paperless.rwth-aachen.de

Paperless fungiert als zentrale Anlaufstelle für sämtliche Anfragen und Anträge von Studierenden sowie Studieninteressierten an die Prüfungsausschüsse für Informatik, Biologie und Chemie aus der Fakultät für Mathematik, Informatik und Naturwissenschaften. Derzeit wird die Anbindung weiterer Prüfungsausschüsse der Fakultät vorbereitet.

Studierende stellen Anfragen und Anträge über Paperless, Mitarbeiterinnen und Mitarbeiter im Prüfungsausschuss – bei Bedarf zusammen mit dem Zentralen Prüfungsamt – bearbeiten die Anträge im System. Ein Bescheid wird über Paperless erstellt und die Studierenden informiert.

Dabei verfolgt Paperless einen nutzerzentrierten Entwicklungsansatz, um das Zusammenspiel von Prozessen/Aufgaben, Kontexten und Nutzern ganzheitlich zu erfassen. Um ein hohes Maß an Usability zu gewährleisten, wird auf die aktuelle Forschung des Bereichs Mensch-Maschinen-Systeme zurückgegriffen.

 

Früher lief der Informationsaustausch über eine Vielzahl unterschiedlicher und intransparenter Kanäle – sowohl auf Papier als auch elektronisch – verteilt. Die Zusammenführung und Digitalisierung dieser Kommunikation mittels des Webportals Paperless (paperless.rwth-aachen.de) wird von allen Seiten als bedeutender Effizienz- und Vereinfachungsgewinn wahrgenommen.

Die Konzeption und die technische Umsetzung unterliegen hohen Standards unter besonderer Berücksichtigung von Sicherheits- und Datenschutzaspekten, wie es die RWTH Aachen vorgibt. 

Übersicht

Grundfunktionalität von Paperless

Paperless ist ein digitales Verwaltungssystem der RWTH Aachen, das den Papierkram für Studierende und Mitarbeitende vereinfacht. Es ermöglicht die elektronische Einreichung und Bearbeitung von Dokumenten, was den Verwaltungsprozess beschleunigt und transparenter macht.

Die Plattform dient als zentrale Anlaufstelle für Anfragen und Anträge, wodurch die Kommunikation zwischen Studierenden und der Universitätsverwaltung verbessert wird. Mit Fokus auf Sicherheit und Datenschutz bietet Paperless einen geschützten Rahmen für den Austausch sensibler Informationen. Es richtet sich an Studierende, Lehrende und das Verwaltungspersonal der RWTH Aachen und zielt darauf ab, universitäre Prozesse zu digitalisieren und zu optimieren.

Technische Übersicht und Sicherheit

Der folgende Abschnitt gibt eine detaillierte Beschreibung der Architektur von Paperless sowie der implementierten Sicherheitsmaßnahmen, die darauf abzielen, die Integrität und Vertraulichkeit der Daten zu gewährleisten.

Im Folgenden sprechen wir von Backend und Frontend.

Backend bezeichnet die Serverseite einer Webanwendung, die für die Verarbeitung von Geschäftslogik, Datenbankmanagement und Authentifizierung verantwortlich ist. Es ist der Teil, der im Hintergrund arbeitet und für den Benutzer nicht direkt sichtbar ist.

Frontend ist die Benutzeroberfläche, mit der die Nutzer interagieren können. Es umfasst alles, was der Nutzer auf seinem Bildschirm sieht und damit interagiert, wie Layouts, Texte und Buttons.

Um die Sicherheit von Paperless zu gewährleisten, haben wir uns von Mitarbeitern von Prof. Dr. Ulrike Meyer, Lehr- und Forschungsgebiet IT-Sicherheit beraten lassen. Diese Beratung werden wir fortsetzten, um potenzielle Schwachstellen zu identifizieren und um weitere Sicherheitsmaßnahmen zu implementieren. So können wir den Schutz sensibler Daten kontinuierlich verbessern und nutzen immer neueste Methoden.

Backend

Das Backend von Paperless, programmiert in PHP mit dem Laravel-Framework, ist der technische Kern, der die Logik und Datenverarbeitung übernimmt. Es interagiert direkt mit einer MySQL-Datenbank, die auf einer virtuellen Maschine läuft und so konfiguriert ist, dass sie von außen nicht zugänglich ist, um die Sicherheit der Daten zu gewährleisten.

