Informationssicherheit
Willkommen auf unserer Informationssicherheitsseite.
Bestimmte Seiteninhalte werden erst nach erfolgreicher Anmeldung sichtbar.
Benutzeranmeldung
Bitte geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich an der Website anzumelden.
Allgemeines
Die Begriffsdefinitionen sind dem Glossar des Bundesamt für Sicherheit in der Informationstechnik (BSI) entnommen.
Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein. Die Schutzziele oder auch Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit.
Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.
Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf „Daten“ angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf „Informationen“ angewendet. Der Begriff „Information“ wird dabei für „Daten“ verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden.
Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzen oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können.
Informationstechnik (IT) umfasst alle technischen Mittel, die der Verarbeitung oder Übertragung von Informationen dienen. Zur Verarbeitung von Informationen gehören Erhebung, Erfassung, Nutzung, Speicherung, Übermittlung, programmgesteuerte Verarbeitung, interne Darstellung und die Ausgabe von Informationen.
Bei der IT-Sicherheit sind demnach alle technischen Mittel, die der Verarbeitung oder Übertragung von Informationen dienen, zu schützen. Sie stellt damit einen Teilbereich der Informationssicherheit dar.
Datenschutz soll den Einzelnen davor schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Mit Datenschutz wird daher der Schutz personenbezogener Daten vor etwaigem Missbrauch durch Dritte bezeichnet. Dazu sind geeignete technische und organisatorische Maßnahmen (TOMs) zu ergreifen.
Während der Datenschutz den Schutz personenbezogener Daten zum Ziel hat, geht es in der Informationssicherheit um die Aufrechterhaltung des Schutzes von Informationen, Daten und Systemen.
Im Datenschutz gelten strenge gesetzliche Regelungen.
Aktuelles
Hier finden Sie aktuelle sicherheitsrelevante Hinweise.
Microsoft hat in Windows und seinen Windows-Produkten mehrere gefährliche Sicherheitslücken geschlossen. Normalerweise sollte dieses wichtige Update automatisch durchgeführt worden sein.
Bitte überprüfen Sie sicherheitshalber über 'Windows-Einstellungen-Update und Sicherheit-Windows Update', ob Ihr Windows auf dem neuesten Stand ist*. Sollte das nicht der Fall sein, bitte 'Nach Updates suchen' und diese umgehend installieren!
Am Ende ist i.d.R. ein Neustart Ihres Rechners notwendig!
*Bitte prüfen Sie vorab über ‘Erweiterte Optionen’, ob andere MS-Produkte wie z. B. Office-Produkte immer gleich automatisch mitbereitgestellt werden, wenn ein Windows-Update ausgeführt wird (Schalter auf Ein!).
Wegen Sicherheitslücken sollten Sie – falls nicht automatisch erfolgt – den von Ihnen verwendeten Google Chrome-Browser dringend aktualisieren/updaten!
Zur Überprüfung bzw. zum Updaten gelangen Sie über das „Burger”-Icon ganz rechts oben in Ihrem Browser, klicken Sie auf Hilfe und anschließend auf Über <Browsername>. Das Fenster Über <Browsername> öffnet sich: Entweder Ihr Browser ist bereits auf dem aktuellsten Stand oder aktualisiert sich jetzt automatisch.
Nach einem Neustart des Browsers wird das Update aktiv.
Adobe hat in seinen Produkten Acrobat Reader DC, Acrobat Reader, Acrobat DC und Acrobat mehrere gefährliche Sicherheitslücken geschlossen. Das Update wird normalerweise automatisch durchgeführt. Bitte überprüfen Sie dies in Ihrer Creative Cloud Desktop-Übersicht.
Wegen kritischer Sicherheitslücken sollten Sie – falls nicht automatisch erfolgt – den von Ihnen verwendeten Mozilla Firefox-Browser dringend aktualisieren/updaten!
Zur Überprüfung bzw. zum Updaten gelangen Sie über das „Burger”-Icon ganz rechts oben in Ihrem Browser, klicken Sie auf Hilfe und anschließend auf Über <Browsername>. Das Fenster Über <Browsername> öffnet sich: Entweder Ihr Browser ist bereits auf dem aktuellsten Stand oder aktualisiert sich jetzt automatisch.
Nach einem Neustart des Browsers wird das Update aktiv.
Apple hat wichtige Sicherheitsupdates für iPhones, iPads und MacBooks veröffentlicht.
Bitte überprüfen Sie, ob Ihr System auf dem aktuellen Stand ist!
Ansonsten bitte DRINGEND updaten!
Aufgrund aktueller Schwachstellenmeldungen sollten Sie – falls überhaupt installiert – den VLC Media Player dringend auf die Version 3.0.21 aktualisieren/updaten!
