Regelmäßige Datenbackups
- Tägliche Backups mit DSGVO-konformer Haltezeit
- Backups sind nur für befugte Personen im Zugriff
Softwareseitige Sicherheitsmaßnahmen
- HTTPS zur verschlüsselten Datenübertragung von Server zu Browser
- Mindestlänge von 8 Zeichen bei Festlegung von Passwörtern
- Verschlüsselung von Passwörtern mit AES-256
- Verschlüsselung von Beratungsgesprächen anhand der am Beratungsgespräch beteiligten Nutzer ebenfalls mit AES-256
- Schutz vor Cross-Site-Request-Forgery (CSRF) bei Übertragung von Formularen
- Verhinderung von Cross-Site-Scripting (XSS)
- SQL-Injection-Schutz durch Object-Relational Mapping (ORM)
- Tiefgreifendes Rollen- und Rechtesystem
Sicherheitstests
Im Zuge eines IT-Projekts mit Master-Studierenden wurde 2022 an der Fakultät für Informatik unter der Leitung von Prof. Ronald Petrlic die Sicherheit der EBS getestet. Bei Penetrationstests wird eine Software auf potenzielle Schwachstellen untersucht, die von Angreifenden genutzt werden können, um sich unerlaubten Zugang zu Daten zu verschaffen. Die Master-Studierenden untersuchten die Software in zwei Phasen. Zunächst wurde ein umfangreicher Black-Box-Test durchgeführt, bei dem die Software von außen und ohne Kenntnisse über die innere Funktionsweise angegriffen wurde. Dabei wurden nur Schwachstellen entdeckt, die wenig kritisch sind und sehr leicht behoben werden konnten. Sensible Daten in der Software erwiesen sich als gut geschützt. Anschließend wurde in einer zweiten Phase der Quellcode zur Testung hinzugezogen in einem sogenannten White-Box-Test-Verfahren. Hierbei wurden keine Schwachstellen entdeckt, die nicht schon durch die Black-Box-Testung bekannt waren.
Im April 2024 startete ein weiteres IT-Projekt, wieder unter der Leitung von Prof. Ronald Petrlic, welches in einem ähnlichen Vorgehen die stark gewachsene Funktionalität der EBS erneut auf Sicherheit überprüfte.
Verschlüsselung
Beratungsgespräche und Passwörter sind verschlüsselt in einer Datenbank hinterlegt. Die Datenbank selbst ist sehr stark passwortgeschützt, sodass nur beteiligte Berater*innen die Beratungsgespräche entschlüsseln können. Super-Administratoren können zum Zwecke nötigen Supports ebenfalls auf Beratungsgespräche zugreifen.
Zum Login in die EBS, als Ratsuchender wie auch als Beratende*r ist die Vergabe eines Passwortes nach hohen technischen Sicherheitsanforderungen erforderlich. Die Passwörter werden verschlüsselt übertragen und verschlüsselt gespeichert und sind nur den Nutzenden bekannt. Die Erneuerung von Passwörtern wird über die „Passwort vergessen“ Funktion eigenständig ausgeführt.