwaltungen. 1983 sollte<br />
1 Privatshpärengesetz<br />
2 B<strong>und</strong>esdatenschutzgesetz<br />
3
2. <strong>Datenschutz</strong> 4<br />
eine Volkszählung in Deutschland durchgeführt werden. Klagen vieler Bürger,<br />
die sich dadurch in ihren Rechten verletzt fühlten, führten zum berühmten<br />
Volkszählungsurteil <strong>des</strong> BVerfG 3 :<br />
„Unter den Bedingungen der modernen Datenverarbeitung wird<br />
der Schutz <strong>des</strong> Einzelnen gegen unbegrenzte Erhebung, Speiche-<br />
rung, Verwendung <strong>und</strong> Weitergabe seiner persönlichen Daten von<br />
dem allgemeinen Persönlichkeitsrecht <strong>des</strong> Art. 2 Abs. 1 in Verbin-<br />
dung mit Art. 1 Abs. 1 GG umfaßt. Das Gr<strong>und</strong>recht gewährleistet<br />
insoweit die Befugnis <strong>des</strong> Einzelnen, gr<strong>und</strong>sätzlich selbst über die<br />
Preisgabe <strong>und</strong> Verwendung seiner persönlichen Daten zu bestim-<br />
men.“ [3]<br />
Die B<strong>und</strong>esgesetzgebung wurde erst 1990 an die Forderungen <strong>des</strong> BVerfG an-<br />
gepasst. 2001 wurde mit dreijähriger Verspätung gegenüber den Fristen der<br />
Europäischen Union die europäische <strong>Datenschutz</strong>richtlinie umgesetzt. Weitere<br />
Überarbeitungen <strong>des</strong> Gesetzes sind geplant (in Anlehnung an [6, S. 48ff]).<br />
3 B<strong>und</strong>esverfassungsgericht
3. <strong>IT</strong>-<strong>Sicherheit</strong><br />
3.1. Was bedeutet <strong>IT</strong>-<strong>Sicherheit</strong>?<br />
„<strong>Sicherheit</strong> bezeichnet einen Zustand, der frei von Risiken der Be-<br />
einträchtigung ist oder als gefahrenfrei angesehen wird.“ [19]<br />
Finanzieller<br />
Aufwand<br />
( Kosten)<br />
Schäden<br />
Ges<strong>am</strong>tkosten<br />
Optimum<br />
<strong>Sicherheit</strong>smaßnahmen<br />
100%<br />
<strong>Sicherheit</strong><br />
Abbildung 3.1.: Kosten/Nutzen Kurve <strong>Sicherheit</strong> (aus [12])<br />
Da mit zunehmender <strong>Sicherheit</strong> die Kosten für <strong>Sicherheit</strong>smaßnahmen expo-<br />
nentiell ansteigen, kann vollständige <strong>Sicherheit</strong> nicht erreicht werden. Um dem<br />
5
3. <strong>IT</strong>-<strong>Sicherheit</strong> 6<br />
optimalen Maß an <strong>IT</strong>-<strong>Sicherheit</strong> möglichst nahe zu kommen, gibt es einige<br />
Gr<strong>und</strong>forderungen oder zu erreichende Ziele. [11, S. 8], [12]<br />
Vertraulichkeit<br />
Viele Informationen sind nicht für beliebige, sondern nur für bestimmte Emp-<br />
fänger bestimmt. Wenn z.B. durch die Verschlüsselung von Daten oder durch<br />
einen Briefumschlag dafür Sorge getragen wird, dass nur derjenige, für den<br />
eine Information bestimmt ist, Zugang zu dieser erlangt, ist in diesem Falle<br />
Vertraulichkeit erreicht. [11, S. 8]<br />
Integrität<br />
Ist von der Integrität von Daten die Rede, so sind Korrektheit <strong>und</strong> Unver-<br />
sehrtheit gemeint. Übertragungsfehler oder auch böswillige Veränderungen an<br />
Daten können deren Inhalt entstellen oder gar ins Gegenteil verkehren, die<br />
Integrität ist zerstört. [13]<br />
Eine spezielle Möglichkeit, die Integrität von Daten sicherzustellen, nutzt<br />
Authentifikation. Dies geschieht durch die Verknüpfung der Daten mit Infor-<br />
mationen über den Urheber oder Sender, z.B. in Form einer digitalen Signatur.<br />
Bei der Authentifikation wird überprüft, ob die zu authentifizierende Person<br />
diejenige ist, die sie vorgibt zu sein. Dies kann durch bestimmte materielle,<br />
immaterielle, biometrische oder andere Merkmale geschehen. Auch eine Kom-<br />
bination von Merkmalen ist möglich, wie z.B. die Verwendung von Bankkarte<br />
<strong>und</strong> PIN 1 <strong>am</strong> Geldautomaten. [19], [11, S. 8f]<br />
Verfügbarkeit<br />
Die Verfügbarkeit von Daten oder Diensten ist gegeben, wenn diese zugreifbar<br />
oder nutzbar sind. Um eine hohe Verfügbarkeit zu erreichen, müssen Schutz-<br />
maßnahmen eingerichtet werden, die Datenspeicher <strong>und</strong> Geräte vor Störungen<br />
oder Ausfällen sichern. [11, S. 9]<br />
1 Persönliche Identifikations-Nummer
3. <strong>IT</strong>-<strong>Sicherheit</strong> 7<br />
3.2. Mögliche Gefahren<br />
Computer <strong>und</strong> die darauf gespeicherten Daten sind gerade in Verbindung<br />
mit Netzwerken nicht sicher vor Manipulation <strong>und</strong> Diebstahl. Insbesondere<br />
im kommerziellen Umfeld können durch Verlust oder Diebstahl von Daten<br />
existenzielle Schäden entstehen. Die häufigsten Gefahren für Daten <strong>und</strong> <strong>IT</strong>-<br />
Infrastruktur sollen hier kurz erläutert werden (nach [11]).<br />
3.2.1. Bedrohungen in Netzen<br />
Als die größte öffentlich bewusste Bedrohung für Daten <strong>und</strong> Rechner können<br />
derzeit sicherlich Bedrohungen aus Netzen bezeichnet werden. Diese Bedrohun-<br />
gen existieren sowohl im öffentlichen Internet als auch (mit Einschränkungen)<br />
im lokalen oder firmeneigenen Intranet.<br />
Arbeitsplatzrechner sind dabei besonders von bösartigen Progr<strong>am</strong>men wie<br />
beispielsweise sich selbst reproduzierenden Computerviren bedroht. Weiterhin<br />
treten häufig sogenannte Trojanische Pferde mit vor dem Nutzer versteckten<br />
Funktionen <strong>und</strong> Würmer auf. Letztere benötigen im Vergleich zu Viren keine<br />
Benutzerinteraktion, sondern nutzen <strong>Sicherheit</strong>slücken (Fehler) in Betriebssys-<br />
temkomponenten oder Software aus, um sich selbstständig in Netzwerken zu<br />
verbreiten <strong>und</strong> weitere Rechner zu infizieren. Über <strong>Sicherheit</strong>slücken in der<br />
Software mobiler Computer, die sowohl im Internet als auch im internen Netz<br />
eingesetzt werden, kann es so dazu kommen, dass Würmer ein vermeintlich<br />
sicheres Intranet ohne Verbindung zum Internet stilllegen.<br />
Besonders Server, also Daten oder Ressourcen zur Verfügung stellende Com-<br />
puter, sind oft Ziel von Hackern bzw. Crackern. Ein Hacker im eigentlichen Sin-<br />
ne ist jemand, der mit hohem Sachverstand <strong>und</strong> Technikwissen mit Computern<br />
arbeitet. Trifft ein derartiger Hacker mit guten Absichten bei der Untersuchung<br />
von Computern <strong>und</strong> Netzwerken auf <strong>Sicherheit</strong>slücken im System, würde er den<br />
Systemadministrator davon in Kenntnis setzen. Ein Cracker oder Hacker mit<br />
bösartigen Absichten sucht explizit nach <strong>Sicherheit</strong>slücken, um diese zu meist
3. <strong>IT</strong>-<strong>Sicherheit</strong> 8<br />
kriminellen Zwecken wie dem Diebstahl <strong>und</strong> Missbrauch von Informationen zu<br />
nutzen.<br />
3.2.2. Personen<br />
Oft wird die Gefahr, die in Organisationen von den eigenen Mitarbeitern aus-<br />
geht, unterschätzt. Durch sogenanntes Social Engineering, d.h. die Vortäu-<br />
schung falscher Tatsachen mit Überredungskunst <strong>und</strong> Beeinflussung, können<br />
Cracker an viele sicherheitsrelevante Informationen gelangen, die ihnen das<br />
Eindringen in ein System erleichtern. Bei der häufigsten Variante per Telefon<br />
geben sich Cracker Mitarbeitern gegenüber als Kollege oder Administrator aus<br />
<strong>und</strong> erbitten in fingierter dringlicher Notlage Passwörter <strong>und</strong> andere Informa-<br />
tionen.<br />
Alle Daten, auf die ein Mitarbeiter zugreifen kann, könnte er unter Um-<br />
ständen auch kopieren <strong>und</strong> missbrauchen. Bedienfehler führen möglicherweise<br />
zum Löschen oder versehentlichen Versand von Daten an Unbefugte. Unzu-<br />
reichend geschulte oder nachlässige Administratoren können durch fehlerhafte<br />
Konfiguration <strong>und</strong> mangelnde Wartung von Systemen Daten in Gefahr brin-<br />
gen. Mitarbeiter sind vielerorts nicht für <strong>Sicherheit</strong>sprobleme sensibilisiert oder<br />
wissen nicht von organisationsweiten <strong>Sicherheit</strong>svorschriften.<br />
Physische Angriffe<br />
Daten bzw. deren Trägermedien oder ganze Serveranlagen können bei einem<br />
Einbruch physisch entwendet werden.<br />
3.3. Schutzbedarfsfeststellung<br />
Aufgr<strong>und</strong> der Bedrohung, die von den im Abschnitt 3.2 genannten Gefahren<br />
ausgeht, sollte in Organisationen mit sensiblen Daten der Schutzbedarf festge-<br />
stellt werden:<br />
„ Schutzbedarfsfeststellung für <strong>IT</strong>-Anwendungen
3. <strong>IT</strong>-<strong>Sicherheit</strong> 9<br />
Ziel der Schutzbedarfsfeststellung ist es, für jede erfasste <strong>IT</strong>-Anwendung<br />
einschließlich ihrer Daten zu entscheiden, welchen Schutzbedarf sie<br />
bezüglich Vertraulichkeit, Integrität <strong>und</strong> Verfügbarkeit besitzt. Die-<br />
ser Schutzbedarf orientiert sich an den möglichen Schäden, die mit<br />
einer Beeinträchtigung der betroffenen <strong>IT</strong>-Anwendung verb<strong>und</strong>en<br />
sind. “ [1]<br />
Das im Internet in elektronischer Form kostenlos zu beziehende, zweieinhalb-<br />
tausend Seiten umfassende <strong>IT</strong>-Gshb 2 [1] vom BSI 3 bietet eine genaue Anleitung<br />
zur Einschätzung der Gefahrenlage. Außerdem enthält es umfangreichste Hin-<br />
weise <strong>und</strong> Anweisungen zum Schutz der ges<strong>am</strong>ten <strong>IT</strong>-Infrastruktur. Für den<br />
schnellen Einstieg oder für Privatpersonen sind auch [9, 11, 2, 10] geeignet. Je<br />
nach Ergebnis der Schutzbedarfsanalyse sollten daraufhin mehr oder weniger<br />
umfangreiche Maßnahmen zur Gefahrenabwehr getroffen werden.<br />
3.4. Möglichkeiten der Gefahrenabwehr<br />
Die hier genannten Mittel zur Gefahrenabwehr beziehen sich primär auf die<br />
im Abschnitt 3.2 genannten Gefahren. Dieser Abschnitt soll nur einen groben,<br />
unvollständigen Überblick über die zur Verfügung stehenden Möglichkeiten<br />
bieten, für mehr siehe [11].<br />
3.4.1. Technische Maßnahmen<br />
• Um einen gewissen Schutz vor bösartigen Progr<strong>am</strong>men wie Viren, Tro-<br />
janern <strong>und</strong> Würmern zu erreichen, sollten Progr<strong>am</strong>me aus nicht ver-<br />
trauenswürdigen Quellen nicht ausgeführt werden. Der Einsatz einer<br />
Antivirus-Software 4 wird dringend angeraten. Aufgr<strong>und</strong> der Tatsache,<br />
