• Keine Ergebnisse gefunden

Zugang und Zutritt zum IKA

N/A
N/A
Info
Herunterladen
Protected

Academic year: 2022

Aktie "Zugang und Zutritt zum IKA"

Copied!
3
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Jetzt herunterladen ( 3 Seite )

Volltext

(1)

IKA

39

RZ-Mitteilungen Nr. 22, November 2001 Der Umzug der sieben Mathematisch-Naturwissen-

schaftlichen Institute von ihren traditionellen Stand- orten in Berlin-Mitte auf den für die Humboldt- Universität neuen Campus in Adlershof ist bereits in vollem Gange. Die ersten Institute haben ihre Arbeit an neuer Stelle aufgenommen (Informatik, Mathematik, Chemie), weitere Institute (Physik, Psychologie) be- finden sich in den Startlöchern.

Auch das Rechenzentrum wird seinen neuen Haupt- standort in Adlershof aufschlagen. Dabei wurde in der Planung von Anfang an das Ziel verfolgt, mehrere Serviceeinrichtungen der Universität, wie die Mathema- tisch-Naturwissenschaftliche Bibliothek, das Rechen- zentrum und das Multimediazentrum, räumlich zu konzentrieren und technologisch aufeinander abzustim- men. Das Ergebnis ist das Konzept des Informations- und Kommunikationszentrums Adlershof (IKA) als zentrale Einrichtung für Information und Kommunika- tion. Das IKA wird den gesamten Wissenschafts- und Wirtschaftsstandort mit allen Dienstleistungen einer multimedialen wissenschaftlichen Bibliothek, eines Rechenzentrums, des Technologietransfers sowie den Diensten von Fachinformationszentren und -verlagen

versorgen. Weiterhin werden in diesem Gebäude Kon- ferenzräume und ein Hörsaalkomplex sowie weitere öf- fentlich nutzbare Dienstleistungsbereiche installiert.

Technologische Aspekte

Diese Angebotsbreite stellt natürlich auch besondere Anforderungen an die Technologie des Betriebes. Dem Kunden des IKA soll bei einem möglichst geringen notwendigen Verwaltungsaufwand während der An- meldung und Nutzung von Diensten die breite ihm zugeordnete Angebotspalette zur Verfügung stehen.

Dem Benutzer ist es letztendlich egal, welche Service- Einrichtung ihm den beantragten Dienst anbietet.

Für den Anbieter müssen der Betrieb und die Kundenverwaltung technologisch beherrschbar bleiben.

Neben den Vorstellungen einer größtmöglichen Freizü- gigkeit für den Kunden sind natürlich auch einschrän- kende Aspekte zu berücksichtigen. Grundsätzlich muss aber das Angebot an Dienstleistungen am Bedarf der Benutzer ausgerichtet werden. Einschränkungen sollten nur aus technologischen, kapazitätstechnischen, sicher- heitstechnischen oder rechtlichen Gründen erfolgen.

Um welche Dienstleistungen geht es hierbei? Seitens der Uni- versitätsbibliothek sind es na- türlich klassischerweise Ange- bote wie Buchausleihe, Lese- saaldienste, Katalogrecherchen, Vorbestellungen von Büchern usw. Darüber hinaus bietet die Bibliothek auch Dienste wie Beschaffung und Bearbeitung von Dokumenten, elektronische Informationsangebote, Zugriff auf den CD-ROM-Service und auf ausgewählte Datenbanken und natürlich die Nutzung von mit dem Internet verbundenen Öffentlichen Computerarbeits- plätzen (ÖCAP) an. Das Rechenzentrum stellt Dienste wie den klassischen PC-Saal, Kommunikations- und Internet- dienste, den File-, Compute-, Datenbank-, Print- und Scan- service und den Hard- und Soft- wareservice zur öffentlichen

Zugang und Zutritt zum IKA

Das Informations- und Kommunikationszentrum in Adlershof (IKA), das neben weiteren öffentlichen Bereichen auch die Dienstleistungen der Mathematisch-Naturwissenschaftlichen Zweigbibliothek der Universitätsbibliothek und des Rechenzentrums gemeinsam unter einem Dach anbietet, eröffnet auch ganz neue Möglichkeiten und Not- wendigkeiten der Zugangs- und Zutrittssteuerung. Dieser Artikel beschreibt den Problemkreis und einige derzeit in Entwicklung befindliche Ansätze der Realisierung.