Achtung: Bitte Download unbedingt von https://www.videolan.org/vlc/!
(NICHT von der www.vlc.de-Fake-Seite!)
Wegen Sicherheitslücken sollten Sie – falls nicht automatisch erfolgt – den von Ihnen verwendeten Microsoft Edge-Browser dringend aktualisieren/updaten!
Zur Überprüfung bzw. zum Updaten gelangen Sie über das „...”-Icon ganz rechts oben in Ihrem Browser, klicken Sie auf Hilfe und Feedback und anschließend auf Infos zu <Browsername>. Das Fenster Infos zu <Browsername> öffnet sich: Entweder Ihr Browser ist bereits auf dem aktuellsten Stand oder aktualisiert sich jetzt automatisch.
Nach einem Neustart des Browsers wird das Update aktiv.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt derzeit vor sehr gut gemachten Spam-/Phishing-E-Mails, die in seinem Namen verschickt werden.
Absender aber: .hotmail-Adresse
Betreff: [EXTERN] Ihre persönliche Sicherheit steht auf dem Spiel (das Logo der Behörde ist eingebunden)
Der Inhalt beginnt mit:
„Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen signifikanten Anstieg von Cyberbedrohungen festgestellt, die auf persönliche und geschäftliche Geräte abzielen.” Dann fordert eine Schaltfläche mit der Aufschrift „Antivirus-Schutz jetzt aktivieren” zum Klicken auf.
Ganz unten steht der Hinweis, dass man die E-Mail-Benachrichtigungen durch Klicken auf "hier" oder auf "Abmelden" abbestellen könne, alternativ könnten die Empfänger zu diesem Zweck auch an folgende Adresse schreiben: ...
Klicken Sie bitte auf keinen Fall auf irgendeinen Link!
Reagieren/Antworten Sie bitte nicht auf diese Mail!
Löschen und tilgen Sie bitte diese Mail aus Ihrem Postfach!
Falls Sie doch geklickt und/oder Daten eingegeben haben, ändern Sie bitte SOFORT Ihr Hochschul-Passwort! Melden Sie sich bitte auch umgehend bei unserem Support (-3230).
Es wird dringend davon abgeraten, das von Microsoft aktuell propagierte neue Outlook (new) zu verwenden, da damit Ihre Zugangsdaten und E-Mails auf Microsoft-Server übertragen/gespeichert werden. Hier verlassen Ihr OTH-Passwort und Ihre Mails die Hochschule! Auch nach einem Nur-Ausprobieren kann dies nicht mehr rückgängig gemacht werden!
Das neue Microsoft Outlook (new) darf für den Zugriff auf Ihr OTH-Mail-Konto AUF KEINEN FALL verwendet werden!
Bitte verwenden Sie die an der Hochschule empfohlenen Alternativen für den Zugriff auf Ihre OTH-Mails!
Aktuell ist folgende Spam-/Phishing-Mail im Umlauf:
Betreff: [EXTERN] x.xxx(@)oth-aw.de Fehler
From: tim.gellhaus(@)stud.uni-goettingen.de oder biplob.dey(@)stud.uni-goettingen.de
Inhalt:
x.xxx @ oth-aw.de Benutzer
Ihr E-Mail-Zugang ist derzeit nicht aktualisiert. Um jetzt zu aktualisieren, klicken Sie hier.
Danke
Lassen Sie sich bitte nicht verunsichern, diese [EXTERN]-Mail ist Spam/Phishing.
Klicken Sie bitte auf keinen Fall auf den Link!
Reagieren Sie bitte nicht auf diese Mail!
Löschen und tilgen Sie bitte diese Mail aus Ihrem Postfach!
Falls Sie doch geklickt und/oder Daten eingegeben haben, ändern Sie bitte SOFORT Ihr Hochschul-Passwort! Melden Sie sich bitte auch umgehend bei unserem Support (-3230).
Aktuell ist folgende gefährliche Phishing-Mail im Umlauf.
Betreff: [EXTERN] Ihr Postfach ist voll
From: xxx <xxx@mahidol.ac.th>
Inhalt:
Ihr Postfachplatz ist voll undmuss jetzt aktualisiert werden, indem Sie auf diesen
Upgrade-Weblink klicken:>....
Hinweis: Wenn Sie nicht auf diesen Link klicken können, ...
Lassen Sie sich bitte nicht verunsichern, diese Mail ist ein Phishingversuch, um an Ihre Zugangsdaten zu kommen!
Klicken Sie bitte auf keinen Fall auf den Link!
Reagieren Sie bitte nicht auf diese Mail!
Löschen und tilgen Sie bitte diese Mail aus Ihrem Postfach!