dass täglich mehrere neue Viren entdeckt werden, sollte die Antivirus-<br />
Software min<strong>des</strong>tens einmal pro Woche aktualisiert werden.<br />
2 <strong>IT</strong>-Gr<strong>und</strong>schutzhandbuch<br />
3 B<strong>und</strong>es<strong>am</strong>t für <strong>Sicherheit</strong> in der Informationstechnik<br />
4 http://www.heise.de/security/dienste/antivirus/
3. <strong>IT</strong>-<strong>Sicherheit</strong> 10<br />
• Gegen Cracker <strong>und</strong> Würmer, die Softwarelücken ausnutzen, um in Sys-<br />
teme einzudringen, können sogenannte Firewalls 5 in begrenztem Umfang<br />
schützen. Firewalls trennen Netzbereiche voneinander <strong>und</strong> lassen Daten<br />
nach vorher definierten Regeln passieren oder blocken diese. Wenn das<br />
zu schützende Netzwerk oder der zu schützende Rechner keine Diens-<br />
te in das Internet anbietet, kann eine Firewall beispielsweise sämtlichen<br />
unaufgefordert aus dem Internet eingehenden Netzwerkverkehr blockie-<br />
ren. Dabei wird zwischen Firewalls, die ganze Netzwerke sichern <strong>und</strong><br />
Personal Firewalls, die einen einzelnen Rechner schützen, unterschieden.<br />
Zum Schutz ganzer Netzwerke werden häufig zwei Firewalls hinterein-<br />
ander eingesetzt. Der Bereich zwischen den beiden Firewalls wird als<br />
DMZ 6 bezeichnet. In der DMZ stehen Webserver <strong>und</strong> andere Rechner,<br />
die Dienste in das Internet anbieten. Erst hinter der zweiten Firewall<br />
befindet sich das eigentliche Intranet.<br />
• Zusätlich zu Firewalls bietet sich unter Umständen auch der Einsatz eines<br />
Intrusion-Detecion-Systems 7 an. Diese Systeme dienen zur Erkennung<br />
eines Einbruchversuchs. Eine Variante der Intrusion-Detection-Systeme<br />
versucht über eine Analyse <strong>des</strong> Netzwerkverkehrs, Anomalien festzustel-<br />
len. Im Alarmfall können Administratoren benachrichtigt, eine detaillier-<br />
te Protokollierung zur Beweissicherung gestartet oder bestimmte Pro-<br />
gr<strong>am</strong>me ausgeführt werden.<br />
• Sowohl für den Zugriff auf Netzwerkressourcen als auch zu den einzel-<br />
nen Rechnern selbst werden Zugangskontrollsysteme 8 benötigt, die die<br />
Authentizität der Benutzer prüfen. Zumin<strong>des</strong>t die bei allen gängigen Be-<br />
triebssystemen mitgelieferten Standardmethoden sollten genutzt werden.<br />
• Um die Vertraulichkeit sensibler Daten auch im Falle eines Diebstahls<br />
der Datenträger weitestgehend zu erhalten, sollte die Verschlüsselung der<br />
5 http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html<br />
6 Demilitarisierte Zone<br />
7 http://www.bsi.de/literat/studien/ids/ids-stud.htm<br />
8 z.B. http://www.heise.de/ix/artikel/2002/04/148/
3. <strong>IT</strong>-<strong>Sicherheit</strong> 11<br />
Daten durch Hard- oder Software 9 in Erwägung gezogen werden, welche<br />
anerkannte kryptografische Algorithmen wie z.B. AES 10 einsetzt.<br />
• Ferner ist das Einspielen von Patches sehr wichtig. Patches sind Feh-<br />
lerkorrekturen für Betriebssysteme oder andere Software. Oft werden so<br />
<strong>Sicherheit</strong>slücken, welche von Crackern oder Würmern ausgenutzt wer-<br />
den könnten, geschlossen. In der Regel wird man auf den Webseiten der<br />
Hersteller oder spezieller <strong>Sicherheit</strong>sdienste 11 darüber informiert.<br />
• Serverdienste, die nicht benötigt werden, sollten abgeschaltet werden.<br />
Dadurch kann das Risiko, Opfer einer <strong>Sicherheit</strong>slücke zu werden, mini-<br />
miert werden.<br />
• Zur Prüfung der <strong>Sicherheit</strong> eines Netzwerkes gibt es einige Progr<strong>am</strong>me 12 ,<br />
die nach bekannten <strong>Sicherheit</strong>slücken suchen <strong>und</strong> im Bedarfsfall Lösungs-<br />
vorschläge anbieten.<br />
• Daten sollten regelmäßig gesichert <strong>und</strong> die Sicherung nach Möglichkeit an<br />
einem anderen Ort gelagert werden. Im Havariefall kann dann zumin<strong>des</strong>t<br />
auf einen etwas älteren Datenbestand zurückgegriffen werden.<br />
• Die Hardware zumin<strong>des</strong>t von Servern sollte red<strong>und</strong>ant ausgelegt sein, um<br />
Ausfallzeiten zu minimieren <strong>und</strong> die Verfügbarkeit zu erhöhen.<br />
3.4.2. Organisatorische <strong>Sicherheit</strong>smaßnahmen<br />
• Es existieren einige Kriterienwerke <strong>und</strong> Standards, um den Zeit- <strong>und</strong><br />
Arbeitsaufwand für die Sicherung zu reduzieren. Diese sollen hier nur<br />
kurz aufgelistet werden [11]:<br />
– <strong>IT</strong>-Gr<strong>und</strong>schutzhandbuch [1]<br />
9 z.B. BestCrypt von http://www.jetico.com/<br />
10 Advanced Encryption Standard<br />
11 z.B. http://www.heise.de/security/<br />
12 z.B. http://www.insecure.org/nmap/, http://www.nessus.org/
3. <strong>IT</strong>-<strong>Sicherheit</strong> 12<br />
– Taskforce Sicheres Internet<br />
– ISO TR 13335<br />
– FIPS 140<br />
– ISO 17799<br />
– <strong>IT</strong>SEC/Common Criteria<br />
– ISO 9000<br />
• Ein strukturierter Plan <strong>und</strong> Handlungsvorschriften die <strong>IT</strong>-<strong>Sicherheit</strong> be-<br />
treffend sollten in einer <strong>Sicherheit</strong>srichtlinie festgehalten werden.<br />
„Eine sinnvolle <strong>Sicherheit</strong>srichtlinie legt fest, was getan werden<br />
muss, um ein <strong>IT</strong>-System <strong>und</strong> die gespeicherten Informationen<br />
zu schützen. Mit ihrer Hilfe können Mitarbeiter leicht entschei-<br />
den, was <strong>und</strong> wie es zu tun ist.“ [11]<br />
Physische Sicherung<br />
Um den physischen Diebstahl von Datenträgern oder Hardware zumin<strong>des</strong>t zu<br />
erschweren, müssen bauliche Maßnahmen ergriffen werden. Türen <strong>und</strong> Fenster<br />
der entsprechenden Räumlichkeiten sollten speziell gesichert <strong>und</strong> verschlossen<br />
sein. Durch den Einsatz einer Alarmanlage kann das Risiko weiter gesenkt<br />
werden.<br />
3.5. Rechtliche Möglichkeiten<br />
Eine juristische Handhabe gegen Kriminelle <strong>des</strong> digitalen Zeitalters hat man<br />
nach dem StGB 13 [5] wie folgt:<br />
„• Paragraph 202a: Ausspähen von Daten<br />
13 Strafgesetzbuch<br />
(1) Wer unbefugt Daten, die nicht für ihn bestimmt <strong>und</strong> die<br />
gegen unberechtigten Zugang besonders gesichert sind, sich
3. <strong>IT</strong>-<strong>Sicherheit</strong> 13<br />
oder einem anderen beschafft, wird mit Freiheitsstrafe bis zu<br />
drei Jahren oder mit Geldstrafe bestraft.<br />
• Paragraph 263a: Computerbetrug<br />
(1) Wer in der Absicht, sich oder einem Dritten einen rechts-<br />
widrigen Vermögensvorteil zu verschaffen, das Vermögen ei-<br />
nes anderen dadurch beschädigt, daß er das Ergebnis eines<br />
Datenverarbeitungsvorgangs durch unrichtige Gestaltung <strong>des</strong><br />
Progr<strong>am</strong>ms, durch Verwendung unrichtiger oder unvollstän-<br />
diger Daten, durch unbefugte Verwendung von Daten oder<br />
sonst durch unbefugte Einwirkung auf den Ablauf beinflußt,<br />
wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe<br />
bestraft.<br />
• Paragraph 303a: Datenveränderung<br />
(1) Wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar<br />
macht oder verändert, wird mit Freiheitsstrafe bis zu zwei<br />
Jahren oder mit Geldstrafe bestraft,<br />
• Paragraph 303b: Computersabotage<br />
(1) Wer eine Datenverarbeitung, die für einen fremden Be-<br />
trieb, ein frem<strong>des</strong> Unternehmen oder eine Behörde von we-<br />
sentlicher Bedeutung ist, dadurch stört, daß er<br />
1. eine Tat nach Paragraph 303a Abs. 1 begeht oder<br />
2. eine Datenverarbeitungsanlage oder einen Datenträger zer-<br />
stört, beschädigt oder unbrauchbar macht, beseitigt oder<br />
verändert,<br />
wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe<br />
bestraft.“ [9, 5]
4. Bestehende Systeme<br />
Die hier vorgestellten Systeme stellen nur eine Auswahl der verfügbaren Optio-<br />
nen dar. Das HIS QIS Modul POS wurde ausgewählt, da es mit an <strong>Sicherheit</strong><br />
grenzender Wahrscheinlichkeit in zwei bis drei Jahren an der Fachhhochschu-<br />
le Erfurt eingesetzt werden wird. SNEP wurde ausgewählt, da es in Verbin-<br />
dung mit der Friedrich Schiller Universität Jena entwickelt worden ist <strong>und</strong> dort<br />
<strong>des</strong>sen Einführung zur Disposition steht. Stud.IP wird vorgestellt, da es <strong>am</strong><br />
Fachbereich Sozialwesen der Fachhochschule Jena evaluiert wird.<br />
4.1. HIS QIS Modul POS<br />
Die HIS GmbH 1 Hannover bezeichnet sich selbst als das Softwarehaus der<br />
Hochschulverwaltungen 2 . Das Gr<strong>und</strong>kapital der Gesellschaft st<strong>am</strong>mt zu zwei<br />
Dritteln von den sechzehn B<strong>und</strong>esländer, zu einem Drittel von der BRD 3 . Auf-<br />
gr<strong>und</strong> dieser Nähe zur öffentlichen Hand wird die Software der HIS GmbH an<br />
vielen Hochschulen eingesetzt. Die HIS GmbH bietet Software für die Ver-<br />
waltung nahezu aller Bereiche einer Hochschule an. Der Bezug der Software<br />
ist für die Hochschulen nicht mit weiteren Kosten verb<strong>und</strong>en, allerdings zah-<br />
len die B<strong>und</strong>esländer jährlich einen Pauschalsatz an die HIS GmbH. Je nach<br />
Anzahl der zu verwaltenden Studierenden fallen Kosten für den Support der<br />
Software an. Individuelle Erweiterungen <strong>und</strong> Anpassungen an die jeweilige<br />
Hochschule sind ebenfalls kostenpflichtig. Die Software zur Verwaltung von<br />
Prüfungsergebnissen ist das HIS-GX Modul POS. Das HIS QIS Modul POS<br />
1 Hochschul-Informations-System GmbH<br />
2 http://www.his.de/<br />
3 B<strong>und</strong>esrepuplik Deutschland<br />
14
4. Bestehende Systeme 15<br />
ist unter anderem für den Online-Abruf von Prüfungsergebnissen zuständig.<br />
QIS steht für Qualitätssteigerung der Hochschulverwaltung im Internet durch<br />
Selbstbedienung. HIS QIS Modul POS ist in Java geschrieben <strong>und</strong> benötigt den<br />
frei verfügbaren Webserver Apache 4 sowie den ebenfalls frei erhältlichen Java-<br />
Applikationsserver Tomcat 5 . Als Datenbank kann unter anderem PostgreSQL 6<br />
