IT-Sicherheit

Ihr Passwort lautet auch 123456? Glückwunsch, damit haben Sie es auf Platz 1 der beliebtesten Passwörter in Deutschland geschafft. Diese Liste wird einmal jährlich vom Hasso-Plattner-Institut (HPI) veröffentlicht. Nutzende der dort veröffentlichen Passwörter gehen fahrlässig mit ihren Zugangsdaten um, doch auch andere Passwörter sind unsicher und für Hacker leicht zu erraten. Hier eine Übersicht, welche Anforderungen ein sicheres Passwort erfüllen sollte:

• Länge - Je länger desto besser, Minimum 10 Zeichen
• Alphanumerisch - Nutzen Sie eine Kombination aus Buchstaben (groß und klein), Zahlen und Sonderzeichen
• Bekanntes - Nutzen Sie keine Geburtsdaten aus Ihrem Umfeld oder Haustiernamen
• Folgen - Nutzen Sie keine Zahlenfolgen (12345678) oder Tastenfolgen (qwertz)
• Divers - Nutzen Sie verschiedene Passwörter für verschiedene Zugänge
• Ändern - Wenn Sie ein Passwort von einem Anbieter generiert bekommen (beispielsweise das Initialpasswort für den Benutzerzugang der Hochschule) ändern Sie dies schnellst möglich in ein individuelles Passwort

Befolgen Sie diese Ratschläge entsteht am Ende ein Passwort wie beispielsweise "Xü*&28uakPlwk§". Äußerst sicher, aber äußerst schlecht zu merken. Wir empfehlen deswegen folgende Methode:

• Arbeiten Sie mit einem Merksatz, beispielsweise: Der TBV Lemgo wurde 1997 und 2003 deutscher Meister
• Im ersten Schritt verkürzen Sie den Satz auf die Anfangsbuchstaben: DTBVLw1997u2003dM
• Schon ganz gut, aber am besten verkürzen oder ersetzen Sie nun noch einzelne Bestandteile. Statt TBV Lemgo nehmen Sie den "TeBeVau", die Jahreszahlen verkürzen Sie: DTeBeVauw'97u'03dM
• Nun ersetzen Sie noch einige Buchstaben durch recht ähnliche oder funktional ähnliche Sonderzeichen. Beispielsweise V durch die Kombination von \ und / und das "und" durch ein +: DTeBe\/auw'97+'03dM

So haben Sie ein sicheres Passwort generiert. Da Sie wahrscheinlich mehrere Passwörter benötigen, arbeiten Sie am besten mit einem Passwortmanager. Wie das funktioniert lesen Sie im nächsten Abschnitt.

Weitere externe Informationen

• Sichere Passwörter erstellen (BSI-Webseite)
• Die beliebtesten Passwörter 2021 (HPI-Webseite Universität Potsdam)

Ein Passwortmanager oder Passwortsafe ist ein Programm, in dem Sie Ihre zahlreichen Passwörter für verschiedene Zugänge und Dienste speichern können. Teilweise bieten diese Programme auch die Möglichkeit, sichere Passwörter zu generieren oder Zahlungsdaten zu speichern. Der Vorteil eines solchen Programms: Statt vieler Zugangsdaten müssen Sie sich nur die Zugangsdaten zum Passwortmanager merken.

• Wichtig: Das Passwort zu Ihrem Passwortsafe sollte äußerst sicher sein, gegebenenfalls sollten Sie dies von Zeit zu Zeit wechseln. Denn: Erlangt jemand Zugang zu Ihrem Passwortsafe, erlangt er automatisch Zugang zu allen gespeicherten Daten.