Falls Sie doch geklickt und Daten eingegeben haben, ändern Sie bitte SOFORT Ihr Hochschul-Passwort! Melden Sie sich bitte auch umgehend bei unserem Support (-3230).
Es wurde in MS Teams eine Sicherheitslücke entdeckt, über die Ihnen sehr einfach Malware/Schadcode untergejubelt werden kann. Diese Lücke ermöglicht es, dass Dateien von Externen, die den Anschein von internen Teilnehmern erwecken, per Chat an Sie verschickt werden. Diese können Malware/Schadcode enthalten!
Bitte seien Sie deshalb besonders vorsichtig mit Dateien im MS Teams-Chat!
Schauen Sie lieber zweimal hin bevor Sie klicken!
Aktuell ist eine Phishing-Mail im Umlauf, die Sie zur Validierung Ihres E-Mail-Kontos über einen enthaltenen Link aufruft.
Betreff: [EXTERN] Hallo oder Ihr Kontigent
From: Hilfezentrum <….>
Anrede: Hallo,
Inhalt: Ihr Postfach hat sein Limit überschritten. Es wird empfohlen, Ihre E-Mail innerhalb der nächsten 24 Stunden erneut zu validieren, ...
Lassen Sie sich bitte nicht verunsichern, diese Mail ist ein Phishingversuch, um an Ihre Zugangsdaten zu kommen!
Klicken Sie bitte auf keinen Fall auf den Link-Button!
Reagieren Sie bitte nicht auf diese Mail!
Falls Sie doch geklickt und Daten eingegeben haben, ändern Sie bitte SOFORT Ihr Hochschul-Passwort! Melden Sie sich bitte auch umgehend bei unserem Support (-3230).
Aktuell ist eine Spam-Mail, die Sie einschüchtern soll und zu einer Zahlung auffordert, im Umlauf.
Betrefff: [EXTERN] Denke nicht, dass Du schlau bist!
Lassen Sie sich bitte nicht verunsichern, diese Mail ist Spam!
Reagieren Sie bitte nicht auf diese Mail!
Aktuell wird erneut vor einer Schadcodekampagne mit Microsoft OneNote-Dateien gewarnt!
Die OneNote-Dateien werden als Mailanhang meist in einer unverschlüsselten .ZIP-Datei verschickt.
Dabei wird of auf bereits existierende E-Mail-Verläufe geantwortet.
Thematisch geht es oft um Rechnungen und Finanzen
Mit dem Öffnen der OneNote-Datei (*.one) wird die gefährliche Schadsoftware Emotet aus dem Netz heruntergeladen und installiert.
Bitte solche Zip-/OneNote-Dateien NICHT öffnen!
Bitte löschen und tilgen Sie die E-Mail aus Ihrem Postfach!
Vorher können Sie gerne die Mail noch als Anlage an spam@oth-aw.de bzw. phishing@oth-aw.de weiterleiten.
Falls es doch passiert ist, trennen Sie bitte sofort Ihr Gerät vom Netzwerk (Netzkabel bzw. WLAN trennen) und informieren Sie Ihren WGM bzw. das Rechenzentrum!
Aktuell sind E-Mails mit einem gefährlichen Dateianhang im Umlauf.
Bei diesem Anhang handelt es sich um Datenträgerabbilddateien/Installationsdateien wie z.B. .img, .iso, .vhd, .vhdx-Dateien. Diese enthalten einen Trojaner, der zu Schadcode führt.
Bitte solche Dateianhänge NICHT ÖFFNEN!
Gerne können Sie die Mail ALS ANLAGE WEITERLEITEN an spam@oth-aw.de oder phishing@oth-aw.de. Bitte löschen und tilgen Sie solche Mails aus Ihrem Postfach.
Sollten Sie den Anhang bereits geöffnet haben, trennen Sie Ihr(en) PC/Laptop/Tablet/Smartphone bitte SOFORT vom LAN (Netzstecker ziehen) bzw. WLAN. Bitte melden Sie sich SOFORT bei Ihrem zuständigen WGM oder direkt im Rechenzentrum.
Gefahren
Wodurch wird die IT-Sicherheit gefährdet? Die Folgen dieser Gefahren können u. a. zu IT-Ausfall, Datenverlust, Abfluss/Manipulation personenbezogener/geheimer Daten, Identitätsdiebstahl führen.
Spam umfasst (bösartige,) unerwünschte Nachrichten aller Art (u. a. Phishing).