Abb. 1: Erdgeschoss – Öffentliche Arbeitsplätze

(2)

40

RZ-Mitteilungen Nr. 22, November 2001 Nutzung bereit. Zu den Diensten des Multimedia- zentrums gehören in diesem Zusammenhang Print- und Scandienste, Video- und Fotoarbeiten, Bereitstellung interaktiver Anwendungen, Videokonferenzdienste u. v. m.

Aus Sicht der Technologie sind hierbei mehrere Aspekte zu berücksichtigen. Da ist als erstes die Unter- scheidung von Zugang und Zutritt: Die Zugangskon- trolle beinhaltet alle technischen und organisatorischen Maßnahmen zur Steuerung und Abrechnung der Benutzung von Diensten („Zugang zu IuK-Technik- basierten Diensten“). Dagegen umfasst die Zutritts- kontrolle entsprechende Maßnahmen zur Steuerung sicherheitstechnischer Anlagen („Zutritt zu Räumen/

Zonen/Boxen“).

Aus Sicht der Arbeitsabläufe sind das Auftragshand- ling (Anmeldung, Modifikation und Stornierung), der Zugang zu den Diensten und der Betrieb einer Public Key Infrastructure (PKI) zu unterscheiden. Das Auf- tragshandling erfolgt mit einheitlicher Schnittstelle für alle angebotenen Dienstleistungen des IKA. Dem Kunden werden auf der Basis seiner institutionellen Herkunft eine Einrichtungsklasse und auf der Basis sei- nes Status eine Benutzerklasse zugeordnet. Im Rahmen seines so definierten Berechtigungsraumes kann er die Nutzung von Dienstleistungen der Bibliothek und des Rechen- und Medienzentrums in Auftrag geben. Der Zugang für einen Großteil der Dienste erfolgt über entsprechend bereitgestellte ÖCAP. Auf der Basis der Authentisierung und damit seines Profils erhält der Benutzer entsprechende Berechtigungen. Die PKI stellt die grundlegenden Sicherheitsfunktionen für eine authentisierte und verschlüsselte Kommunikation in Netzwerken zur Verfügung. Diese Sicherheitsfunktio- nen sind allgemein die Vertraulichkeit, Authentizität und Integrität von Daten sowie der Aufbau einer ge- sicherten Verbindung. Eine PKI ist die Kombination aus Hard- und Softwareprodukten, Richtlinien und Prozeduren.

Der Zugang zu den Diensten erfolgt über die Authen- tisierung des Benutzers. Diese bildet neben der Berechtigungsprüfung die Grundlage für Verschlüsse- lungen, Signierungen, Abrechnungen oder Studienver- waltungsprozesse.

Und schließlich die Sicherheit: In diesem Zusam- menhang sind folgende Aspekte zu berücksichtigen:

•Schutz der Installationen

•Beschränkungen aus rechtlichen Gründen (Lizenz- schutz, Missbrauch usw.)

•Datenschutz in den Verwaltungsprozessen

•Schutz vor Diebstahl, Vandalismus und Zerstörung

•Individuelle Risiken für den Benutzer wie der Schutz seiner Daten und der Kommunikation

Realisierungsvorstellungen

Natürlich laufen die oben beschriebenen technologi- schen Vorstellungen auf die Einführung der Chipkarte hinaus: Die SmartCard mit Zertifikat als technische Basis für die Authentisierung zur Steuerung technolo- gischer Arbeitsabläufe.

Bei der Definition des Kartendesigns gehen wir aus logischer Sicht von zwei unterschiedlichen Typen aus:

•SmartCard mit einem kontaktbehafteten Mikro- prozessor mit Krypto-Coprozessor (Krypto-Chip)

•SmartCard mit einem kontaktlosen Mikroprozessor (Mifare-Chip)

Durch Verwendung einer Hybridkarte, die beide Pro- zessortypen auf einem gemeinsamen Kartenkörper vereinigt, hält der Benutzer physisch nur eine Karte in der Hand.

