zum Inhalt

IT-Sicherheit für Universitätsangehörige

Für Sicherheit in der EDV sind nicht nur technische Systeme zuständig, sondern ebenso die einzelnen Benutzerinnen und Benutzer. Der sorgsame Umgang mit den Ressourcen der Kunstuniversität umfasst, neben der bestimmungsgemäßen Verwendung der Hardware, auch die Software- und Datensicherheit.

Sicherheit bei Benutzung der Hardware


Versperren Sie das Büro beim Verlassen

Auch wenn es nur eine kurze Abwesenheit ist, können Wertgegenstände aus den Büroräumlichkeiten entwendet werden, außerdem verhindern Sie damit, dass Unbefugte physischen Zugriff auf Ihre Geräte und Datenträger haben.

Logout beim Verlassen des Arbeitsplatzes

Wenn Sie nicht mehr an Ihrem Rechner arbeiten, melden Sie Ihren Benutzer ab oder sperren Sie den Bildschirm. Aktivieren Sie die automatische Sperre mittels Einstellungen im Bildschirmschoner (Anmeldeseite bei Reaktivierung). Bei Dienstende fahren Sie das Gerät vollständig herunter.

Mobile Geräte (Laptop, Tablet, Smartphone) nicht unbeaufsichtigt lassen

Behalten Sie Ihre Geräte auch in einer scheinbar sicheren Umgebung, wie z. B. in Uni-Gebäuden, im Blick.

Vorsicht vor dem Schulterblick

Nicht nur in der Öffentlichkeit besteht die Gefahr, dass jemand auf Ihren Bildschirm oder Ihre Tastatur sehen kann und damit z. B. Passwörter oder sensible Daten ausspäht. Sollten Sie unsicher sein, dies verhindern zu können, so können Blickschutzfolien helfen, die am Bildschirm des jeweiligen Geräts angebracht werden.

Externe Datenträger und Geräte

Verwenden Sie für dienstliche Zwecke keine Geräte (z. B. USB-Sticks, Mäuse, Tastaturen), die Sie gefunden oder geschenkt bekommen haben. USB-Geräte, die man als Werbegeschenke erhält, können unbemerkt Schadsoftware enthalten, die etwa Ihre Dateneingabe protokollieren oder sogar die Elektronik Ihres Rechners beschädigen.

Datenträger mit dienstlichen Daten müssen am Ende der Verwendungsdauer sicher gelöscht bzw. vernichtet werden, kontaktieren Sie dazu den IT Helpdesk.

Sicherheit von Software und Daten


Nur notwendige Software installieren

  • Achten Sie darauf, von wo Sie welche Software herunterladen und seien Sie bei der Installation aufmerksam, ob Ihnen nicht zusätzlich unerwünschte Software untergejubelt wird.
  • Überprüfen Sie regelmäßig, ob Sie die installierte Software noch benötigen.

Sichere Zugangsdaten und Benutzerkonten

  • Verwenden Sie nicht Ihre dienstlichen Zugangsdaten für externe Services.
  • Verwenden Sie nicht das gleiche Passwort für unterschiedliche Logins.
  • Ändern Sie Ihre Passwörter regelmäßig, etwa alle 6 bis 12 Monate.
  • Sichere Passwörter: Möglichst lange Zeichenfolge mit unterschiedlichen Zeichen (Groß- und Kleinschreibung, Ziffern, Sonderzeichen). Es sollte keinen Bezug zu Ihrer Person beinhalten, also Namen, Adresse, Geburtsdatum, Telefonnummer usw. vermeiden. Leichter zu merken sind Sätze oder Anfangsbuchstaben von Wörtern eines Satzes.
  • Halten Sie soweit möglich auch Ihren Login-Namen (z. B. Personal-/Matrikelnummer) geheim.
  • Speichern Sie Ihre Zugangsdaten nicht unverschlüsselt ab. Wenn Sie Passwörter im Klartext notieren, dann keinesfalls elektronisch und keinesfalls so, dass diese leicht zugänglich sind (keine Post-its am PC). Zur elektronischen Verwaltung empfiehlt sich ein Passwortmanager wie z. B. "KeePass".
  • Auf Computern der Kunstuni werden lokale Benutzerkonten verwendet, richten Sie sich zur täglichen Arbeit nach Möglichkeit ein Benutzerkonto mit eingeschränkten Berechtigungen ein (also kein Administrator-Benutzer).
  • Browser bieten die Möglichkeit, Zugangsdaten inkl. Passwörter zu speichern, wenn Sie davon Gebrauch machen, schützen Sie Ihre Zugangsdaten auf jeden Fall mittels Master-Passwort (die Möglichkeiten sind je nach Browser und Gerät unterschiedlich).

