Für Universitäten, Hochschulen und andere Bildungseinrichtungen sind Prüfungen wohl die Aktivitäten mit den höchsten Anforderungen überhaupt. Es ist eine entscheidende Aufgabe, sicherzustellen, dass die Prüfungen der Studierenden und ihre Daten mit einem hohen Maß an Sicherheit behandelt werden.
Aus diesem Grund erfordert Prüfungssoftware für Hochschulen – wie WISEflow – jederzeit und insbesondere während des gesamten Prüfungsprozesses eine zuverlässige Systemsicherheit.
AUTHENTIFIZIERUNG UND BEOBACHTUNG DER HANDLUNGEN DER SCHÜLER
Um sicherzustellen, dass jeder Schritt des Prüfungsprozesses nachvollziehbar ist, werden alle Benutzer- und Systemaktionen kontinuierlich und chronologisch protokolliert. Dadurch entsteht ein Prüfpfad dieser Aktionen, der eine eingehende Untersuchung verdächtiger Aktivitäten ermöglicht.
Der Zugriff der Studierenden auf WISEflow kann über das Authentifizierungssystem der Einrichtung (z. B. WAYF, eduGAIN usw.) gesteuert werden, was bedeutet, dass die sich anmeldenden Benutzer anhand der bereits validierten Studierendeninformationen der Einrichtung authentifiziert werden. Dies minimiert jegliche Möglichkeit von Missbrauch und Identitätsbetrug, da die durch die Authentifizierungsmethode vergebene eindeutige Benutzer-ID sicherstellt, dass sich nur Benutzer, die der Einrichtung angehören, bei der Lizenz der Einrichtung anmelden können.
LOCKDOWN-BROWSER: OPEN-SOURCE ODER VERTRAUENSWÜRDIGER PARTNER?
Eine der Überlegungen, die wir bei der Entwicklung von WISEflow hatten, war, ob wir für unseren Lockdown-Browser eine Open-Source-Option oder ein professionell entwickeltes Tool verwenden sollten. Wir entschieden uns für Letzteres und betonten dabei, dass wir durch den Einsatz dieser Lösung einen Partner hatten, den wir hinsichtlich der Sicherheit des Lockdown-Browsers zur Verantwortung ziehen konnten. Diese Entscheidung hat sich im vergangenen Jahr als richtig erwiesen, da sich Open-Source-Lockdown-Browser gegenüber technisch versierten Studierenden als anfällig erwiesen haben.
Durch das Kopieren und Ändern des Quellcodes können sie während der Prüfungen ihre selbst erstellten Browser starten, die zwar identisch mit dem Open-Source-Browser aussehen, jedoch keinerlei Sicherheitsmaßnahmen enthalten. Dies ermöglicht es den Studierenden, jede beliebige Informationsquelle zu nutzen, wodurch der Open-Source-Browser als Schutzmaßnahme bei Prüfungen ohne Hilfsmittel unwirksam wird.
PRÜFUNGEN GEGEN EXTERNE BEDROHUNGEN ABSICHERN: DDOS
Eines der Kernprobleme bei der Abwehr von Angriffen wie DDoS auf webbasierte Systeme wie die WISEflow-Prüfungssoftware besteht darin, zwischen einer plötzlichen hohen Auslastung durch echte, legitime Nutzer und einem böswilligen Botnetz zu unterscheiden.
Als Sicherheitsmaßnahme gegen unbefugten Zugriff – und insbesondere gegen DDoS-Angriffe – basiert WISEflow auf einer hochskalierbaren Architektur, die sowohl Dateien als auch Datenbankobjekte umfassend zwischenspeichert. Dies verhindert böswillige Angriffe und mindert deren Schwere, während eine weitaus komplexere Angriffsstruktur erforderlich ist, um das Kernsystem zu beeinträchtigen. Und da alle vor der eigentlichen Anmeldung angezeigten Seiten statisch sind, hat eine starke Belastung dieser Seiten durch Schwärme oder Botnets keine Auswirkungen auf die Datenbank. Daher ist es sehr schwierig, WISEflow außer Betrieb zu setzen.
ENTWICKLUNG DER WISEflow PLATFORM
Sicherheit, Betrieb und Wartung der Server und der Netzwerkkonfiguration von WISEflow werden derzeit von Amazon Web Services (Irland) verwaltet und gleichzeitig vom eigenen, engagierten DevOps-Team von UNIwise in Dänemark überwacht und gewartet. Die Bereitstellung von Patches, Upgrades und Updates ist somit von der Entwicklung getrennt.
