Digitale IDs

Der Zugriff auf Online-Dienste erfolgt in der Regel über eine Benutzer-ID und Passwort. Dies gilt beispielsweise für den Zugang zu WLAN, File-Server, Online-Lehrmitteln, Nano-TV, Swissdox, Wiki, Microsoft 365 etc. Anstelle mehrerer verschiedener Logins setzt man in der Schule eine digitale ID ein, mit der auf alle Dienste zugegriffen werden kann. Anstelle mehrerer Schlüssel gibt es für die Schülerinnen und Schüler sowie für die Lehrpersonen einen persönlichen Schlüssel, der überall passt.

Im Netz dagegen haben die Schülerinnen, Schüler und Lehrpersonen verschiedene Rollen, manchmal sind sie anonyme Spielerinnen oder Spieler, manchmal offizielle Lehrpersonen und manchmal Privatpersonen, die sich mit Freunden austauschen. Sie üben in verschiedenen Kontexten verschiedene Rollen aus, wir nennen diese auch ihre digitalen Identitäten. Die digitalen Identitäten sind unsere verschiedenen kontextspezifischen Rollen im Netz. 

Für jede digitale Identität besitzt die Person oft mehrere digitale IDs (z.B eine Schule-Musterhausen-ID und eine Apple-ID). An jede digitale ID sind ein oder mehrere Identifikatoren angebunden, etwas das man weiss (ein Passwort), besitzt (ein Schlüssel) oder ist (Fingerabdruck).
 
Alle Schülerinnen und Schüler, Lehrpersonen und Mitarbeitenden benötigen digitale IDs, um sich z.B. im Netzwerk der Schule oder bei einem Cloud-Dienst auszuweisen. Im einfachsten Fall ist dies eine E-Mail-Adresse, oft arbeitet im Hintergrund aber ein ganzes System an synchronisierten, verlinkten und föderierten IDs, um der Benutzerin oder dem Benutzer einen einfachen Zugang zu den Diensten, Geräten und Angeboten zu ermöglichen.  

Download der Grafik mit CC-Lizenz "BY"

Digitale IDs und ID-Systeme

In folgenden Abschnitt geht es um die Benutzerverwaltung und deren Berechtigungssteuerung, was als Identity & Access Management (kurz IdM oder IAM) bezeichnet wird. Die unterschiedlichen Begriffe beziehen sich auf verschiedene Phasen und Verfahren in der Entwicklung der Benutzerverwaltungen. 

Eine Person kann mehrere digitale IDs besitzen. Zu einer digitalen ID gibt es eine Sammlung von Identifikatoren, die eindeutig auf eine Person hinweisen. Mit digitalen IDs lassen sich Personen durch Computersysteme eindeutig identifizieren. Die digitalen IDs sind «Ausweise» in der virtuellen Welt. Sie verweisen auf eine reale Person. Es gibt verschiedene digitale IDs. Typische digitale IDs bestehen aus Benutzername und Passwort, einer E-Mail-Adresse, eindeutige biometrische, physiometrische und psychometrische Daten (sogenannte digitale Fingerabdrücke) oder aus Zertifikaten. Digital IDs können auch auf physischen Trägern gespeichert sein, wie auf Chipkarten, SIM-Karten usw.  

Die digitalen IDs haben ähnliche Funktionen wie der Schülerausweis in der analogen Welt. Eine Schülerin kann sich damit als Schülerin der Schule Musterhausen ausweisen, sei es in der Bibliothek, in einem Geschäft, in einer anderen Schule oder im Museum.

Die digitale Schul-IDs werden benötigt, um sich im Netzwerk der Schule anzumelden oder um in der Schulmediothek ein digitales Buch auszuleihen. Sie ist Voraussetzung, um auf eine digitale Lernressource resp. ein digitales Lehrmittel zuzugreifen oder um den WLAN-Zugang in einer anderen Schule zu nutzen.  