Die RESTful API ist die technische Brücke zwischen Backend und Frontend, die den sicheren Datenaustausch ermöglicht. Sie verwendet Authentifizierungsmethoden wie Cookies und Sessions, ergänzt durch Sicherheitsmechanismen wie XSRF-Token und HttpOnly-Flags, um Schutz vor unerwünschten Zugriffen und Angriffen zu bieten.

Das RWTH Single Sign-On ist das Authentifizierungssystem, das den Nutzern einen sicheren Zugang zum Backend ermöglicht, indem es ihre Identität überprüft und bestätigt. Es ist ein etablierter Standard, der die Vertrauenswürdigkeit und Sicherheit des Anmeldeprozesses sicherstellt.

Frontend

Das Frontend von Paperless ist eine Vue Progressive Web-App (PWA), die Nutzer auf ihren Geräten installieren können. Dank des integrierten Service Workers ist es möglich, Paperless auch mit schlechter Internetverbindung zu verwenden, was besonders die Leistungsfähigkeit verbessert. Für die Sicherheit der Daten sorgt das Frontend durch die Verwendung von HTTPS, welches die Datenübertragung verschlüsselt und so vor Eingriffen Dritter schützt.

Datenarchivierung

Momentan werden alle Dokumente, seien es Bescheide, Anträge oder deren Anhänge, in einem S3 Bucket in einer sicheren und skalierbaren Cloud vom IT Center gespeichert. Da es sich personenbezogene Daten handelt, ist der Container mit einem besonderen Marker gekennzeichnet.

Zukünftig ist angedacht, diese Daten zentral im D3 der RWTH zu speichern, was eine langfristige und rechtssichere Archivierung von digitalen Dokumenten gewährleisten würde.

Verfügbarkeit & Release-Management​

Paperless wird auf den Servern des IT-Centers gehostet und unterliegt damit deren Verfügbarkeit. 

Neue Softwareversionen durchlaufen eine dreistufige Phase:

  1. Automatisierte Tests (Unit/Feature-Tests: CI)
  2. Auslieferung in eine Testumgebung mit mehreren Szenarien
  3. Die neue Version wird manuell veröffentlicht

Unsere Server sowie auch die Datenbank werden unabhängig voneinander auf dem vom IT Center zur Verfügung gestellten Backupsystem gesichert. 

Monitoring

Zabbix überwacht die Verfügbarkeit und gibt Alarm bei Überschreitungen von Antwortzeiten oder Return Codes. Besonders kritische (sicherheitsrelevante) Aktionen erzeugen beim Auslösen direkt ein Ereignis welches vom Log System weiter übermittelt wird. Unterteilt sind diese in die drei Laravel-geläufigen Logstufen „Info“, „Warning“ und „Error“. Alle Ereignisse der Kategorie „Warning“ oder „Error“ werden per Pushnachricht (in Mattermost) an die Entwickler gesendet. Damit sind sie in Echtzeit über auftretende Fehler und sicherheitsrelevante Ereignisse in der Anwendung informiert und können bei Bedarf unmittelbar einschreiten. 

Deployment

Paperless wird automatisch über eine Continuous Integration und Deployment Pipeline (CI/CD Pipeline) auf dem GitLab der RWTH bereitgestellt. Vor jedem Deployment durchläuft die Software automatisierte Tests, die die Integrität, Performance und Verfügbarkeit der API-Endpunkte sicherstellen und bereits bekannte Fehler eliminieren. Darüber hinaus wird jede Entwicklungsversion auf einer separaten Testumgebung (Staging-Instanz) bereitgestellt. Dort können neue Funktionen mit Testdaten in einer realen Umgebung getestet werden, bevor sie auf das Produktivsystem übertragen werden. Diese Struktur ermöglicht es auch, das System zu Schulungszwecken oder zum unverbindlichen Kennenlernen zu nutzen.

Integrität

Paperless verwendet in allen erforderlichen Prozessen ein Audit-Log, in dem jede Änderung (die Änderung, auslösende Person sowie der Zeitpunkt) protokolliert wird. Der Antragsverlauf ist somit vollständig transparent, nachvollziehbar und reversibel. Dabei werden die rückgängig gemachten Änderungen nicht gelöscht.