Der Krypto-Chip steuert den Zugang zu den Diensten des IKA. Die Authentisierung des Benutzers erfolgt zertifikatsbasiert, d. h. auf dem kontaktbehafteten Chip werden (mindestens) das Zertifikat sowie der private Schlüssel abgelegt. Der Mifare-Chip dient grundsätz- lich zur Zutrittssteuerung. Die Authentisierung erfolgt über entsprechende Ident-Nummern auf dem kontakt- losen Prozessor (somit aus Sicherheitsgründen auch physisch getrennt vom Zertifikat).

Grundsätzlich werden auf der Chipkarte nur die zur Authentisierung notwendigen Daten abgelegt. Die Steuerung der Benutzerprofile erfolgt über entspre- chende Hintergrundsysteme, die bei der Anmeldung bzw. der Authentisierung aktiviert werden. Es besteht somit keine Notwendigkeit, dass die SmartCard über

IKA

Abb. 2: Modell des IKA

(3)

das Zertifikat hinausgehende persönliche Daten wie Anschrift, Geburtsdatum oder Studiengang enthält.

Die entsprechenden Verwaltungsdatenbanken in den Hintergrundsystemen werden durch eine zentrale Be- nutzerdatenbank (Meta-Directory) gesteuert. Über diese erfolgen die Verwaltungsvorgänge wie Benutzer- anmeldung, Zertifikatsvergabe, Definition des Benut- zerprofils usw. Für das Teilsystem (Anwendung mit eigener Benutzerverwaltung) spezifische Daten wer- den an dieses weitergeleitet und ausschließlich dort abgelegt. Die Anmeldung des Benutzers zu einem Dienst erfolgt dann direkt im Teilsystem.

In der ersten Realisierungsstufe ist die Integration der Teilsysteme Zugang zu ÖCAP, Zugang zum Biblio- theksverwaltungssystem und Zutritt geplant.

Zugang zu ÖCAP: Dieser erfolgt notwendigerweise zertifikatbasiert. Der Benutzer meldet sich am ÖCAP an und erhält eine entsprechende Freischaltung von Diensten. Zu diesen gehören die allgemeinen IuK- Dienste an Computern und in lokalen Netzen (z. B.

Software, Hardware, Plattformen, Speicherplatz, Peripherie), Bibliotheksdienste (Buch- und Zeitschrif- tenbestellung, Online-Recherchen, Zugang zu CD- ROM- und Dokumenten-Servern), Kommunikations-, Internet- und Mediendienste.

Zugang zum Bibliotheksverwaltungssystem: Dieser setzt eine Anpassung des Systems an die zertifikat- basierte Authentisierung per SmartCard voraus. Auf dieser Basis werden Dienste bereitgestellt wie Buchausleihe, aktive Nutzung der Online-Kataloge, Bezahlungen usw. Aus Gründen der Kompatibilität zu anderen Bibliotheken sowie der Möglichkeit des Fern- zugangs (vom Campus in Mitte, von zu Hause) muss in der ersten Realisierung der notwendig zertifikats- basierte Zugang dahingehend aufgeweicht werden, dass eine Authentisierung auch über eine Benutzer- nummer mit Kennwort und/oder über einen Barcode erfolgen kann.

Zutritt: Die Zutrittskontrollfunktion wird auf alle neu errichteten Gebäude in Adlershof ausgedehnt. Die Steuerung erfolgt über einen gemeinsamen Steuerungs- Server mit der Möglichkeit einer dezentralen Admi- nistration. Die Übertragung der Steuerungsfunktionen erfolgt verschlüsselt über das IP-Netz. Das Zutritts- kontrollsystem ist zu der (zu errichtenden) Einbruchs- meldeanlage (EMA) kompatibel. Über die SmartCard besteht die Möglichkeit, die EMA VdS-zertifiziert scharf und unscharf schalten zu können.