Anmelde- und Autorisierungsprozess

Im Detail sind die Prozesse je nach verwendeter Technologie sehr verschieden. In der einen oder anderen Form kommen folgende Schritte vor:

1. Registrierung (Registration) ist die Erstellung eines neuen Benutzerkontos auf dem Gerät, einem Dienst oder einem Identitätssystem. Die Registrierung kann entweder
   • durch Selbstregistrierung durch den Benutzer resp. die Benutzerin oder
   • durch automatische Kontoerstellung z.B. durch den ICT-Verantwortlichen erfolgen. 
2. Die Anmeldung (Login) bei einem Gerät, einem Dienst oder einem ID-System besteht meist aus zwei Teilprozessen
   • Authentisierung (Authentication) ist der Prozess, bei dem sich die Benutzenden gegenüber einem Gerät oder dem ID-System z.B. durch Fingerabdruck, Gesichtserkennung, einem Token (physischer digitaler Schlüssel) oder Benutzername und Passwort etc. auszuweisen. Die Authentisierung am Gerät und am ID-System kann gekoppelt werden, sodass die Anmeldung am ID-System für die Benutzenden transparent verläuft.
   • Authentifizierung (Authentification) heisst der Prozess bei dem das System den Nachweis der Benutzenden überprüft. 
3. Zustimmung  (User Consent) heisst der Prozess, bei dem die Benutzenden die Zustimmung dafür geben, dass Daten vom Identitätssytem zum Inhaltsanbieter weiter gegeben werden.
4. Zusicherung (Assertion) heisst der Prozess, der erlaubt, dass ausgewählte Eigenschaften (z.B. Benutzer/Benutzerin ist älter als 18 Jahre) an den Cloud-Dienstanbieter weitergeleitet werden.
5. Autorisierung (Authorization) ist der Prozessschritt, der den Benutzenden Zugangsberechtigungen gibt.
6. Zugangskontrolle (Access Control) ist der Prozess, der die Zugangsberechtigungen der Benutzenden überprüft.
7. Zugang (Access): Die Benutzenden erhalten am Ende dieses mehrstufigen Prozesses Zugang zum Gerät oder zu einem Dienst oder einem Inhalt (z.B. Buch).

Zum besseren Verständnis und zur besseren Kommunikation kann der Autorisierungsprozess aufgezeichnet werden. Ein typischer Anmeldeprozess ist auf der untenstehenden Grafik abgebildet. 

Download der Grafik mit CC-Lizenz "BY"

---

Einfache digitale IDs

Durch die Einführung persönlicher Geräte und personalisierter Dienste benötigen die Benutzenden vermehrt digitale Identitäten, mit denen sie sich bei den verschiedenen Geräten und Diensten anmelden können. Die bekanntesten Formen davon sind persönliche Anmeldedaten wie Benutzername und Passwort oder eine eigene Schul-E-Mail-Adresse und Passwort. 

Persönliche Anmeldedaten (Benutzername/Passwort-Paar) ist die bekannteste Form des Nachweises einer digitalen Identität. Diese Form der Anmeldung ist aus verschiedenen Gründen nicht sehr sicher. Die Benutzerin oder der Benutzer nutzt oft das gleiche, einfache Passwort. Viele Anbieter von Cloud-Diensten gehen nicht sehr sorgsam um mit den Anmeldedaten der Benutzenden. Zudem stellen persönliche Anmeldedaten aus Nutzersicht eine Hürde dar (z.B. für Kinder, die noch nicht schreiben können).

Ein Passwortmanager kann den Benutzerinnen und Benutzern das Leben in der virtuellen Welt mit der Vielzahl von Passwörtern vereinfachen und die Sicherheit erhöhen. 

Die Zukunft gehört den passwortlosen Verfahren (z.B. Fingerabdruck, Schlüssel-Stick etc.). Die Schule kann bereits heute bei der Beschaffung ihrer ICT-Infrastruktur diese Verfahren in Betracht ziehen.

Die persönliche Schul-E-Mail-Adresse dient als einfache Form, womit sich eine Lehrperson, eine Schülerin oder ein Schüler zu einer Schule zugehörig ausweisen kann. Die E-Mail-Adresse reicht oft, damit ein externer Dienst die Personen erkennen kann. Idealerweise unterscheidet die Schule zwischen zwei unterschiedlichen Sub-Domains für 

• E-Mail-Adresse für Lehrpersonen und Mitarbeitende: vorname.nachname@schule-musterhause.ch
• E-Mail-Adresse für Schülerinnen und Schüler: vor.nac@sus.schule-musterhausen.ch, wobei nur eine Abkürzung des Vor- bzw. Nachnamens verwendet werden soll oder ein Pseudonym.

