Ich reaktiviere diesen Thread nochmal, gerne um eure Einschätzung der Sicherheitslage bei Webuntis / Untis Mobile / Digitalem Klassenbuch + Anordnung von Land BW zu hören…
Erfahrung mit WebUntis / Untis Mobile / BetterUntis
Meine Erfahrung ist bislang nur a.) PC und b.) Android-Gerät, wenn in WebUntis 2FA aktiviert wurde:
a.) Anmeldung mit Benutzername und Passwort + zweiter Faktor nötig, den man aus einem TOTP-Programm/App bekommt. Man kann das alles auf einem Gerät machen (z.B. meinem Dienst-Leihgerät), aber m.E. widerspricht das dem Erlass. Also: ein weiteres Gerät für TOTP ist die Idee. Nach einer Weile (Zeitrahmen unbekannt) wird man automatisch abgemeldet.
b.) Anmeldung mit Benutzernamen und Passwort und zweitem Faktor in der Untis Mobile Android App… ohne zweiten Faktor geht das nicht, auch dieser kann von demselben Gerät geholt werden - wie oben. Das widerspricht der Idee von 2FA und dem Erlass. Ob die App bei mir unter Android immer wieder nach dem Passwort fragt, weiß ich nicht.
Ich habe allerdings getestet: wenn man keinen PIN-Schutz für das Handy einträgt, dann bleibt man in der App nicht angemeldet. Das hat aber die App so bestimmt und geht wohl auch so bei iOS. Wenn man eine PIN-Displaysperre hat, dann bleibt man in der App angemeldet. Vermutlich gilt das auch, wenn die Display-Sperre erst nach 30 Minuten greift…
b2.) Unter Freigaben in Webuntis eröffnet man mit „Zugriff über Untis Mobile“ eine zweite Möglichkeit, sich mit einer App (Untis Mobile Android/iOS, BetterUntis, OpenUntis, evtl. anderen) direkt anzumelden. Da braucht man dann keinen zweiten Faktor mehr. Dieses zweite Passwort besteht aus 16 Großbuchstaben oder Zahlen. In der Nextcloud gibt es dieses Verfahren auch, das nennt sich dort „App-Passwort“ oder „Sitzungspasswort“ (obwohl 2FA aktiviert ist). Auch hier bin ich der Meinung, dass das nicht den Vorgaben entspricht.
Auch hier gilt in „Untis Mobile“ wie in b.): Man bleibt „unendlich lange“ angemeldet, falls man eine PIN-Sperre aktiviert hat. Das ganze gilt nicht für BetterUntis, die haben so ein „Feature“ nicht. Bei Untis Mobile ist aber auch nicht klar, wie sie das implementiert haben. (Wird das Passwort gelöscht, wenn die PIN rausgenommen wird?)
Das sind erstmal die Fakten, die ich zusammengetragen habe. Weitere Erfahrung mit iOS-App gerne hier ergänzen.
Wie machen es andere Schulen, die die 2FA ernst nehmen? Ich weiß von mehreren, die TOTP-USB-Dongle-Geräte angeschafft haben für die Lehrer. Ich weiß noch nicht, wie sie das Login per App-Passwort handhaben.
Einschätzung der Sicherheit
das ist der schwerste Punkt. Man merkt ja, dass sich selbst das Land schwer tut und die sollten eigentlich die Experten fragen können: Es gibt eben mehrere Szenarien, dass Daten missbräuchlich verwendet werden / in unbefugte Hände kommen.
- Eine ist sicher die Unsicherheit des PW: der will man (das Land) mit zweitem Faktor begegnen. Zudem denkt sich wohl Untis, dass ein App-Passwort mit 16 Zeichen plus eine Handysperre die gleiche Sicherheit bietet wie eine 2FA.
- Eine ist, dass ein Gerät „verseucht“ ist und alles mitlesen kann. Wenn die 2-Faktoren beide auf dem gleichen Gerät erzeugt werden, kann beides klauen und weitergeben. Wenn 2FA nicht aktiviert ist, ist das eine PW - egal wie komplex - leicht geklaut.
- Eine ist, dass beide Geräte verseucht sind, das erste, in dem man sein PW eingibt und das zweite, dass den zweiten Faktor erzeugt: Dagegen hilft nur so ein USB-Dongle, den man quasi nicht kapern kann.
Einschätzung der digitalen Souveränität
- Einmal Untis - immer Untis? Wie sieht es mit Aleksis aus? Oder anderen Alternativen?
- WebUntis ist deutlich umständlicher zu bedienen mit 2FA als Untis Mobile, wenn man nur seinen Fingerabdruck/FaceID/whathaveyou zum Entsperren des Geräts braucht und ein App-Passwort hinterlegt ist… Bedeutet das: einmal Untis-App - immer UntisApp?
- Geldfrage - was kostet Untis heute - und was morgen?
- Android vs. iPad ? Selbst die „Untis mobile“ apps haben einen unterschiedlichen Featurestand. am Ende landet man bei iPads und da ist ganz schnell klar: einmal Apple - immer Apple.
VG, Tobias
Vielleicht hat ein anderer Dienstleister Experten, die das Handbuch oder Google oder beides nicht brauchen?