Webuntis vs. Nextcloud: 2FA mit TOTP-Token, Cloud-, Messenger- und Kalenderfunktionen

crazy-to-bike · 16. September 2019 um 11:14

Hallo,

seit diesem Schuljahr nutzen wir Webuntis auch als digitales Klassenbuch. Wurde letztes Schuljahr (angeblich) mit großer Mehrheit in einer GLK, in der ich nicht war, beschlossen. Die 2FA wird mit einem OATH-TOTP Gerät gemacht: Feitian OTP c200 (https://www.mtrix.de/portfolio/feitian/otp/)

Dazu wurde bei jedem KuK in Webuntis die ID des Token hinterlegt.

Ich habe nun geschaut, ob sich das auch für die NC für 2FA nutzen lässt, aber wenn ich das richtig sehe, geht das bei allen NC-Apps nur mit einer TOTP-App auf dem Smartphone oder einem U2F Token, also einem Gerät, das man per USB anstöpseln muss.

Um NC datenschutzrechtlich konform zu betreiben (da werden dann halt doch wieder personenbezogene Daten abgelegt), sollte 2FA vorhanden sein. Weder ein weiteres Gerät noch die App am Handy kann man bei den KuK verlangen / durchsetzen.

Da diese ganze Geschichte wie alles, was mit EDV zu tun hat, an mir vorbei entschieden wurde, ist die Situation jetzt wie sie ist. Leider glaube ich daher immer weniger daran, dass ich NC mal noch bei uns an der Schule etablieren kann, obwohl jede Schule dringend eine richtige Cloud bräuchte, und NC ja sogar weit mehr bietet, aber immer in Konkurrenz zu anderen Lösungen wie Webuntis steht, die imho aber für diverse Funktionen wie Kommunikation, Kalender, Dateimanagement keinesfalls sinnvoller oder besser sind.

Aktuelles Beispiel:
Dem alltäglichen Nogo, dass personenbezogene Schülerdaten per E-Mail versendet werden, wird aktuell mit dem Messenger-System von Webuntis begegnet. Da kann man auch Anhänge mit verschicken, weil Webuntis ein Dateiablagesystem hat, mit dem man z.B. auch Dateien für Stunden hinterlegen kann, auf die dann die SuS zugreifen können.
Das hört sich erst mal prima an, und für das AB zu einer Stunde ist das ja sogar ganz praktikabel. Es ersetzt aber imho niemals die Möglichkeiten des Dateimanagements einer echten Cloud wie NC. Leider sieht das bei uns bislang nach wie vor keiner oder kaum jemand.

In Webuntis gibt’s auch Kalender, aber halt keine Caldav-Kalender sondern ical. Kann man für die Terminplanung schon nutzen (und ich sehe das schon darauf rauslaufen), ist aber im Vergleich zu CalDAV kacke.

Wenn jetzt auch noch die 2FA bei NC nicht mit dem vorhandenen Token realisierbar ist, dann wird das mit dem Einsatz von NC an unserer Schule wohl noch viel weniger realisierbar.
Dann bleibt’s bei bzw. werden es diese kommerziellen Syteme, die, weil sie Geld kosten, natürlich besser sein müssen.

Da schaue ich weiterhin neidisch auf viele von euch, die die SL und KuK von Nextcloud & Co überzeugen konnten - von LMN als Schulnetzlösung mal ganz zu schweigen.

Viele Grüße
Steffen

crazy-to-bike · 17. September 2019 um 09:47

Hallo,

heute kam nach dem Webuntis-Messenger schon das Stichwort Untis Drive auf. Das ist eine Cloud bzw. Dateiablage von Gruber & Petters, die in deren (Web)Untis Universum implementiert ist bzw. wird. Ich kenne nur (rudimentär) die Cloud vom Hasso Plattner Institut und die von dem Anbieter, der für die Anzeige von Vertretungsplänen bekannt ist. Beide finde ich nicht so gut wie eine Nextcloud.
Da ich Webuntis auch nicht berauschend finde (die App geht, kann aber nicht alles), wird dieses Untis Drive auch nicht der Brüller sein.

Kennt das schon jemand?

Viele Grüße
Steffen

docloy · 17. September 2019 um 18:24

Hallo Steffen,

Generell müsste das mit dem Token gehen. Die spannende Frage ist, wie man das Token „programmiert“. Wie der Anbieter schreibt werden die Tokens in Deutschland neu programmiert. Auf Wunsch kann das der Kunde sogar selbst machen…

Ich würde bei denen vielleicht mal anrufen.