verwendet werden, welches ebenfalls lizenzgebührenfrei ist. Aus <strong>Sicherheit</strong>s-<br />
gründen wird der Einsatz von zwei Servern empfohlen, als Betriebssysteme<br />
können sowohl Windows als auch Linux zum Einsatz kommen.<br />
Der Abruf der Prüfungsergebnisse erfolgt per Web-Browser. Auch können<br />
sich Studierende mit dem HIS QIS Modul POS online für Prüfungen anmel-<br />
den <strong>und</strong> Bescheinigungen über abgelegte Prüfungen abrufen. Prüfer können<br />
Ergebnisse direkt online verbuchen. Es steht eine Schnittstelle zu Tabellenkal-<br />
kulationssoftware zur Verfügung. [7]<br />
An der Fachhochschule Erfurt wird zur Zeit eine ältere Version der HIS-<br />
Software eingesetzt. In zwei bis drei Jahren soll die Umstellung soweit vollzogen<br />
sein, dass das HIS QIS Modul POS für den Online-Abruf von Prüfungsergeb-<br />
nissen durch Studierende genutzt werden kann.<br />
4.2. SNEP<br />
SNEP wurde vom ehemaligen Jenaer Studenten Rene Stolle entwickelt. Es<br />
steht für SNEP is No Elearning Platform. Der Quelltext <strong>und</strong> das ges<strong>am</strong>te<br />
Progr<strong>am</strong>m sind unter der GPL 7 frei verfügbar <strong>und</strong> auf den Webseiten von<br />
TEMPLATEC erhältlich 8 .<br />
„SNEP ist ein Werkzeug zur organisatorischen Unterstützung von<br />
traditionellen (universitären) Lehrveranstaltungen (Vorlesungen, Se-<br />
minare, etc.). Dabei bietet es Dozenten die Möglichkeit der Ankün-<br />
4 http://www.apache.org<br />
5 http://jakarta.apache.org/tomcat/<br />
6 http://www.postgresql.org/<br />
7 GNU General Public License<br />
8 http://templatec.net/products/snep/
4. Bestehende Systeme 16<br />
digung, Beschreibung, Verwaltung <strong>und</strong> Archivierung seiner Lehr-<br />
veranstaltungen an einem Punkt. Alles was er dazu braucht, ist ein<br />
beliebiger Internet-Browser (<strong>und</strong> eine SNEP-Installation auf einem<br />
Server).“ [16]<br />
Studierende können sich unter anderem über SNEP per Web-Browser in<br />
Lehrveranstaltungen einschreiben, Testergebnisse einsehen <strong>und</strong> haben Zugriff<br />
auf Unterlagen zu den betreffenden Veranstaltungen. SNEP dient auch als<br />
Kommunikationsplattform, es können interne E-Mails verschickt werden. Die<br />
Software basiert auf Java <strong>und</strong> nutzt ebenso wie HIS QIS Modul POS den Ap-<br />
plikationsserver Tomcat. Als Datenbank kommt MySQL 9 zum Einsatz, welches<br />
auch lizenzkostenfrei unter der GPL zu beziehen ist. [16]<br />
Einige Fakultäten der Friedrich Schiller Universität Jena verwenden SNEP<br />
erfolgreich im Testbetrieb.<br />
4.3. Stud.IP<br />
Stud.IP 10 ist ebenfalls ein Open Source 11 Projekt. Die meisten der Kern-<br />
Entwickler sind bei der aus der Universität Göttingen heraus gegründeten<br />
data-quest SUCHI & BERG GmbH 12 tätig, welche das Projekt betreut <strong>und</strong><br />
Unterstützung anbietet. Gefördert wird es durch weitere universitätsnahe göt-<br />
tinger Einrichtungen.<br />
„Stud.IP (Studienbegleitender Internetsupport von Präsenzlehre)<br />
ist eine internetbasierte Arbeitsumgebung zur Unterstützung uni-<br />
versitärer Lehrveranstaltungen.“ [15]<br />
Stud.IP bietet den Studierenden über einen Web-Browser neben einer auto-<br />
matischen Erstellung <strong>des</strong> St<strong>und</strong>eplans eine schnelle Übersicht über alle Veran-<br />
staltungen <strong>und</strong> eine die Möglichkeit, auf Lehrmaterialien zuzugreifen. Leh-<br />
9 http://www.mysql.com/<br />
10 http://www.studip.de/<br />
11 quelloffen, frei erhältlicher Quelltext<br />
12 http://www.data-quest.de/
4. Bestehende Systeme 17<br />
rende können ihre Veranstaltungen verwalten, aktuelle Mitteilungen veröf-<br />
fentlichen, Arbeitsmaterialien anbieten <strong>und</strong> Kontakt zu Teilnehmern aufneh-<br />
men. Prüfungsergebnisse können in Dateiform zum Herunterladen bereitge-<br />
stellt werden.[15]<br />
Der Fachbereich Sozialwesen der Fachhochschule Jena setzt Stud.IP mit<br />
mehreren h<strong>und</strong>ert Veranstaltungen <strong>und</strong> Nutzern versuchsweise ein.
5. Informationssystem<br />
„Prüfungsergebnisse Online“<br />
5.1. Motivation zur Eigenentwicklung<br />
Wie schon in der Einleitung <strong>und</strong> im Abschnitt Bestehende Systeme erläutert,<br />
wird mit an <strong>Sicherheit</strong> grenzender Wahrscheinlichkeit in zwei bis drei Jahren<br />
das HIS QIS Modul POS an der Fachhhochschule Erfurt eingesetzt werden.<br />
Die Systeme SNEP <strong>und</strong> Stud.IP wurden in Kapitel 4 als Kandidaten für eine<br />
Übergangslösung kurz vorgestellt. Der primäre Einsatzzweck beider Lösungen<br />
ist die organisatorische Unterstützung von Lehrveranstaltungen an Hochschu-<br />
len.<br />
In SNEP besteht die Möglichkeit, Ergebnisse zu Veranstaltungen zu erfas-<br />
sen. Da jedoch persönliche Daten der Studierenden in der selben Datenbank<br />
gespeichert werden <strong>und</strong> d<strong>am</strong>it eine Zuordnung einzelner Ergebnisse zu Perso-<br />
nen möglich wäre, kann SNEP aufgr<strong>und</strong> datenschutzrechtlicher Bedenken nicht<br />
eingesetzt werden. Stud.IP sieht die Speicherung von Prüfungsnoten nicht vor.<br />
Dozenten können jedoch Dateien bereitstellen, die von den Studierenden ein-<br />
sehbar sind <strong>und</strong> Noten enthalten. D<strong>am</strong>it wäre eine Notenspiegeldarstellung<br />
nicht möglich. In beiden Fällen müssen die Dozenten die Ergebnisse in das<br />
System einstellen <strong>und</strong> an das Prüfungs<strong>am</strong>t leiten. Deshalb wird die Entwick-<br />
lung einer Lösung angestrebt, die eine Zuordnung von Ergebnissen zu Perso-<br />
nen durch Außenstehende unmöglich macht oder zumin<strong>des</strong>t deutlich erschwert.<br />
Durch direkte Verbindung zum Prüfungs<strong>am</strong>t soll den Dozenten kein zusätzli-<br />
cher Aufwand entstehen.<br />
18
5. Informationssystem „Prüfungsergebnisse Online“ 19<br />
5.2. Zielgruppen<br />
In erster Linie richtet sich das Informationssystem an Studierende. Während<br />
ihres Studiums benötigen sie <strong>des</strong> öfteren Zugriff auf einen aktuellen Notenspie-<br />
gel. Besonders in der vorlesungsfreien Zeit einige Wochen nach den Prüfungen,<br />
um zu erfahren ob eine oder mehrere Nachprüfungen erforderlich sind. Auf-<br />
gr<strong>und</strong> verschiedener terminlicher Probleme wegen <strong>des</strong> Urlaubs von Dozenten<br />
<strong>und</strong> Studierenden, geänderten Sprechzeiten <strong>und</strong> nicht immer aktuellen Aus-<br />
hängen dauert es mitunter recht lange, bis die Studierenden alle Prüfungser-<br />
gebnisse in Erfahrung gebracht haben. Studierende, die ihr Praxissemester im<br />
weiter entfernten In- oder Ausland verbringen, haben es noch schwieriger. Der<br />
Online-Abruf der Prüfungsergebnisse bringt hier eine erhebliche Vereinfachung.<br />
Für die Dozenten <strong>und</strong> speziell das Prüfungs<strong>am</strong>t bedeutet das System eine<br />
Arbeitserleichterung. Wenn die Studierenden ihre Ergebnisse online abrufen<br />
können, bleibt in den Sprechzeiten mehr Raum für die wichtigen Anliegen.<br />
5.3. Anforderungen<br />
5.3.1. Was das Informationssystem leisten soll<br />
Das Informationssystem soll dem Studierenden nach erfolgreicher Authentifi-<br />
zierung eine Übersicht über seine Prüfungsergebnisse in Form eines Notenspie-<br />
gels anzeigen. Der Notenspiegel soll in Anlehnung an die vom Prüfungs<strong>am</strong>t der<br />
Fachhochschule Erfurt in Papierform erstellten Notenspiegel gestaltet werden,<br />
sowohl inhaltlich als auch von der Optik her. in Als Clientsoftware zur Anzeige<br />
soll ein XHTML 1 1.1-konformer Standardbrowser genutzt werden. Um Integri-<br />
tät <strong>und</strong> Authentizität der Notenspiegel sicherzustellen, soll der Notenspiegel<br />
auch als signierte PDF 2 -Datei bereitgestellt werden.<br />
Es muss durch geeignete Maßnahmen sichergestellt sein, dass jeder Studie-<br />
rende nur seine eigenen Ergebnisse einsehen kann. Im Falle eines Diebstahls<br />
1 Extensible HyperText Markup Language<br />
2 Portable Document Format
5. Informationssystem „Prüfungsergebnisse Online“ 20<br />
<strong>des</strong> Datenbestan<strong>des</strong> darf keine direkte Zuordnung von Noten zu Personen oder<br />
deren Matrikelnummern möglich sein. Eventuell für einen Authentifizierungs-<br />
prozess eingesetzte Passwörter müssen von den Studierenden änderbar sein.<br />
Für die Lehrenden soll kein Mehraufwand entstehen.<br />
5.3.2. Anforderungen <strong>des</strong> <strong>Datenschutz</strong>es<br />
Aufgr<strong>und</strong> der Tatsache, dass die Hochschulen in der BRD Ländersache sind,<br />
kommt im Fall <strong>des</strong> <strong>Informationssystems</strong> Prüfungsergebnisse Online an der<br />
Fachhochschule Erfurt das ThürDSG 3 zur Anwendung. Dort heißt es in §2<br />
Absatz 1:<br />
„Die Bestimmungen dieses Gesetzes gelten für die Verarbeitung<br />
<strong>und</strong> Nutzung personenbezogener Daten durch die Behörden, die<br />
Gerichte <strong>und</strong> die sonstigen öffentlichen Stellen <strong>des</strong> Lan<strong>des</strong>, der Ge-<br />
meinden <strong>und</strong> Gemeindeverbände <strong>und</strong> die sonstigen der Aufsicht<br />
<strong>des</strong> Lan<strong>des</strong> unterstehenden juristischen Personen <strong>des</strong> öffentlichen<br />
Rechts (öffentliche Stellen).“ [17]<br />
Nach §3 Absatz 1 <strong>des</strong> ThürHG 4 sind die Hochschulen <strong>des</strong> Lan<strong>des</strong> Thüringen<br />
Körperschaften <strong>des</strong> öffentlichen Rechts <strong>und</strong> zugleich staatliche Einrichtungen<br />
[18]. Demnach ist das ThürDSG für die Fachhochschule Erfurt bindend. Die<br />
im folgenden genannten Paragraphen entst<strong>am</strong>men alle dem ThürDSG [17].<br />
Das ThürDSG soll verhindern, dass Personen durch den Umgang mit ihren<br />
personenbezogenen Daten durch öffentliche Stellen in ihrem Persönlichkeits-<br />
recht beeinträchtigt werden (§1).<br />
„Personenbezogene Daten sind Einzelangaben über persönliche oder<br />
sachliche Verhältnisse einer bestimmten oder bestimmbaren natür-<br />
lichen Person (Betroffener).“ [17, §3 Absatz 1]<br />