Umgang mit Daten

  • Grundsätzlich sollten die zur Verfügung gestellten Netzlaufwerke zur Datenspeicherung verwendet werden. Daten, die nicht dort abgelegt sind, müssen Sie selbst sichern.
  • Verwenden Sie zum Austausch von dienstlichen Daten keine externen Services, die vom ZID nicht freigegeben sind (also kein WhatsApp, Facebook etc.).
  • Falls Sie Daten bzw. Backups auf externen Datenträgern haben, versehen Sie diese wenn möglich mit Passwörtern und verwahren Sie die Geräte sicher (am besten versperrt).
  • Lassen Sie keine Ausdrucke im Drucker liegen.
  • Sollte beim Öffnen von Dokumenten ein Dialogfeld erscheinen, das z. B. zum Ausführen von Skripten oder Makros aufruft und Sie kennen nicht deren genauen Zweck, so bestätigen Sie das nicht und kontaktieren Sie den IT-Helpdesk.
  • Wenn Sie den Verdacht haben, dass auf Ihrem Rechner Schadsoftware ausgeführt wird, dann trennen Sie das Gerät am besten physisch vom Netzwerk (Netzwerkstecker ziehen).

Updates

Speziell Sicherheitsupdates sollten regelmäßig durchgeführt werden. Aktivieren Sie die automatischen Updates, sowohl des Betriebssystems als auch der Programme/Apps.

Anti-Virus

Auf Rechnern, die vom ZID ausgegeben werden, ist Avira Antivirus installiert, bitte deaktivieren Sie das nicht. Bei Windows ist auch der "Windows Defender" ausreichend.

Umgang mit E-Mails


Seien Sie vorsichtig speziell gegenüber E-Mails, in denen Sie aufgefordert werden, etwas zu tun, wie: Link anklicken, Webseite aufrufen, Anhänge öffnen.

Achtung! Wie bei herkömmlichen Briefen auch, kann ein Absender gefälscht sein, wenn Sie sich nicht sicher sind, fragen Sie beim Absender nach, ob das E-Mail tatsächlich von ihm stammt, am besten über andere Kommunikationskanäle (persönlich, telefonisch, andere E-Mail-Adresse, Messenger-Apps).

Leiten Sie verdächtige E-Mails "als Anlage" an den ZID-Helpdesk weiter.

Spam-/Junk-Mails

Damit werden unerwünschte, massenweise verschickte E-Mails bezeichnet. Aus Sicht der EDV ergibt sich das Problem, dass "unerwünscht" ein subjektives Kriterium ist, das heißt es wird nie möglich sein, bereits im Vorfeld sämtliche Spam-Mails zu filtern und umgekehrt kann es durchaus möglich sein, dass erwünschte Mails als Spam gekennzeichnet werden.

Verwenden Sie Ihre dienstliche Adresse nicht zur Anmeldung bei externen, nicht beruflich notwendigen Diensten (Online-Shops, Portale, Chats, Foren, Social Media, Gewinnspiele …).

Reagieren Sie nicht auf eine Spam-Mail und klicken Sie nicht auf darin enthaltene Links, denn dadurch weiß der Absender, dass Ihre E-Mail-Adresse aktiv ist und Sie Ihre E-Mails lesen, die Folge sind häufig noch viel mehr Spam-Mails.

Begriffe aus der IT-Sicherheit

Im Zusammenhang mit diesem Thema werden viele Begriffe verwendet, im Folgenden ein kleiner Überblick:

Böswillige Software, Überbegriff für schädliche Programme und Skripte.

Das Wort kommt von Passwort und „fishing“ (angeln), also das „Angeln nach Zugangsdaten“. Das Ziel ist meistens Identitätsdiebstahl und -missbrauch, womit dann z. B. Bankkonten ausgeräumt werden oder es wird Dritten diese gestohlene Identität vorgegaukelt, um an weitere Daten oder Güter zu kommen.

Eine Betrugsmethode, bei der die Opfer auf gefälschte Webseiten umgeleitet werden, um dort arglos ihre Daten einzugeben.

Wie der Name andeutet, wird dabei versucht ein Lösegeld ("ransom") zu erpressen, wobei als Geisel die Daten bzw. der Zugriff auf Systeme genommen wird. Diese werden verschlüsselt/gesperrt und erst gegen Herausgabe des Lösegelds wieder entschlüsselt.