Vertraulichkeits- und Rollenkonzept

Konzept: Teams

Mehrere Personen können zu Teams zusammengefasst werden. Teams können sich selbständig verwalten und dienen zur übersichtlichen Ordnung von Personen-Strukturen. Zusätzlich erlauben Teams die Bereitstellung von gemeinsam genutzten Ressourcen, wie z.B. Bescheid-Vorlagen, Unterschriften oder Zertifikaten. Das vereinfacht und standardisiert Bearbeitung von Bescheiden und minimiert gleichzeitig durch die gemeinsam genutzte Vorlagen Fehler und die Verwendung von veralteten Textbausteinen. Personen können dabei einfach per E-Mail in ein Team eingeladen werden, auch ohne, dass Sie vorher in Paperless aktiv waren. Einer Einladung können auch direkt die erforderlichen Rechte angefügt werden, sodass neue Mitarbeitende nach Eintritt in das Team direkt arbeitsfähig sind, da sie automatisch Zugriff auf alle erforderlichen Ressourcen, Vorlagen und Anträge erhalten. Wir haben Paperless so entwickelt, dass Personen zeitgleich in mehreren Teams sein können. Auch werden die Rollen und damit verbundenen Ansichts- und Bearbeitungsrechte nicht durch das Team bestimmt. Ein Team organisiert lediglich eine gemeinsame Nutzung von Ressourcen.

In Paperless sind verschiedene Rollen definiert, die jeweils ihre eigene Umgebung haben. Rollen definieren dabei eine Anzahl von möglichen Aktionen, die eine Person die diese Rolle zugewiesen ist dann ausführen kann.

Rolle: Studierende

Die Studierenden können nur auf die eigenen Anträge zugreifen. Weitere Berechtigungen sind aktuell nicht freigeschaltet. Dabei können die Studierenden nur den Studierenden-Status ihres Antrages sehen. Wann ein Mitarbeiter bzw. eine Mitarbeiterin des PAs/ZPAs den Antrag bearbeitet, ist für die Studierenden nicht ersichtlich.

Um die Studierenden über Änderungen auf dem Laufenden zu halten, erhalten sie Benachrichtigungen per E-Mail. Dies geschieht, wenn z.B. der Antrag eingeht, ein Bescheid bereitgestellt, wird, oder sie eine Nachricht im Antrag erhalten.

Rolle: Prüfungsausschuss

In der Rolle Prüfungsausschuss (PA) werden alle eingehenden Anträge und Anfragen bearbeitet. Dabei kann der PA Anträge unabhängig vom Zentralen Prüfungsamt (ZPA) bearbeiten, aber Anträge und Bescheide auch direkt im Paperless dahin weiterleiten. Der Ablauf hängt hier vom Antragstyp und gewünschten Folgeeffekten in RWTHonline ab.

Dabei muss die Rolle Prüfungsausschuss zwingend die heterogene Struktur der Prüfungsausschüsse und Studiengänge abbilden können: Die Rechte der Rolle Prüfungsausschuss können standardisiert als empfohlenes Rechtebündel wie auch personenspezifisch erstellt und zugeteilt werden.
Beschränkt sind die Rechte dann z.B. durch die Auswahl der Studiengänge, Antragstypen und Editierrechte (Lesen, Schreiben, Löschen). Damit wird gewährleistet, dass besonders sensible Anträge bzw. Antragstypen, wie z.B. der „Antrag auf einen Nachteilsausgleich“ spezifischen Begrenzungen unterliegen.

Voraussetzung für die Zuweisung von Personen zur Rolle Prüfungsausschuss ist ein vorhandener Zugriff auf die Studierendenkartei in RWTHonline.

Beispielhafte Umsetzung für das Team Prüfungsamt (PA) Informatik, was aus vielen Personen mit unterschiedlichen Rechten besteht; und deren Kombination: 

  • Eine Person ist mehreren Studiengängen zugeordnet und hat dann für diese Studiengänge alle Rechte. (Bachelor Informatik, Master Informatik)
  • Eine Person erledigt alle PO Wechsel im BA Informatik: (Master Informatik x Anerkennungen)
  • Die Person verlängert Abschlussarbeiten (alle Studiengänge x Verlängerung).
  • Im PA-Team Informatik hat nur der PA-Koordinator Zugriff auf diese Anträge mit hoher Sensitivitätsstufe.