Wir empfehlen die Nutzung des kostenlosen Programms KeePass. Eine Anleitung zu diesem Thema haben wir Ihnen hier bereitsgestellt:

• S(kim)-Dokumentation Passwortsafe

Weitere externe Informationen

• KeePass herunterladen (externer Link, bitte wählen Sie die neueste Version)
• Installationsanleitung KeePass (externer Link Universität Mannheim)
• Video-Tutorial (externer Link Youtube)

Nutzen Sie wirklich nur in absoluten Ausnahmefällen externe Speichermedien (Festplatte, USB-Sticks, etc.) um Daten zu transferieren. Diese Geräte sind aus vielerlei Hinsicht eine Bedrohung für jede IT-Umgebung:

• Da diese Geräte häufig an verschiedenen Endgeräten benutzt werden, können diese leicht zu wahren Virenschleudern werden. Nicht jedes Schutzprogramm prüft eingesteckte Speichermedien sofort auf Viren, eigentlich geschützte Endgeräte bieten so eine breite Angriffsfläche.
• Immer kleiner werdende USB-Sticks mit immer größeren Speichern gehen schnell mal verloren. Sind die Sticks nicht geschützt, können Daten in fremde Hände geraten.
• Auch wenn Daten von externen Datenträgern gelöscht werden, hinterlassen diese Spuren. Ohne weiteren Schutz können gelöschte Daten schnell wiederhergestellt und somit sichtbar für andere werden. Tipp: Überschreiben Sie einen Datenträger nach dem Löschen noch ein paar Mal mit nicht-sensiblen Daten. Die Wiederherstellung wird so erschwert.

Tipp - Sollten Sie nicht auf externe Datenträger verzichten können, machen Sie Datendieben das Leben schwer und verschlüsseln Sie die Daten. Wie Sie das tun erfahren Sie im nächsten Bereich Festplatte verschlüsseln.

Gut zu wissen - Statt Daten über Festplatten oder Speichersticks zu transferieren, können Sie als Hochschulmitglied den Cloud-Speicher "Sync&Share" benutzen. Hier werden die Daten geprüft, evtl. Schadsoftware wird nicht übertragen. Weitere Informationen hierzu finden Sie in der Dokumentation Sync&Share.

Gerade im mobilen Einsatz kann es passieren, das Arbeitsgeräte (Computer, Smartphone, Tablet) verloren gehen. Sei es durch Diebstahl oder aber auch durch Liegenlassen/Vergessen im Hörsaal, Besprechungsraum, Zug, Hotel oder anderen flüchtigen (Durchreise-)Orten. Sicherlich ist in einem solchen Fall das Arbeitsgerät mit einem Passwort versehen, welches eine Anmeldung am Betriebssystem kontrolliert. Aber durch den Ausbau der Festplatte (Speicher) lassen sich alle vorhandenen Daten bequem von einem anderen Gerät auslesen.

Für genau diesen Verlust ist es wichtig, dass nicht nur der Zugriff auf das Arbeitsgerät (Computer, Betriebssystem) mit einem Passwort gesichert ist, sondern auch die Festplatte mit den enthaltenen Daten vollständig verschlüsselt ist. Eine verschlüsselte Festplatte gestattet nur den Zugriff über eine Anmeldung am Arbeitsgerät, nicht jedoch auf die ausgebaute Festplatte.

Gut zu wissen

• Externe Geräte - Dieses Thema betrifft zum einen aktive Arbeitsgeräte (Notebooks, Smartphones, Tablets) aber auch mobile Datenträger wie USB-Sticks oder mobile Festplatten.
• MS Windows & Apple macOS - Aktuelle Betriebssysteme bieten für die interne Festplatte sowie für externe Geräte die Möglichkeit diese zu verschlüsseln. Bei MS Windows geschieht das in der Systemsteuerung mit BitLocker. Bei Apple macOS ist das Thema in den Systemeinstellungen unter "Sicherheit & Datenschutz" FileVault zu finden. 
• Passwort - Basaler Bestandteil einer Festplattenverschlüsselung ist immer ein Passwort. Sollte dieses Passwort verloren gehen kann auf die verschlüsselten Inhalte nicht mehr zugegriffen werden.
• S(kim)-Systeme - Die vom S(kim) ausgelieferten Arbeitsgeräte der Verwaltung, des IWD und des S(kim) sind mit BitLocker verschlüsselt und für die Mitarbeitenden eingerichtet. Die dazugehörigen Passwörter liegen beim S(kim).

