Beitrag bearbeiten

FIDO2 in der Schule?

Das Versprechen, dass wir zukünftig ohne Passwort im Netz surfen können, tönt verlockend. Gerade in der Schule ist der Administrationsaufwand von Passwörtern oder vor allem von vergessenen Passwörtern hoch. Mit dem Internetstandard FIDO2 (Fast IDentity Online) ist eine Lösung auf dem Markt, welche scheinbar das Problem lösen soll, doch taugt diese Lösung auch für die Schule?

Der ICT-Coach sieht Cloud-Lösungen sowohl für das Speichern von Daten als auch für die kollaborative Zusammenarbeit an Schulen als zukunftsfähige Lösung an. Die Datensicherheit steht dabei an erster Stelle, dies sowohl für die Mitarbeitenden der Schule, als auch bei der Nutzung durch die Schülerinnen und Schüler. Das Thema sicherer Umgang mit Daten, der Schutz der eigenen Daten vor Verlust und die Anmeldung in einem Netzwerk oder einer Lernumgebung sind auch Thema im LP21. Damit sind Schülerinnen und Schüler doppelt mit dem Thema konfrontiert, sowohl beim Lernen über den sicheren Umgang beim Login und den Daten als auch bei der eigenen Anwendung. Wenn dies zukünftig ohne Passwort geht, dann wäre dieser einfache Weg zwar praktisch, aber ist er auch sicher?

Der Artikel in der NZZ am Sonntag, vom 23.2.2020 zeigt anschaulich auf, wie in Zukunft möglicherweise die Nutzung von Cloud-Lösungen durch die Nutzung von FIDO2 viel einfacher und nicht weniger sicher wird. In den folgenden Abschnitten stellen wir die Aussagen im Artikel in den Kontext der Schule, ihren besonderen Anforderungen an Sicherheit sowie der Nutzung von FIDO2 auch für Geräte im Unterricht.
 

Mögliche Anwendungsszenarien von FIDO2 in der Schule

FIDO2 fähige Endgeräte oder als Alternative FIDO2-USB-Schlüssel bieten mehrere Funktionen. Typischerweise sind dies:

  1. passwortloses Anmelden bei Online Diensten 
  2. passwortloses Anmelden mit dem FIDO2-USB-Schlüssel bei Endgeräten (statt Passwort, Fingerprintsensor, Pin oder Gesichtserkennung)
  3. zweifaktor Authentifizierung (Besitz des FIDO2-Sticks/Endgerätes + PIN)
  4. zweifaktor Authentifizierung (Passwort + Besitz des FIDO2-Sticks/Endgerätes)
  5. Schlüsselerzeugung + Schlüsselspeicher für E-Mail-Verschlüsselung
  6. Schlüsselerzeugung + Schlüsselspeicher für Tresor-Verschlüsselung
  7. etc.

Die beiden in den Schulen am meist genutzten Cloud-Kollaborationsplattformen Office 365 und Nextcloud bieten heute schon Unterstützung für erste dieser FIDO2-Funktionen. Beide unterstützen Zweifaktor-Authentisierung mit FIDO2. Office 365 unterstützt zudem das Anmelden mit FIDO2-Stick/Endgerät + PIN.

Von Seite der Identitätsföderation «Edulog» gibt es noch keinen Hinweis, dass sie FIDO2 unterstützen wird. 

Ob sich FIDO2 für die Schulen wirklich eignet, kann nur ein Pilot in der schulischen Alltagspraxis zeigen. Wir kennen aktuell keine Schule, die mit FIDO2 Erfahrung hat. 

Dieses Bild hat ein leeres Alt-Attribut. Der Dateiname ist img_1484.325x0-is-1.jpg

Wir sehen zwei Szenarien, die sich für die Erprobung von FIDO2 mit FIDO2-fähigen Endgeräten oder FIDO2-USB-Schlüssel in Schulen eignen:

  1.  Zweifaktor-Authentisierung, sowie OpenPGP-Schlüsselspeicher für E-Mail-Verschlüsselung und Datentresor-Verschlüsselung für Personen, die mit besonderen Personendaten arbeiten (typischerweise Schulleitungen, Schulsozialarbeit, Heilpädagogische Lehrkräfte etc.). 
  2. Passwortloses Anmelden für Kinder, für welche die Eingabe eines Passworts ein Hürde darstellt (Kindergarten bis 3 Klasse).

