Speicherung des TUM-Passworts in Apps und Diensten von Fremdanbietern

Speichern von eduroam-Zugangsdaten auf Smartphones, E-Mailsammeldienste, Apps von Fremdanbietern zur Studienorganisation… immer wieder erhalten Sie Meldungen von der TUM, dass Sie bei der Weitergabe von TUM-Zugangsdaten vorsichtig sein müssen, bzw. dass diese nicht zulässig ist.

Warum das so ist, was die TUM unter Weitergabe des Passworts versteht und Hinweise, wo Sie vorsichtig sein müssen, finden Sie in diesem Artikel.

Was versteht man unter Weitergabe des Passworts?

Damit die Dienste bzw. Apps an die Daten kommen, müssen Nutzer TUM-Kennung und Passwort dort speichern.

Somit kennt der Anbieter TUM-Kennung und Passwort und könnte somit entweder selbst die Zugangsdaten missbräuchlich nutzen oder - gewollt oder ungewollt (also z.B. durch einen Angriff auf den Anbieter) - die Zugangsdaten Preis geben.

Deshalb ist die Weitergabe des Passwortes grundsätzlich nicht gestattet. Siehe §4 Abs.3 Satz 3 Buchst. a der Benutzungsrichtlinien für Informationsverarbeitungssysteme der Technischen Universität München.

Woher weiß ich, ob ich mein Passwort speichern darf?

Die Schwierigkeit für Nutzer ist nun, zu entscheiden, in welchen Fällen Sie Passwörter in Apps oder bei Fremddiensten speichern dürfen. Hier einige Hinweise:

  • Bei Apps müssen Sie genau prüfen, ob die Zugangsdaten ausschließlich lokal (und dort verschlüsselt) liegen und der Anbieter das Passwort nicht auslesen kann bzw. zu seinem Server überträgt. Uns bekannte problematische Apps:
    • Outlook-App: hier werden die Zugangsdaten bei Microsoft gespeichert.
    • UniNow: hier werden die Zugangsdaten zwar lokal und verschlüsselt gespeichert, zur Datenabfrage muss UniNow derzeit aber das Passwort entschlüsseln und über die UniNow-Server schicken (Stand Sep. 2016)
  • Speichern Sie keine TUM-Zugangsdaten bei fremden Webdiensten.
  • E-Mailsammeldienste (Mailanbieter wie z.B. GMX oder Gmail bieten einen E-Mail-Sammeldienst an, dieser holt E-Mails aus anderen Postfächer (z.B. TUM-Postfach) ab.)
    Für das TUM-Postfach dürfen Sie diese Dienste nicht nutzen (siehe auch: Dos&Don'ts-E-Mailsammeldienste)
  • Das Speichern des Passworts im Browser oder E-Mailprogramm ist zulässig, da es sich hier üblicherweise um eine lokale Speicherung handelt. Sie sollten dabei folgendes beachten: 
    • Hinterlegen Sie ein Masterpasswort im Browser/Mailprogramm, falls möglich.
    • Sorgen Sie dafür, dass der Rechner oder das mobile Gerät nicht ohne Bildschirmsperre zugänglich ist.

Warum ist die Weitergabe verboten?

Wer Zugriff auf die Zugangsdaten hat, kann diese auch schadhaft nutzen. Hier nur einige Beispiele, was alles mit den Zugangsdaten von Studierenden der TUM gemacht werden kann:

  • Ab- und Anmelden von/zu Prüfungen
  • Zugriff auf personenbezogene Daten anderer, die in TUMonline nur nach Login zugreifbar sind.
  • Download von Software, die für Studierende vergünstigt oder sogar umsonst zur Verfügung steht
  • Download von eBooks über die Bibliotheksangebote
  • Recherche in kostenpflichtigen Datenbanken über die Bibliotheksangebote
  • Nutzung des eduroam-WLANs (wird an vielen Hochschulen weltweit angeboten)
  • Nutzung des VPN-Zugangs in das Münchner Wissenschaftsnetz
  • uvm.

Bereits anhand dieser Auswahl an Beispielen ist zu sehen, dass neben den drei offensichtlichen Systemen (TUMonline, E-Mailserver, Bibliotheksserver), auch weitere Systeme und Dienste betroffen sind. Zudem sind die Zugangsdaten (über eine Shibboleth-Authentifizierung) auch für weltweit mehrere hundert IT-Dienste der DFN-Föderation und eduGAIN gültig.

Die TUM ist somit vielen Institutionen gegenüber verpflichtet, darauf zu achten, dass nur autorisierte Nutzer diese Dienste auch tatsächlich nutzen. Dafür sorgt sie zum einen mit technischen und organisatorischen Maßnahmen, zum anderen muss sie die Verpflichtung an die Nutzer weiterreichen, die – im Rahmen ihrer Möglichkeiten- dafür Sorge tragen müssen, dass die eigene Kennung nicht zweckentfremdet wird. Eine Möglichkeit ist, das Passwort geheim zu halten