Die E-Mail-Adresse als ID ist kein Single-SignOn. Sie ersetzt demzufolge nicht den Anmeldeprozess mit separaten Passwörtern pro Applikation, sondern dient lediglich als Identifikator, der zur Schülerin/zum Schüler der Schule gehört. Damit ist nicht ausgewiesen, dass die Schülerin/der Schüler die Benutzerin/der Benutzer ist.

Gruppenzugehörigkeit

In einigen Fällen, wenn es sich nicht um individualisierte Anwendungen oder persönliche Geräte handelt, reicht die Überprüfung einer Gruppenzugehörigkeit aus. Dies wird oft im 1. Zyklus umgesetzt. Das Kennen eines Gruppen-Passwortes in Verbindung mit sozialer Kontrolle ist ausreichend. Die Lehrperson kennt die Person, die das Tablet nutzt und kann die Person bei der Nutzung begleiten. Somit übt sie eine hinreichende, soziale Kontrolle aus.

Räumliche und soziale Kontrolle

Falls ein Gerät oder ein Dienst nicht personalisiert genutzt wird, kann die Schule das Gerät oder den Dienst auch anbieten, ohne dass sich die Benutzenden digital authentifizieren müssen. Dazu gehören beispielsweise Beamer und Drucker. Die Zugangskontrolle geschieht dabei durch räumliche und soziale Kontrolle.

Schuleigene digitale IDs

Um schuleigene digitale IDs anbieten zu können, benötigt die Schule ein ganzes System von Identitätsanbietern, die untereinander verbunden sind. Ein Identitätsanbieter ist ein Dienst, der die Identitäten der Benutzenden verwaltet. Hier werden neue Benutzende erzeugt, gesperrt und gelöscht. Dies können ein oder mehrere lokale Server (z.B. AD-Server, LDAP-Server) oder ein oder mehrere Cloud-Dienste sein (z.B. Microsoft Azure AD, Apple School Manager, Gluu Dienst etc.). Die Schule hat es also mehrheitlich mit einem ganzen System von Identitätsanbietern zu tun. Die Identitätsanbieter sind teilweise untereinander synchronisiert.

Typisches ID-System der Schule Musterhausen

Ein typisches ID-System der Schule Musterhausen auf Stufe «Transformation» ist in der folgenden Grafik abgebildet: 

Download der Grafik mit CC-Lizenz "BY"

---

Für das Verständnis und die Diskussion ist es hilfreich, wenn die Schule über eine Skizze ihres IDM-Systems verfügt. Darauf ist dargestellt, welche ID-Dienst wann, wie und was synchronisieren und wo besondere Vorkehrungen bezüglich Sicherheit zu treffen sind.

Synchronisation der IDs

Je nach Schnittstelle werden die Daten in eine Richtung (unidirektional) oder in beide Richtungen (bidirektional) synchronisiert. Eine Schnittstelle unterstützt nicht alle Synchronisations-Funktionen gleich gut. Typische Funktionen, nach denen eine Synchronisation stattfinden muss, sind:

• Benutzer erstellen
• Benutzer Eigenschaften ändern
• Passwort ändern
• Benutzername ändern
• Benutzer deaktivieren
• Benutzer löschen

Falls keine automatisierten Schnittstellen existieren, müssen die Daten einmal jährlich aus der Schulverwaltungsdatenbank exportiert und bei den Identitätsprovidern aktualisiert werden. In vollautomatisierten Identitätssystemen wird jede Änderung automatisch an die verschiedenen Teilsysteme weitergeleitet. Änderungen im Schulverwaltungssystem haben weitreichende Auswirkungen. Deshalb müssen sie mit Sorgfalt vorgenommen werden. Je umfassender das Identitätssystem wird, desto einfacher wird es oft für die Benutzenden, umso komplexer wird jedoch das Gesamtsystem.

Überprüfen der Datenqualität 

Sobald die Daten aus der Schulverwaltung als Stammdaten für die verschiedenen Identitäten verwendet werden, müssen sie eine hohe Qualität aufweisen – ja fehlerlos sein. Normalerweise bedeutet dies, dass die für das Identitätssystem verwendeten Attribute überprüft werden müssen. Dadurch entsteht bei der Einführung digitaler Identitätssysteme für die Schule ein zusätzlicher Aufwand.