Die Entwicklung von WISEflow erfolgt in einer agilen Umgebung mit kontinuierlicher Integration – ein Ansatz, der eine schnelle Anpassung und minimale Reaktionszeiten gewährleistet, sollten Fehler oder Bugs auftreten. Der Schwerpunkt liegt auf der Qualitätssicherung und der kontinuierlichen Prüfung der Entwicklungsphasen von WISEflow.
Alle Updates für WISEflow werden in Zeiten geringer Nutzung (am Wochenende, nachts, an Feiertagen usw.) durchgeführt, um die Beeinträchtigung der Nutzung der Prüfungssoftware durch die Studierenden so gering wie möglich zu halten. Oftmals erfolgen Updates ohne jegliche Ausfallzeiten. Jedes Update wird zudem einer systematischen Regressionstestung in speziellen Test- und Staging-Umgebungen unterzogen. Der Code unterliegt einer Versionskontrolle, was bedeutet, dass ein Rollback auf eine frühere Version jederzeit möglich ist.
STANDARDS DER SICHERHEIT IN WISEflow
UNIwise, der Prüfungssoftwareanbieter WISEflow, und alle seine Subunternehmer setzen sich für die Sicherheit beim digitalen Examen ein. Daher arbeiten wir alle im Rahmen aller geltenden Sicherheitsstandards: der ISO 27000-Familie, ISAE 3000 und der Datenschutzgesetze. Die Rechenzentren unserer Partner sind unter anderem nach ISO 27001 zertifiziert und gemäß ISAE 3402 IT-überprüft.
Ebenso wachsam sind wir beim Datenschutz. Der physische Schutz der technischen Ausrüstung und der gespeicherten Daten entspricht höchsten Standards und ist gegen unbefugten Zutritt sowie gegen Strom- und Netzwerkausfälle und Naturkatastrophen gesichert. Die physische Infrastruktur basiert auf einem Betrieb mit drei Rechenzentren, der vollständige Redundanz gewährleistet und keine einzelne Schwachstelle aufweist. Mehrstufige Backups stellen sicher, dass das Risiko eines Datenverlusts auf ein absolutes Minimum reduziert ist.
BLEIBEN SIE AUF DEM LAUFENDEN ÜBER DIE NEUESTEN ENTWICKLUNGEN
HÄUFIG GESTELLTE FRAGEN
Prüfungen gehören zu den Aktivitäten mit den höchsten Risiken im Hochschulbereich. Eine starke Systemsicherheit ist unerlässlich, um die Daten der Studierenden zu schützen, die Integrität der Prüfungen zu gewährleisten und das Vertrauen in die Qualifikationen der Einrichtung aufrechtzuerhalten.
WISEflow protokolliert kontinuierlich alle Benutzer- und Systemaktionen in chronologischer Reihenfolge und erstellt so einen lückenlosen Prüfpfad. Dies ermöglicht es den Einrichtungen, verdächtige oder ungewöhnliche Aktivitäten im Detail zu untersuchen und zu überprüfen.
Studierende können über die institutionseigenen Identitätssysteme wie WAYF oder eduGAIN authentifiziert werden. Dadurch wird sichergestellt, dass nur verifizierte Nutzer, die der Einrichtung angehören, auf Prüfungsinhalte zugreifen können, was das Risiko von Identitätsbetrug verringert.
WISEflow nutzt einen professionell entwickelten Lockdown-Browser, um ein höheres Maß an Sicherheit und Nachvollziehbarkeit zu gewährleisten. Open-Source-Browser haben sich als anfällig für Manipulationen durch technisch versierte Studierende erwiesen, während proprietäre Lösungen eine kontrollierte Wartung und schnelle Sicherheitsupdates ermöglichen.
WISEflow basiert auf einer hochskalierbaren Architektur mit umfangreicher Zwischenspeicherung und einer Trennung zwischen statischen Seiten und der Datenbank. Dieses Design macht es DDoS-Angriffen sehr schwer, Prüfungen zu stören oder das System offline zu schalten.
WISEflow und seine Partner arbeiten nach anerkannten Sicherheitsstandards wie ISO 27001, ISAE 3000 und ISAE 3402 sowie nach den geltenden Datenschutzgesetzen. Die Daten werden in einer vollständig redundanten, auf mehrere Standorte verteilten Infrastruktur mit starken physischen und digitalen Sicherheitsvorkehrungen gehostet.