Ist darauf ausgelegt, im Verborgenen die Daten des Benutzers auszuspähen („spy“) und an Dritte weiterzugeben.

Zeigt dem Benutzer unerwünschte Werbung an und wird meistens im Verbund mit erwünschter Software installiert/ausgeführt.

Software, die bereits beim Kauf auf Geräten vorinstalliert ist und sich schwer oder nicht entfernen lässt. Diese Software ist häufig unerwünscht und verlangsamt das System, kann aber ebenso ein Sicherheitsrisiko darstellen.

Eine Form von Malware, die dem Benutzer durch Täuschung Angst einjagt ("scare") und ihn damit zu bestimmten Handlungen verleiten soll. Beispiel: Eine Webseite zeigt ein offiziell aussehendes Dialogfenster an, wonach der PC mit Viren infiziert sei und man solle sofort eine bestimmte Telefonnummer anrufen oder eine App installieren.

Zeichnet die Tastatureingaben auf, um so an Passwörter oder andere sensible Daten zu gelangen.

Eine „Hintertür“, die in einem System vorhanden ist oder durch Malware geöffnet wird, um dort – unter Umgehung von Sicherheitsmaßnahmen – eindringen zu können.

Wie ein biologisches Virus zeichnet sich ein Computervirus dadurch aus, dass es sich einerseits selbst vermehrt, andererseits die Software eines Systems infiziert und dadurch unerwünschte Effekte hervorruft, die dem Benutzer allerdings auch (vorerst) verborgen bleiben können.

Im Gegensatz zu einem Virus ist ein Wurm nicht darauf angewiesen Dateien zu infizieren, sondern verbreitet sich autark innerhalb eines Computernetzwerkes oder über Wechseldatenträger und nutzt dabei systematisch Schwachstellen und Sicherheitslücken. Diesen Vorgang nennt man "Exploit".

Eine Schadsoftware, die sich als nützliches Programm tarnt, im Hintergrund jedoch Viren oder Würmer auf dem Zielsystem installiert.

Als Folge eines Malware-Befalls kann ein Computer Teil eines Bot-Netzwerkes werden. Das Ziel ist dabei nicht, die einzelnen Computer lahmzulegen. Vielmehr geht es darum, dessen Rechenleistung ferngesteuert gegen größere Ziele zu richten, um z. B. DDoS-Attacken zu starten oder Spam-Mails zu versenden. Unter Umständen könnte dabei sogar der Besitzer/Benutzer des PCs rechtlich belangt werden, da diese illegale Aktivität von seinem Gerät ausging. Das größte bekannte schädliche Botnetz „BredoLab“ umfasste rund 30 Millionen Computer.

Distributed-Denial-of-Service. Durch eine hohe Anzahl an Zugriffen auf einen Server innerhalb kürzester Zeit, kann dieser die Anfragen nicht mehr verarbeiten und reagiert auch auf reguläre Zugriffe nicht mehr – der Server fällt aus und mit ihm alle Dienste, die darauf laufen (z. B. Webseiten). Wenn diese Attacke von vielen unterschiedlichen Quellen ausgeführt wird, z. B. einem Botnetz, ist es schwierig den Angriff zu blockieren.

Einfach ausgedrückt das (automatisierte) Ausprobieren aller Möglichkeiten, um etwa ein Passwort zu erraten. Aufgrund höherer Erfolgswahrscheinlichkeit werden gängigere und unsichere Passwörter zuerst verwendet („Wörterbuchangriff“). Aus diesem Grund tritt bei vielen Systemen eine Sperre in Kraft, wenn fehlgeschlagene Anmeldeversuche einen Schwellenwert überschreiten.

Neben technischen Methoden, um in ein Computer-System einzudringen oder Identitätsdiebstahl zu betreiben, wird auch die „Schwachstelle Mensch“ als Angriffsvektor genutzt, etwa durch Gewinnen des Vertrauens einer Zielperson.

Die Beobachtung Ihres Bildschirms und Ihrer Eingaben. Dadurch können nicht nur Passwörter herausgefunden werden, sondern auch Vorlieben und Lebensumstände von Personen herausgefunden werden, die wiederrum für „Social Engineering“ nützlich sind.

Eine Art des Social Engineering, bei dem Angreifer einen Vorwand („pretext“) erfinden, den sie nutzen können, um Daten abzugreifen. Beispielsweise gibt sich der Betrüger als Bankmitarbeiter aus, der bestimmte Informationen von seinem Opfer benötigt, um dessen Identität zu bestätigen.