weitere Hinweise...


persönliche Identitätsdaten prüfen

In regelmäßigen Abständen wird über Datenfunde mit Sammlungen von Zugangsdaten (Email-Adresse und Passwort) berichtet. Das Hasso-Plattner-Institut der Universität Potsdam stellt dazu den Online-Dienst
„Identity Leak Checker“ zur Verfügung, mit dem jedem die Möglichkeit gegeben wird zu prüfen, ob seine persönlichen Identitätsdaten veröffentlicht wurden.

Hier geht es zum „Identity Leak Checker“ (externer Link)

Der „Identity Leak Checker“ schickt das Prüfergebnis an die geprüfte Mailadresse. Bei positiver Prüfung sollten die Betroffenen unverzüglich ihr Passwort ändern.

Zur Passwortänderung an der FH Aachen nutzen Sie den Dienst https://services.fh-aachen.de/ .
Bei der Nutzung des Dienstes wird der Anwender auf die Regeln der FH zur Passwortbildung hingewiesen.


Hinweise zur Passwortgestaltung sind zudem auf den Internetseiten des BSI für Bürger (externer Link)
oder im Onlinekurs BITS (Behörden IT-Sicherheitstraining)
(externer Link) zu finden.

Schutz vor Erpressungs-Trojaner

Folgende grundlegende Sicherheitshinweise dienen dem vorsorglichen
Schutz vor Verschlüsselungs-/Erpressungs-Trojanern: 

  • Legen Sie regelmäßig Backups Ihrer wichtigsten Dateien an. Der
    Backup-Datenträger darf nicht dauerhaft mit dem Rechner ver-
    bunden sein, da er sonst ebenfalls verschlüsselt werden kann.
  • Halten Sie Ihr System (insbesondere Betriebssystem, Office,
    Browser und Plug-ins) auf dem aktuellen und somit sichersten
    Stand.
  • Stellen Sie sicher, dass Ihr System durch einem Virenscanner
    geschützt wird, der auf aktuelle Signaturen zurückgreift.
    Ab Windows 8 ist das Schutzprogramm Defender vorinstalliert.
    Die Hochschule stellt jedem Beschäftigten kostenneutral
    Schutzsoftware (zurzeit Sophos) zur Verfügung.
  • Konfigurieren Sie Microsoft Office so, dass Makro-Code gar nicht
    oder erst nach einer Rückfrage ausgeführt wird. Bei neueren
    Microsoft Office Installationen erfordert das automatische
    Ausführen von Makros per Voreinstellung eine Bestätigung durch
    den Anwender. Behalten Sie diese Einstellung unbedingt bei.
  • Lassen Sie das Ausführen von Makros nur bei Dokumenten aus
    vertrauenswürdigen Quellen zu – und auch nur dann, wenn es
    unbedingt notwendig ist und Ihnen deren Zweck (in der Regel
    dienstlicher Hintergrund) bekannt ist.  
  • Öffnen Sie keine Dateianhänge von Mails, an deren Vertrauens-
    würdigkeit auch nur der geringste Zweifel besteht. Nehmen Sie
    sich insbesondere vor Mails mit vermeintlichen Rechnungen und
    Mahnungen in Acht, die Sie nicht zuordnen können.
    Auch Bewerbungen, die per Mail geschickt werden, können
    Schadcode in den angehängten Dokumenten beinhalten. 
    (Weitere Hinweise finden Sie unter dem Thema "Achtsamkeit
    beim Empfang von E-Mails" auf dieser Seite)
  • Starten Sie keine ausführbaren Dateien, an deren Vertrauens-
    würdigkeit Sie zweifeln.
  • Laden Sie Dateien nur dann aus dem Internet (Cloud), wenn Ihnen
    deren Herkunft zweifelsfrei bekannt ist. Mails mit vertraulichen
    Absenderangaben, die zum Download von unübliche Quellen
    auffordern oder entsprechende Links beinhalten, könnten gefälscht
    sein. Die Hochschulen in NRW bieten für diese Art von Anwendung
    den Speicherdienst Sciebo an.

Opfer von Ransomware finden auf der Internetseite
https://www.nomoreransom.org/ (externer Link) Unterstützung.
Hier werden u. A. Entschlüsselungstools angeboten.
Initiert wurde das Internetportal von  Europol, Intel Security,
Kaspersky Lab und der niederländische Polizei. Zwischenzeitlich sind
weitere namhafte Partner aus dem Sicherheits- und Strafverfolgungs-
bereich dazugestoßen.