Rolle: Zentrales Prüfungsamt

Die Mitarbeiterinnen und Mitarbeiter des ZPA, die Zugriff auf Paperless haben, sind (analog zu den Prüfungsausschüssen) auch in einem Team und mit ähnlichen Zugriffsrechten organisiert.

Mit der Kombination (Studiengänge x Antragstypen) lässt sich somit sehr kleinschrittig definieren, welche Personen auf welche Daten Zugriff haben sollen. Hierbei können die vergebenen Berechtigungen dann passgenau angelegt und auf die notwendigen Bereiche beschränkt werden. So ist es z.B. möglich, eine Berechtigung zu vergeben, welche das Ändern des Status von formlosen Anträgen im Studiengang Bachelor Informatik ermöglicht, jedoch nicht die Einsicht in die im Antrag übersandten Daten.

Das System ist flexibel genug, um auf andere Prüfungsausschüsse oder Organisationseinheiten übertragen werden zu können. 

Im Fachbereich Biologie gibt es zum Beispiel nur den PA-Koordinator und den PA-Vorsitzenden. Durch dieses adaptive und kleinschrittige Zugriffskonzept wird somit einer großen Anzahl von Mitarbeitenden nur der jeweils notwendige Bereich zur Einsicht freigegeben.

Rolle: Lehreinheiten

Aktuell ist geplant, die Anmeldung der Abschlussarbeit über Paperless durchzuführen. In diesem Fall würden die Lehreinheit (Profs., WM und möglicherweise Sekretariate) auch Paperless nutzen. Dabei kann den Personen in den Lehreinheiten per E-Mail Zugriff (Link) auf Paperless gegeben werden. Beim erstmaligen Login werden ihnen automatisch die vorher definierten Rollen zugewiesen, ähnlich wie beim Eintritt in ein Team.

Usability / User Experience​

Die Stärke von Paperless liegt im nutzerzentrierten Entwicklungsansatz, um das Zusammenspiel von Prozessen/Aufgaben, Kontext und Nutzende ganzheitlich zu erfassen. Die im Vorfeld durchgeführten Befragungen und Nutzerbeobachtungen führten zu deren Unterteilung in vier verschiedene Rollen: die Studierenden, die Prüfungsausschüsse, das Zentrale Prüfungsamt und die Lehreinheiten. Jede dieser Gruppen nutzt Paperless auf eine andere Art und Weise, daher wurde entschieden, für jede dieser Benutzergruppen eine angepasste Sicht auf das System zu entwickeln.

Paperless verwendet moderne Frameworks, um die Anwendung als App auf den Computer oder das Smartphone zu laden. Dabei kann Paperless mit den vorhandenen Schnittstellen der Geräte kommunizieren und so ein noch besseres Erlebnis ermöglichen. Auf Smartphones beispielsweise integriert sich Paperless in das native Bedienkonzept des Gerätes und erscheint dann nicht mehr als Webseite, sondern als App.

Um ein hohes Maß an Usability von Paperless zu gewährleisten, greifen wir auf die aktuelle Forschung zu Mensch-Maschinen-Systeme (Lehrstuhl Informatik 10) zurück. Durch den Erfahrungsschatz und Expertise der Mitarbeiter des Softwareteams garantieren wir die komplexen menschlichen Verhaltensweisen, Bedürfnisse und Präferenzen adäquat umzusetzen.

Bisherige Nutzerzufriedenheit

Nach bisherigen Rückmeldungen zeigen sich alle beteiligten Gruppen—die Studierenden, die Prüfungsausschüsse Informatik und Biologie, sowie die Leitung und Sachbearbeitung des Zentralen Prüfungsamts—äußerst zufrieden mit der Nutzung von Paperless.

Skalierbarkeit

Paperless wurde von Anfang an mit einer skalierbaren Architektur konzipiert, die eine maximale Effizienz gewährleistet. Durch die klare Trennung von Anwendung (Frontend) und Daten (Backend/API) wird beim Start der Kommunikation einmal die Anwendung geladen. In den nachfolgenden Kommunikationsphasen werden nur Daten übertragen. Das ermöglicht die Nutzung von Paperless auch mobil mit schlechter Internetverbindung (besonders relevant für Studierende). Zusätzlich lasten wir mit diesem Ansatz unser Backend weniger aus, was uns hilft, mit weniger Ressourcen eine größere Nutzerschaft zu bedienen.

