GI-Radar 357: Zentrales Problem

 

Liebe Leserinnen und Leser, 

in dieser Ausgabe geht es um korrekt generierte Daten, verletzliche Firewalls, den Stand der Digitalisierung in Deutschland und den Digitalpakt für die Schulen. Das Thema im Fokus befasst sich mit Sicherheitsproblemen in Lernmanagementsystemen an Hochschulen. In den GI-Mitteilungen weisen wir Sie auf die Ausschreibung zum Preis für Softwarequalität hin, machen Ihnen eine Bewerbung um den Balzert-Preis für Digitale Didaktik schmackhaft, bieten Ihnen ganz viele Tools für Ihre Arbeit innerhalb der GI und stellen Ihnen eine „Gebrauchsanweisung für die GI“ bereit. Das Fundstück widmet sich einem zentralen Problem der Informatik.

Wir wünschen Ihnen viel Spaß mit dieser Ausgabe.

auf gi-radar.de weiterlesen

korrekte Daten + verletzliche Firewalls + Digitalisierung in Deutschland + Digitalpakt für Schulen + Sicherheit von Lernmanagementsystemen + Preis für Softwarequalität + Balzert-Preis + Tools für die Arbeit in der GI + Onboarding für Neumitglieder + korrekte Zentrierung

KURZMITTEILUNGEN

Korrekte Angaben bei generativer KI: einklagbar? (Spiegel). Der von Max Schrems gegründete Verein „noyb“ nimmt Open AI ins Visier. Der Vorwurf: ChatGPT verbreite falsche Angaben zu Personen. Das Unternehmen sei dafür verantwortlich, diese Daten zu korrigieren. Dazu wurde nun eine entsprechende Beschwerde bei einer Aufsichtsbehörde eingereicht.  weiterlesen

Spionage und Firewalls: Risiken für die eigenen Daten (ZEIT). Derzeit ist Spionage in aller Munde. Neben illoyalen Mitarbeitenden ist mitunter auch die Hardware dafür verantwortlich, dass Unbefugten der Zugriff auf interne Informationen gelingt. Aktuelles Beispiel: unsichere Firewalls.  weiterlesen

Deutschland und die Digitalisierung: Themen bei der Europawahl (heise). Am 9. Juni wählen die Bürgerinnen und Bürger der europäischen Union ihr neues Parlament. Eines der großen Themen ist die Digitalisierung. Wie Deutschland hier im Vergleich zu anderen Ländern dasteht und welche Themen im Land besonders relevant sind, fasst eine Serie zusammen.  weiterlesen

Digitalpakt Schule: ein Erfolgsmodell? (ZEIT). Der Digitalpakt läuft aus. Mit dieser Initiative sollten Schulen mit Technik ausgestattet werden, sodass alle Schülerinnen und Schüler in Deutschland den Anschluss an digitales Lernen finden. Dieses Ziel wurde nur bedingt erreicht. Über den Erfolg entscheiden oft das Engagement der Lehrkräfte und der Standort der Schule.  weiterlesen

THEMA IM FOKUS

Sicherheit von Lernmanagement-Systemen. Lernmanagement-Systeme (LMS) werden in der Hochschullehre zur Erstellung, Bereitstellung und Verwaltung von Lernmaterialien eingesetzt und um den Austausch zwischen Lehrenden und Studierenden zu erleichtern. Während der COVID-19-Pandemie erwiesen sie sich als unverzichtbar für die Aufrechterhaltung des Lehrbetriebs. Jedoch offenbart sich in jüngster Zeit eine zunehmende Bedrohung für die Sicherheit dieser Systeme, die nicht nur den Lehrbetrieb stören kann, sondern auch sensible Daten gefährdet.

