BIS News

Nachdem in dieser Woche der 2. Meilenstein der Verbesserungen der Loginsicherheit erreicht wurde geht es in der nächsten Woche weiter mit dem 3. Meilenstein, bevor es dann erst wieder ruhiger wird: Am Mittwoch, dem 21. August, wechselt die Internetadresse des BIS Logins von ekvv.uni-bielefeld.de auf login.uni-bielefeld.de.

In diesem Post beschreiben wir zunächst, was Sie nach dieser Umstellung beachten müssen, warum diese Umstellung überhaupt gemacht wird, und welche neue Sicherheitsfunktion damit an den Start geht:

Was ändert sich für Sie (nicht)

Die Umstellung sorgt dafür, dass Sie beim Zugriff auf das eKVV, das Bewerbungs- und Statusportal, den Lernraum oder eine der anderen Anwendungen, die mit dem BIS Login verknüpft sind, auf die neue Adresse geleitet werden. Sie müssen dafür nichts tun, wir richten die entsprechenden Weiterleitungen in unseren Systemen ein. Auch wenn Sie Links und Lesezeichen in eine der genannten Anwendungen haben entsteht kein Aufwand, alles kann so bleiben, wie es ist.

Auch Ihr Login bleibt gleich, Sie verwenden weiterhin den BITS-Loginnamen oder die Matrikelnummer / Uni-ID zusammen mit dem Web-Passwort.

An zwei Stellen werden Sie die Änderung allerdings bemerken:

Die neueste Version der 'Meine Uni' App muss verwendet werden

Wenn Sie unsere 'Meine Uni'-App verwenden, so müssen Sie die aktuellste Version verwenden, Version 1.5.3 vom Mai 2024. Ältere Versionen können sich nach der Umstellung nicht mehr anmelden.

In Passwortmanagern oder im Webbrowser gespeicherte Logindaten

Falls Sie einen Passwortmanager verwenden - ob direkt im Webbrowser, oder mit einer eigenen Anwendung - wird das automatische Ausfüllen des Loginformulars nicht mehr stattfinden. Der Grund: Ihr Passwortmanager merkt sich Logindaten mit Bezug zu der Adresse, in der Sie sie zuerst verwendet haben. Das ist im Normalfall ein grundlegender Schutz vor Phishing, da ein Passwortmanager ein Passwort nicht in eine Seite einfügen wird, die die falsche Adresse hat (was bei Phishingseiten immer der Fall ist).

Durch den Wechsel der Adresse des BIS Logins tritt aber hier der gleiche Effekt auf: Da die Logindaten im Passwortmanager mit der Adresse ekvv.uni-bielefeld.de verknüpft waren, findet der Passwortmanager nun die passenden Daten nicht mehr. Um das Problem zu lösen gibt es verschiedene Wege:

• Sie loggen sich einmal manuell ein, im Webbrowser integrierte Passwortmanager werden dann vorschlagen das Login unter der neuen Adresse zu speichern. Das Passwort dazu finden Sie weiterhin in Ihrem Passwortmanager, je nach Produkt ist aber der Weg anders. Geben Sie ggf. in der Suchmaschine ihres Vertrauens eine Suchanfrage in der Art '<Name des Passwortmanagers / Webbrowsers> Passwörter Anzeigen' ein, also im Fall des Firefox Browsers 'Firefox Passwörter anzeigen'. Sie werden dann unter den ersten Suchtreffern die Seiten des jeweiligen Anbieters finden
• Alternativ passen Sie die Einstellungen des BIS Logins in Ihrem Passwortmanager an. Dazu bieten eigentlich alle Produkte einen Weg, meist kann man die Internetadresse, mit der ein Login verknüpft ist, direkt ändern. Tragen Sie dort nun login.uni-bielefeld.de ein. Nach dieser einmaligen Anpassung sollte wieder alles wie gewohnt laufen.

Bis auf diese neue Funktion des Logins:

Neu: Benachrichtigung bei Logins von neuen Geräten

Nach ihrem ersten Login unter der neuen Adresse erhalten Sie eine E-Mail, die unter dem Betreff

'Sicherheitshinweis: Ein neues Gerät hat sich auf Ihrem Universitätskonto angemeldet'

Das Loginsystem informiert Sie nun also darüber, dass mit Ihrem Login eine erfolgreiche Anmeldung stattgefunden hat. Auf diese Weise wollen wir Ihnen eine Chance geben selbst auf ein Problem aufmerksam zu werden und es zu heilen, welches zum Beispiel durch die versehentliche Eingabe Ihrer Logindaten auf einer Phishingseite entstanden ist.