Phishing setzt sich aus „Password” und „Fishing” zusammen, zu Deutsch „nach Passwörtern angeln”. Beim Phishing wird z. B. mittels gefälschter E-Mails oder Webseiten versucht, Zugangsdaten für einen Dienst oder eine Webseite zu erlangen. Das Opfer hinterfragt bzw. erkennt unter bestimmten Umständen (siehe Social Engineering) die tatsächliche Authentizität einer solchen Nachricht oder Webseite nicht und gibt dann seine Zugangsdaten unwissentlich in unberechtigte Hände. Evtl. versucht der Angreifer neben einem Datendiebstahl das Opfer auch noch mit Schadcode zu infizieren. Der Mailinhalt ist dabei i.d.R. allgemein gehalten, damit sich möglichst viele Mail-Empfänger angesprochen fühlen. Der Angriff erfolgt dabei als ungezielte Spam-Welle (Massen-Phishing).
Spear-Phishing (gezieltes Phishing) ist ein auf eine spezielle Institution, Abteilung, Person zugeschnittener Phishing-Versuch. Dazu muss der Angreifer im Vorfeld mehr Aufwand betreiben, um z. B. Personen, Hierarchien etc. herauszufinden. Der speziell auf die Zielperson/-insitution zugeschnittene Mailinhalt führt zu einer erhöhten Erfolgsquote für den Angreifer. Für die angegriffene Person ist eine solcher Angriff meist schwerer erkennbar.
Die folgenden Angriffe erfolgen meist über das Telefon/Smartphone:
Vishing (Voice Phishing) ist eine Form des Betrugs über Anrufe. Die Betrüger/innen greifen dabei auf manipulative Taktiken zurück, geben sich beispielsweise als Mitarbeitende anderer Hochschulen, Geschäftspartner/innen, Freunde oder Verwandte aus, um Zugriff auf sensible Daten ihrer Opfer zu erhalten. Aber auch automatisierte Anrufe fallen ggf. in diese Kategorie.
Quishing (Phishing mit QR-Codes) sind Phishing-Mails, die anstatt eines Links einen QR-Code enthalten, über den der Nutzer wiederum zur Eingabe seiner Zugangsdaten verführt oder über den Schadcode heruntergeladen wird. QR-Codes werden – anders als Links und Anhänge – von den derzeitigen Anti-Viren-Programmen als Bild betrachtet und damit grundsätzlich als ungefährlich eingestuft. Damit ist die Wahrscheinlichkeit größer, dass solche Mails unmittelbar an die Postfächer der Nutzer zugestellt werden. Der Nutzer wird darin zu einem akuten Handlungsbedarf aufgefordert, den QR-Code per Smartphone zu scannen, der wiederum zu einer manipulierten Website führt.
Smishing (Phishing per SMS) ist eine Form des Betrugs über (Handy-)SMS mit schädlichen Links. Über diesen Link wird dann entweder auf dem Gerät Schadsoftware installiert oder man wird aufgefordert, persönliche Daten wie Passwörter, Kontodaten usw. auf einer nicht als solche erkennbaren Fakeseite einzugeben.
Beim Social Engineering werden menschliche Eigenschaften wie Neugierde, Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt, um Personen geschickt zu manipulieren. Cyber-Kriminelle verleiten das Opfer auf diese Weise beispielsweise dazu, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen zu umgehen, Überweisungen zu tätigen oder Schadsoftware auf dem Endgerät zu Hause oder im Firmennetzwerk zu installieren. Solche Social Engineering-Attacken können in Form einer Konversation, per Telefon, per E-Mail oder in sozialen Medien erfolgen.
CEO-Fraud als besondere Form von Social Engineering:
Hier versuchen Täter, entscheidungsbefugte Personen im Unternehmen zu manipulieren, damit diese hohe Geldbeträge ins Ausland überweisen. Dabei spiegeln die Täter vor, der Auftrag käme unmittelbar vom Chef des Unternehmens (Geschäftsführer oder Vorstand = Chief Executive Officer = CEO).
Malware sind bösartige Programme, die dazu entwickelt wurden, dem Nutzer Schaden zuzufügen.
Diese sind oft multifunktional und können, haben sie einmal ein System infiziert, zusätzliche Schadprogramme aus dem Internet nachladen, die dann weitere Schäden anrichten.
Es gibt zahlreiche Unterarten von Malware, z. B. Viren, Würmer, Trojaner, Rootkits, Botnets, Ransomware, Spyware … Alle arbeiten anders und richten unterschiedliche Schäden an.
Malware wird u.a. über bösartige E-Mail-Anhänge, Links, Makros in Office-Dokumenten, manipulierte USB-Sticks verbreitet.
Die Verbraucherzentrale Nordrhein-Westfalen bietet dazu in einer Broschüre ausführlichere Informationen, u.a. auch wie man sich davor schützt.
Sicherheitslücken/Schwachstellen in IT-Produkten/-Diensten können von Angreifern ausgenutzt werden, um in IT-Systeme einzudringen, Daten abzugreifen und/oder Malware auszuführen.
