Zur Navigation springen Zum Inhalt springen

Informationssicherheit

Willkommen auf unserer Informationssicherheitsseite.

Bestimmte Seiteninhalte werden erst nach erfolgreicher Anmeldung sichtbar.

Allgemeines

Die Begriffsdefinitionen sind dem Glossar des Bundesamt für Sicherheit in der Informationstechnik (BSI) entnommen.

Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein. Die Schutzziele oder auch Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit.

Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.

Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf „Daten“ angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf „Informationen“ angewendet. Der Begriff „Information“ wird dabei für „Daten“ verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden.

Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzen oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können.

Informationstechnik (IT) umfasst alle technischen Mittel, die der Verarbeitung oder Übertragung von Informationen dienen. Zur Verarbeitung von Informationen gehören Erhebung, Erfassung, Nutzung, Speicherung, Übermittlung, programmgesteuerte Verarbeitung, interne Darstellung und die Ausgabe von Informationen.

Bei der IT-Sicherheit sind demnach alle technischen Mittel, die der Verarbeitung oder Übertragung von Informationen dienen, zu schützen. Sie stellt damit einen Teilbereich der Informationssicherheit dar.

Datenschutz soll den Einzelnen davor schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Mit Datenschutz wird daher der Schutz personenbezogener Daten vor etwaigem Missbrauch durch Dritte bezeichnet. Dazu sind geeignete technische und organisatorische Maßnahmen (TOMs) zu ergreifen.

Während der Datenschutz den Schutz personenbezogener Daten zum Ziel hat, geht es in der Informationssicherheit um die Aufrechterhaltung des Schutzes von Informationen, Daten und Systemen.

Im Datenschutz gelten strenge gesetzliche Regelungen.

Aktuelles

Hier finden Sie aktuelle sicherheitsrelevante Hinweise.

Aufgrund aktueller Schwachstellenmeldungen sollten Sie – falls nicht automatisch erfolgt – Ihr MS Windows Betriebssystem unbedingt aktualisieren/updaten!

Aktuell sind E-Mails mit einem äußerst gefährlichem Link an unserer Hochschule im Umlauf.
Dieser führt am Ende zu einer äußerst gefährlicher Schadsoftware.

Dabei scheint der Absender aus der Hochschule zu kommen (im Betreff aber EXTERN!).
Gleichzeitig klinkt er sich in eine Ihnen bekannte E-Mail-Konversation ein.
Die Mail enthält einen "komischen" Link und ein Dateikennwort.

Bitte auf diese Mail nicht reagieren und auf keinen Fall den darin enthaltenen Link anklicken!
Löschen und tilgen Sie diese E-Mail aus Ihrem Postfach!

Microsoft hat in Windows und seinen Office-Produkten/-Diensten mehrere gefährliche Sicherheitslücken geschlossen. Normalerweise sollten diese wichtigen Updates automatisch durchgeführt worden sein.
Bitte überprüfen Sie sicherheitshalber über 'Windows-Einstellungen – Update & Sicherheit – Windows Update', ob Ihr Windows auf dem neuesten Stand ist*. Sollte dies nicht der Fall sein, bitte 'Nach Updates suchen' und diese umgehend installieren!
Am Ende ist i.d.R. ein Neustart Ihres Rechners notwendig!

*Bitte prüfen Sie vorab über ‘Erweiterte Optionen’, ob andere MS-Produkte wie z. B. Office-Produkte immer gleich automatisch mitbereitgestellt werden, wenn ein Windows-Update ausgeführt wird (Schalter auf Ein!).

Adobe hat in seinen Produkten ebenfalls mehrere gefährliche Sicherheitslücken geschlossen. Das Update wird normalerweise auch automatisch durchgeführt.

Aufgrund aktueller Schwachstellenmeldungen sollten Sie – falls nicht automatisch erfolgt – den von Ihnen verwendeten Browser von Microsoft Edge, Google Chrome bzw. Mozilla Firefox unbedingt aktualisieren/updaten!

Zur Überprüfung bzw. zum Updaten gelangen Sie über das „Burger”-Icon ganz rechts oben in Ihrem Browser, klicken Sie auf Hilfe und anschließend auf Über <Browsername>. Das Fenster Über <Browsername> öffnet sich: Entweder Ihr Browser ist bereits auf dem aktuellsten Stand oder aktualisiert sich jetzt automatisch.
Nach einem Neustart des Browsers wird das Update aktiv.