Hochschuldaten gehören auf Hochschulserver. Sichern Sie Ihre Daten deswegen nicht lokal, sondern nutzen Sie die Netzlaufwerke der Hochschule. Das schont nicht nur die Ressourcen Ihres Endgerätes sondern erhöht auch die Datensicherheit. Abstürze, verschwundene oder defekte Endgeräte - von den Servern der Hochschule werden regelmäßig Sicherungskopien (Backups) erstellt. Selbst wenn ein Server mal crasht, können die Daten von den Backup-Servern wiederhergestellt werden.

Betriebssysteme (MS Windows, Apple macOS, etc.) und Anwendungs-Software (MS Office, Adobe Photoshop, etc.) sind häufig mit Programmierfehlern behaftet, die zum einen ein Fehlverhalten erzeugen, zum anderen aber auch Sicherheitslücken öffnen. Diese werden von den Herstellern nach einiger Zeit erkannt und durch Updates behoben.

Das Aktualisieren von Betriebssystemen und Software-Produkte ist deswegen zwar enorm wichtig - aber als Schutzmaßnahme nicht ausreichend. Der Grund dafür: Die Updates zu Sicherheitslücken sind immer nacheilend. Zwischen dem Aufkommen von Sicherheitslücken und der Behebung durch ein Update besteht die Möglichkeit, dass die Lücken ausgenutzt werden. Darüber hinaus bestehen weitere Gefahren die durch E-Mail-Korrespondenz oder andere Anwendungen eingeschleust werden.

Neben den regelmäßigen Updates für Betriebssystem und Software ist die Verwendung von Virenschutz-Software unabdingbar. Diese Software erkennt Muster und Verhalten, die auf Angriffe oder andere Gefahren hindeuten. Diese Bereiche werden frühzeitig vom System isoliert, der Nutzer erhält entsprechende Rückmeldungen. Auch die Virenschutz-Software benötigt regelmäßige Updates um vor den neusten Angriffsmethoden zu schützen.

Gut zu wissen: Alle Arbeitsgeräte von Hochschulmitgliedern mit den Betriebssystemen MS Windows und Apple macOS müssen mit der Antivirus-Lösung der Hochschule geschützt werden. Dabei ist es wichtig zu wissen, welcher Organisationseinheit Sie angehören, bzw. wer für die Administration zuständig ist:

• Verwaltung, IWD, S(kim) - Die vom S(kim) ausgelieferten Arbeitsgeräte der Verwaltung, des IWDs und des S(kim) sind mit einer Viren­schutz-Software ausgestattet. Diese Software wird durch das S(kim) aktualisiert.
• Fachbereiche - Auch den Fachbereichen steht diese Software zur Verfügung und auch die Fachbereichs-Arbeitsgeräte lassen sich an die Viren­schutz-Server des S(kim) für automatisierte Updates anbinden. Wenden Sie sich in diesem Fall an Ihren IT-Ansprechpartner im Fachbereich. Weitere Informationen zur Beschaffung und Installation finden Sie in der der Dokumentation Hardware/Software/Rahmenverträge. Bitte melden Sie sich auf dieser Seite zunächst mit Ihrer Benutzerkennung und dem Passwort an und navigieren Sie dann auf den Bereich "Software für Mitarbeitende".
• Private Geräte - Auch für private Rechner von Mitarbeitenden der Hochschule besteht die Möglichkeit der Nutzung einer Virenschutz-Software. Wie Sie diese für private Endgeräte beziehen finden Sie ebenfalls in der Dokumentation Hardware/Software/Rahmenverträge. Bitte melden Sie sich auf dieser Seite zunächst mit Ihrer Benutzerkennung und dem Passwort an und navigieren Sie dann auf den für Sie interessanten Bereich (Software für Mitarbeitende oder Software für Studierende).