Achtsamkeit beim Empfang von E-Mails

Der Informationsaustausch per E-Mail gewinnt zunehmend an
Bedeutung und erfreut sich aufgrund der flexiblen Einsatzmöglich-
keiten und der einfachen Handhabung wachsender Beliebtheit.
Neben der Telefonie ist Mail das am häufigsten eingesetzte
Kommunikationsmittel. Dabei wird jedoch oft vergessen, dass
Mail nicht immer die richtige Wahl zur Übermittlung von
Informationen darstellt und empfangene E-Mails durchaus gefälschte
Absender und/oder Inhalte aufweisen können. Auf technischem
Wege alle diese "Unzulänglichkeiten" auszuschließen, ist nur bedingt
möglich und wirkt sich auf das Mailverfahren in der Regel durch eine
kompliziertere Handhabung aus. Daher ist es unumgänglich, dass
der Empfänger einer E-Mail über diese Umstände informiert ist und
entsprechend achtsam mit empfangenen Mails umgeht. Dabei
helfen einige einfache vorbeugende Verhaltensregeln, die besonders
vor Phishingmails und Betrugsmails schützen.

  • Prüfen Sie die Absenderadresse der E-Mail. Besonders
    Absenderadressen mit unbekannter Herkunft sollten Sie
    kritisch gegenüberstehen. Eine Absenderadresse kann
    aber auch gefälscht sein. Daher sollte diese immer
    besonders aufmerksam geprüft werden. Denn auch eine
    Ihnen bekannte E-Mailadresse muss nicht zwangsläufig von
    der Person stammen, die Sie hinter der E-Mail vermuten.
    Cyber-Kriminelle nutzen diese Schwachstelle aus, um mit
    einer gefälschten Adresse den leichteren Zugang zum
    Adressaten zu finden. Vergewissern Sie sich im Zweifelsfall
    immer über einen anderen Kommunikationsweg (z.B.
    Telefon), ob die Mail tatsächlich vom vorgegebenen
    Absender stammt. Überprüfen Sie, falls vorhanden, die
    Signatur des Senders.
    Die Verbraucherzentrale NRW erklärt hier (externer Link)
    verständlich die Lesart des Mail-Headers. So erfahren
    Sie mehr über die tatsächliche Herkunft der Mail. 
  • Vorsicht bei fragwürdigen Betreff. Prüfen Sie den Betreff
    der E-Mail. Können Sie den Betreff der Mail in keiner Weise
    mit dem aktuellen Dienst- und Alltagsgeschäft in
    Verbindung bringen, ignorieren Sie die Mail. Von Ihnen
    wird als Sender auch erwartet, dass Sie einen zum
    Thema passenden Betreff formulieren. Im Zweifelsfall
    kontaktieren Sie den Absender zur Klärung per Telefon.
  • Stellen Sie beim Lesen der E-Mail eine Anhäufung von für
    die deutsche Sprache untypischen Formulierungen,
    grammatikalische und orthografische Fehler fest, ignorieren
    Sie die Mail. Sind Sie verunsichert, vergewissern Sie sich,
    indem Sie auf einem anderen Kommunikationsweg den
    Absender um Klärung bitten.
  • Schadsoftware wird per E-Mail durch entsprechend
    präparierte Links oder durch angehängte Dateien
    eingeschleust. Am häufigsten werden ausführbare Dateien
    (Dateien mit der Endung *.exe) mit Schadcode versehen.
    Öffnen Sie einen Anhang nie aus reiner Neugier. Können
    Sie die Mail nicht eindeutig zuordnen, verwerfen Sie den
    Anhang und auch die Mail. Es wird Ihnen nichts entgehen,
    außer der Ärger, der durch die möglicherweise eingeschleppte
    Schadsoftware auf Sie zukommen kann. Auch hier gilt die
    Regel, im Zweifelsfall beim Absender nachzufragen.
    Einem per Mail empfangenen Link blindlings zu folgen, stellt
    ein hohes Sicherheitsrisiko dar. Der Link kann auf eine andere
    als die vorgegebene Internetseite führen und von dort
    Schadsoftware auf Ihren PC einschleusen. Häufig wird unter
    einem vorgegebenen Vorwand auf gefälschte, "nachgebaute"
    Internetseiten umgeleitet. Über diese Seiten werden dann
    unberechtigt Logindaten/Zugangsdaten abfragen, um diese
    für weitere Straftaten zu missbrauchen. In diesen Fällen ist
    besondere Vorsicht angeraten. Beim geringsten Zweifel
    sollte die Rückversicherung beim Absender erfolgen.