Die Nutzung eines modernen Backend-Frameworks ermöglicht es Paperless, auf eine Vielzahl von skalierbaren Funktionen zurückzugreifen, die bereits in das Framework integriert sind. Dies eröffnet die Möglichkeit, mehrere Backend-Server zu betreiben, um die Last zu verteilen, oder sogar Paperless vollständig im Arbeitsspeicher der Server auszuführen, was die Leistung erheblich steigert.

Um sicherzustellen, dass Paperless reibungslos funktioniert, ist eine kontinuierliche Überwachung der Antwortzeiten implementiert. Basierend auf den bisherigen Beobachtungen und Messungen sind keine weiteren Skalierungsmaßnahmen erforderlich.

Status Quo (04.24): 

Nutzung innerhalb der Studiengänge der Fachgruppen Informatik und Biologie mit  

  • 10 PA Mitarbeitern,
  • 6700 Studierenden,
  • ca. 15 ZPA Mitarbeitern

Barrierefreiheit

Die Möglichkeiten der Barrierefreiheit in Web-Anwendungen haben sich in den vergangenen Jahren stark verbessert. Paperless basiert auf einem modernen Frontend-Framework und kann so viele Best Practices direkt integrieren. Bereits jetzt enthält die Benutzeroberfläche Leitlinien für automatische Interaktions-Hilfen (wie s.B. Screenreadern). So wird beispielsweise Menschen mit Sehbehinderung die Nutzung der Anwendung vereinfacht. Paperless respektiert auch vom Betriebssystem mitgeteilte Barrierefreiheits-Direktiven, wie z.B. den Wunsch nach reduzierter Bewegung (Prefers Reduced Motion). Wir werden auch in Zukunft die Barrierefreiheit in Paperless verbessern und bisher nicht vollständig ausgeschöpfte Ansätze weiterführen.

Ausblick

Gesamtkosten und Betriebskonzept​

Paperless wird vom Studiencenter Informatik – eine zentrale Einheit in der Fachgruppe Informatik – entwickelt und aus deren Mitteln finanziert. Seit dem 1.1.2024 wird ein Teil der Finanzierung für drei Jahre von der Fakultät 1 übernommen. Mit den fünf Dauerstellen im Studiencenter Informatik kann eine langfristige Nutzung von Paperless gewährleistet werden. Alle IT Center-Server-Kosten werden vom Studiencenter Informatik übernommen.

Integration in die RWTH-IT-Umgebung

Aktuell bezieht Paperless nur Daten der Einrichtungen aus dem WebExport des ITC. Eine Verbindung zu RWTHonline besteht nicht. Der Paperless-Login erfolgt über SSO der RWTH. Der notwendige RFC für den Anschluss wurde vom ITC und der Datenschutzbeauftragten der RWTH genehmigt. 

Zukünftig ist angedacht, diese Daten zentral im D3 der RWTH zu speichern, was eine langfristige und rechtssichere Archivierung von digitalen Dokumenten gewährleisten würde.

Supportstrukturen (Anlaufpunkte, Dokumentation, Schulungen)

Das Paperless-Entwicklerteam ist für alle Nutzenden – PAs, ZPA, Studierende, Lehreinheiten – aus der Anwendung heraus per E-Mail erreichbar. 

Bei der Einführung wurde allen Mitarbeitern des ZPAs und der beteiligten PAs das System vorgestellt und erklärt. Bisher waren keine weiteren Schulungen notwendig. Eine Dokumentation der Funktionalitäten für die Studierenden, die PAs, und das ZPA befindet sich im Aufbau und wird auf den Seiten des Studiencenters Informatik veröffentlicht. Weiterhin sind YouTube-Videos zur Einführung der Funktionen angedacht. 

Für Mitarbeitende gibt es zusätzlich den Möglichkeit, über den Direkt-Nachrichtendienst Mattermost mit dem Entwicklerteam zu kommunizieren.

OzG-konformes digitales Widerspruchsverfahren und Zukunftsperspektiven​

Nach unserem Wissen ist Paperless aktuell das einzige System an der RWTH das ein OzG-konformes digitales Widerspruchverfahren an Prüfungsausschüsse bereitstellt. Alle weiteren Anforderung aus dem OzG und der dem EGovernance sind wir gerne bereit in Zusammenarbeit mit dem Dezernat 5 und dem ITC umzusetzen.