Spam - Auch wenn die E-Mail-Filter des S(kim) bereits auf Hochtouren arbeiten, erreichen die Hochschulmitglieder immer noch unerwünschte E-Mails. Oft handelt es sich dabei "nur" um nervige Werbung, die versucht auf Produkte aufmerksam zu machen und zu verkaufen. Hier sind auch Themen wie Glückspiel oder Pornografie keine Seltenheit. Das Ziel ist hierbei stets dasselbe: Es werden an eine große Adressatengruppe sehr viele E-Mails versendet, mit der Hoffnung, dass einige wenige "anbeißen". Schließlich sind 1% von 6.000.000 immer noch 60.000 potentielle Abnehmer für derartige Angebote. Spam bezieht sich also auf große E-Mail-Fluten, die auch in Wiederholungen auftreten können. Hierbei geht nicht gleich von jeder Spam-E-Mail eine Gefahr aus, sie sind oft offensichtlich, nervig und können einfach gelöscht werden. Auch wenn der wirtschaftliche Schaden durch die Rechenleistung und Maßnahmen in den Rechenzentren nicht zu vernachlässigen ist.

Phishing - Diese Form von E-Mails wird häufig über Spam-Attacken verteilt und ist deutlich aggressiver, da mit der E-Mail als Kontaktform versucht wird, von dem Adressaten (Ihnen) eine Aktion hervorzurufen, die entweder versucht sensible Daten (bspw. Zugangsdaten der Hochschule) zu erhalten oder in der E-Mail enthaltene Datei-Anhänge (PDF, PowerPoint, Word, Excel, etc.) zu öffnen. Diese beiden verschiedenen Vorgehensweisen (Angriffe) haben unterschiedliche Ausprägungen:

• Ermittlung von Zugangsdaten - Diese Methode versucht Sie über einen Verweis in der E-Mail auf eine Webseite zu leiten, die häufig ein Nachbau (mal gut mal schlecht) von einer Ihnen bekannten Webseite (Bspw.: Webmail der TH OWL oder andere Hochschul-Portale) entspricht. Durch den Inhalt der E-Mail sollen Sie animiert werden, sich auf der verlinkten nachgebauten Webseite mit Ihren Zugangsdaten anzumelden. Diese Methode (Metapher "Trojanisches Pferd") erhält also über die nachgebaute Seite und durch Ihre dortige Eingabe Ihre Zugangsdaten. Häufig werden Sie nach der Eingabe auf die echte Webseite weitergeleitet, sodass der Irrtum nicht einmal auffällt.
• Öffnen von Anhängen - Diese Methode versucht Sie zu animieren, in der E-Mail enthaltene Anhänge zu öffnen, die dann durch das Öffnen offensichtliche oder im Hintergrund schadhafte Codes ausführen. 

Beide Vorgehensweisen sind sehr gefährlich und erfordern im E-Mail-Alltag ein hohes Maß an Aufmerksamkeit, beginnend bei der Beurteilung einer eingehenden E-Mail.

Da viele Schad-E-Mails auf den ersten Blick gut gemacht sind, geben wir Ihnen hier ein paar Merkmale an die Hand, anhand derer Sie Schad-E-Mails erkennen:

• Absender - Der Absender gibt an Hochschulmitglied zu sein, die Absende-Adresse endet aber nicht auf "@th-owl.de". Häufig in Kombination mit an der Hochschule bekannten Namen.
• Es eilt - Die Nachricht enthält eine Aufforderung dringend zu handeln: Ihr Konto wird gesperrt, wenn Sie nicht...
• Die Nachricht enthält eine Datei im Anhang, die Sie öffnen sollen
• Um eine angehängte Datei öffnen zu können, sollen Sie Makros aktivieren
• Krude Formulierungen, abstruse Inhalte: "VI€LE MILION FUR IHNEN - BITTE GLECIH ZU LE$EN DIES, MEINE GESCHAZTER FREUND!!!!!!!"

E-Mails dieser Art öffnen Sie am besten gar nicht erst. Das bloße Anschauen einer solchen Mail ist unproblematisch, ohne eine Interaktion Ihrerseits (Download und/oder Öffnen eines Anhangs, Eingabe Ihrer Daten) wird eine E-Mail keinen Schaden bei Ihnen anrichten. Antworten Sie nicht, öffnen Sie keine Anhänge und aktivieren Sie keine Makros. Löschen Sie die E-Mail am besten einfach aus Ihrem Postfach.

Teilweise enthalten diese E-Mails Links zu Webseiten, auf denen Ihre Daten ausgespäht werden sollen. Wie Sie verdächtige Links erkennen, lesen Sie im nächsten Bereich Links prüfen.