Da die Verarbeitung der Daten der Studierenden für einen Online-Abrufs<br />
von Noten weder von einem Gesetz noch von einer anderen Rechtsvorschrift<br />
3 Thüringer <strong>Datenschutz</strong>gesetz<br />
4 Thüringer Hochschulgesetz
5. Informationssystem „Prüfungsergebnisse Online“ 21<br />
erlaubt oder angeordnet wird, ist nach §4 Absatz 1-3 <strong>und</strong> §20 Absatz 2 Punkt<br />
2 <strong>des</strong> ThürDSG eine schriftliche, freiwillige Einwilligung der Betroffenen zur<br />
Verarbeitung ihrer Daten erforderlich.<br />
Ferner sind nach §9 <strong>des</strong> ThürDSG geeignete technische <strong>und</strong> organisatori-<br />
sche Maßnahmen zu treffen, d<strong>am</strong>it Vertraulichkeit, Integrität, Verfügbarkeit,<br />
Authenzität, Revisionsfähigkeit <strong>und</strong> Transparenz der Daten bzw. deren Verar-<br />
beitung gewährleistet sind.<br />
Laut §10a Absatz 2 <strong>des</strong> ThürDSG bedarf das ges<strong>am</strong>te Verfahren der Freiga-<br />
be <strong>des</strong> Beauftragten für den <strong>Datenschutz</strong> nach §10a Absatz 1 <strong>des</strong> ThürDSG.<br />
Dieser muss den Online-Abruf der Noten auch im Verfahrensverzeichnis nach<br />
§10 <strong>des</strong> ThürDSG dokumentieren. An der Fachhochschule Erfurt ist dies zum<br />
Zeitpunkt der Erstellung dieser Arbeit Herr Prof. E. Riehle.<br />
Die gespeicherten Daten sind entsprechend §16 <strong>des</strong> ThürDSG zu löschen,<br />
wenn keine Gründe zur Speicherung mehr vorliegen oder die Einwilligung zur<br />
Speicherung widerrufen wird.<br />
5.3.3. Anforderungen an die <strong>IT</strong>-<strong>Sicherheit</strong><br />
Prüfungsergebnisse sind persönliche Daten, die eines besonderen Schutzes be-<br />
dürfen. Ein großes Problem bei der Veröffentlichung von Ergebnissen, beson-<br />
ders im Internet, ist die Möglichkeit der Profilbildung. Daher muss gewähr-<br />
leistet sein, dass Studierende ausschließlich auf ihre eigenen Daten zugreifen<br />
können. Das Informationssystem Prüfungsergebnisse Online erfordert daher ei-<br />
ne Art der Authentifikation, die in Form einer Abfrage von Benutzerkennung<br />
<strong>und</strong> Passwort umgesetzt wird. Das Passwort muss min<strong>des</strong>tens acht Zeichen<br />
lang sein <strong>und</strong> Groß- <strong>und</strong> Kleinschreibung, Zahlen <strong>und</strong> Sonderzeichen enthal-<br />
ten. Um Vertraulichkeit <strong>und</strong> Integrität der übertragenen Daten sicherzustellen,<br />
muss die Verbindung zwischen Webserver <strong>und</strong> Browser besonders geschützt<br />
werden. Hierfür wird das Standardprotokoll SSL 5 verwendet, das anerkannte<br />
kryptografischen Methoden zur Sicherung der Verbindung einsetzt.<br />
5 Secure Socket Layer
5. Informationssystem „Prüfungsergebnisse Online“ 22<br />
Um den Webserver möglichst gut gegen Angriffe aus dem Internet zu schüt-<br />
zen, darf dieser Rechner keine weiteren Dienste für das Internet anbieten, da<br />
diese ein <strong>Sicherheit</strong>srisiko darstellen. Er muss durch eine Firewall geschützt<br />
werden, die nur Zugriff auf die für den Betrieb nötigen Bereiche zulässt. Zur<br />
besonderen Sicherung <strong>des</strong> Datenbestan<strong>des</strong> muss nach dem Webserver eine wei-<br />
tere Firewall folgen, aus Netzwerksicht dahinter der Datenbankserver. Der<br />
Webserver befindet sich d<strong>am</strong>it in der DMZ, der Datenbankserver im besonders<br />
geschützten Bereich. Das kann das Intranet sein, sollte aber zur Gewährleis-<br />
tung höchster <strong>Sicherheit</strong> ein eigenes abgeschlossenes Netzwerk sein.<br />
Für den Fall, dass auf irgendeine Art <strong>und</strong> Weise ein Angreifer Zugang zum<br />
Datenbankserver <strong>und</strong> den darauf gelagerten Datenbestand erhalten sollte, wer-<br />
den die Daten pseudonymisiert [17, §3, Absatz 10]. Hier bedeutet dies, dass<br />
die für die Authentifikation genutzte, von den Studierenden frei wählbare Be-<br />
nutzerkennung dabei die Matrikelnummer ersetzt <strong>und</strong> als Pseudonym dient.<br />
Frei wählbar nur soweit, wie diese keine Rückschlüsse auf den wirklichen Na-<br />
men <strong>des</strong> jeweiligen Studierenden zulässt <strong>und</strong> min<strong>des</strong>tens acht Zeichen umfasst.<br />
Persönlichen Daten der Studierenden werden nicht mit den Prüfungsergebnis-<br />
sen zus<strong>am</strong>men gespeichert. D<strong>am</strong>it bleibt gewährleistet, dass die Studierenden<br />
ausschließlich ihre eigenen Daten erhalten. So kann jemand, der über den Stu-<br />
dierendenausweis, fehlerhafte Aushänge oder anderweitig Zugang zu Matrikel-<br />
nummern erhalten hat, kein Profil von Studierenden anhand ihrer Matrikel-<br />
nummern erstellen. Allerdings muss dafür die Zuordnung von Benutzerkennung<br />
zu Matrikelnummer beispielsweise im Prüfungs<strong>am</strong>t sicher verwahrt sein. Es<br />
muss eine Möglichkeit existieren, die Prüfungsdaten derjenigen Studierenden,<br />
die den Online-Abruf von Prüfungsergebnissen nutzen möchten, zu pseudony-<br />
misieren <strong>und</strong> auf den Datenbankserver zu übertragen.<br />
Da so trotzdem noch die theoretische Möglichkeit besteht, dass jemand die<br />
Zuordnung von Benutzerkennung zu Matrikelnummer in Erfahrung bringt, ist<br />
laut den Ausführungen der Anforderungen <strong>des</strong> <strong>Datenschutz</strong>es die Abgabe ei-<br />
ner schriftlichen Einverständniserklärung der Studierenden zur Teilnahme <strong>am</strong><br />
Online-Abruf der Prüfungsergebnisse nötig.
5. Informationssystem „Prüfungsergebnisse Online“ 23<br />
Auf Anwendungsebene werden noch weitere Maßnahmen eingesetzt, um Ver-<br />
traulichkeit <strong>und</strong> Integrität der Daten sicherzustellen. So haben, wie der Ab-<br />
schnitt über das Datenbank<strong>des</strong>ign ausführlich erläutert, die Datenbankbenut-<br />
zer nur die unbedingt benötigten Berechtigungen. Über den Einsatz von bind-<br />
Variablen 6 wird sichergestellt, dass bei der Übergabe von Par<strong>am</strong>etern wie der<br />
Benutzerkennung oder eines Passwortes an die Datenbank keine bösartige Ab-<br />
fragen eingeschleust werden können.<br />
Die Integrität der angezeigten Daten wird dadurch erhöht, dass die Noten-<br />
spiegel in Form von signierten PDF-Dateien angeboten werden. Die Signatur<br />
ist eine durch kryptografische Methoden gesicherte Art der Unterschrift, die<br />
hier die ausgebende Hochschule als Urheber der Daten bestätigt.<br />
5.4. Objektorientierte Modellierung<br />
Das Ges<strong>am</strong>tsystem Prüfungsergebnisse Online besteht aus mehreren Teilsyste-<br />
men. Im ersten Teilsystem werden von einer Hochschuleinrichtung die schrift-<br />
liche Einverständniserklärung <strong>und</strong> die notwendigen Daten der Studierenden<br />
erfasst. Dies beinhaltet die Auswahl der Benutzerkennung, die Erfassung der<br />
von der Hochschule vergebenen E-Mail Adresse, den Versand eines automa-<br />
tisch generierten Passwortes an diese Adresse sowie die Speicherung dieser<br />
Daten zus<strong>am</strong>men mit der Matrikelnummer in einer separaten Datenbank.<br />
Pseudonymisierung der Daten <strong>und</strong> den Transfer zum Prüfungsergebnisse<br />
Online Datenbankserver umfasst das zweite Teilsystem. Dabei werden die re-<br />
levanten Daten der für den Online-Abruf angemeldeten Studierenden in ein<br />
textbasiertes Format exportiert, auf das Datenmodell von Prüfungsergebnisse<br />
Online konvertiert, Matrikelnummern durch Benutzerkennungen ersetzt <strong>und</strong><br />
E-Mail Adressen <strong>und</strong> Passwörter übernommen. Die fertig aufbereiteten Da-<br />
ten werden per Datenträger oder über das Netzwerk zum Datenbankserver<br />
transferiert <strong>und</strong> dort importiert.<br />
6 D<strong>am</strong>it ist gewährleistet, dass Par<strong>am</strong>eter nicht als Anweisung, sondern als String interpre-<br />
tiert werden
5. Informationssystem „Prüfungsergebnisse Online“ 24<br />
Abbildung 5.1.: Anwendungsfalldiagr<strong>am</strong>m <strong>des</strong> Ges<strong>am</strong>tsystems<br />
Den Zugang zum Notenspiegel ermöglicht der dritte Teil. Die Studieren-<br />
den melden sich über Benutzerkennung <strong>und</strong> Passwort <strong>am</strong> System an. Nach<br />
erfolgreicher Anmeldung können sie sich den Notenspiegel anzeigen oder per<br />
E-Mail als PDF-Daten schicken lassen. Auch eine Änderung <strong>des</strong> Passwortes<br />
ist möglich. Dieser Teil wird im Rahmen dieser Arbeit progr<strong>am</strong>miertechnisch<br />
Umgesetzt.<br />
• Klassendiagr<strong>am</strong>m
5. Informationssystem „Prüfungsergebnisse Online“ 25<br />
5.5. Web<strong>des</strong>ign<br />
Der Entwurf <strong>des</strong> Web<strong>des</strong>igns befindet sich im Anhang A.2. Es werden sämtliche<br />
vorgesehenen Ansichten dargestellt.<br />
5.6. Datenbank<strong>des</strong>ign<br />
5.6.1. Datenmodell<br />
Ein detailliertes Datenmodell befindet sich im Anhang A.1. Dort sind die En-<br />
titäten mit ihren Attributen <strong>und</strong> die Beziehungen der Entitäten untereinander<br />
ausführlich dargestellt.<br />
5.6.2. Beschreibung der Entitäten<br />
Pruefungsergebnisse<br />
Für jeden Studierenden wird zu jeder absolvierten Prüfung das Ergebnis als<br />
Dezimalwert, Prozentwert oder ähnliches (siehe Ergebnistypen) gespeichert.<br />
Je<strong>des</strong> Ergebnis hat einen optionalen Modulbereich, der um individuelle Be-<br />
gebenheiten zu berücksichtigen vom Standard-Modulbereich abweichen kann.<br />
Solche Begebenheiten können im Bemerkungsfeld genau dokumentiert werden.<br />
Der Prüfungsstatus gibt z.B. an, ob ein eventuell vorhandener Freiversuch nicht<br />
bestanden oder ob eine Leistung anerkannt worden ist. Zu jedem Prüfungser-<br />
gebnis kann das Datum der Leistungserbringung gespeichert werden.<br />
• ergebnisse_id (Primärschlüssel)<br />
Eine eindeutige Nummer für je<strong>des</strong> Ergebnis.<br />
• dozenten_id (Fremdschlüssel)<br />
Die ID <strong>des</strong> Hauptprüfers (Dozent) <strong>des</strong> Prüfungsergebnisses.<br />
• studierenden_id (Fremdschlüssel)<br />
Die ID <strong>des</strong> Studierenden, der dem Prüfungsergebnis zugeordnet ist.