Sie haben noch nie von Phishing gehört? Dieser Begriff bezeichnet eine immer wieder erfolgreiche Methode, mit der Kriminelle versuchen Sie auf gefälschte Webseiten zu locken. Dort sollen Sie zur Eingabe Ihrer Logindaten verleitet werden, die dann gestohlen werden. Links auf diese gefälschten Seiten werden per E-Mail, SMS oder Chat zugeschickt und kommen dabei manchmal scheinbar von vertrauenswürdigen Absendeadressen. In dieser Seite der Informationssicherheit der Universität finden sich dazu weitere Informationen.

Sollte Ihr Passwort auf diese oder eine andere Weise abhanden gekommen sein, so erhalten Sie nun eine E-Mail, sobald fremde Personen sich mit Ihrem Login am BIS anmelden. Im besten Fall sehen Sie diese E-Mail sofort, folgen den Hinweisen darin, und sperren so die Angreifer gleich wieder aus, bevor diese Schaden anrichten oder Sie selbst aus Ihrem Konto aussperren können.

Natürlich ist dies kein perfekter Schutz: Angreifer haben vielleicht auch Ihr E-Mailpasswort und löschen die Mail gleich wieder, bevor Sie sie sehen. Oder setzen das gestohlene Passwort in Anmeldemasken der Universität ein, die noch nicht mit dem BIS Login geschützt sind und daher auch keine Benachrichtigung schicken. Aber es ist ein Anfang, der mit der Zeit an Reichweite gewinnen wird.

An welche Adresse diese Benachrichtigungen geschickt werden zeigt die Seite 'Meine Account'. Dort findet sich ein Abschnitt, der die E-Mailadresse für sicherheitsrelevante Informationen zeigt.

Welche Funktion hat der mitgeschickte Link

In der E-Mail findet sich ein Link in diese Seite:

https://login.uni-bielefeld.de/idp/fremdlogin

Der Link in der E-Mail enthält dabei einen speziellen Parameter, und wenn Sie diesen Link aufrufen sorgt dies dafür, dass das Gerät, auf dem das entsprechende Login stattgefunden hat, danach nicht mehr als 'bekannt' betrachtet wird. Auf diese Weise können Sie dafür sorgen, dass jemand, der Ihr Passwort gestohlen hat, bei einer erneuten Anmeldung wieder so eine Benachrichtigung erzeugt.

Wenn Sie den Link nach einen Login von Ihnen selbst versuchsweise aufrufen, so hat dies den gleichen Effekt. Sie werden daher beim nächsten Login auf Ihrem Gerät wieder eine Benachrichtigung über ein 'unbekanntes' Gerät erhalten. Rufen Sie den Link daher am besten nur auf, wenn es wirklich um ein Login geht, welches Sie sich nicht erklären können. Und ändern Sie dann unbedingt ihr Passwort!

Bekomme ich jetzt bei jedem Login eine E-Mail?

Das Ziel ist es diese Benachrichtigungen zu seltenen Ereignissen zu machen, damit sie - wenn sie auftreten - zu etwas besonderem werden und Beachtung finden. Würde das Loginsystem bei jedem Login eine Benachrichtigung verschicken, dann würden die meisten sicher anfangen diese E-Mails zu ignorieren. Es soll daher nur dann eine Benachrichtigung geschickt werden, wenn man sich auf einem Gerät zum ersten Mal neu angemeldet.

Aber wie erkennt das Loginsystem, ob Sie sich schon mal auf Ihrem Laptop angemeldet hatten? Es gibt hier keine für uns nutzbare 'Kennnummer' etc., mit der sich Geräte wie Laptops oder Smartphones eindeutig identifizieren lassen. Das ist auch gut so, sonst würden sich Unternehmen, die im Internet Profile von Webseitenbesucher*innen anlegen, sofort darauf stürzen.

Wir haben hier nur dem Weg ein sogn. Cookie in Ihrem Webbrowser zu platzieren und zwar das Cookie, dessen Namen mit BEKGER beginnt:

Der Cookieinhalt erlaubt keinen Rückschluss auf Sie, es ist einfach nur ein langer, zufälliger Wert. Nur das Loginsystem ist in der Lage herauszufinden, zu welcher Person ein bestimmtes Cookie gehört. Und so werden dann die Benachrichtigungen ausgelöst: Wenn Sie sich auf einem Gerät erfolgreich einloggen, aber auf dem Gerät noch kein BEKGER-Cookie vorhanden ist, das zu Ihnen gehört, wird die Benachrichtigung verschickt. Und danach ein zu Ihnen gehörendes Cookie gesetzt, welches beim nächsten Login die erneute Benachrichtigung verhindert.