Gegenmaßnahme: Regelmäßiges Updaten der IT-Produkte/Anwendungen!
Das BSI CERT-Bund meldet regelmäßig solche Schwachstellen:
https://wid.cert-bund.de/portal/wid/kurzinformationen
Best Practice (Studierende)
Folgende Regeln basieren auf dem an der OTH-AW geltenden Leitfaden Passwörter:
- Das Passwort für die hochschulweit gültige OTH-AW-Kennung ist ausschließlich dem Hochschulangehörigen bekannt.
- Das Passwort darf auf keinen Fall an Dritte weitergegeben werden, auch nicht an einen guten Freund/Kommilitonen.
- Bitte unbedingt ein sicheres OTH-AW-Passwort verwenden: möglichst lang (mind. 10 Zeichen) mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen; keine Verwendung von Name, Vorname, Benutzername; keine Verwendung von Wörtern aus Wörterbüchern/Lexika; keine Verwendung von leicht herauszufindenden persönlichen Angaben.
- Während der Passworteingabe über Tastatur ist darauf zu achten, dass kein Dritter dabei zusieht
- Das OTH-AW-Passwort sollte auf keinen Fall auch noch im privaten Bereich bei anderen Anbietern, z. B. bei einem privaten E-Mail-Account/Internet-Dienst, verwendet werden! Ist das der Fall, bitte das OTH-AW-Passwort unbedingt ändern!
- Wenn das Passwort mehr als dreimal falsch eingegeben wurde, wird der Zugang automatisch für einen gewissen Zeitraum gesperrt. Bitte nehmen Sie telefonischen Kontakt mit dem Rechenzentrum auf.
- Bitte teilen Sie das Passwort nie unverschlüsselt per E-Mail mit!
- Passwortänderung (nicht mehr jährlich erzwungen, sondern nur, wenn Passwort kompromittiert) immer über den ‘Passwort ändern’-Dienst.
- Zur Aufbewahrung der pro Anwendung/Dienst vergebenen Benutzerkennung+Passwort-Kombination wird die Verwendung eines Passwortmanager-Tools wie z. B. KeePass empfohlen.
- Falls Passwörter im Web-Browser gespeichert werden (Produkt-Abhängigkeit!), dann unbedingt mit einem sicheren Master-Passwort (nicht das OTH-AW-Passwort!) absichern!
- Falls Passwörter doch schriftlich festgehalten werden, dann unbedingt sicher (möglichst Tresor!), d.h. für andere unzugänglich, aufbewahren.
- Für den Zugriff auf Ihre Mails nutzen Sie entweder den GroupWise-Client der Hochschule, einen alternativen Mail-Client oder WebMail (ohne Mail-Client).
- Für den Zugriff über Smartphone nutzen Sie die Smartphone-Datensynchronisation des Rechenzentrums!
- Die Kommunikation mit der Hochschule sollte ausschließlich über die OTH-AW-Mail-Adresse erfolgen!
- Sollte die Absender-Mailadresse keine @oth-aw.de-Adresse sein, werden solche Mails grundsätzlich mit dem Betreffzeilen-Präfix [EXTERN] gekennzeichnet. Damit werden Mails, in deren Inhalt der Name eines OTH-AW-Mitglieds (z. B. Professor) als Absender missbraucht wird, optisch gekennzeichnet, um Sie bei der Erkennung von Spam-/Phishing-Mails zu unterstützen. Evtl. telefonisch nachfragen!
- Bitte keine Weiterleitung von OTH-AW-Mails an eine private Email-Adresse!
- Mails, die von einer privaten E-Mail-Adresse an die Hochschule geschickt werden, werden nicht bearbeitet!
- Die OTH-AW-Mail-Adresse sollte nicht für den privaten Gebrauch (z. B. für private Bestellungen) verwendet werden. Dafür ist unbedingt eine private E-Mail-Adresse mit einem eigenen Passwort zu verwenden.
- Vor dem Öffnen einer Mail bitte den 3-Sekunden Sicherheits-Check machen:
Ist der Absender bekannt? Ist der Betreff sinnvoll? Erwarten Sie von diesem Absender einen Anhang? - Nach dem Öffnen sollten in folgenden Fällen Zweifel aufkommen: unpersönlicher Anrede, Aufforderung zur Eingabe persönlicher Informationen, Aufbau von Zeitdruck, Drohungen, Gewinnversprechen, usw.
- Solche unerwünschten Mails (SPAM oder PHISHING) sofort löschen und in keinster Weise darauf reagieren! Also nicht antworten, keine Links öffnen, keine Anhänge öffnen, nicht anrufen, nichts kaufen!