5. Informationssystem „Prüfungsergebnisse Online“ 26<br />
• pruefungsstatus_id (Fremdschlüssel)<br />
Die ID <strong>des</strong> Prüfungsstatus <strong>des</strong> Ergebnisses.<br />
• modulbereich_id (Fremdschlüssel)<br />
Die ID <strong>des</strong> Modulbereiches <strong>des</strong> Prüfungsergebnisses.<br />
• ergebnistypen_id (Fremdschlüssel)<br />
Die ID <strong>des</strong> Ergebnistypen, der dem Ergebnis zugeordnet ist.<br />
• module_id (Fremdschlüssel)<br />
Die ID <strong>des</strong> Moduls, das dem Prüfungsergebnis zugeordnet ist.<br />
• pruefungsdatum<br />
Das Datum der Prüfung.<br />
• versuch<br />
Die Laufende Nummer <strong>des</strong> Versuches.<br />
• bewertung<br />
Die Bewertung <strong>des</strong> Versuches, die Einheit wird durch den Ergebnistyp<br />
bestimmt.<br />
• bemerkung<br />
Hier können individuelle Besonderheiten dokumentiert werden.<br />
Studierende<br />
Die Studierenden, deren Prüfungsergebnisse gespeichert werden, werden hier<br />
erfasst. Aus Gründen <strong>des</strong> <strong>Datenschutz</strong>rechts wird die Matrikelnummer nicht<br />
gespeichert. Die Studierenden, welche den Online-Abruf ihrer Prüfungsergeb-<br />
nisse nutzen möchten, müssen dies z.B. bei der Rückmeldung mit ihrer Un-<br />
terschrift bestätigen. Dabei werden auch eine min<strong>des</strong>tens acht Zeichen lange,<br />
eindeutige Benutzerkennung, welche keine Rückschlüsse auf den N<strong>am</strong>en der<br />
Studierenden ermöglicht, <strong>und</strong> die E-Mail Adresse der Studierenden erfasst.<br />
Bei der Übertragung der Prüfungsergebnisse in das System Prüfungsergebnis-<br />
se Online werden sämtliche Matrikelnummern durch die Benutzerkennungen
5. Informationssystem „Prüfungsergebnisse Online“ 27<br />
ersetzt <strong>und</strong> d<strong>am</strong>it pseudonymisiert. Ein automatisch generiertes Passwort wird<br />
an die E-Mail Adresse der Studierenden gesandt. Dies kann auf Wunsch geän-<br />
dert werden, muss allerdings min<strong>des</strong>tens acht Zeichen lang sein <strong>und</strong> bestimm-<br />
ten Kriterien entsprechen (Groß- <strong>und</strong> Kleinschreibung, min<strong>des</strong>tens eine Zahl<br />
<strong>und</strong> ein Sonderzeichen enthalten etc.). Außerdem haben Studierende in der<br />
Regel ab einem bestimmten Semester eine Spezialisierung, ansonsten wird hier<br />
Gr<strong>und</strong>- oder allgemein Hauptstudium vermerkt.<br />
• studierenden_id (Primärschlüssel)<br />
Eine eindeutige Nummer für jeden Studierenden.<br />
• spezialisierungen_id (Fremdschlüssel)<br />
Die ID der Spezialisierung <strong>des</strong> Studierenden.<br />
• benutzerkennung<br />
Eine min<strong>des</strong>tens acht Zeichen lange, vom Studierenden zu wählende, ein-<br />
deutige Benutzerkennung.<br />
• passwort<br />
Ein min<strong>des</strong>tens acht Zeichen langes, automatisch generiertes Passwort.<br />
Wird an die E-Mail Adresse <strong>des</strong> Studierenden gesandt <strong>und</strong> kann nach<br />
erfolgreicher Anmeldung <strong>am</strong> Prüfungsergebnisse Online-System geändert<br />
werden.<br />
• email<br />
Module<br />
Die E-Mail Adresse <strong>des</strong> Studierenden. Vorzugsweise die vom Rechenzen-<br />
trum der Hochschule vergebene Adresse.<br />
In jedem Semester (Zeitpunkt, z.B. SS04 ) werden Veranstaltungen (Seminare,<br />
Vorlesungen) von min<strong>des</strong>tens einem oder mehreren Dozenten gehalten. Diese<br />
werden als Module bezeichnet <strong>und</strong> sind in der Regel mit einer gewissen Anzahl<br />
von Kreditpunkten einer bestimmten Spezialisierung zugeordnet. Auch haben
5. Informationssystem „Prüfungsergebnisse Online“ 28<br />
sie einen sogenannten Modulbereich, der die Zugehörigkeit z.B. zum Pflicht-<br />
oder Wahlbereich angibt.<br />
• module_id (Primärschlüssel)<br />
Eine eindeutige Nummer für je<strong>des</strong> Modul.<br />
• spezialisierung_id (Fremdschlüssel)<br />
Die ID der Spezialisierung <strong>des</strong> Moduls.<br />
• modulbereiche_id (Fremdschlüssel)<br />
Die ID <strong>des</strong> Modulbereiches <strong>des</strong> Moduls.<br />
• bezeichnung<br />
Die genaue Bezeichnung <strong>des</strong> Moduls.<br />
• zeitpunkt<br />
Der Zeitpunkt, zu dem das Modul stattgef<strong>und</strong>en hat als Semester<br />
• kreditpunkte<br />
Die Anzahl der für das Modul vergebenen Kreditpunkte.<br />
Modulbereiche<br />
Die Zugehörigkeit eines Moduls z.B. zum Pflicht- oder Wahlbereich.<br />
• modulbereiche_id (Primärschlüssel)<br />
Eine eindeutige Nummer für jeden Modulbereich.<br />
• bezeichnung<br />
Die exakte Bezeichnung <strong>des</strong> Modulbereiches.<br />
Pruefungsstatus<br />
Der Pruefungsstatus gibt z.B. an, ob ein eventuell vorhandener Freiversuch<br />
nicht bestanden, eine Leistung anerkannt oder endgültig nicht bestanden wor-<br />
den ist.
5. Informationssystem „Prüfungsergebnisse Online“ 29<br />
• pruefungsstatus_id (Primärschlüssel)<br />
Eine eindeutige Nummer für jeden Prüfungsstatus.<br />
• bezeichnung<br />
Die vollständige Bezeichnung<br />
Ergebnistypen<br />
Ergebnisse können z.B. als Prozentwert, Dezimalwert (z.B. 2,3) oder ähnliches<br />
gespeichert werden.<br />
• ergebnistypen_id (Primärschlüssel)<br />
Eine eindeutige Nummer für jeden Ergebnistyp.<br />
• bezeichnung<br />
Dozenten<br />
Die Bezeichnung <strong>des</strong> Ergebnistyps.<br />
Dozenten sind die Lehrkräfte, die Veranstaltungen abhalten. Sie sind in der<br />
Regel einem Fachbereich primär zugeordnet. Sie können auch von außerhalb<br />
der Hochschule kommen.<br />
• dozenten_id (Primärschlüssel)<br />
Eine eindeutige Nummer für jeden Dozenten.<br />
• fachbereiche_id (Fremdschlüssel)<br />
Die ID <strong>des</strong> Fachbereiches <strong>des</strong> Dozenten.<br />
• titel<br />
Der (akademische) Titel <strong>des</strong> Dozenten.<br />
• vorn<strong>am</strong>e<br />
Der Vorn<strong>am</strong>e <strong>des</strong> Dozenten.<br />
• nachn<strong>am</strong>e<br />
Der Nachn<strong>am</strong>e <strong>des</strong> Dozenten.
5. Informationssystem „Prüfungsergebnisse Online“ 30<br />
• extern<br />
Gibt an, ob der Dozent von außerhalb der Hochschule kommt oder nicht.<br />
Mo_haben_Do<br />
Da je<strong>des</strong> Modul von mehreren Dozenten gemeins<strong>am</strong> gehalten werden kann,<br />
werden die Dozenten hier den Modulen zugeordnet.<br />
• mo_haben_do_id (Primärschlüssel)<br />
Eine eindeutige Nummer für jede Zuordnung.<br />
• module_id (Fremdschlüssel)<br />
Die ID <strong>des</strong> zugeordneten Moduls.<br />
• dozenten_id (Fremdschlüssel)<br />
Die ID <strong>des</strong> zugeordneten Dozenten.<br />
Spezialisierungen<br />
Jede Spezialisierungsrichtung gehört zu einem Studiengang.<br />
• spezialisierungen_id (Primärschlüssel)<br />
Eine eindeutige Nummer für jede Spezialisierung.<br />
• studiengaenge_id (Fremdschlüssel)<br />
Die ID <strong>des</strong> Studienganges der Spezialisierung.<br />
• bezeichnung<br />
Die Bezeichnung der Spezialisierung.<br />
Studiengaenge<br />
Hier werden die an der Hochschule vorhandenen Studiengänge gespeichert.<br />
• studiengaenge_id (Primärschlüssel)<br />
Eine eindeutige Nummer für jeden Studiengang.
5. Informationssystem „Prüfungsergebnisse Online“ 31<br />
• fachbereiche_id (Fremdschlüssel)<br />
Die ID <strong>des</strong> Fachbereiches <strong>des</strong> Studienganges.<br />
• bezeichnung<br />
Die Bezeichnung <strong>des</strong> Studienganges.<br />
Fachbereiche<br />
Jeder Studiengang gehört einem Fachbereich an.<br />
• fachbereiche_id (Primärschlüssel)<br />
Eine eindeutige Nummer für jeden Fachbereich.<br />
• bezeichnung<br />
Die genaue Bezeichnung <strong>des</strong> Fachbereiches.<br />
Pruefungsordnungen<br />
Über die Prüfungsordnungen der Studiengänge in verschiedenen Versionen<br />
kann den Studierenden dargelegt werden, wieviele Kreditpunkte sie in welchen<br />
Modulbereichen erreicht haben <strong>und</strong> wieviele noch benötigt werden. Prüfungs-<br />
ordnungen haben daher min<strong>des</strong>tens einen Modulbereich.<br />
• pruefungsordnungen_id (Primärschlüssel)<br />
Eine eindeutige Nummer für jede Prüfungsordnung.<br />
• studiengaenge_id (Fremdschlüssel)<br />
Die ID <strong>des</strong> Studienganges der Prüfungsordnung.<br />
• version<br />
Die Versionsnummer der Prüfungsordnung.<br />
Po_haben_Mb<br />
Die Modulbereiche der entsprechenden Prüfungsordnungen werden hier erfasst.