Aktuell ist eine Phishing-Mail an unserer Hochschule im Umlauf:

Betreff: [EXTERN] Hinweis zum IT-Servicedesk
Absender: „Gieme-Kuper, Anja” <a.gieme@dshs-koeln.de
Inhalt: … Sie werden dazu gedrängt, auf einen Admin-Helpdesk-Link zu klicken …

Bitte den enthaltenen Link nicht anklicken!
Diese Mail kommt von [EXTERN] und ist eine Phishing-Mail!

Aktuell sind Spam-Mails mit einem gefährlichen Link im Umlauf! Meist beziehen sie sich auf eine echte vorangegangen Mail-Konversation!

Die Mail scheint von einem OTH-internen oder einem bekannten externen Absender zu stammen (in der Betreffzeile in beiden Fällen mit EXTERN gekennzeichnet). Der Inhalt nimmt Bezug auf eine echte vorangegangene Mail-Konversation und beinhaltet einen gefährlichen Link, der einen Schadcode-Download nach sich zieht.

Insbesondere bei einem bekannten externen Absender sind solche Mails besonders schwer als gefährlich erkennbar. Deshalb bitte besondere Aufmerksamkeit!

Klicken Sie auf keinen Fall auf diesen gefährlichen Link!
Öffnen Sie auch keine Dateien!
Reagieren Sie nicht darauf!

Löschen und tilgen Sie auf jeden Fall diese Mail aus Ihrem Postfach!

Derzeit kommt es zu einer Verbreitung von Word-Dokumenten, die beim Öffnen Schadcode aus dem Internet nachladen und ausführen. Dies kann auch passieren, auch wenn die Makro-Ausführung deaktiviert ist. Aktuell gibt es dazu noch kein offizielles Update von Microsoft.

Seien Sie besonders kritisch bei Mails nicht bekannter Absender oder nicht erwarteter Anhänge!

Bitte am besten solche Anhänge nicht öffnen!
Falls der Anhang doch geöffnet wurde, dann auf keinen Fall die „geschützte Ansicht” deaktivieren!
Das Ausführen von Makros auch zukünftig grundsätzlich nicht erlauben!

Bitte löschen und tilgen Sie die Mail aus Ihrem Postfach!

Aktualisierung: Der Juni-Microsoft-Patch (14.06.2022) behebt diese Sicherheitlücke (bekannt als Follina- bzw. MSDT-Schwachstelle). Bitte unbedingt updaten!

Bitte besondere Aufmerksamkeit bei Nutzung von MS OneDrive/MS Teams!

In einer legitim wirkenden E-Mail (inkl. älterer E-Mail-Verlauf) wird auf einen OneDrive-Link verwiesen. Über diesen Link wird auf einen *.files.1drv.com - Link weitergeleitet, über den eine passwortgeschützte ZIP-Datei geladen wird. Das Landesamt für Sicherheit in der Informationstechnik (LSI) ordnet diese Mail einer aktuellen Kampagne zum Verteilen des Schadcodes QakBot zu.

Bitte nicht auf diesen Link klicken!
Bitte die ZIP-Datei auf keinen Fall öffnen!
Bitte löschen und tilgen Sie die Mail aus Ihrem Postfach!

Hinweis: Nutzen Sie möglichst unsere sicheren hochschulinternen Cloudspeicher-Alternativen!

Bitte erhöhte Aufmerksamkeit bzgl. Mails mit Bezug zum Ukraine-Krieg.
Es könnte sich um Mails handeln, die beim Klicken auf Links bzw. Ausführen von Dateien im Anhang u. U. direkt Schadcode ausführen! Es könnten aber auch Phishing-Mails sein.

Bitte öffnen Sie am besten solche Mails erst gar nicht.
Bitte nicht darauf antworten!
Bitte auf keinen Fall darin enthaltene Links ausführen und auch keine Anhänge öffnen!
Bitte löschen und tilgen Sie solche Mails aus Ihrem Postfach!