Das Szenarium 1. kann bei Erfolg auf alle Lehrpersonen oder sogar alle Lehrpersonen und Schülerinnen erweitert werden. Beim Szenarium 2. benötigen die Schulen nicht nur eine passwortlose Anmeldung, sondern auch eine Anmeldung ohne Eingabe des Benutzernamens, was mit FIDO2 möglich ist, aber von den entsprechenden Clouddiensten für Kinder noch eingebaut werden muss.
 

Und wie steht es mit der Sicherheit?

Die NZZ schreibt “Die Technologie ist einfach und sicher”. Doch wie sicher?

FIDO2 schützt in erster Linie vor dem massenhaften Diebstahl der Logindaten durch Hacker und dies ist ein riesen Gewinn für die Sicherheit. Zudem trägt die Einführung eines zweiten Faktor zu mehr Sicherheit bei und FIDO2 ist als zweiter Faktor sicherer als z.B. SMS (mTAN, wie z.B. bei der Authentisierung im eBanking verwendet werden).

Doch ist auch bekannt, dass bei den in den Endgeräten eingebauten gängigen Kryptochips in den letzten Jahren immer wieder schwere Sicherheitslücken entdeckt wurden (L1L2L3) die oft komplexe Firmware- und/oder Bios-Updates benötigen, welche ein normaler Benutzer typischerweise nicht durchführt.

Nach den Snowdenleaks von 2013 und den aktuellen Cryptoleaks ist es auch keine abwegige Annahme, dass Kryptochips mit nicht öffentlicher Software (Closed Source) über Backdoors für Geheimdienste verfügen, egal mit welchen Military-Grade-Zertifikate sie ausgezeichnet sind.  

Wir empfehlen deshalb für sicherheitsbewusste, kritische Schulen auf externe FIDO2-Sticks basierend auf Open-Source-Software zu setzen. (z.B. Solokeys oder Nitrokey).
 

Fazit

In der Benutzung hat ein FIDO2-Stick ähnliche Sicherheitsprobleme wie ein normaler Schlüssel, wenn die Lehrperson den FIDO2-Stick auf dem Lehrerpult liegen lässt und das Schulzimmer verlässt, können Schüler damit alle Dienste öffnen, die für Passwortloses Anmelden ohne zweiten Faktor konfiguriert sind. Dieses Risiko ist jedoch handhabbar, da wir dieses Risiko vom Schlüsselbund kennen. Wenn wir ihn rumliegen lassen, verlieren oder er gestohlen wird, haben wir ein Problem. Diese hohe Ähnlichkeit zum normalen Schlüssel macht es für uns “einfacher” als andere Verfahren.

Vieles rund um FIDO2 ist gerade noch in Entwicklung (L4L5). Wir würden daher mit dem Start von Pilotprojekten in Schulen bis zum Sommer 2020 zuwarten. Doch für erste Experimente, Tests und Abklärungen mag es der richtige Zeitpunkt sein. ICT-Verantwortlichen können beginnen, sich dem Thema FIDO2 anzunähern und die Möglichkeiten zu entdecken.
 

Themen im ICT-Coach

  1. Grundlegende Informationen zu Cloud-Diensten sind im ICT-Coach aufgeschaltet unter: https://ict-coach.ch/wsp/cloud-dienste/
  2. Spezifische Informationen zu digitalen ID’s: https://ict-coach.ch/wsp/cloud-dienste/digitale-ids/

Grundlagen zum Artikel zu FIDO2:

https://nzzas.nzz.ch/wissen/internetstandard-fido2-sicher-im-netz-ohne-passwort-ld.1541915

https://www.heise.de/ct/artikel/Passwortloses-Anmelden-dank-FIDO2-4494951.html

Verweise

L1: TPM-RSA Lücke: https://heise.de/-3864691

L2: TPM-Fail: https://heise.de/-4585573

L3: Entschlüsselungs-Key für iPhone-Secure-Enclave öffentlich: https://heise.de/-4613199

L4: Apple unterstützt FIDO2 erst seit iOS 13.3 (Dezember 2019) und macOS Mojave: https://heise.de/-4665421

L5: Stabile NFC Unterstützung und OpenPGP-Unterstützung bei Solokeys der 2te-Generation:  https://solokeys.com/blogs/news/update-on-our-new-and-upcoming-security-keys

Facebooktwitter

Schreibe einen Kommentar