5. Informationssystem „Prüfungsergebnisse Online“ 32<br />
• po_haben_mb_id (Primärschlüssel)<br />
Eine eindeutige Nummer für jede Zuordnung.<br />
• pruefungsordnungen_id (Fremdschlüssel)<br />
Die ID der zugeordneten Prüfungsordnung.<br />
• modulbereiche_id (Fremdschlüssel)<br />
Die ID <strong>des</strong> zugeordneten Modulbereiches.<br />
• kreditpunkte<br />
Die Anzahl der für diesen Modulbereich benötigten Kreditpunkte.<br />
5.6.3. Beschreibung der Beziehungen<br />
In der folgenden Beschreibung sind n-zu-m-Beziehungen zus<strong>am</strong>mengefasst.<br />
1 Jedem Prüfungsergebnis ist genau ein Studierender zugeordnet. Jeder Stu-<br />
dierende ist min<strong>des</strong>tens einem Prüfungsergebnis zugeordnet.<br />
2 Jedem Prüfungsergebnis ist genau ein Modul zugewiesen. Je<strong>des</strong> Modul kann<br />
mehreren Prüfungsergebnissen zugeordnet sein.<br />
3 Je<strong>des</strong> Prüfungsergebnis kann genau einen Modulbereich haben. Jeder Mo-<br />
dulbereich kann mehreren Prüfungsergebnissen zugeordnet sein.<br />
4 Je<strong>des</strong> Prüfungsergebnis hat genau einen Prüfungsstatus. Jeder Prüfungssta-<br />
tus kann mehreren Prüfungsergebnissen zugeordnet sein.<br />
5 Jedem Prüfungsergebnis ist genau ein Ergebnistyp zugewiesen. Jeder Ergeb-<br />
nistyp kann mehreren Prüfungsergebnissen zugewiesen sein.<br />
6 Jedem Prüfungsergebnis ist genau ein Dozent (Hauptprüfer) zugeordnet.<br />
Jeder Dozent ist min<strong>des</strong>tens einem Prüfungsergebnis zugeordnet.<br />
7 Je<strong>des</strong> Modul hat genau einen Modulbereich. Jeder Modulbereich kann meh-<br />
reren Prüfungsergebnissen zugeordnet sein.
5. Informationssystem „Prüfungsergebnisse Online“ 33<br />
8 Je<strong>des</strong> Modul hat min<strong>des</strong>tens einen Dozenten. Jeder Dozent ist min<strong>des</strong>tens<br />
einem Modul zugeordnet.<br />
9 Je<strong>des</strong> Modul kann genau eine Spezialisierung haben. Jede Spezialisierung<br />
kann mehreren Modulen zugeordnet sein.<br />
10 Jeder Studierende hat genau eine Spezialisierung. Jede Spezialisierung kann<br />
mehreren Studierenden zugewiesen sein.<br />
11 Jede Spezialisierung hat genau einen Studiengang. Jeder Studiengang kann<br />
mehreren Spezialisierungen zugeordnet sein.<br />
12 Jeder Studiengang hat genau einen Fachbereich. Jeder Fachbereich hat min-<br />
<strong>des</strong>tens einen Studiengang.<br />
13 Jeder Prüfungsordnung ist genau ein Studiengang zugewiesen. Jedem Stu-<br />
diengang ist min<strong>des</strong>tens eine Prüfungsordnung zugewiesen.<br />
14 Jede Prüfungsordnung hat min<strong>des</strong>tens einen Modulbereich. Jeder Modulbe-<br />
reich kann mehreren Prüfungsordnungen zugeordnet sein.<br />
15 Jeder Dozent gehört genau einem Fachbereich an. Jeder Fachbereich kann<br />
mehreren Dozenten zugeordnet sein.<br />
5.6.4. Benutzergruppen <strong>und</strong> Szenarien<br />
• Unangemeldete Nutzer<br />
Unangemeldete Nutzer sehen eine kurze Erklärungsseite mit einem An-<br />
meldeformular. Auf der Erklärungsseite wird kurz erläutert, wie Stu-<br />
dierende zu einer Benutzerkennung <strong>und</strong> einem Passwort kommen. Für<br />
die Anmeldemöglichkeit braucht der unangemeldete Nutzer SELECT-<br />
Rechte auf Benutzerkennung <strong>und</strong> Passwort der Tabelle Studierende, um<br />
den Anmeldevorgang durchführen zu können. Der unangemeldete Nut-<br />
zer kann sich nur vom Prüfungsergebnisse Online Webserver aus mit der<br />
Datenbank verbinden.
5. Informationssystem „Prüfungsergebnisse Online“ 34<br />
• Angemeldete Nutzer<br />
Ein angemeldeter Nutzer hat den Anmeldevorgang erfolgreich durchge-<br />
führt. Nach Möglichkeit agiert jeder dieser Nutzer mit einem eigenen<br />
Datenbankbenutzer, welcher nach der Benutzerkennung benannt sein<br />
sollte. Der angemeldete Nutzer hat SELECT-Rechte auf seine eigenen<br />
Daten in den Tabellen Studierende <strong>und</strong> Pruefungsergebnisse sowie auf<br />
alle Felder anderer Tabellen, die aufgr<strong>und</strong> von Verknüpfungen mit den<br />
beiden erstgenannten benötigt werden. UPDATE-Rechte hat der ange-<br />
meldete Nutzer auf sein eigenes Passwort <strong>und</strong> die eigene E-Mail Adresse.<br />
Der angemeldete Nutzer kann sich nur vom Prüfungsergebnisse Online<br />
Webserver aus mit der Datenbank verbinden.<br />
• Administrator<br />
Der Prüfungsergebnisse Online Administrator wird zur Übernahme der<br />
Daten von Prüfungs<strong>am</strong>t / Studentensekretariat eingesetzt <strong>und</strong> benötigt<br />
alle Rechte auf der Prüfungsergebnisse Online Datenbank. Dieser Benut-<br />
zer muss auch in der Lage sein, die Tabelle Studierende zu exportieren,<br />
d<strong>am</strong>it diese mit eventuell geänderten Passwörtern gesichert oder mit dem<br />
Studentensekretariat synchronisiert werden kann, sodass im Havariefall<br />
keine Daten verlorengehen. Der Prüfungsergebnisse Online Administra-<br />
tor kann sich ausschließlich von der lokalen Maschine (dem Datenbank-<br />
server) an der Datenbank anmelden. Er ist nicht gleich dem globalen<br />
Datenbankadministrator mit allen Rechten <strong>und</strong> hat nur Zugriff auf die<br />
Prüfungsergebnisse Online Datenbank.<br />
5.6.5. Sichten <strong>und</strong> Rechte<br />
Unangemeldete Nutzer<br />
Tabelle Spalte Rechte<br />
SEL UPD INS DEL<br />
Studierende benutzerkennung X – – –<br />
passwort X – – –
5. Informationssystem „Prüfungsergebnisse Online“ 35<br />
Tabelle 5.1.: Sicht <strong>und</strong> Berechtigungen unangemeldeter Nutzer<br />
Angemeldete Nutzer<br />
Tabelle Spalte Rechte<br />
SEL UPD INS DEL<br />
Pruefungsergebnisse * O – – –<br />
Studierende studierenden_id O – – –<br />
spezialisierungen_id O – – –<br />
benutzerkennung O – – –<br />
passwort O O – –<br />
email O – – –<br />
Module * X – – –<br />
Modulbereiche * X – – –<br />
Pruefungsstatus * X – – –<br />
Ergebnistypen * X – – –<br />
Dozenten * X – – –<br />
Mo_haben_Do * X – – –<br />
Spezialisierungen * X – – –<br />
Studiengaenge * X – – –<br />
Fachbereiche * X – – –<br />
Pruefungsordnungen * X – – –<br />
Po_haben_Mb * X – – –<br />
Tabelle 5.2.: Sicht <strong>und</strong> Berechtigungen angemeldeter Nutzer
5. Informationssystem „Prüfungsergebnisse Online“ 36<br />
Administrator<br />
Legende<br />
Tabelle Spalte Rechte<br />
SEL UPD INS DEL<br />
Pruefungsergebnisse * X X X X<br />
Studierende * X X X X<br />
Module * X X X X<br />
Modulbereiche * X X X X<br />
Pruefungsstatus * X X X X<br />
Ergebnistypen * X X X X<br />
Dozenten * X X X X<br />
Mo_haben_Do * X X X X<br />
Spezialisierungen * X X X X<br />
Studiengaenge * X X X X<br />
Fachbereiche * X X X X<br />
Pruefungsordnungen * X X X X<br />
Po_haben_Mb * X X X X<br />
Tabelle 5.3.: Sicht <strong>und</strong> Berechtigungen <strong>des</strong> Administrators<br />
SEL = select, UPD = update, INS = insert, DEL = delete,<br />
X = alle Datensätze, O = eigene Datensätze, – = keine Datensätze<br />
5.7. Implementierung <strong>des</strong> <strong>Informationssystems</strong><br />
5.7.1. Eingesetzte Software<br />
Als Betriebssystem sowohl für den Web- als auch für den Datenbankserver<br />
wird der Einsatz eines frei verfügbaren Unix-Derivats wie Linux 7 oder einer<br />
7 http://www.linux.de/linux/
5. Informationssystem „Prüfungsergebnisse Online“ 37<br />
BSD 8,9 -Variante empfohlen. Diese haben den Ruf, relativ sicher konfigurierbar<br />
zu sein. Einmal entdeckte <strong>Sicherheit</strong>slücken <strong>und</strong> Progr<strong>am</strong>mfehler werden dank<br />
der frei verfügbaren Quelltexte in der Regel zeitnah behoben.<br />
Die Wahl der Progr<strong>am</strong>miersprache fiel auf Java 10 . Java hat mittlerweile auch<br />
im Bereich der Web-Anwendungen einen hohen Verbreitungsgrad erreicht. Es<br />
ist setzt die objektorientierten Prinzipien um, wird an vielen Hochschulen ge-<br />
lehrt, ist sehr gut dokumentiert, es gibt frei erhältliche Entwicklungs- <strong>und</strong><br />
Laufzeitumgebungen <strong>und</strong> es ist plattformunabhängig. Es werden die JSP 11 ,<br />
Java Servlets 12 <strong>und</strong> Java Beans 13 eingesetzt.<br />
Als Web- <strong>und</strong> Applikationsserver wird der unter der Apache Software License<br />
frei erhältliche Apache Jakarta Tomcat 14 verwendet. Die Verwendung eines<br />
zusätlichen Webservers ist nicht erforderlich, da primär dyn<strong>am</strong>isch mit Hilfe<br />
der Datenbankinhalte generierte Webseiten ausgeliefert werden.<br />
Für das DBMS 15 PostgreSQL 16 sprachen einige Gründe. Die Analyse von<br />
Open-Source DBMS in der Bachelorarbeit von Andreas Pantlowsky ergab,<br />
dass PostgreSQL von den verglichenen Systemen <strong>am</strong> besten den Anforderun-<br />
gen <strong>des</strong> <strong>Informationssystems</strong> Prüfungsergebnisse Online entspricht, da es sehr<br />
gut dokumentiert <strong>und</strong> frei verfügbar ist [?]. Hinzu kommt, dass die HIS GmbH<br />
in den kommenden Versionen Ihrer Software HIS-GX Modul POS zur Verwal-<br />
tung von Prüfungsergebnissen PostgreSQL als primäre Datenbank einsetzt.<br />
D<strong>am</strong>it ist eine einfachere Übernahme von Daten aus dem HIS-GX Modul POS<br />
möglich.<br />
Um das Rad nicht neu erfinden zu müssen, werden bei der Umsetzung in<br />
Java einige frei verfügbare Komponenten eingesetzt. Insbesondere sei hier das<br />
8Berkeley Software Distribution<br />
9http://www.leo.org/information/computer/software/unix/bsd/overview_de. html<br />
10http://java.sun.com/ 11Java Server Pages<br />
12Java-Progr<strong>am</strong>me auf der Serverseite<br />
13Java-Bausteine, hier zur Kapselung von Daten gebraucht<br />
14http://jakarta.apache.org/tomcat/ 15Datenbank Management System<br />
16http://www.postgresql.org/
5. Informationssystem „Prüfungsergebnisse Online“ 38<br />
frei verfügbare iText 17 hervorgehoben, das zur vereinfachten Erzeugung von<br />
PDF-Dokumenten genutzt wird.<br />
5.7.2. Progr<strong>am</strong>mierung<br />
• Quellcode im Anhang<br />
• SQL-Code von Andreas Pantlowsky?<br />
5.8. Erläuterung der Funktion<br />
• Verbal, Screenshots<br />
17 http://www.lowagie.com/iText/
6. Ausblick<br />
Im Rahmen dieser Arbeit wurde nur das Teilsystem zur Anzeige der Prüfungs-<br />
ergebnisse umgesetzt. Zur Erfassung der Benutzerdaten der Studierenden sowie<br />
für Export, Konvertierung, Pseudonymisierung <strong>und</strong> Datentransfer ist die Ent-<br />
wicklung weiterer Softwarekomponenten erforderlich. Besonders Export <strong>und</strong><br />
Konvertierung der Daten erfordern eine sehr enge Zus<strong>am</strong>menarbeit mit dem<br />
Prüfungs<strong>am</strong>t <strong>und</strong> eine intensive Einarbeitung in die Datenstrukturen der HIS-<br />
Systeme.<br />
Bei nicht-hochschulweitem Einsatz <strong>des</strong> Systems kann möglicherweise auf<br />
die Entwicklung weiterer Komponenten verzichtet werden. Die Datenerfassung<br />
könnte über grafische Frontends wie z.B. pgAdmin 1 erledigt werden. Prüfungs-<br />
ergebnisse könnten tagesaktuell bei Vorliegen eingepflegt werden, die Zuord-<br />
nung von Studierenden könnte in einer Tabellenkalkulationssoftware gesche-<br />
hen, sofern dabei die Vertraulichkeit der Daten gewährleistet ist.<br />
Eine Möglichkeit, den Online-Abruf von Prüfungsergebnissen ohne die Er-<br />
fassung einer Einverständniserklärung der Studierenden zu ermöglichen, ist in<br />
[20] beschrieben. Die Zentrale <strong>Datenschutz</strong>stelle der baden-württembergischen<br />
Universitäten verweist dort auf den 10. Tätigkeitsbericht <strong>des</strong> Lan<strong>des</strong>beauftrag-<br />
ten für den <strong>Datenschutz</strong> <strong>und</strong> das Recht auf Akteneinsicht Brandenburg [4, S.<br />
115f]. Dort wird vorgeschlagen:<br />
„<strong>Datenschutz</strong>fre<strong>und</strong>licher ist es, jede einzelne Klausur zusätzlich<br />
mit einer laufenden Nummer zu versehen, die sich die Studieren-<br />
den merken müssen. Nach der Korrektur der Aufgaben würde dann<br />
die Note der Klausurnummer zugeordnet werden können, während<br />
1 http://www.pgadmin.org/<br />
39
6. Ausblick 40<br />
die Verarbeitung der übrigen Daten wie N<strong>am</strong>e <strong>und</strong> Immatrikulati-<br />
onsnummer im internen Bereich der Prüfungsverwaltung verbleibt.<br />
Ins Internet (oder auch wie bisher ans Schwarze Brett) würden<br />
dann nur die Nummer der Klausur nebst Note gestellt werden. Ei-<br />
ne über diese Einzelprüfung hinausgehende Zus<strong>am</strong>menfassung von<br />
unterschiedlichen Leistungen anhand einer einheitlichen Nummer<br />
ist d<strong>am</strong>it unmöglich, da für jede Prüfung neue Nummern vergeben<br />
werden.“ [4]<br />
Abschließend muss noch darauf hingewiesen werden, dass die Erfassung ei-<br />
ner E-Mail Adresse der Studierenden datenschutzrechtlich ein gewisses Risiko<br />
darstellt. Angreifer können über Verzeichnisse oder direkte Kommunikation<br />
mit Studierenden in deren Besitz gelangen <strong>und</strong> Bezüge zu reellen Personen<br />
herstellen. Sollte es einem solchen Angreifer dann gelingen, den Datenbankser-<br />
ver zu kompromittieren, könnten über die E-Mail Adressen wiederum Profile<br />
einzelner Studierender gebildet werden. Da die E-Mail Adresse in Prüfungs-<br />
ergebnisse Online nur erfasst wird, um ein automatisch generiertes Passwort<br />
sowie den Notenspiegel per E-Mail zu versenden, sollten diese Funktionalitäten<br />
<strong>und</strong> die Erfassung der Adresse bei datenschutzrechtlichen Bedenken gestrichen<br />
werden.
