"Optimale Sicherheit, auch in der öffentlichen Cloud"

Experten im Prüfungsbereich kommen zu Wort: Drik van Herk

Ich bin Drik van Herk, 48 Jahre alt und seit über 22 Jahren in der Entwicklung von Online-Testplattformen für formative und summative Tests tätig. In diesem Bereich habe ich bei Optimum Assessment als Entwickler angefangen und bin mittlerweile als Softwarearchitekt unserer Optimum Assessment Platform tätig.

Der Übergang zur öffentlichen Cloud

Private Hosting- und Cloud-Lösungen waren lange Zeit der Standard. Derzeit beobachten wir einen Übergang von Online-Prüfplattformen zur öffentlichen Cloud. Bei dieser Art von Lösung nutzen Sie eine gemeinsam genutzte Online-Infrastruktur eines Cloud-Anbieters. Gründe für diesen Übergang sind die Verfügbarkeit, die einfache Skalierbarkeit der erforderlichen Kapazität und ein hohes Maß an Flexibilität.

Neben dem Übergang zu einer öffentlichen Cloud stellen wir auch fest, dass viele Kunden nach Integrationsmöglichkeiten mit unserer Plattform suchen, beispielsweise mit APIs für den Datenaustausch. Dazu gehören Anmeldungen für Tests oder die erzielten Ergebnisse. Aber auch der einfache Zugang zur Plattform ist ein wichtiger Aspekt. Hierfür ist Single Sign-On (SSO) eine häufig nachgefragte Funktion.

Sicherheit in der Cloud

Es herrscht große Unsicherheit hinsichtlich der Sicherheit einer Online-Plattform, insbesondere hinsichtlich der Daten, die dort verarbeitet und gespeichert werden. Wie sind meine Testfragen geschützt? Sind personenbezogene Daten sicher? Wer hat Zugriff auf die Anwendung?

Um diese Zweifel auszuräumen, muss zunächst einmal betont werden, dass die öffentliche Cloud nicht unsicherer sein muss als privates Hosting. Im Gegenteil, die öffentliche Cloud ist in einigen Punkten sogar sicherer. Große Cloud-Anbieter, die Optimum Assessment nutzt, sind in der Regel nach ISO 27001 zertifiziert. Aufgrund dieses hohen Standards der Informationssicherheit ist die Wahrscheinlichkeit größer, dass Angriffe von außen, wie z. B. DDOS, abgewehrt werden können. Darüber hinaus entwickeln wir bei Optimum Assessment Unsere Software basiert auf den Prinzipien von Privacy and Security by Design und OWASP (Open Web Application Security Project). All diese Maßnahmen tragen zu einer optimalen Sicherheit bei.

Zusätzliche Sicherheitsmaßnahmen

Wir wenden diese (technischen) Maßnahmen ganz bewusst an, vom Entwurf bis zur Umsetzung. Darüber hinaus sorgen wir für Sicherheitsstufen in unserer Plattform. Sollte eine davon versagen, können wir immer auf die darunterliegende Stufe mit Schutzmaßnahmen zurückgreifen. Außerdem lassen wir alle unsere Maßnahmen jährlich von einer spezialisierten externen Stelle prüfen, sodass wir hier ein Vier-Augen-Prinzip haben.

Nur erforderliche Informationen verfügbar

Neben diesen technischen Maßnahmen sorgen wir auch für Sicherheit in der Anwendung selbst. So sind Testinhalte und personenbezogene Daten nur dort verfügbar, wo sie benötigt werden, und nur für diejenigen, die dazu berechtigt sind. Dabei versuchen wir, es unmöglich zu machen, diese Informationen aus unserer Anwendung zu stehlen. Dies tun wir unter anderem durch den Einsatz von Physische Aufsichtspersonen bei der Prüfung oder die Anwendung von Online-Proctoring. Wir bieten auch Möglichkeiten für gute und klares Feedback auf das Testergebnis, blenden dabei jedoch nicht benötigte Inhalte bei der Anzeige vollständig aus. So stellen wir nur die erforderlichen Informationen zur Verfügung.