Btw bei Webuntis funktioniert auch freeotp. Somit können KuK die sowieso ihr Schlauphone dabei haben auch einfach freeotp für Webuntis und NC verwenden. Den anderen müsste man halt ihr Token „programmieren“.

Ich wünsche dir auf alle Fäle viel Erfolg beim Bohren dicker Bretter…

Christoph

crazy-to-bike · 18. September 2019 um 04:43

Hallo Christoph,

das Problem ist, dass ich den Token (dessen ID) ja in Nextcloud hinterlegen muss.
In Webuntis kann man die ID eintragen, NC versucht aber, ein USB-Gerät zu entdecken. Es geht bei NC also nur ein U2F Token, der an USB angestöpselt wird.
Ich werde den Hersteller mal kontaktieren, denke aber, der wird mir auch nur sagen, wir brauchen einen U2F.
Es müsste eine 2FA App von NC geben, die es ermöglicht, die Token ID von Hand einzutragen. Gibt es bislang aber leider nicht

Viele Grüße
Steffen

irrlicht · 9. November 2021 um 10:53

Morgen,

Ich bin auch gerade am Suchen, hab paar Solokeys (mit und ohne NFC) bestellt und spiele damit rum. Nextcloud tut mal super damit, viel bequemer als mit TOTP.
In Zunkunft werden wir aber vielleicht auch beim digitalen Klassenbuch von Untis landen, da braeuchten wir dann ja auch wieder TOTP bwz. so’n Ding mit Tokengenerator und Display.

Ist da jemand schon weiter gekommen? Praktisch waere ja ein USB-Stick, der sowohl U2F als auch TOTP kann, finde aber keinen.

Gruss Harry

Tobias · 21. November 2022 um 10:49

Jahre später… ich nutze den Thread gerne mal, weil es hier:
Digitales Klassenbuch <-> Verwaltungsnetz ja eigentlich mir nur um die Netzwerkeinbindung ging, dort wurde aber auch fleißig über Tokens etc. diskutiert.

Ich habe eine Frage zu den recht deutlichen Datenschutzhinweisen des Landes BW:

https://it.kultus-bw.de/site/pbs-bw-km-root/get/documents_E1870968139/KULTUS.Dachmandant/KULTUS/Dienststellen/it.kultus-bw/Datenschutz%20an%20Schulen%20nach%20neuer%20EU%20DSGVO/dl-hinweise/Datenschutzrechtliche%20Hinweise%20elektronisches%20Tagebuch%20Klassenbuch.pdf

Unter Abschnitt 5 werden 2FA abgehandelt.

Da steht, dass Möglichkeiten wären: „Software-Token, Hardware-Token, One-Time-Password (OTP), Time-based One-time Password (TOTP) usw. bewerkstelligt werden.“

Wisst ihr, was mit Software-Token gemeint ist?
Weiter unten ist von „Client-Zertifikaten“ die Rede, ich vermute, dass damit solche Software-Token gemeint sind.

Was ich aus dem Dokument nicht herauslesen kann ist, wo diese Softwaretoken gespeichert werden dürfen. Aus der Logik heraus, welche Maßstäbe man an die Hardwaretoken oder TOTP-Generierung anlegt (immer: zweites Gerät), kann es ja nicht sein, dass ein Clientzertifikat auf demselben Gerät liegt, mit dem man sich anmeldet. Andererseits: wie soll das sonst funktionieren? Liegt das auf einem USB-Stick, den ich anstecke und dann das Zertifikat davon (mit Passphrase vermutlich) nutze?

Das würde zwar Sinn ergeben, wenn man als Angriffsvektor nur „Diebstahl des Primärgeräts“ und/oder des ersten Faktors in Betracht zieht. Dann hat der Angreifer immer noch keinen zweiten Faktor.

Wenn ich aber als Angriffsvektor „Übernahme des primären Geräts“ in Betracht ziehe, kann ich dann nicht als Angreifer zumindest beim ersten Nutzen des Softwarezertifikats selbiges abgreifen (inkl. Passphrase, ich habe das Gerät ja unter Kontrolle)?

Also irgendwo habe ich (oder die Ersteller des Dokuments) doch einen Denkfehler, oder?

VG, Tobias

Tobias · 21. November 2022 um 12:16

Nachtrag: Weiß jemand was davon, dass man biometrische Merkmale auf dem primären Gerät als zweiten Faktor nutzen kann?

Das Dokument, das ich oben zitiere bezieht sich darauf nicht direkt.

Es ist vermutlich technisch ein sehr tief gehendes Problem: ist eine FaceID auf dem Primärgerät vertrauenswürdiger als eine auf dem Primärgerät erzeugte TOTP-TAN?