Literaturverzeichnis<br />
[1] B<strong>und</strong>es<strong>am</strong>t für <strong>Sicherheit</strong> in der Informationstechnik: <strong>IT</strong>-<br />
Gr<strong>und</strong>schutzhandbuch, 5. Ergänzungslieferung Stand Oktober 2003, ISBN<br />
3887849159, http://www.bsi.b<strong>und</strong>.de/gshb/ 3.3, 3.4.2<br />
[2] B<strong>und</strong>es<strong>am</strong>t für <strong>Sicherheit</strong> in der Informationstechnik: Leitfa-<br />
den <strong>IT</strong>-<strong>Sicherheit</strong>, Stand 2003, http://www.bsi.b<strong>und</strong>.de/gshb/ 3.3<br />
[3] B<strong>und</strong>esverfassungsgericht: Volkszählungsurteil, Urteil vom<br />
15.12.1983-1 BvR 209783 <strong>und</strong> andere http://www.google.de/search?<br />
hl=de\&ie=UTF-8\&q=Volksz%C3%A4hlungsurteil\&btnG=Suche\<br />
&meta= 2.2<br />
[4] Der Lan<strong>des</strong>beauftragte für den <strong>Datenschutz</strong> <strong>und</strong> für das<br />
Recht auf Akteneinsicht Brandenburg: Tätigkeitsbericht<br />
2001, http://www.lda.brandenburg.de/media/1666/10tb2001.pdf 6<br />
[5] Deutscher B<strong>und</strong>estag: Strafgesetzbuch, Fassung vom 03. Juli 2004,<br />
http://b<strong>und</strong>esrecht.juris.de/b<strong>und</strong>esrecht/stgb/ 3.5, 3.5<br />
[6] Garstka, Hansjürgen: Informationelle Selbstbestimmung <strong>und</strong> Da-<br />
tenschutz in: Schulzki-Haddouti, Christiane (Hrsg.): Bürgerrechte<br />
im Netz, B<strong>und</strong>eszentrale für Politische Bildung 2003, ISBN 3810038725,<br />
http://www.bpb.de/publikationen/UZX6DW,,0,B%FCrgerrechte_im_<br />
Netz.html 2.2<br />
41
Literaturverzeichnis 42<br />
[7] Hochschul-Informations-System GmbH, Stand 30. August 2004,<br />
http://www.his.de/ 4.1<br />
[8] Pantlowsky, Andreas: Open-Source Datenbank Management Systeme<br />
im Vergleich, Bachelorarbeit, Erfurt, September 2004<br />
[9] Plate, Prof. Jürgen; Holzmann, Dipl.-Ing. Jörg: <strong>Sicherheit</strong> in<br />
Netzen, Stand 07. April 2004, 01:01:03, http://www.netzmafia.de/<br />
skripten/sicherheit/ 3.3, 3.5<br />
[10] Regionales Rechenzentrum für Niedersachsen / Universität<br />
Hannover: Computersicherheit im Internet, 1. Auflage Juni 2001, http:<br />
//www.rrzn.uni-hannover.de/buecher.html 3.3<br />
[11] Regionales Rechenzentrum für Niedersachsen / Universität<br />
Hannover: Internetworking: <strong>Sicherheit</strong>, 1. Auflage März 2003, http:<br />
//www.rrzn.uni-hannover.de/buecher.html 3.1, 3.1, 3.1, 3.1, 3.2, 3.3,<br />
3.4, 3.4.2<br />
[12] Schmidt, Dr. Rüdiger: <strong>IT</strong>-<strong>Sicherheit</strong>, Hochschulrechenzentrum der<br />
Fachhochschule Erfurt, Vorlesungsskript Sommersemester 2004, http:<br />
//www.fh-erfurt.de/ai/mitarbeiter/schmidt/ 3.1<br />
[13] Schneier, Bruce: Secrets & Lies, 1. Auflage, Heidelberg (dpunkt) 2001,<br />
ISBN 3898643026, http://www.schneier.com/ 3.1<br />
[14] Schubert, Klaus; Klein, Martina: Das Politiklexikon, Bonn, Ver-<br />
lag J.H.W. Dietz 2001, ISBN 3801203131, http://www.bpb.de/wissen/<br />
H75VXG,,,Wissen.html 2.1<br />
[15] Stud.IP, Stand 30. August 2004, http://www.studip.de/ 4.3<br />
[16] TEMPLATEC, Stand 30. August 2004, http://www.templatec.net/<br />
4.2
Literaturverzeichnis 43<br />
[17] Thüringer Landtag: Thüringer <strong>Datenschutz</strong>gesetz, Fassung vom<br />
10. Oktober 2001, http://datenschutz.thueringen.de/gesetze_<br />
rechtsvorschriften/datenschutzgesetz_neu.htm 5.3.2, 5.3.3<br />
[18] Thüringer Landtag: Thüringer Hochschulgesetz, Fassung vom 01. Mai<br />
2004, http://www.thueringen.de/de/tmwfk/hochschulen/hsg/ 5.3.2<br />
[19] Wikimedia Fo<strong>und</strong>ation Inc.: WIKIPEDIA, Die freie Enzyklopädie,<br />
Stand 27. August 2004, http://de.wikipedia.org/ 3.1, 3.1<br />
[20] Zentrale <strong>Datenschutz</strong>stelle der baden-württembergischen<br />
Universitäten: Veröffentlichung von Prüfungsergebnissen im Internet,<br />
Stand 15. Juli 2004, 11:59, http://www.zendas.de/recht/bewertung/<br />
noten_im_internet.html 6
A. Anhang<br />
A.1. Datenmodell<br />
A.2. Web<strong>des</strong>ign<br />
A.3. Quelltext<br />
Hier wird der Quelltext der Anwendung angehängt werden.<br />
44
A. Anhang 45<br />
1<br />
Module<br />
module_id: INTEGER<br />
spezialisierungen_id: INTEGER (FK)<br />
8 Modul hat Dozenten<br />
Mo_haben_Do<br />
mo_haben_do_id: INTEGER<br />
module_id: INTEGER (FK)<br />
dozenten_id: INTEGER (FK)<br />
8 Dozent hat Module<br />
Dozenten<br />
dozenten_id: INTEGER<br />
fachbereiche_id: INTEGER (FK)<br />
modulbereiche_id: INTEGER (FK)<br />
bezeichnung: VARCHAR(100)<br />
zeitpunkt: VARCHAR(10)<br />
kreditpunkte: INTEGER<br />
titel: VARCHAR(50)<br />
vorn<strong>am</strong>e: VARCHAR(30)<br />
nachn<strong>am</strong>e: VARCHAR(35)<br />
extern: BOOL<br />
7 Modul hat Modulbereich<br />
Modulbereiche<br />
modulbereiche_id: INTEGER<br />
bezeichnung: VARCHAR(50)<br />
9 Modul hat Spezialisierung<br />
6 Prüfung hat Dozent (Hauptprüfer)<br />
2 Prüfungsergebnis hat Modul<br />
3 Prüfungsergebnis hat Modulbereich<br />
Spezialisierungen<br />
spezialisierungen_id: INTEGER<br />
studiengaenge_id: INTEGER (FK)<br />
bezeichnung: VARCHAR(100)<br />
Pruefungsergebnisse<br />
ergebnisse_id: INTEGER<br />
dozenten_id: INTEGER (FK)<br />
studierenden_id: INTEGER (FK)<br />
pruefungsstatus_id: INTEGER (FK)<br />
modulbereiche_id: INTEGER (FK)<br />
15 Dozent hat Fachbereich<br />
4 Prüfungsergebnis hat Prüfungsstatus<br />
ergebnistypen_id: INTEGER (FK)<br />
module_id: INTEGER (FK)<br />
pruefungsdatum: DATE<br />
versuch: INTEGER<br />
bewertung: FLOAT<br />
bemerkung: VARCHAR(255)<br />
Pruefungsstatus<br />
pruefungsstatus_id: INTEGER<br />
11 Spezialisierung hat Studiengang<br />
bezeichnung: VARCHAR(50)<br />
10 Student hat Spezialisierung<br />
Fachbereiche<br />
fachbereiche_id: INTEGER<br />
bezeichnung: VARCHAR(50)<br />
1 Prüfungsergebnis hat Studierenden<br />
12 Studiengang hat Fachbereich<br />
14 Modulbereiche haben Pruefungsordnung<br />
5 Prüfungsergebnis hat Ergebnistyp<br />
Ergebnistypen<br />
ergebnistypen_id: INTEGER<br />
bezeichnung: VARCHAR(50)<br />
Studierende<br />
studierenden_id: INTEGER<br />
spezialisierungen_id: INTEGER (FK)<br />
Studiengaenge<br />
studiengaenge_id: INTEGER<br />
fachbereiche_id: INTEGER (FK)<br />
bezeichnung: VARCHAR(100)<br />
Abbildung A.1.: Relationales Datenmodell<br />
benutzerkennung: VARCHAR(25)<br />
passwort: VARCHAR(25)<br />
email: VARCHAR(100)<br />
13 Prüfungsordnung hat Studiengang<br />
Po_haben_Mb<br />
po_haben_mb_id: INTEGER<br />
pruefungsordnungen_id: INTEGER (FK)<br />
14 Pruefungsordnung hat Modulbereiche<br />
Pruefungsordnungen<br />
pruefungsordnungen_id: INTEGER<br />
studiengaenge_id: INTEGER (FK)<br />
version: SMALLINT<br />
modulbereiche_id: INTEGER (FK)<br />
kreditpunkte: SMALLINT
A. Anhang 46<br />
Fachochschule Erfurt<br />
University of Applied Sciences<br />
Benutzerkennung: Passwort:<br />
Notenspiegel abrufen<br />
Prüfungsergebnisse online<br />
anmelden<br />
Sofern Sie an der Fachhochschule Erfurt immatrikuliert sind, können Sie hier Ihren Notenspiegel abrufen.<br />
Dazu geben Sie bitte oben Ihre Benutzerkennung <strong>und</strong> Ihr Passwort ein <strong>und</strong> bestätigen mit Enter oder<br />
einem Klick auf die „anmelden“-Schaltfläche.<br />
Benutzerkennung <strong>und</strong> Passwort erhalten Sie nach schriftlicher Anmeldung <strong>und</strong> unter Angabe einer<br />
gültigen E-Mail Adresse im Studentensekretariat in der Altonaer Straße 25a, Haus 7.<br />
Impressum Kontakt: pruefungsergebnisse-online@fh-erfurt.de<br />
Abbildung A.2.: Web<strong>des</strong>ign Entwurf Ansicht unangemeldet
A. Anhang 47<br />
Fachochschule Erfurt<br />
University of Applied Sciences<br />
Prüfungsergebnisse online<br />
