Discussion of information security in E-learning [Elektronische Ressource] / von Christian Josef Eibl

universitat_siegen - Christian J. Eibl

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

193 pages

English

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

A propos
Informations
Extrait

Description

Informations

Publié par	universitat_siegen
Publié le	01 janvier 2010
Nombre de lectures	14
Langue	English
Poids de l'ouvrage	14 Mo

Extrait

Discussion of Information Security
in E-Learning
Vom Fachbereich 12 Elektrotechnik und Informatik
der Universitat Siegen
zur Erlangung des akademischen Grades
Doktor der Ingenieurwissenschaften
(Dr.-Ing.)
Genehmigte Dissertation
von
Diplom-Informatiker Christian Josef Eibl
1. Gutachterin: Prof. Dr. Sigrid Schubert
2. Gutachter: Prof. Dr. Andreas Schwill
Tag der Einreichung: 08. Februar 2010
Tag der mundlichen Prufung: 17. Mai 2010 gedruckt auf alterungsbestandigem holz- und saurefreiem Papier Abstract
The implied need for security and connected requirements by the use of e-learning systems has
only been marginally examined up to now. A problem of respective research is given by the
relation of abstract criteria and requirements from educational science with technical realisation
possibilities from informatics subdomains. The research project as presented in this thesis focuses
on this interdisciplinary eld and investigates e-learning from perspectives of both disciplines to
develop a security concept that provides a su cient level of security without negatively in uencing
the learning process. This thesis, rst, deals with the question of which data and functionality for
teaching with e-learning systems are reasonable. For this, design criteria for e-learning basing on
educational scienti c ndings are deduced and brought into relation with aspects of information
security. Special consideration is put into the learning process and speci c requirements of learners
in order to prioritise learning in opposition to the pure use of informatics systems. Requirements
for an appropriate processing and storing of needed data and functionality are discussed.
Core component of this work is the investigation of threats for e-learning by using the fault
tree analysis approach. To conduct this analysis, certain demands resulting from educational
science and e-learning research are transferred to technical assets. These assets, thereafter, can
be used as root elements of subtrees within the fault tree analysis, i.e., harming such assets is
considered to be an undesired event that should be avoided. During the threat analysis process,
dependencies on base components of e-learning as web-based service are also considered and
discussed, e.g., web server or database system. A central aspect of this analysis is given by
mutual dependencies and di erent expectations of a liated roles and groups of users in those
roles. Exemplary threats, as discovered within the analysis step, are discussed with possible
consequences and relevance for e-learning. The entire fault tree is presented in the appendix of
this thesis. In addition to the theoretical investigation, case studies of wide-spread and well-known
learning management systems are presented that demonstrate di erent practical shortcomings
in the security concepts of these systems. This thesis primarily deals with conceptual problems
in the software design, i.e., threats by abusing functionality that was meant to be present in the
software. These shortcomings in design imply a signi cant challenge for mitigation, such that the
necessity of an early integration of security deliberations and recommendations into e-learning
systems gets emphasised.
Basing on discovered threats for e-learning, respective recommendations are introduced and dis-
cussed that can help avoiding the majority of mentioned problems and threats. Knowing that
security mechanisms may require user interaction, and therefore, can distract learners from their
learning process, a proxy server approach is presented. This proxy server can overtake user in-
teractions following prede ned rules. Thus, the user can be relieved despite the implementation
of sophisticated security mechanisms. A respective architecture, speci cation details, and reali-
sation deliberations are discussed together with related problems. This thesis is concluded by a
discussion of achieved results and open problems.ivKurzfassung
Der Sicherheitsbedarf und die Sicherheitsanforderungen, die durch die Verwendung von E-Learn-
ing-Systemen gestellt werden, sind bisher nur sehr marginal erforscht worden. Problem bei ent-
sprechender Forschung ist die Verbindung von abstrakten Kriterien und Anforderungen aus der
Erziehungswissenschaft mit technischen Realisierungsmoglic hkeiten wie von Informatik-Teilberei-
chen geboten. Das hier beschriebene Forschungsprojekt setzt an dieser interdisziplinaren Stelle