Links sind nicht immer das, wonach Sie auf den ersten Blick aussehen. Die Gestaltung des Links auf einer Webseite oder in einer Mail ist die eine Sache, wohin dieser Link dann wirklich führt ist die andere.

Beispiel gefällig?

Webseite der TH OWL oder www.th-owl.de

Beide Links führen vermeintlich zum Webauftritt der Hochschule. In Wirklichkeit führen Sie aber zu den Seiten des Kreises Lippe. Wohin Sie der Link führt sehen Sie, wenn Sie mit dem Zeiger ein wenig auf dem Link verharren. Dann wird Ihnen entweder in der Nähe des Zeigers die Ziel-Adresse angezeigt oder Ihr Internetbrowser zeigt Ihnen das Ziel in der linken unteren Ecke an.

Doch Vorsicht: Seiten, die versuchen Ihre Daten abzugreifen, können sich auch hinter scheinbar harmlosen URLs verbergen. So könnten Betrüger eine Anmeldeseite der TH OWL nachbauen, um Ihre Zugangsdaten zu ergaunern. Unter www.wirklauendaten.de wäre diese sicherlich schlecht versteckt. Doch bei www.th-ovl.de oder www.owl-th.de muss man schon genau hinschauen um zu sehen, dass diese Links nicht auf Seiten der TH OWL führen.

Gut zu wissen: Ausschlaggebend ist immer der "Wer-Bereich" einer Internetadresse. Dieser besteht immer aus den letzten beiden Begriffen vor dem ersten alleinstehenden Slash (/). Die Webseiten der TH OWL haben immer "th-owl.de" als "Wer-Bereich". Führt Sie ein Link zu der Seite www.th-owl.de.anmeldung.de, ist dies keine Seite der TH OWL. Der "Wer-Bereich" in diesem Fall ist "anmeldung.de". Besonders vorsichtig sollten Sie sein, wenn der "Wer-Bereich" aus Zahlen, also eine IP-Adresse besteht: 95.130.22.98/th-owl.de/. Für seriöse Anbieter gibt es wenig Gründe das Ziel hinter der IP zu verstecken. Folgen Sie solchen Links nicht.

Nicht nur bei Geschäftsreisen nach China, sondern auch bei Reisen ins befreundete Ausland besteht die Gefahr, dass Sie das Ziel von Spionageaktivitäten ausländischer Nachrichtendienste werden. Umso wichtiger ist eine systematische Vor- und Nachbereitung. In der Dokumentation "Mobiles Arbeiten" haben wir für Sie die wichtigsten Tipps und Verhaltensregeln zusammengefasst. Direkt zur Dokumentation geht's über diesen Link:

Mobiles Arbeiten im Ausland

Sollten Sie in die Falle getappt sein und Sie haben Ihre Zugangsdaten eingegeben oder eine angehängte Datei runtergeladen oder installiert, nehmen Sie bitte untenstehende Schritte vor:

• Ändern Sie Ihr Kennwort bitte UMGEHEND im IDM unter https://idm.th-owl.de
• Keine falsche Scheu, bitte geben Sie UMGEHEND Rückmeldung an das S(kim) bzw. Ihren IT-Ansprechpartner im Fachbereich, dass Sie Ihre Zugangsdaten weitergegeben haben.
• Falls Sie verdächtige Tätigkeiten bemerken, erwähnen Sie dies ebenfalls UMGEHEND.

Wichtig: Legen Sie bitte an dieser Stelle keine falsche Scheu an den Tag und informieren Sie wirklich das S(kim) oder Ihren Fachbereichs-Admin. Zahlreiche Kolleginnen und Kollegen werden es Ihnen danken.

Wollen Sie auf unterhaltsamen Wege ein wenig mehr zum Thema IT-Sicherheit erfahren? Die IT der Uni Mannheim hat einen kurzes spannendes Krimi-Hörspiel produziert. Nutzen Sie doch die Fahrtzeit auf Ihrer nächsten Dienstreise und hören mal rein:

ESCAPE - Der Cyberkrimi-Podcast zur Informationssicherheit

E-Mail: support@th-owl.de
Telefon: +49 5261 702-2222