Zuverlässigkeit der Systeme: Unterschied zwischen den Versionen
K (→Weitere Informationen) |
(→Weitere Informationen) |
||
Zeile 108: | Zeile 108: | ||
* [[Technik | Technik von E-Prüfungen]] | * [[Technik | Technik von E-Prüfungen]] | ||
* [[Konnektivität | Einbettung in die Hochschulsystemlandschaft]] | * [[Konnektivität | Einbettung in die Hochschulsystemlandschaft]] | ||
+ | * [[Sicherheit von E-Prüfungen]] | ||
{{Technik}} | {{Technik}} |
Version vom 5. September 2011, 08:20 Uhr
Generell gelten die ergonomischen Anforderungen der Verordnung über Sicherheit und Gesundheitsschutz bei der Arbeit an Bildschirmgeräten. Speziell bezogen auf E-Prüfungen sind nachfolgend Überlegungen zur logische und technische Zuverlässigkeit unterschieden.
Fehlertoleranz (logische Zuverlässigkeit)
Im mathematisch-naturwissenschaftlichen Bereich können E-Prüfungssysteme Aufgaben für jeden Prüfling individuell gestalten, indem sie den Zufall einbeziehen. Ein Prüfender gibt dazu den Typ von Aufgabe vor - z.B. Bruchrechnung, woraufhin das System die Werte für Zähler und Nenner automatisch generiert. Das erschwert den Austausch von Ergebnissen und kann zum gemeinsamen Lernen genutzt werden. Als Beispiel soll der Prüfling einen Bruch (also Zähler durch Nenner) berechnen und das Ergebnis in ein Textfeld eingeben. Am Ende kann das System, insofern die zugehörige Berechnungsformel hinterlegt wurde, die Korrektheit der Eingabe überprüfen. Im Beispiel wurde nun aber der Wertebereich nicht hinreichend eingeschränkt, so dass ein Prüfling während der Klausur eine Division durch Null als Aufgabe bekam. Da das Ergebnis nicht berechenbar ist, brachte die automatische Auswertung der Antwort auch keinen Punkt für diese Aufgabe. Der zurecht empörte Prüfling bat daraufhin um manuelle Kontrolle, woraufhin die gesamte Aufgabe aus der Wertung genommen werden musste.
Ein anderes Beispiel betrachtet Kurztexteingaben. Ist hier die korrekte Antwort hinterlegt, kann das System Antwort und Eingabe leicht überprüfen. Hat sich der Prüfling jedoch verschrieben oder verwendet dieser eine andere Schreibweise, ist diese Überprüfung nicht mehr ohne weiteres möglich. Es gibt Systeme, denen man vorher eine noch gültige Levenshtein-Distanz festlegen kann. Ansonsten ist manuelle Nachkontrolle unerlässlich. Beispiel sind hier unterschiedliche Schreibweisen, Rechtschreib- oder Flüchtigkeitsfehler, Buchstabendreher oder ein fälschliches Schreiben der ersten beiden Zeichen als Großbuchstaben.
Ein E-Klausursystem sollte daher beiten:
- Protokollierung von Fragen und Antworten, und zwar für jeden Prüfling individuell
- Kommentarfunktion, um z.B. bei Aufgaben ohne Eingabefelder auf fehlende Alternativen oder Verständnisprobleme hinzuweisen
- Protestknopf, um auf generelle Probleme hinzuweisen (wie z.B. Division durch 0)
- Möglichkeit zur manuellen Nachbewertung
- Eingabe einer tolerierbaren Levenshtein-Distanz
- Anzeige der häufigsten Eingaben bei Kurztextfeldern, um z.B. weitere Schreibweisen zu identifizieren
IT-Grundschutz (technische Zuverlässigkeit)
Nachfolgend stichpunktartig diejenigen Maßnahmen zum IT-Grundschutz, die neben allgemeinen Maßnahmen (Brandschutz, Gefahrenabwehr, etc.) speiziell bei E-Klausuren zu beachten sind. Eine aktuelle, vollständige und ausführlich beschriebene Liste ist zu finden in den IT-Grundschutz-Katalogen des BSI.