Microsoft Teams rückt vermehrt in den Fokus von Angreifern. Diese laden dabei eine bösartige ausführbare Datei als Anhang in den Chat von Teams-Teilnehmern und Teams-Gruppen. Wird diese Datei ausgeführt, kommt es zur Übernahme des Rechners.

Die Hochschule rät grundsätzlich von der Nutzung von MS Teams ab. Bitte nutzen Sie unsere Alternativen!

Aktuell sind erneut Fake-Mails in den Fakultäten im Namen der jeweiligen Dekane im Umlauf!

Betreff: [EXTERN] Hallo!
Inhalt: „Könnten Sie bitte eine E-Mail schreiben, wenn Sie diese erhalten.”

→ tatsächlicher Absender von außerhalb der Hochschule: gmail.com-Mailadresse!
→ gekennzeichnet mit [EXTERN]-Präfix im Betreff!

Bitte reagieren Sie nicht auf diese Mail!
Löschen und tilgen Sie diese Mail aus Ihrem Postfach!

Aktuell sind Fake-Mails in den Fakultäten im Namen der jeweiligen Dekane im Umlauf!

Betreff: [EXTERN] Do you have some time?
Absender von außerhalb der Hochschule: gmail-Mailadresse
→ gekennzeichnet mit [EXTERN]-Präfix im Betreff

Bitte reagieren Sie nicht auf diese Mail!
Löschen und tilgen Sie diese Mail aus Ihrem Postfach!

Derzeit sind Fake-E-Mails mit einer Zahlungsaufforderung im Umlauf, die den Anschein erwecken, dass der Absender die Kontrolle über Ihr E-Mail-Konto erlangt hätte.

Der Absender sind nämlich anscheinend Sie selber. Der Betreff ist "Ich werde es nicht bereuen, das Video gepostet zu haben", die Anrede unpersönlich mit "Hallo!". Im Inhalt wird Ihnen Angst gemacht und Sie werden zu einer Bitcoin-Zahlung aufgefordert, um eine Video-Verbreitung an Ihre Kontakte zu verhindern.

Diese Fake-E-Mail kommt tatsächlich von einem Absender außerhalb unserer Hochschule!
Erkennbar an der [EXTERN]-Kennzeichnung in der Betreffzeile!

Bitte ignorieren Sie solche E-Mails und reagieren Sie nicht darauf!
Bitte löschen und tilgen Sie solche E-Mails aus Ihrem Postfach!

Derzeit ist eine Phishing-Mail mit dem Absender „Postbank Sicherheit” im Umlauf.
Dahinter verbirgt sich der tatsächliche Absender PostbankSicherheit@jonny-locksmith.net.
Der Betreff lautet „Wichtige Umstellung”.

Bitte den darin enthaltenen Link nicht anklicken!
Bitte nicht darauf antworten!

Es wurde eine sehr kritische Schwachstelle in der weit verbreiteten Java-Protokollierungsbibliothek log4j entdeckt. Dadurch sind sehr viele IT-Systeme/-Dienste/Anwendungen anfällig für einen sehr einfach durchzuführenden Remote Code Execution Angriff (RCE), d.h. entfernte Angreifer können sehr leicht Schadcode in die Systeme einbringen und diese damit unter ihre Kontrolle bringen bzw. anderweitige Angriffe vorbereiten. Bei unerkannten Erstinfektionen sind spätere Ransomangriffe nicht auszuschließen.
https://www.heise.de/ratgeber/Schutz-vor-schwerwiegender-Log4j-Luecke-was-jetzt-hilft-und-was-nicht-6292961.html

Gegenmaßnahmen:
IT-Systeme/Anwendungen patchen! Informieren Sie sich auf den Herstellerseiten!
Weitere Beobachtung Ihrer IT-Systeme/Anwendungen!

Das BSI aktualisiert regelmäßig die Sicherheitswarnung zu log4j:
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Webanwendungen/log4j/log4j_node.html

Gefahren

Wodurch wird die IT-Sicherheit gefährdet? Die Folgen dieser Gefahren können u. a. zu IT-Ausfall, Datenverlust, Abfluss/Manipulation personenbezogener/geheimer Daten, Identitätsdiebstahl führen.