(davon ausgehend, dass man FaceID oder Fingerabdruck mal nicht fälschen simpel könnte, das kann man ja zusätzlich diskutieren)

VG, Tobias

graueralltag · 21. November 2022 um 21:50

Hallo Tobias,
es geht hier nicht um das primäre Gerät, sondern um einen zweiten Faktor und dieser kann sein:

Physische Objekte: Kreditkarte, elektronischer Chip, NFC-Chip, Schlüssel…
Biometrische Merkmale: Gesichtserkennung, Lächeln und/oder Gestenerkennung, Fingerabdruckerkennung, Iris, Stimmgebrauch…
Alphanumerisches Passwort: Numerische Nadel, komplexe Passwörter, Antworten auf Fragen, die nur dem Benutzer bekannt sind…
Grafik-Passwort: Symbole oder Satz taktiler Bewegungen, Linienmuster…
Einmal-Passwörter: Auch bekannt als OTP (One-Time Password).
Nachzulesen u.a. hier:
https://www.electronicid.eu/de/blog/post/zweiter-authentisierungsfaktor-mit-gesichtsbiometrie/de

oder hier:

Viele übliche Zwei-Faktor-Systeme greifen nach der Passwortabfrage auf externe Systeme zurück, um eine zweistufige Überprüfung des Nutzers durchzuführen. Das kann bedeuten, dass der Anbieter, bei dem Sie sich anmelden möchten, einen Bestätigungscode an ein weiteres Ihrer Geräte sendet, z. B. Ihr Smartphone. Der zweite Faktor kann allerdings auch Ihr Fingerabdruck auf einem entsprechenden Sensor oder die Verwendung eines USB-Tokens oder einer Chipkarte sein. Erst wenn sich auch dieses Mittel zur Identitätsbestätigung in Ihrem Besitz befindet, sind Sie in der Lage, die angeforderten Inhalte aufzurufen und den Online-Dienst oder das Gerät zu benutzen.

Ich hoffe das hilft weiter?
Grüße Ralf

Tobias · 22. November 2022 um 06:45

Hallo Ralf,
ja, danke, das hilft weiter. Aber das wusste ich schon. Mir ist klar, dass alle Faktoren gleichwertig sind und die Forderung nach 2FA auch relativ einfach zu beantworten sein kann mit: nutze zwei Faktoren (aus unterschiedlichen Kategorien)…

Aber, wenn du das Kapitel in dem von mir (verlinkten Dokument)[https://it.kultus-bw.de/site/pbs-bw-km-root/get/documents_E1870968139/KULTUS.Dachmandant/KULTUS/Dienststellen/it.kultus-bw/Datenschutz%20an%20Schulen%20nach%20neuer%20EU%20DSGVO/dl-hinweise/Datenschutzrechtliche%20Hinweise%20elektronisches%20Tagebuch%20Klassenbuch.pdf] liest, bekommst du den Eindruck, dass der zweite Faktor von einem anderen Gerät kommen muss, weswegen ich auch von primärem Gerät rede (das Gerät, wo man den ersten Faktor, also das Passwort, eingegeben hat).

Wenn jemand sagt: ich melde mich mit meinem Tablet bei WebUntis an und als zweiten Faktor akzeptiere ich den Fingerabdruck auf diesem Tablet aber nicht die TAN-Eingabe durch eine TOTP-App auf diesem Tablet, ist das doch nicht logisch, oder?

Bei den Banken-Apps wird immer kritisiert, dass man Banking auf dem Handy macht und der zweite Faktor einfach eine zweite App auf demselben Handy ist, das ist sicherheitstechnischer Käse. Jetzt sagt mir ein Kollege, seine Bank lässt FaceID etc. als zweiten Faktor vom selben Gerät zu. Das ist für mich das gleiche, mein Kollege meint, das sei wohl sicherer als Password+TOTP vom selben Gerät. Warum?

Es geht mir also nicht darum, ob man das zweite Gerät nutzen kann für einen zweiten Faktor, sondern ob und warum man ein zweites Gerät nutzen muss (wie im Dokument), oder ob es einen Unterschied in den Faktoren gibt, welche, die man nicht auf dem ersten Gerät nutzen darf und welche, die man darf.

Wenn unser Halbwissen (behaupte ich mal) so genutzt wird, läuft das darauf hinaus: die die ein iPad haben, werden Fingerabdrucksensor oder FaceID als zweiten Faktor nutzen, die die ein Windows/Linuxlaptop haben, müssen ihr Smartphone-TOTP bemühen oder ein Hardwaretoken anstecken. Schon wieder 1:0 für Apple.