- Sie können solche Mails melden, indem Sie die Mail ALS ANLAGE WEITERLEITEN an spam@oth-aw.de oder phishing@oth-aw.de.
- Nutzen Sie bei der Arbeit in PC-Pools zur Datensicherung unbedingt Ihren persönlichen Bereich auf dem Fileserver MyFiles Filr, der vom Rechenzentrum regelmäßig gesichert wird.
- Sicherer Datenaustausch über den OTH-AW-internen Fileserver MyFiles Filr (= interne Cloud) – auch mit Nicht-Hochschulangehörigen möglich.
- Externe Clouds (= außerhalb der Hochschule) sollten für den Datenaustausch im Hochschulbereich nur sparsam genutzt werden. Abhängig von der Vertraulichkeitsstufe** sind die Daten vorab zu verschlüsseln (V3, V4) und auch nur solange wie notwendig dort zu speichern.
- Als externe Cloud für einen sicheren Datenaustausch sehr großer Dateien wird Gigamove empfohlen.
- Externe Clouds kommerzieller Anbieter (z. B. Dropbox) gelten als nicht konform mit der Datenschutzgrundverordnung (DSGVO). Bei solchen oft kostenlosen externen Clouds zahlen Sie mit Ihren Daten. Die OTH-AW-Zugangsdaten (Mailadresse, Benutzerkennung, Passwort) dürfen grundsätzlich nicht bei externen Cloud-Anbietern verwendet oder hinterlegt werden.
- Daten externer Clouds werden von der OTH-AW nicht gesichert.
- Die an der OTH-AW geltenden Cloud-Richtlinien sind zu beachten.
** Vertraulichkeitsstufen:
V1 = öffentlich, V2 = intern, V3 = OTH-AW vertraulich, V4 = streng vertraulich
- V1-Beispiele: Vorlesungsverzeichnis, Pressemitteilungen, Flyer, öffentliche Veranstaltungen, öffentliche Teile der Webseite
- V2-Beispiele: Intranet, Prozessportal, Regelwerke, Handlungsanweisungen, Schriftverkehr, interne E-Mails, interne Telefonverzeichnisse, interne Veranstaltungen
- V3-Beispiele: personenbezogene Daten, Reise-, Gehaltsabrechnungen, Forschungsdaten, technische Daten, Abschlussarbeiten mit Sperrvermerk, Prüfungswesen
- V4-Beispiele: in Zusammenarbeit mit Dritten (Militär, Forschung, Wirtschaft) aus dienstlicher oder vertraglicher Verpflichtung
- Sichere Verbindung ins OTH-Netz über VPN-Zugang
- Videokonferenzen über BigBlueButton, Jitsi
- Virtuelle Kurse/Vorlesungen: Moodle, BBB über Moodle
- Kommunikation/Chatten: RocketChat
- Team-/Projektarbeit: MicroFocus Vibe, MyFiles Filr, MS Teams (mit Einschränkungen)
- Umfragen/-Abstimmungen über Terminplaner
- Möglichst nur https-Webseiten (s steht für secure, d.h. verschlüsselte Kommunikation!) benutzen.
- Vor dem Klicken auf Links oder Bilder den tatsächlichen Link mittels Mouseover überprüfen:
Darüberfahren mit der Maus ohne zu Klicken zeigt die tatsächliche Web-Adresse an (WER-Bereich zwischen http(s):// und nächstem / genau anschauen!). - Software-Downloads nur von vertrauenswürdigen Seiten oder offiziellen Shops.
- Es ist alles zu unterlassen, was den ordnungsgemäßen Betrieb der Einrichtungen der Hochschule stört oder gefährdet.
- Browser sicher einstellen: Hilfestellung vom Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Denken Sie zweimal nach, bevor Sie etwas posten
- Teilen Sie keine vertraulichen Informationen
- Seien Sie vorsichtig, wenn Sie über Job oder Arbeitgeber sprechen
- Vermeiden Sie die Wiederverwendung von Passwörtern
- Verwenden Sie für Ihre Konten unterschiedliche Profilfotos
- Halten Sie die Anzahl von Online-Verbindungen (Freunde) so klein wie möglich und beschränken Sie diese auf Personen, die Sie tatsächlich kennen
- Wenn Sie jemand belästigt oder bedroht, entfernen Sie die Person aus Ihrer Freundesliste, blockieren sie diese und melden Sie den Vorfall dem Webseitenbetreiber
- Nutzen Sie Datenschutzeinstellungen für soziale Medien
Best Practice (Mitarbeitende)
Best Practice steht Mitarbeitenden der Hochschule nach erfolgreicher Anmeldung zur Verfügung.