Phishing setzt sich aus „Password” und „Fishing” zusammen, zu Deutsch „nach Passwörtern angeln”. Beim Phishing wird z. B. mittels gefälschter E-Mails oder Webseiten versucht, Zugangsdaten für einen Dienst oder eine Webseite zu erlangen. Das Opfer hinterfragt bzw. erkennt unter bestimmten Umständen (siehe Social Engineering) die tatsächliche Authentizität einer solchen Nachricht oder Webseite nicht und gibt dann seine Zugangsdaten unwissentlich in unberechtigte Hände.

Vishing (Voice Phishing) ist eine Form des Betrugs über das Telefon. Die Betrüger/innen greifen dabei auf manipulative Taktiken zurück, geben sich beispielsweise als Mitarbeitende anderer Hochschulen, Geschäftspartner/innen, Freunde oder Verwandte aus, um Zugriff auf sensible Daten ihrer Opfer zu erhalten.

Quishing (Phishing mit QR-Codes) sind Phishing-Mails, die anstatt eines Links einen QR-Code enthalten, über den der Nutzer wiederum zur Eingabe seiner Zugangsdaten verführt oder über den Schadcode heruntergeladen wird. QR-Codes werden – anders als Links und Anhänge – von den derzeitigen Anti-Viren-Programmen als Bild betrachtet und damit grundsätzlich als ungefährlich eingestuft. Damit ist die Wahrscheinlichkeit größer, dass solche Mails unmittelbar an die Postfächer der Nutzer zugestellt werden. Der Nutzer wird darin zu einem akuten Handlungsbedarf aufgefordert, den QR-Code per Smartphone zu scannen, der wiederum zu einer manipulierten Website führt.

Beim Social Engineering werden menschliche Eigenschaften wie Neugierde, Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt, um Personen geschickt zu manipulieren. Cyber-Kriminelle verleiten das Opfer auf diese Weise beispielsweise dazu, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen zu umgehen, Überweisungen zu tätigen oder Schadsoftware auf dem Endgerät zu Hause oder im Firmennetzwerk zu installieren. Solche Social Engineering-Attacken können in Form einer Konversation, per Telefon, per E-Mail oder in sozialen Medien erfolgen.

CEO-Fraud als besondere Form von Social Engineering:
Hier versuchen Täter, entscheidungsbefugte Personen im Unternehmen zu manipulieren, damit diese hohe Geldbeträge ins Ausland überweisen. Dabei spiegeln die Täter vor, der Auftrag käme unmittelbar vom Chef des Unternehmens (Geschäftsführer oder Vorstand = Chief Executive Officer = CEO).

Malware sind bösartige Programme, die dazu entwickelt wurden, dem Nutzer Schaden zuzufügen.
Diese sind oft multifunktional und können, haben sie einmal ein System infiziert, zusätzliche Schadprogramme aus dem Internet nachladen, die dann weitere Schäden anrichten.
Es gibt zahlreiche Unterarten von Malware, z. B. Viren, Würmer, Trojaner, Rootkits, Botnets, Ransomware, Spyware … Alle arbeiten anders und richten unterschiedliche Schäden an.
Malware wird u.a. über bösartige E-Mail-Anhänge, Links, Makros in Office-Dokumenten, manipulierte USB-Sticks verbreitet.

Sicherheitslücken/Schwachstellen in IT-Produkten/-Diensten können von Angreifern ausgenutzt werden, um in IT-Systeme einzudringen, Daten abzugreifen und/oder Malware auszuführen.
Gegenmaßnahme: Regelmäßiges Updaten der IT-Produkte/Anwendungen!

Das BSI meldet regelmäßig solche Schwachstellen:
https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Buerger-CERT-Abos/Buerger-CERT-Sicherheitshinweise/buerger-cert-sicherheitshinweise_node.html

Best Practice (Studierende)

Folgende Regeln basieren auf dem an der OTH-AW geltenden Leitfaden Passwörter:

  1. Das Passwort für die hochschulweit gültige OTH-AW-Kennung ist ausschließlich dem Hochschulangehörigen bekannt.
  2. Das Passwort darf auf keinen Fall an Dritte weitergegeben werden, auch nicht an einen guten Freund/Kommilitonen.
  3. Bitte unbedingt ein sicheres OTH-AW-Passwort verwenden: möglichst lang (mind. 10 Zeichen) mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen; keine Verwendung von Name, Vorname, Benutzername; keine Verwendung von Wörtern aus Wörterbüchern/Lexika; keine Verwendung von leicht herauszufindenden persönlichen Angaben.
  4. Während der Passworteingabe über Tastatur ist darauf zu achten, dass kein Dritter dabei zusieht
  5. Das OTH-AW-Passwort sollte auf keinen Fall auch noch im privaten Bereich bei anderen Anbietern, z. B. bei einem privaten E-Mail-Account/Internet-Dienst, verwendet werden! Ist das der Fall, bitte das OTH-AW-Passwort unbedingt ändern!
  6. Wenn das Passwort mehr als dreimal falsch eingegeben wurde, wird der Zugang automatisch für einen gewissen Zeitraum gesperrt. Bitte nehmen Sie telefonischen Kontakt mit dem Rechenzentrum auf.
  7. Bitte teilen Sie das Passwort nie unverschlüsselt per E-Mail mit!
  8. Passwortänderung (wird einmal jährlich erzwungen) immer über die OTH-AW-Webseite. Unter Rechenzentrum ist links unter „Services” der Link „Passwort ändern” zu finden.
  9. Zur Aufbewahrung der pro Anwendung/Dienst vergebenen Benutzerkennung+Passwort-Kombination wird die Verwendung eines Passwortmanager-Tools wie z. B. KeePass empfohlen.
  10. Falls Passwörter im Web-Browser gespeichert werden (Produkt-Abhängigkeit!), dann unbedingt mit einem sicheren Master-Passwort (nicht das OTH-AW-Passwort!) absichern!
  11. Falls Passwörter doch schriftlich festgehalten werden, dann unbedingt sicher (möglichst Tresor!), d.h. für andere unzugänglich, aufbewahren.

  1. Für den Zugriff auf Ihre Mails nutzen Sie entweder den GroupWise-Client der Hochschule, einen alternativen Mail-Client oder WebMail (ohne Mail-Client).
  2. Für den Zugriff über Smartphone nutzen Sie die Smartphone-Datensynchronisation des Rechenzentrums!
  3. Die Kommunikation mit der Hochschule sollte ausschließlich über die OTH-AW-Mail-Adresse erfolgen!
  4. Sollte die Absender-Mailadresse keine @oth-aw.de-Adresse sein, werden solche Mails grundsätzlich mit dem Betreffzeilen-Präfix [EXTERN] gekennzeichnet. Damit werden Mails, in deren Inhalt der Name eines OTH-AW-Mitglieds (z. B. Professor) als Absender missbraucht wird, optisch gekennzeichnet, um Sie bei der Erkennung von Spam-/Phishing-Mails zu unterstützen. Evtl. telefonisch nachfragen!
  5. Bitte keine Weiterleitung von OTH-AW-Mails an eine private Email-Adresse!
  6. Mails, die von einer privaten E-Mail-Adresse an die Hochschule geschickt werden, werden nicht bearbeitet!
  7. Die OTH-AW-Mail-Adresse sollte nicht für den privaten Gebrauch (z. B. für private Bestellungen) verwendet werden. Dafür ist unbedingt eine private E-Mail-Adresse mit einem eigenen Passwort zu verwenden.
  8. Vor dem Öffnen einer Mail bitte den 3-Sekunden Sicherheits-Check machen:
    Ist der Absender bekannt? Ist der Betreff sinnvoll? Erwarten Sie von diesem Absender einen Anhang?
  9. Nach dem Öffnen sollten in folgenden Fällen Zweifel aufkommen: unpersönlicher Anrede, Aufforderung zur Eingabe persönlicher Informationen, Aufbau von Zeitdruck, Drohungen, Gewinnversprechen, usw.
  10. Solche unerwünschten Mails (SPAM oder PHISHING) sofort löschen und in keinster Weise darauf reagieren! Also nicht antworten, keine Links öffnen, keine Anhänge öffnen, nicht anrufen, nichts kaufen!
  11. Sie können solche Mails melden, indem Sie die Mail ALS ANLAGE WEITERLEITEN an spam@oth-aw.de oder phishing@oth-aw.de.