- Infrastruktur (siehe Infrastruktur-Maßnahmen)
- Geeignete Aufstellung eines IT-Systems (1.29)
- Fernanzeige von Störungen (1.31)
- Geeignete Aufbewahrung tragbarer IT-Systeme im stationären Einsatz (1.34)
- Einsatz von Diebstahl-Sicherungen (1.46)
- Videoüberwachung (1.53)
- Technische und organisatorische Vorgaben für Serverräume (1.58)
- Geeignete Aufstellung von Speicher- und Archivsystemen (1.59)
- Geeignete Lagerung von Archivmedien (1.60)
- Geeignete Auswahl und Nutzung eines mobilen Arbeitsplatzes (1.61)
- Geeignete Aufstellung von Access Points (1.63)
- Organisation (siehe Organisations-Maßnahmen)
- Festlegung von Verantwortlichkeiten und Regelungen (2.1)
- Regelungen für Wartungs- und Reparaturarbeiten (2.4)
- Vergabe von Zugriffsrechten (2.8)
- Dokumentation der Systemkonfiguration (2.25)
- Einrichtung einer eingeschränkten Benutzerumgebung (2.32)
- Informationsbeschaffung über Sicherheitslücken des Systems (2.35)
- Geregelte Übergabe und Rücknahme eines tragbaren PC (2.36)
- Einrichten der Zugriffsrechte (2.63)
- Regelungen zum Schutz vor Schadprogrammen (2.160)
- Entwickeln einer Systemmanagementstrategie (2.169)
- Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit (2.193)
- Erstellung eines Sicherheitskonzepts (2.195)
- Vorbeugung gegen Schadprogramme (2.224)
- Entwicklung des Archivierungskonzepts (2.243)
- Festlegung einer Outsourcing-Strategie (2.250)
- Vertragsgestaltung mit dem Outsourcing-Dienstleister (2.253)
- Sichere Installation eines Servers (2.318)
- Sichere Nutzung von Hotspots (2.389)
- Personal (siehe Personal-Maßnahmen)
- Hard- und Software (siehe Hard-und-Software-Maßnahmen)
- Passwortschutz für IT-Systeme (4.1)
- Gesichertes Login (4.15)
- Zugangsbeschränkungen für Accounts und / oder Terminals (4.16)
- Sicherer Aufruf ausführbarer Dateien (4.23)
- Zugriffsschutz am Laptop (4.27)
- Sicherstellung der Energieversorgung im mobilen Einsatz (4.31)
- Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen (4.34)
- Einsatz angemessener Sicherheitsprodukte für IT-Systeme (4.41)
- Test neuer Hard- und Software (4.65)
- Regelmäßige Integritätsprüfung (4.93)
- Geeignete Auswahl von Authentikationsmechanismen (4.133)
- Umgang mit USB-Speichermedien (4.200)
- Zentrale Administration von Laptops (4.236)
- Sichere Grundkonfiguration eines IT-Systems (4.237)
- Sicherer Betrieb von Hotspots (4.293)
- Sichere Konfiguration der Access Points (4.294)
- Sichere Konfiguration der WLAN-Clients (4.295)
- Sichere Konfiguration eines VPNs (4.320)
- Sicherer Betrieb eines VPNs (4.321)
- Schutz vor unerwünschten Informationsabflüssen (4.345)
- Kommunikation (siehe Kommunikations-Maßnahmen)
- Regelmäßiger Sicherheitscheck des Netzes (5.8)
- Protokollierung am Server (5.9)
- Restriktive Rechtevergabe (5.10)
- Sicherer Einsatz von Kommunikationssoftware (5.32)
- Einseitiger Verbindungsaufbau (5.44)
- Einrichten einer Closed User Group (5.47)
- Verwendung eines Zeitstempel-Dienstes (5.67)
- Einsatz von Verschlüsselungsverfahren zur Netzkommunikation (5.68)
- Intrusion Detection und Intrusion Response Systeme (5.71)
- Deaktivieren nicht benötigter Netzdienste (5.72)
- Sicherer Anschluss von Laptops an lokale Netze (5.122)
- Sichere Anbindung eines WLANs an ein LAN (5.139)
- Regelmäßige Sicherheitschecks in WLANs (5.141)
- Durchführung von Penetrationstests (5.150)
- Notfallvorsorge (siehe Notfallvorsorge-Maßnahmen)
- Verhaltensregeln nach Verlust der Systemintegrität (6.31)
- Regelmäßige Datensicherung (6.32)
- Entwicklung eines Datensicherungskonzepts (6.33)
- Redundante Auslegung der Netzkomponenten (6.53)
- Etablierung einer Vorgehensweise zur Behandlung von Sicherheitsvorfällen (6.58)
- Behebung von Sicherheitsvorfällen (6.64)
- Datensicherung bei mobiler Nutzung des IT-Systems (6.71)
- Notfallvorsorge für einen Server (6.96)
- Verhaltensregeln bei WLAN-Sicherheitsvorfällen (6.102)
- Notfallplan für den Ausfall eines VPNs (6.109)
- Aufbau einer geeigneten Organisationsstruktur für das Notfallmanagement (6.112)
- Erstellung eines Notfallkonzepts (6.114)
- Dokumentation von Sicherheitsvorfällen (6.134)