Mehr zum sicheren Umgang mit E-Mails können Sie
hier (externer Link) herfahren.

Der Phishing-Radar der Verbraucherzentrale NRW warnt
hier (externer Link) vor aktuellen Betrugsversuchen per Mail.

Wie Sie Phishing-Mails erkennen, erklärt Ihnen die
Verbraucherzentrale NRW hier (externer Link).

Nutzung von externen "Cloud"-Diensten

An dieser Stelle wird ausdrücklich darauf hingewiesen, dass "Cloud"-
Dienste, wie beispielsweise Dropbox, nicht als Arbeitsmittel für
dienstliche Zwecke in der IT-Landschaft der FH Aachen vorgesehen
sind.
Der LDI NRW (Landesbeauftragter für Datenschutz und
Informationsfreiheit Nordrhein-Westfalen) stellt in seinem Schreiben
vom 31.07.2013 fest, dass für den Datentransfer über "Safe Harbor"
(dazu zählt ohne Zweifel auch Dropbox) zurzeit kein angemessenes
Datenschutzniveau angenommen werden kann. Dies bedeutet für die
FH Aachen, dass die Verarbeitung (speichern und verteilen) von
sensiblen Daten, dazu zählen besonders personenbezogene Daten
und Forschungsdaten, mittels Cloud-Diensten wie Dropbox nicht
zulässig ist!

Das Angebot der IT-Dienste der FH Aachen ist auf der Web-Seite der
DVZ katalogisiert.

 

Weiterführende Informationen zu dem Thema:

Schreiben des LDI NRW vom 31. Juli 2013 (externer Link)

Hinweise zum Internationalen Datenverkehr und "Safe Harbor"
(externer Link)

Bericht zu Dropbox auf heiseSecurity (externer Link)

Wie erkenne ich eine digital sig-nierte Mail?

Administratoren signieren Mails

Mails mit administrativen Inhalten werden von den Administratoren
der FH Aachen zum Schutz vor Phishingmail signiert. Dies soll haupt-
sächlich gefälschten administrativen Anweisungen an die FH-Ange-
hörigen vorbeugen. Die zunehmende Professionalität bei der Er-
stellung von gefälschten Mails erschwert das Erkennen als solche.
Die Signatur gilt als verlässliches Merkmal für die Echtheit der Mail
und kann vom Empfänger leicht überprüft werden.

Massenhafter "Datenklau"

Im Januar 2013 berichtete das BSI von 16 Millionen gestohlenen
digitalen Identitäten, die bei der Analyse von Botnetzen entdeckt
wurden. Seitdem berichten die Medien regelmäßig über den
"millionenfachen Datenklau". Meldungen von Betroffen aus dem
Bundestag und den Bundesministerien deuten auf das Ausmaß
und die Brisanz der Angelegenheit hin. Es kann nicht ausgeschlossen
werden, dass auch eMail-Konten von Angehörigen der FH Aachen
betroffen sind. Als wichtigste Maßnahme muss der Betroffene dann
unverzüglich sein Passwort ändern. Das BSI wusste bereits seit
August 2013 von dem Datenklau. Man kann davon ausgehen, dass
die Täter zu einem noch früheren Zeitpunkt im Besitz der
Zugangsdaten waren. Somit besteht durchaus berechtigt die
Annahme, dass bereits davon Gebrauch gemacht wurde. Für einen
betroffenen Angehörigen der FH Aachen kann dies konkret bedeuten,
dass über einen längeren Zeitraum unbemerkt seine eMails mitgelesen
wurden. Die Prüfung, in wie weit dadurch auch sensible Daten in fremde
Hände gelangt sein könnten, sollte von jedem betroffenen
FH-Angehörigen gewissenhaft durchgeführt werden. Im Falle eines
Falles sollte der Informationseigentümer benachrichtigt werden.
Sind personenbezogenen Daten betroffen, muss der behördliche
Datenschutzbeauftrage der FH hinzugezogen werden.

Netzzugriff für Windows XP Rechner läuft aus

Zum Jahreswechsel 2014/15 werden Rechner mit dem veralteten
Betriebssystem Windows XP nicht mehr im Hochschulnetz zugelassen.
Diese Maßnahme folgte auf Microsoft's Entscheidung, den Support für
das Betriebssystem XP einzustellen. Der weitere Betrieb des ver-
alteten Systems stellt ein nicht kalkulierbares Sicherheitsrisiko für
unser Hochschulnetz dar.

 

   

x