  1. Nutzen Sie bei der Arbeit in PC-Pools zur Datensicherung unbedingt Ihren persönlichen Bereich auf dem Fileserver MyFiles Filr, der vom Rechenzentrum regelmäßig gesichert wird.
  2. Sicherer Datenaustausch über den OTH-AW-internen Fileserver MyFiles Filr (= interne Cloud).
  3. Externe Clouds (= außerhalb der Hochschule) sollten für den Datenaustausch im Hochschulbereich nur sparsam genutzt werden. Abhängig von der Vertraulichkeitsstufe** sind die Daten vorab zu verschlüsseln (V3, V4) und auch nur solange wie notwendig dort zu speichern.
  4. Als externe Cloud für einen sicheren Datenaustausch sehr großer Dateien wird GigaMove empfohlen.
  5. Externe Clouds kommerzieller Anbieter (z. B. Dropbox) gelten als nicht konform mit der Datenschutzgrundverordnung (DSGVO). Bei solchen oft kostenlosen externen Clouds zahlen Sie mit Ihren Daten. Die OTH-AW-Zugangsdaten (Mailadresse, Benutzerkennung, Passwort) dürfen grundsätzlich nicht bei externen Cloud-Anbietern verwendet oder hinterlegt werden.
  6. Daten externer Clouds werden von der OTH-AW nicht gesichert.
  7. Die an der OTH-AW geltenden Cloud-Richtlinien sind zu beachten.

** Vertraulichkeitsstufen:
V1 = öffentlich, V2 = intern, V3 = OTH-AW vertraulich, V4 = streng vertraulich

  • V1-Beispiele: Vorlesungsverzeichnis, Pressemitteilungen, Flyer, öffentliche Veranstaltungen, öffentliche Teile der Webseite
  • V2-Beispiele: Intranet, Prozessportal, Regelwerke, Handlungsanweisungen, Schriftverkehr, interne E-Mails, interne Telefonverzeichnisse, interne Veranstaltungen
  • V3-Beispiele: personenbezogene Daten, Reise-, Gehaltsabrechnungen, Forschungsdaten, technische Daten, Abschlussarbeiten mit Sperrvermerk, Prüfungswesen
  • V4-Beispiele: in Zusammenarbeit mit Dritten (Militär, Forschung, Wirtschaft) aus dienstlicher oder vertraglicher Verpflichtung

  1. Sichere Verbindung ins OTH-Netz über VPN-Zugang
  2. Videokonferenzen über BigBlueButton, Jitsi
  3. Virtuelle Kurse/Vorlesungen: Moodle, BBB über Moodle
  4. Kommunikation/Chatten: RocketChat, GroupWise Messenger
  5. Team-/Projektarbeit: MicroFocus Vibe, MyFiles Filr, GroupWise TeamWorks, MS Teams (mit Einschränkungen)
  6. Umfragen/-Abstimmungen über Terminplaner

  1. Möglichst nur https-Webseiten (s steht für secure, d.h. verschlüsselte Kommunikation!) benutzen.
  2. Vor dem Klicken auf Links oder Bilder den tatsächlichen Link mittels Mouseover überprüfen:
    Darüberfahren mit der Maus ohne zu Klicken zeigt die tatsächliche Web-Adresse an (WER-Bereich zwischen http(s):// und nächstem / genau anschauen!).
  3. Software-Downloads nur von vertrauenswürdigen Seiten oder offiziellen Shops.
  4. Es ist alles zu unterlassen, was den ordnungsgemäßen Betrieb der Einrichtungen der Hochschule stört oder gefährdet.

  1. Denken Sie zweimal nach, bevor Sie etwas posten
  2. Teilen Sie keine vertraulichen Informationen
  3. Seien Sie vorsichtig, wenn Sie über Job oder Arbeitgeber sprechen
  4. Vermeiden Sie die Wiederverwendung von Passwörtern
  5. Verwenden Sie für Ihre Konten unterschiedliche Profilfotos
  6. Halten Sie die Anzahl von Online-Verbindungen (Freunde) so klein wie möglich und beschränken Sie diese auf Personen, die Sie tatsächlich kennen
  7. Wenn Sie jemand belästigt oder bedroht, entfernen Sie die Person aus Ihrer Freundesliste, blockieren sie diese und melden Sie den Vorfall dem Webseitenbetreiber
  8. Nutzen Sie Datenschutzeinstellungen für soziale Medien

Best Practice (Mitarbeitende)

Best Practice steht Mitarbeitenden der Hochschule nach erfolgreicher Anmeldung zur Verfügung.