Die Anzahl der Hackerangriffe auf Hochschulen ist in den letzten Jahren signifikant gestiegen. Beispielsweise wurden zwischen 2018 und 2023 in Baden-Württemberg 110 Cyberangriffe auf Hochschulen registriert (forschung-und-lehre.de). Häufig sind veraltete Softwareversionen mit bekannten Sicherheitslücken ein Einfallstor für die Angreifer. Ein Beispiel ist der Angriff auf das LMS der Universität Hamburg im Jahr 2016 (uni-hamburg.de). Auch der Hackerangriff auf die Bundesregierung im Jahr 2017 erfolgte initial über ein verwundbares LMS an der Bundesakademie für Öffentliche Verwaltung (golem.de).

Kritische Situation bei Moodle, Ilias & Co. Die beliebtesten Lernmanagement-Systeme, wie z. B. Moodle, Ilias und Stud.IP sind in der Regel Open-Source-Software und werden von den Hochschulen selbst betrieben und gewartet. Diese dezentrale Verwaltung birgt jedoch Risiken, insbesondere wenn es um die regelmäßige Aktualisierung und das Patching von Sicherheitslücken geht.

Um die Sicherheitslage von LMS an Hochschulen genauer zu untersuchen, wurde eine umfassende Studie durchgeführt, welche auf der diesjährigen Sicherheit 2024, der 12. Jahrestagung des Fachbereichs Sicherheit der GI, veröffentlicht wurde (doi: 10.18420/sicherheit2024_011). Über 500 Hochschulen in Deutschland, Österreich und der Schweiz wurden dabei im August 2022 und nochmals im September 2023 untersucht. Es konnten mehr als 800 aktive LMS-Instanzen identifiziert werden. Dabei hat sich gezeigt, dass die Top 3 Plattformen Ilias, Moodle und Stud.IP insgesamt 98 % der gefundenen LMS abdeckten. 

Um die Sicherheit dieser LMS zu bewerten, wurde von den gefundenen LMS die Softwareversion bestimmt und auf dieser Basis geprüft, welche bekannten Schwachstellen in Form von Common Vulnerabilities and Exposures (CVE) existierten. Die Ergebnisse zeigten, dass 34 % der in 2023 untersuchten LMS mindestens eine CVE aufwiesen, wobei mehr als drei Viertel davon mit einem Common Vulnerability Scoring System (CVSS) Score von „High“ bewertet wurden. Besorgniserregend war auch die Tatsache, dass das älteste gefundene System aus dem Jahr 2015 stammte, bei dem mittlerweile über 90 Schwachstellen bekannt waren. Des Weiteren wurde die Transport Layer Security (TLS) Konfiguration der untersuchten LMS betrachtet, wobei ebenfalls Defizite festgestellt wurden. Knapp die Hälfte (49 %) der serverseitig unterstützten Ciphersuites wurden als nicht mehr sicher angesehen.

Gegenüber der Analyse vom August 2022 hat sich das Sicherheitsniveau der an Hochschulen eingesetzten LMS verbessert. Damals wiesen noch 73 % der untersuchten LMS mindestens eine bekannte Schwachstelle auf und der Anteil unsicheren TLS Ciphersuites lag bei 55 %. Ein positiver Aspekt ist, dass die Unterstützung der als unsicher geltenden TLS Versionen 1.0 und 1.1 sich innerhalb eines Jahres um 7,7 % in Deutschland, 10,4 % in Österreich und 8,8 % in der Schweiz reduziert hat.

Obwohl sich die Situation verbessert hat, sehen die Autorinnen und Autoren weiterhin Handlungsbedarf, um die Sicherheit dieser öffentlich erreichbaren und eng mit der IT-Infrastruktur der Hochschulen verknüpften Systeme zu gewährleisten. 

Dieser Beitrag wurde verfasst von Ann-Marie Belz und Prof. Dr. Andreas Mayer (Hochschule Heilbronn).