Schlussbemerkungen

An den Hochschulen und Universitäten in Deutschland gibt es viele Realisierungsansätze zur Einführung von Chipkarten. Die Humboldt-Universität steht in einem intensiven Erfahrungsaustausch und ist interessiert an einer engen Zusammenarbeit mit anderen Einrichtun- gen. Die Spezifik der HU-Konzeption besteht insbe- sondere darin, mit der Einführung einer Zugangs- und Zutrittstechnologie die SmartCard als Basis für die Authentisierung einzuführen. Andere Anwendungen, wie beispielsweise die Automatisierung von Hoch- schul- und Studierenden-Verwaltungsprozessen, stehen vorerst nicht im Vordergrund, sind aber bei einer zukünftigen Erweiterung nicht ausgeschlossen. Anlass ist die Inbetriebnahme des IKA, wobei wir uns auf Grund der besonderen Voraussetzungen (Neubau, Planung auf der „grünen Wiese“, definierter Benutzer- kreis) Realisierungschancen ausrechnen.

Lutz Stange stange@rz.hu-berlin.de

IKA

41

RZ-Mitteilungen Nr. 22, November 2001 So war es zu lesen in den RZ-Mitteilungen Heft Nr. 15/1997

Wir müssen jedoch immer wieder feststellen, wie erschreckend groß die Defizite im Sicherheitsbewußtsein vieler Benutzer sind, wie unbekümmert Paßwörter an andere weitergegeben werden (Teilweise werden sie sogar per E-Mail verschickt!) und wie wenig Klarheit darüber herrscht, welche Folgen ein derart leichtfertiger Umgang mit dem eigenen Account haben kann.

Referenzen

Jetzt herunterladen ( PDF - 3 Seite - 307.22 KB )

ÄHNLICHE DOKUMENTE

Das Spiel mit der Diktatur – Retardierende Demokratieentwicklung in Tirol

Auch der im Jahre 1933 einsetzende nationalsozialisti- sche Ansturm gegen die Regierung D o l l f u ß ist, ebenso wie die ständigen Gleich- schaltungsversuche der Agenten des dritten

Wirtschaftliche und soziale Umbrüche zwischen den Weltkriegen

Ein Gradmesser für die Auswirkung der Reisesperre ist die österreichische Zugspitzbahn, die in den letz- ten Jahren zu Pfi ngsten viele Hunderte von Leuten beförderte, in diesem

Die Option der Südtiroler

Die Option der Südtiroler.. Die italienischen Staatsbürger, welche auf Grund des Gesetzes vom 21. 1241 und der italienisch-deutschen Übereinkommen von 1939 und der folgenden Jahre

Migration – Flucht – Vertreibung: Die Geschichte der jüdischen Familie Turteltaub

M 11, M 18–M 20a/b: Nach rascher Durchsicht der Quellen fassen die SchülerInnen zusammen, welche Möglichkeiten jüdische ZuwanderInnen hatten, ihre Religion auszuüben

Kriegsalltag in Tirol

Der 1926 geborene Bruder Martin war 1938 18 Jahre alt und wurde bei der Musterung zurückgestellt, da er zart und schwächlich war. Er hütete die Geißen des Dorfes und litt

Wiederaufbau und Wohlstand im Tirol der Nachkriegszeit

Wenn wir diese Lebensader nicht auszubauen in der Lage sind, laufen wir Gefahr, dass der westdeutsche Verkehr in Zukunft über die Schweiz nach Italien und nach dem Süden fl ießt

Wiederaufbau und Wohlstand im Tirol der Nachkriegszeit

Die neue Gedächtniskultur wird nicht allein von Seiten des offiziellen Österreich oder Tirols getragen, vielmehr basiert sie auf einer Vielzahl an Ini- tiativen, die sich auch

Orientierungswissen Erinnerungskultur

www.univie.ac.at/hypertextcreator/zeitgeschichte/site/browse.php : StudentInnen des Lehramtes Geschichte, Sozialkunde und Politische Bil- dung haben in einer Lehrveranstaltung von