Informationssicherheitskonzept

Das Informationssicherheitskonzept steht Mitarbeitenden der Hochschule nach erfolgreicher Anmeldung zur Verfügung.

IT-Maßnahmen

Manche IT-Maßnahmen stehen nur Mitarbeitenden der Hochschule nach erfolgreicher Anmeldung zur Verfügung.

Generell zu ergreifende Security-Maßnahmen sind hier zu finden:
c’t-Security-Checklisten kompakt 2022
c’t-Security-Checklisten kompakt 2021

Software-Produkte/Serverdienste

Software-Produkte/Serverdienste steht Mitarbeitenden der Hochschule nach erfolgreicher Anmeldung zur Verfügung.

Awareness-Stärkung

Awareness-Stärkung bietet Möglichkeiten, das eigene Informationssicherheitsbewusstsein zu stärken. Damit wird die Informationssicherheit in der Hochschule (und auch privat!) unterstützt und verbessert. Manche Infos werden Ihnen nur angemeldet angezeigt!

Nützliche Links des BSI zu den Themen:

  1. E-Mail sicher nutzen
  2. Erkennen von Phishing in E-Mails und Webseiten
  3. Sichere Passwörter
  4. Smartphone, Tablet schützen

Eine bundesweite Informations- und Sensibilisierungskampagne von BMI und BSI rund um das Thema IT-Sicherheit im Alltag (Soziale Netze, Onlineshopping, Home-Office, Smarthome, Online-Gaming): #einfachaBSIchern … heißt der Schlüssel für einen unerschrockenen Umgang mit den digitalen Welten.

IT-Sicherheit auf Reisen:
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/IT-Sicherheit-auf-Reisen/it-sicherheit-auf-reisen_node.html

Für Podcast-Liebhaber

Die Uni Mannheim hat einen Cyberkrimi-Podcast entwickelt, der in 5 Folgen Informationssicherheitsthemen in eine Geschichte verpackt:
https://www.uni-mannheim.de/informationssicherheit/sicherheitstipps/podcast/ - und überall wo’s Podcasts gibt.

Folge 1 – E-Mails gehackt?
Folge 2 – Verschlüsselt! Was nun?
Folge 3 – Ist wirklich alles verloren?
Folge 4 – Tatort Büro
Folge 5 – Escape?
Folge 6 – Faktencheck mit dem ISB der Uni Mannheim als Zusammenfassung

Hören Sie rein! Es lohnt sich!

KIT Forschungsgruppe Security – Usability – Society (SECUSO)

NoPhish-Videos zur Erkennung von gefährlichen Anhängen und Links:
https://secuso.aifb.kit.edu/1047.php

Spielerisch lernen, wie man sich schützen kann:
NoPhish Quiz: https://secuso.aifb.kit.edu/1536.php
NoPhish Android App: https://secuso.aifb.kit.edu/521.php
NoPhish – Online-Spiel „Phishing Master”: https://secuso.aifb.kit.edu/1523.php

IT Security Awareness Days von mehreren deutschen Hochschulen (auf Initiative der TU Braunschweig) als Online-Veranstaltungsreihe vom 02.05. bis 19.05.2022 mit Vorträgen rund um die Informationssicherheit.

Die Vortragsthemen reichen von “Sicherheit im Homeoffice” bis “Social Engineering” und richten sich meist an Nutzende ohne Vorkenntnisse.

Das Programm der Online-Veranstaltungsreihe sowie Informationen zur Teilnahme finden Sie unter:
https://blogs.tu-braunschweig.de/it/it-sad-it-security-awareness-days-sommersemester-2022/

Meldewesen

Das Meldewesen steht Mitarbeitenden der Hochschule nach erfolgreicher Anmeldung zur Verfügung.

Kontakt

Funktion(en): Mitarbeiter/in ST Informationssicherheit

Kontakt bitte über diese Mail-Adresse: infosibe@oth-aw.de

Nach oben