Vorsicht bei der Verlinkung von offen editierbaren Ressourcen im Web

Aus aktuellem Anlass möchten wir darauf hinweisen, dass bei der Verlinkung von offen editierbaren Ressourcen im Web gewisse Risiken bestehen.

Web-basierte Werkzeuge zum kollaborativen Arbeiten erlauben es, sehr komfortabel gemeinsam an Dokumenten zu editieren. Als prominente Vertreter sind hierbei Wikis, Werkzeuge zur Echtzeitkollaboration (z. B. Etherpad, CodiMD, HedgeDoc) und browserbasierte Office-Suites (z. B. Google Docs, Microsoft Office Online) zu nennen.

Die meisten dieser Werkzeuge erlauben es, auch anonymen Personen aus dem Internet Rechte zum Editieren von Inhalten einzuräumen. Das birgt jedoch Risiken: Nicht nur können Spammer hier unerwünschte Inhalte wie Werbelinks einfügen, sondern die Ressourcen können auch als Einstiegspunkt für Phishing-Angriffe dienen, wenn von Angreifern Links auf Phishingseiten eingefügt werden.

Wir empfehlen in diesem Kontext:

• Konfigurieren Sie Werkzeuge zur Kollaboration nach Möglichkeit so, dass für die Bearbeitung eine Anmeldung erforderlich ist.
• Vermeiden Sie es, Links zu offen bearbeitbaren Dokumenten zu setzen. Sofern vorhanden, nutzen Sie Features, die Ihnen stattdessen einen Link zu einer nicht bearbeitbaren Ansichtsversion des Dokuments erstellen. In den Werkzeugen verbergen sich solche Features typischerweise hinter Beschriftungen wie „Teilen“ oder „Veröffentlichen“.
• Sofern Sie selbst web-basierte Werkzeuge zur Kollaboration hosten: Prüfen Sie, ob die Anwendung für Ihren Anwendungsfall aus dem Internet erreichbar sein muss. Falls nicht, empfehlen wir Ihnen, diese ausschließlich aus dem Uninetz erreichbar zu machen.
• Wir empfehlen, sofern möglich, universitätseigene Dienste einer externen Lösung vorzuziehen:
  • Das TIK bietet mit dem Wissensmanagement-Dienst ein Wiki (Confluence) an, welches Universitätseinrichtungen verwenden können.
  • Der Landesdienst bwSync&Share (Nextcloud) steht allen Mitgliedern von Universitäten und Hochschulen in Baden-Württemberg zur Verfügung und bietet neben dem Teilen von Dateien auch eine browserbasierte Office-Suite (Nextcloud Office) zum gemeinsamen Bearbeiten von Dokumenten an.
  • Im ILIAS der Universität Stuttgart ist das Etherpad-Plugin integriert. In Kursen kann man Etherpads anlegen, in denen ILIAS-User Text in Echtzeit gemeinsam bearbeiten können.