Informationssicherheitskonzept
Das Informationssicherheitskonzept (Leitlinie, Richtlinien, Maßnahmen) steht Mitarbeitenden der Hochschule nach erfolgreicher Anmeldung zur Verfügung.
IT-Maßnahmen
Manche IT-Maßnahmen stehen nur Mitarbeitenden der Hochschule nach erfolgreicher Anmeldung zur Verfügung.
Generell zu ergreifende Security-Maßnahmen sind hier zu finden:
Schritt für Schritt zu automatischen Updates (Android, iOS/iPadOS, macOS, Linux / Ubuntu, Windows)
c’t-Security-Checklisten kompakt 2023
c’t-Security-Checklisten kompakt 2022
c’t-Security-Checklisten kompakt 2021
Software-Produkte/Serverdienste
Software-Produkte/Serverdienste steht Mitarbeitenden der Hochschule nach erfolgreicher Anmeldung zur Verfügung.
Awareness-Stärkung
Awareness-Stärkung bietet Möglichkeiten, das eigene Informationssicherheitsbewusstsein zu stärken. Damit wird die Informationssicherheit in der Hochschule (und auch privat!) unterstützt und verbessert. Manche Infos werden Ihnen nur angemeldet angezeigt!
SecAware.nrw – eine Selbstlernakademie für Cyber- und Informationssicherheit.
Das Projekt wurde ins Leben gerufen, um Studierenden und Wissenschaftler*innen an den Hochschulen in Nordrhein-Westfalen das notwendige Wissen und Sicherheitsbewusstsein zu vermitteln. Dieses Lernangebot sensibilisiert die Nutzenden und schafft bzw. stärkt die entsprechenden IT-Kompetenzen im Kontext Cyberattacken.
Dabei wird auf ein flexibles und intuitives Online-Lernangebot gesetzt, das die Teilnehmenden befähigt, sich selbstständig und in ihrem eigenen Tempo fortzubilden.
Derzeit ist die Nutzung von SecAware für Studierende und Mitarbeitende der OTH AW nur online möglich:
JETZT STARTEN auf secaware.nrw
Es ist geplant, das Angebot demnächst auf eine Nutzung über unsere Moodle-Plattform zu erweitern.
IT Security Awareness Days (IT-SAD) von mehreren deutschen Hochschulen (auf Initiative der TU Braunschweig) als Online-Veranstaltungsreihe vom 04.11. bis 15.11.2024 mit Vorträgen rund um die Informationssicherheit.
Die Vortragsthemen reichen von “Tücken des Alltags” bis “Social Engineering” und richten sich meist an Nutzende ohne Vorkenntnisse. Es sind allerdings auch technischere Vorträge dabei.
Nähere Informationen sowie Aufzeichnungen zu den Vorträgen finden Sie unter
https://www.tu-braunschweig.de/ciso/it-sad/it-sad-wintersemester-2024/25.
KIT Forschungsgruppe Security – Usability – Society (SECUSO)
NoPhish-Videos zur Erkennung von gefährlichen Anhängen und Links:
https://secuso.aifb.kit.edu/1047.php
Spielerisch lernen, wie man sich schützen kann:
NoPhish Quiz: https://secuso.aifb.kit.edu/1536.php
NoPhish Android App: https://secuso.aifb.kit.edu/521.php
NoPhish – Online-Spiel „Phishing Master”: https://secuso.aifb.kit.edu/1523.php
Nützliche Links des BSI zu den Themen:
- E-Mail sicher nutzen
- Erkennen von Phishing in E-Mails und Webseiten
- Sichere Passwörter
- Smartphone, Tablet schützen
- Sicherheit des Browsers
- Künstliche Intelligenz sicher nutzen – Wegweiser für den digitalen Alltag
Eine bundesweite Informations- und Sensibilisierungskampagne von BMI und BSI rund um das Thema IT-Sicherheit im Alltag (Soziale Netze, Onlineshopping, Home-Office, Smarthome, Online-Gaming):
#einfachaBSIchern … heißt der Schlüssel für einen unerschrockenen Umgang mit den digitalen Welten.
IT-Sicherheit auf Reisen:
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/IT-Sicherheit-auf-Reisen/it-sicherheit-auf-reisen_node.html
Für Podcast-Liebhaber
Die Uni Mannheim hat einen Cyberkrimi-Podcast entwickelt, der in 6 Folgen Informationssicherheitsthemen in eine Geschichte verpackt:
https://www.uni-mannheim.de/informationssicherheit/sicherheitstipps/podcast/ - und überall wo’s Podcasts gibt.
Folge 1 – E-Mails gehackt?
Folge 2 – Verschlüsselt! Was nun?
Folge 3 – Ist wirklich alles verloren?
Folge 4 – Tatort Büro
Folge 5 – Escape?