Abmelden | Notenspiegel anzeigen | Notenspiegel per E-Mail | Passwort ändern | Startseite<br />
Aktuelle Informationen<br />
Am 05.05.2005 wird das System aufgr<strong>und</strong> von Wartungsarbeiten nicht zur Verfügung stehen!<br />
Impressum Kontakt: pruefungsergebnisse-online@fh-erfurt.de<br />
Abbildung A.3.: Web<strong>des</strong>ign Entwurf Startseite
A. Anhang 48<br />
Fachochschule Erfurt<br />
University of Applied Sciences<br />
Abmelden | Notenspiegel anzeigen | Notenspiegel per E-Mail | Passwort ändern | Startseite<br />
Fachbereich: Versorgungstechnik<br />
Studiengang: Angewandte Informatik<br />
N O T E N S P I E G E L<br />
Datum: 15.12.2004<br />
Benutzerkennung: crion050379<br />
Modul Kredits Versuch Datum Note Bemerkung<br />
Vorprüfung 28 von 60<br />
Mathematik II 10 1 20.01.2003 66 BE<br />
Rechnerarchitektur II 4 1 74 BE AK<br />
Algorithmierung 6 1 13.02.2002 84 BE<br />
Betriebssysteme II 3 1 01.07.2003 87 BE<br />
Internet 3 1 31.01.2003 89 BE<br />
Computerenglisch 2 1 01.07.2002 83 BE<br />
Hauptstudium<br />
- Pflicht 6 von 120<br />
Datenbanken I 3 1 27.01.2003 98 BE<br />
Netzwerke II 1 1 06.02.2003 80 BE<br />
Betriebswirtschaftslehre II 2 2 10.02.2003 69 BE<br />
- Wahlpflicht 20 von 60<br />
Prüfungsergebnisse online<br />
Medien<strong>des</strong>ign 5 1 11.02.2003 82 BE<br />
Medienproduktion <strong>und</strong> -technik 4 1 29.01.2003 35 NB FNB<br />
Medienproduktion <strong>und</strong> -technik 5 1 03.07.2003 58 BE<br />
Multimedia-Technologie Dozent: 2 1 04.07.2003 79 BE<br />
Videoproduktion Spierling, Ulrike 4<br />
Fachbereich Architektur<br />
1 13.02.2003 92 BE<br />
Der Notenspiegel Modul: enthält alle Studien- <strong>und</strong> Prüfungsleistungen, die bisher<br />
erbracht wurden. Hauptstudium<br />
ALLE ANGABEN PRÜFEN Medieninformatik<br />
UND UNSTIMMIGKE<strong>IT</strong>EN DEM PRÜFUNGSAMT MELDEN.<br />
Dieser Notenspiegel ist ohne Unterschrift gültig.<br />
Zeitpunkt:<br />
WS 02/03<br />
Erläuterungen der oben benutzten Abkürzungen:<br />
AK = anerkannt<br />
BE = bestanden, NB = nicht bestanden, EN = endgültig nicht bestanden<br />
Erläuterungen zu Freiversuchen:<br />
FNB = nicht bestanden, FNE = Verlust wegen Nichterscheinen<br />
FMT = Verlust wegen Täuschung, FBE = Notenverbesserung<br />
FRU = unentschuldigter Rücktritt, FFU = Fristüberschreitung<br />
Hinweis zur Prozentualen Bewertung der Prüfungen:<br />
sehr gut (86-100%), gut (76-85%), befriedigend (66-75%), ausreichend (51-65%)<br />
Impressum Kontakt: pruefungsergebnisse-online@fh-erfurt.de<br />
Abbildung A.4.: Web<strong>des</strong>ign Entwurf Notenspiegel
A. Anhang 49<br />
Fachochschule Erfurt<br />
University of Applied Sciences<br />
Prüfungsergebnisse online<br />
Abmelden | Notenspiegel anzeigen | Notenspiegel per E-Mail | Passwort ändern | Startseite<br />
Notenspiegel erfolgreich per E-Mail versandt!<br />
Ihr Notenspiegel wurde als PDF-Datei erfolgreich an die von Ihnen angegebene E-Mail Adresse versandt.<br />
Impressum Kontakt: pruefungsergebnisse-online@fh-erfurt.de<br />
Abbildung A.5.: Web<strong>des</strong>ign Entwurf Versand per E-Mail
A. Anhang 50<br />
Fachochschule Erfurt<br />
University of Applied Sciences<br />
Prüfungsergebnisse online<br />
Abmelden | Notenspiegel anzeigen | Notenspiegel per E-Mail | Passwort ändern | Startseite<br />
Passwort ändern<br />
Bitte geben Sie Ihr altes Passwort, Ihr neues Passwort <strong>und</strong> zur Bestätigung erneut Ihr neues Kennwort ein.<br />
Altes Passwort:<br />
Neues Passwort: Bestätigung: ändern<br />
Impressum Kontakt: pruefungsergebnisse-online@fh-erfurt.de<br />
Abbildung A.6.: Web<strong>des</strong>ign Entwurf Passwort ändern
A. Anhang 51<br />
Fachochschule Erfurt<br />
University of Applied Sciences<br />
Abmeldung erfolgreich<br />
Sie haben Sich erfolgreich vom System abgemeldet!<br />
Bei Bedarf können Sie sich erneut anmelden.<br />
Prüfungsergebnisse online<br />
Benutzerkennung: Passwort: anmelden<br />
Impressum Kontakt: pruefungsergebnisse-online@fh-erfurt.de<br />
Abbildung A.7.: Web<strong>des</strong>ign Entwurf Abmeldung erfolgreich
A. Anhang 52<br />
Fachochschule Erfurt<br />
University of Applied Sciences<br />
Prüfungsergebnisse online<br />
Abmelden | Notenspiegel anzeigen | Notenspiegel per E-Mail | Passwort ändern | Startseite<br />
Passwortänderung erfolgreich!<br />
Impressum Kontakt: pruefungsergebnisse-online@fh-erfurt.de<br />
Abbildung A.8.: Web<strong>des</strong>ign Entwurf Passwortänderung erfolgreich
A. Anhang 53<br />
Fehler<br />
Prüfungsergebnisse online<br />
Fachochschule Erfurt<br />
University of Applied Sciences<br />
Es ist ein Fehler aufgetreten. Bitte versuchen Sie es in einigen Sek<strong>und</strong>en erneut. Im wiederholten<br />
Fehlerfall nehmen Sie bitte mit der zuständigen Hochschuleinrichtung persönlich oder unter unten<br />
angegebener E-Mail Adresse Kontakt auf.<br />
Impressum Kontakt: pruefungsergebnisse-online@fh-erfurt.de<br />
Abbildung A.9.: Web<strong>des</strong>ign Entwurf allgemeiner Fehler
A. Anhang 54<br />
Fachochschule Erfurt<br />
University of Applied Sciences<br />
Benutzerdaten unbekannt / falsch<br />
Prüfungsergebnisse online<br />
Entweder gibt es diesen Benutzern<strong>am</strong>en nicht oder das Kennwort ist falsch. Bitte überprüfen Sie Ihre<br />
Eingaben. Achten Sie bei der Eingabe auch darauf, dass die Feststelltaste für Großschreibung auf Ihrer<br />
Tastatur nicht eingeschaltet ist. Im wiederholten Fehlerfall nehmen Sie bitte mit der zuständigen<br />
Hochschuleinrichtung persönlich oder unter unten angegebener E-Mail Adresse Kontakt auf.<br />
Impressum Kontakt: pruefungsergebnisse-online@fh-erfurt.de<br />
Abbildung A.10.: Web<strong>des</strong>ign Entwurf Anmeldung fehlgeschlagen
A. Anhang 55<br />
Fachochschule Erfurt<br />
University of Applied Sciences<br />
Prüfungsergebnisse online<br />
Abmelden | Notenspiegel anzeigen | Notenspiegel per E-Mail | Passwort ändern | Startseite<br />
Passwortänderung fehlgeschlagen!<br />
Entweder war das alte Kennwort nicht korrekt, oder das neue Kennwort <strong>und</strong> die Bestätigung haben nicht<br />
exakt übereingestimmt. Bitte überprüfen Sie Ihre Eingaben. Achten Sie bei der Eingabe auch darauf, dass<br />
die Feststelltaste für Großschreibung auf Ihrer Tastatur nicht eingeschaltet ist.<br />
Impressum Kontakt: pruefungsergebnisse-online@fh-erfurt.de<br />
Abbildung A.11.: Web<strong>des</strong>ign Entwurf Passwortänderung fehlgeschlagen
A. Anhang 56<br />
Impressum<br />
Fachochschule Erfurt<br />
University of Applied Sciences<br />
Prüfungsergebnisse online<br />
Gemäß § 6 <strong>des</strong> Teledienstegesetzes (Allgemeine Informationspflichten) wird hiermit informiert über<br />
Einrichtung: Fachhochschule Erfurt,<br />
Altonaer Str. 25, D-99085 Erfurt<br />
Herausgeber: Der Rektor<br />
Telefon: (0361) 6700-0<br />
Telefax: (0361) 6700-703<br />
E-Mail: pruefungsergebnisse-online@fh-erfurt.de<br />
zuständige Aufsichtsbehörde: Thüringer Ministerium für Wissenschaft, Forschung <strong>und</strong> Kunst<br />
Die Fachhochschule Erfurt distanziert sich ausdrücklich von verfassungsfeindlichen, kriminellen,<br />
pornographischen, rassistischen oder Gewalt verherrlichenden Inhalten.<br />
Die Hochschule übernimmt keine Verantwortung für Seiteninhalte verlinkter fremder Seiten.<br />
Impressum Kontakt: pruefungsergebnisse-online@fh-erfurt.de<br />
Abbildung A.12.: Web<strong>des</strong>ign Entwurf Impressum
Selbständigkeitserklärung<br />
Ich erkläre, dass ich die vorliegende Bachelorarbeit selbständig <strong>und</strong> nur unter<br />
Verwendung der angegebenen Quellen <strong>und</strong> Hilfsmittel angefertigt habe.<br />
Erfurt, den 6. September 2004