Stufengerechte Anmeldung  

Für Schülerinnen und Schüler bis zur 2. Klasse sind personalisierte Logins zu vermeiden, da sie eine hohe Nutzungshürde darstellen.

• Bei persönlichen Geräten (Single-User-Devices) ist der einfachste Weg zur Authentisierung den Fingerabdruckscanner zu aktivieren und sich mit passwortlosen Verfahren (FIDO2) mit den Cloud-Diensten zu verbinden.
• Bei geteilten Geräten (Multi-User oder Shared-Devices) muss die Schule entscheiden, wie wichtig die Individualisierung der Geräte (z.B. um Lernstände zu speichern) sind. 
  • Wenn keine Individualisierung notwendig ist, reicht es, das Gerät ohne Login zu benutzen. Wichtig ist dann lediglich, dass die Benutzenden keine weitreichenden Rechte haben.
  • Falls Individualisierung gewünscht ist, können ein Schlüssel-Stick (z.B. Yubikey) oder Fotos/Icons als Login und Symbolen als Passwort zur Verfügung gestellt werden.

Schulübergreifende digitale IDs

Bilaterales ID-Netzwerk

Wenn Schulen Gebäude, Standorte oder andere Ressourcen, wie z.B. das Netzwerk miteinander teilen, mag es sinnvoll sein, dass sich zwei ID-Systeme zu einem bilateralen ID-Netzwerk zusammenschliessen und sich gegenseitig anerkennen (IdM-Föderation). 

Föderierte IDs

Eine IdM-Föderation ist die Beziehung zwischen zwei oder mehreren ID-Systemen über System-, Schul-, Gemeinde- und Kantonsgrenzen oder auch Netzwerkgrenzen wie Facebook, Twitter, Lufthansa/Sixt o.Ä. hinweg. Das Ziel besteht darin, durch sogenannte Vertrauensbeziehungen unter Nutzung von Standardaustauschformaten wie z.B. SAML eine übergreifende Vereinfachung in der Benutzer- und Berechtigungsverwaltung zu erreichen.

Edulog

Edulog ist das geplante föderierte ID-System für die Volksschulen und die Schulen der Sekundarstufe II.

Download der Grafik mit CC-Lizenz "BY"

---

Edulog ist unter verschiedenen Namen (z.B. Educa.ID, FIDES) seit 2011 in Entwicklung. Edulog basiert darauf, dass die Kantone die Daten der Gemeinden für Edulog bereitstellen. In einigen Kantonen fehlen die gesetzlichen Grundlagen sowie die Bereitschaft die Daten von den Gemeinden einzufordern.  

Crossföderierte Identitätssysteme

Zwei oder mehrere föderierte Identitätssysteme, die sich gegenseitig anerkennen, werden «Crossföderierte Identitätsysteme» genannt. 

Benutzeradministrierte Identitäten

Im Privatbereich und auf der tertiären Stufe beginnen sich «benutzeradministrierte Identitätssysteme» durchzusetzen (z.B. Switch Edu-ID). Die Benutzenden verwalten ihre Angaben selbst. Die Aufgabe der Schule ist, die Korrektheit der Angaben zu überprüfen und zu bestätigen. 

Verwenden externer digitaler IDs

Die Schule muss die digitalen Mitarbeiter- und Schüler-IDs nicht unbedingt selbst ausstellen, sie kann z.B. auch kommunal-, kantonal-, national-, kommerziell- und non-Profit-digitale IDs anerkennen (z.B. Switch Edu-ID, Edulog, SwissID, ID4me, Apple-ID) und als Grundlage für die Authentisierung verwenden. In diesem Fall ist die Schule selbst nicht Identitäts-Anbieter, sondern sie gibt lediglich vor, welche digitalen IDs sie akzeptiert und führt die Authentifizierung und Autorisierung durch. Mit der Authentifizierung bestätigt die Schule, dass die Schülerin diese Schule besucht, und mit der Autorisierung erlaubt sie der Schülerin, den Dienst Y zu nutzen.

Download der Grafik mit CC-Lizenz "BY"

---