GI-MELDUNGEN

Ausgezeichnete Softwarequalität. Unter der Federführung der Fachgruppe „Test, Analyse und Verifikation von Software“ (TAV) verleihen der ASQF, die GI-TAV und das German Testing Board zum vierten Mal den „Deutschen Preis für Software-Qualität“ (DPSQ24)“. Mit diesem Preis sollen diejenigen Personen, Personengruppen, Firmen, Initiativen oder Institutionen ausgezeichnet werden, die sich in besonderer Weise für die Qualität von Software eingesetzt haben. Bis zum 31. Mai können Vorschläge eingereicht werden.  weiterlesen

Balzert-Preis ausgeschrieben. Haben Sie eine tolle Idee für Digitale Didaktik gehabt? Ein besonderes Konzept entwickelt? Dann können Sie sich bei uns um den Balzert-Preis für Digitale Didaktik bewerben, der von Helmut und Heide Balzert gestiftet worden, nun wieder ausgeschrieben und mit 10.000 Euro dotiert ist.  weiterlesen

Tools für die Arbeit in der GI gesucht: Wir haben viele! Brauchen Sie für Ihre Fachgruppe eine Webseite? Möchten Sie sich als Fachexpertin oder Fachexperte darstellen? Möchten Sie eine Mailingliste für Ihren Arbeitskreis einrichten? Ganz viele dieser Wünsche können wir erfüllen. Und wenn Sie weitere Ideen haben, über das hinaus, was wir anbieten, freuen wir uns über Ihre Vorschläge.  weiterlesen

Onboarding für (nicht nur?) Neumitglieder: Wie funktioniert die GI und wo kann man mitmachen? In der letzten Woche haben wir zum ersten Mal ein Tutorial für neue Mitglieder der GI angeboten, in dem wir inhaltliche Themen und Mitmachmöglichkeiten in der GI vorgestellt und organisatorische Fragen beantwortet haben. Die Präsentation findet sich im Mitgliederbereich.  weiterlesen

 

Kennen Sie eigentlich den GI-Pressespiegel? Dort sammeln wir die Berichterstattung über unsere Fachgesellschaft in Zeitungs-, Radio- und Fernsehbeiträgen. Schauen Sie rein, es gibt da immer wieder Neues oder auch ältere Fundstücke.

FUNDSTÜCK

Die Kunst des Zentrierens: Ein Leitfaden für ordentliches UI-Alignment. Das Zentrieren von Elementen ist auf den ersten Blick eine einfache Aufgabe – die jedoch häufig zu Kopfzerbrechen führt. Der heutige Beitrag zeigt die vielfältigen Methoden und die zugrundeliegende Komplexität, die mit der Zentrierung von Texten, Icons und anderen UI-Elementen verbunden sind. Anhand von „display: flex“ und „display: grid“ wird gezeigt, wie modernes CSS das Zentrieren vereinfacht hat, und dennoch Schwierigkeiten in der praktischen Umsetzung bestehen bleiben, etwa wegen fehlerhafter Icon-Fonts und Zeilenhöhen. Erstaunlich, dass etwas so Triviales wie das Zentrieren in der Praxis jedoch oft fehlerhaft umgesetzt wird.  Zum Fundstück (tonsky.me, engl.)

Welches Fundstück hat Sie zuletzt inspiriert? Senden Sie uns Ihre Ideen!

 

Dies war Ausgabe 357 des GI-Radars vom 03.05.2024. Zusammengestellt hat diese Ausgabe Dominik Herrmann, der sich gerade noch einmal vergewissert hat, dass im GI-Radar keine schlecht zentrierten Elemente vorkommen. GI-Geschäftsführerin Cornelia Winter hat die Mitteilungen und Meldungen zusammengetragen. Das nächste Radar erscheint am 17. Mai.

Im GI-Radar berichten wir alle zwei Wochen über ausgewählte Informatik-Themen. Wir sind sehr an Ihrer Meinung interessiert. Für Anregungen und Kritik haben wir ein offenes Ohr, entweder per E-Mail (redaktion@gi-radar.de) oder über das Feedback-Formular bei SurveyMonkey. Links und Texte können Sie uns auch via X unter @informatikradar zukommen lassen.