Folge 6 – Faktencheck mit dem ISB der Uni Mannheim als Zusammenfassung
Hören Sie rein! Es lohnt sich!
Meldewesen (Was tun, wenn?)
Das komplette Meldewesen steht Mitarbeitenden der Hochschule erst nach erfolgreicher Anmeldung zur Verfügung.
WICHTIG: Bitte an die folgenden Mailadressen Ihre Mail immer Als Anlage weiterleiten – ohne jeden Kommentar!
ErkannteSpam-/Phishing-Mails können Sie an spam@oth-aw.de oder phishing@oth-aw.de schicken.
Die Meldung ist freiwillig! Mit Ihrer Meldung helfen Sie mit, unsere Antiviren-/Antispam-/Firewall-Tools zu verbessern.
Sie erhalten dazu keine Rückmeldung/Antwort.
WICHTIG: Bitte löschen und tilgen Sie Spam-/Phishing-Mails in Ihrem Postfach!
Per Telefon +49(9621)482-3230 oder über das Ticketsystem unseres Rechenzentrums oder per Mail an support@oth-aw.de.
WICHTIG: Lieber einmal zu viel als einmal zu wenig melden!
Nur so können Sie unsere Hochschule vor größerem Schaden bewahren!
Für Mitarbeitende zum Ausdrucken und „An-die-Wand-Pinnen”:
Verhalten bei IT-Notfällen (nach BSI)
- Sie haben einen Mailanhang geöffnet, der verdächtige Aktionen hervorruft
- Sie haben einen Link in einer Mail/Nachricht/Webseite geöffnet, der verdächtige Aktionen hervorruft
- Sie haben über einen Link vermutlich auf einer Fake-Webseite Ihre OTH-AW-Zugangsdaten preisgegeben
- Sie haben festgestellt oder wurden informiert, dass Ihr OTH-AW-Passwort geknackt wurde
- Sie haben vertrauliche/geheime (Forschungs-)Daten einem falschen Empfänger bekannt gegeben
- Ihnen ist ein IT-Endgerät (Notebook, Smartphone, Tablet) oder ein Datenträger (USB-Stick, externe Festplatte) mit dienstlichen Daten abhanden gekommen (verloren oder gestohlen)
- Sie haben ein unbekanntes (angestecktes) Gerät (z.B. WLAN-Router, USB-Stick, externe Festplatte etc.) in den eigenen Räumen entdeckt.
… der verdächtige Aktionen hervorruft:
- Bitte Ruhe bewahren!
- Gerät (PC, Notebook, ...) sofort vom Netzwerk trennen: LAN-Kabel abstecken, WLAN deaktivieren
- Rechenzentrum (Telefon +49(9621)482-3230) und/oder Workgroupmanager verständigen
- Gerät (PC, Notebook, ...) ausschalten (in Absprache)
- Gerät (PC, Notebook, ...) nicht wieder anschalten
Im Gespräch mit dem Rechenzentrum/WGM sollten folgende Fragen geklärt werden:
- Was genau haben Sie gerade gemacht?
- Welches Programm haben Sie gerade benutzt?
- Welche Aktion(en) haben Sie ausgeführt?
- Was genau haben Sie dann beobachtet?
- …
Für Mitarbeitende zum Ausdrucken und „An-die-Wand-Pinnen”:
Verhaltensregeln bei einem IT-Sicherheitsvorfall (OTH-AW-spezifisch)
… sei es, weil Sie sie auf einer Fake-Webseite eingegeben haben oder Ihr Passwort geknackt wurde ...
- Ruhe bewahren
- Ändern Sie sofort an der OTH-AW Ihr Passwort über den ‘Passwort ändern’-Dienst
- Bitte verständigen Sie unbedingt auch das Rechenzentrum (Telefon +49(9621)482-3230)
Hinweis:
Sollten Sie Ihr OTH-AW-Passwort nicht nur an der Hochschule verwenden, sondern auch bei anderen (privaten) Diensten/Shops, sollten Sie auch dort unbedingt Ihr Passwort ändern (aber bitte auf ein anderes!). Sollte umgekehrt bei solchen Diensten Ihr Passwort geknackt worden sein und Sie dieses auch an der Hochschule verwenden, müssen Sie Ihr OTH-AW-Passwort ebenso sofort ändern!
Wichtig:
Verwenden Sie Ihr OTH-AW-Passwort nur hier an unserer Hochschule! Nirgendwo anders!
Verwenden Sie NICHT Ihre OTH-AW-Mailadresse und auch NICHT Ihre OTH-AW-Kennung für private (Shop-)Zugänge/Registrierungen!!!
Kontakt
Barbara Kostial, Dipl. Inf. (FH)