an und untersucht E-Learning ausgehend von beiden Disziplinen, um ein Sicherheitskonzept zu
entwickeln, das hinreichend starke Sicherheit bietet, wahrend Anforderungen durch den Lernpro-
zess nicht vernachlassigt werden. Diese Arbeit beschaftigt sich daher zuerst mit der Frage, welche
Daten und Funktionen fur die Lehre mit E-Learning-Systemen sinnvoll sind. Hierfur werden De-
signkriterien fur E-Learning basierend auf erziehungswissenschaftlichen Erkenntnissen erarbeitet
und diese in Verbindung mit Aspekten der Informationssicherheit gebracht. Besonderer Wert
wird auf den Lernprozess und die speziellen Anforderungen von Lernenden gelegt, um das Ler-
nen gegenub er der blo en Verwendung eines Informatiksystems zu priorisieren. Anforderungen
an eine entsprechende Verarbeitung und Speicherung benotigter Daten und Funktionen werden
diskutiert.
Kernbestandteil dieser Arbeit ist eine Untersuchung bezuglich der Gefahren fur E-Learning mit
Hilfe der Fehlerbaumanalyse. Um diese Analyse durchzufuhren werden Anforderungen, wie sie
sich aus der Erziehungswissenschaft und der E-Learning-Forschung ergeben, auf technische As-
sets abgebildet. Diese Assets dienen im weiteren Verlauf der Analyse als Wurzelknoten fur die
(Teil-)Fehlerbaume, d.h. als unerwunschte Ereignisse, die vermieden werden sollen. In der Ge-
fahrenanalyse wird beruc ksichtigt, dass E-Learning als webbasierter Dienst auf weiteren Basis-
komponenten wie Web-Server und Datenbank-System aufbaut und folglich Abhangigkeiten von
diesen Komponenten existieren. Zentrale Aspekte bei der Analyse sind gegenseitige Abhangig-
keiten und unterschiedliche Anforderungen und Wunsc he bei beteiligten Rollen bzw. Gruppen
von Anwendern in diesen Rollen. Mogliche Gefahren, die sich im E-Learning ergeben und in der
Analyse aufgedeckt worden sind, werden exemplarisch diskutiert mit moglic hen Auswirkungen
und ihrer Relevanz fur E-Learning. Der vollstandige Fehlerbaum wird im Anhang prasentiert.
Zusatzlic h zur theoretischen Untersuchung werden Fallstudien mit weitverbreiteten und bekann-
ten Lern-Management-Systemen prasentiert, die verschiedene praktische Unzulanglichkeiten im
Sicherheitskonzept dieser Systeme aufzeigen. In dieser Arbeit werden vorrangig konzeptbezogene
Probleme behandelt, d.h. Gefahren durch Missbrauch von Funktionen, die im Design der Software
so vorgesehen sind. Diese Fehler im Design stellen eine signi kante Herausforderung f ur die Feh-
lerbereinigung dar, was die Notwendigkeit einer fruhen Integration von Sicherheitsub erlegungen
und Empfehlungen in E-Learning-Systeme unterstreicht.
Ausgehend von aufgedeckten Gefahren fur E-Learning werden entsprechende Empfehlungen auf-
gefuhrt und diskutiert, mit deren Hilfe sich ein Gro teil dieser Probleme und Gefahren vermeiden
lasst. Mit dem Wissen, dass viele Sicherheitsmechanismen Benutzerinteraktion erforderlich ma-
chen, und damit auch Lernende vom Lernen abhalten konnen, wird zudem ein Proxy-Server
vorgestellt, der entsprechende Interaktionen nach vorgefertigten Regeln ub ernehmen kann, um
den Lernenden zu entlasten. Hierfur werden eine entsprechende Architektur, Spezi kationsde-vi
tails und Realisierungsub erlegungen zusammen mit aufgetretenen Problemen diskutiert. Den
Abschluss dieser Arbeit bildet eine Diskussion der erreichten Ziele und o ener Probleme.Vorwort
Die vorliegende Dissertationsschrift ist wahrend meiner Tatigkeit als wissenschaftlicher Mitarbei-
ter am Lehrstuhl Didaktik der Informatik und E-Learning\ der Universiat Siegen entstanden.
"
Eine ganze Reihe von Personen, die ich hier nicht alle namentlich nennen kann, haben wahrend
dieser Zeit dazu beigetragen, dass ich die Arbeit erfolgreich abschlie en konnte. Besonderer Dank
geht an Prof. Dr. Sigrid Schubert, die mir immer wieder Ruckmeldungen zu meiner Forschungs-
arbeit gegeben und das Forschungsprojekt begleitet hat. Au erdem danke ich Prof. Dr. Andreas
Schwill fur die Ubernahme des Koreferats und die hilfreichen Anmerkungen, die zur Prazisierung
der Arbeit beigetragen haben.
Fur die rege Diskussion fachlicher Fragestellungen mochte ich meinen Kollegen Stefan Freischlad,
Peer Stechert und meiner Kollegin Kirstin Schwidrowski danken. Sie waren nicht nur immer wie-
der bereit, Fragen zu diskutieren, sondern haben daruber hinaus auch Anregungen fur weitere
Forschungsschritte und -ausrichtungen gegeben.
Ich mochte mich bei allen nationalen und internationalen Kollegen bedanken, die immer wie-
der den Bedarf der Forschung in diesem Bereich durch Anekdoten und eigene Forschungsfragen
unterstrichen haben. Namentlich sei hier Prof. Dr. Basie von Solms, Universitat Johannesburg,
Sudafrika, genannt, der durch seinen Besuch in Siegen im Rahmen eines Kolloquiums ma geblich
zur De nition des Forschungsbedarfs beitrug.
Au erdem danke ich den Studierenden, die mit der Entwicklung des Proxy-Servers proXsi\
"
zur transparenten, digitalen Signierung von E-Learning-Inhalten den im Rahmen der Forschung
konzipierten und in dieser