Warum bekomme ich trotzdem häufiger Benachrichtigungen?

Mit unserer Lösung, die so auch von anderen Internetdiensten eingesetzt wird, gibt es eine Besonderheit und ein Problem:

Die Besonderheit liegt im Begriff des 'Geräts', von dem bisher immer gesprochen wurde. Technisch gesehen bezieht sich das Cookie immer auf einen bestimmten Webbrowser auf einem bestimmten Gerät. Wenn Sie also in Firefox und Chrome zugleich arbeiten, so sind dies aus Sicht des Loginsystems zwei 'Geräte' und Sie bekommen für beide beim ersten Login eine Benachrichtigung.

Ähnliches wird auch passieren, wenn sie einen Webbrowser im Inkognito / privaten Modus verwenden: Hier stehen die Cookies, die der Webbrowser normalerweise speichert, nicht zur Verfügung und für das Loginsystem handelt es sich damit um ein neues 'Gerät'.

Und hier kommen wir zu dem potentiellen Problem: Das gleiche Verhalten wird auch entstehen, wenn Sie die in einigen Webbrowsern vorhandene Option nutzen beim Beenden alle Cookies ohne Ausnahme zu löschen. Beim nächsten Zugriff auf das Loginsystem fehlt dann das BEKGER-Cookie und Sie erhalten wieder eine Benachrichtigung über ein Login auf einem 'neuen' Gerät. Wenn es Ihr Webbrowser erlaubt sollten Sie daher eine Ausnahme für login.uni-bielefeld.de einrichten, wenn Sie grundsätzlich bei der kompletten Löschung von Cookies bleiben wollen.

Antworten auf alle Fragen

Noch Fragen? Wir haben hier eine ausführliche Seite zu allen Fragen, die sich rund um diese Funktion stellen können.

Warum machen wir diese Änderung

Auch diese Änderung gehört in den großen Kontext der Verbesserungen der Loginsicherheit, die Anfang August begonnen haben. In diesem Schritt geht es darum, dass Loginsystem des BIS von den eKVV Servern zu trennen und unter eine neue Adresse zu bringen, unter der sich nach und nach das weitreichendste und sicherste Loginsystem der Universität entwickeln wird. Auf einer technischen Ebene sind dafür diese Gründe zu nennen:

• Die Server, die das eKVV betreiben, tragen die höchsten Lasten und sind durch öffentliche Anwendungen wie eKVV, PEVZ und Studieninformation gleichzeitig in weiten Teilen frei aus dem Internet zugänglich. Sie sind daher von allen BIS Servern am stärksten von potentiellen Ausfällen und Überlastungen bedroht. Auch wenn solche Ausfälle heute nur noch selten vorkommen ist das ein Risiko, welches wir bei dem zentralen Loginsystem der Universität nicht eingehen wollen. Diese System muss mit der höchsten Verfügbarkeit betrieben werden können, da so viele Dienste davon abhängen werden. Dazu ist ein Betrieb auf eigenen Servern notwendig.
• In die Sicherheitsverbesserungen, an denen wir arbeiten, sind umfangreiche Überlegungen eingeflossen, wie wir unsere Systeme im Fall eines erfolgreichen Angriffs auf unsere IT Infrastrukturen möglichst schnell wieder in Betrieb nehmen können, ggf. außerhalb der Universität. Das Loginsystem ist dabei ein zentraler Bestandteil, der in möglichst kurzer Zeit wieder online sein muss, da andere Dienste ohne ein Loginsystem kaum nutzbar sind. Durch die Abtrennung des Loginsystems von den anderen BIS Anwendungen und weitere Vorkehrungen hat ein Neustart im Krisenfall weniger Abhängigkeiten und kann schnell bewerkstelligt werden. Auch wenn wir natürlich hoffen, dass dies niemals notwendig sein wird.

Und auf einer inhaltlichen Ebene zeigt der Wechsel auf die neue Adresse, dass sich das BIS Loginsystem aus dem BIS Kontext löst und seine zahlreichen Sicherheitseigenschaften wie die 2-Faktor-Authentifizierung für weitere Anwendungen verfügbar werden. Ein wesentlicher Schritt steht hier voraussichtlich im September an, wenn das Shibboleth Loginsystem und das (bisherige) BIS Login zusammengeführt werden. Und alle Logins dann auf login.uni-bielefeld.de landen werden.