Informationen zur IT-Sicherheit

Die Mitglieder der Universität Hamburg erhalten immer häufiger E-Mails mit gefährlichen Links, Inhalten oder Anhängen, deren Absender in der Regel gefälscht sind, die aber einen seriösen Eindruck erwecken oder scheinbar von einer seriösen und unter Umständen dem Empfänger vertrauten Person oder Institution versandt wurden.

Auch der Text der E-Mails ist so gehalten, dass der Empfänger u. U. keinen Verdacht schöpft, dass die Mail nicht von dem angegebenen Absender stammt. An solchen E-Mails hängt oft eine Datei (Bewerbung, Zeugnis, Rechnung, Lieferschein etc.) oder sie beinhalten Links auf externe Webseiten und -inhalte, die gefährlichen Schadcode enthalten oder zur Eingabe Ihrer vertraulichen UHH-Zugangsdaten/Passwörter auffordern.

Die Dateien im Anhang oder Links/Buttons in verdächtigen Mails dürfen auf keinen Fall geöffnet bzw. angeklickt und Makros in Office-Dokumenten NICHT ausgeführt werden (NICHT auf "Inhalte aktivieren" klicken!). Ihre Zugangsdaten (Kennung + Passwort) dürfen nicht auf Webseiten außerhalb der UHH eingegeben ("uni-hamburg.de" muss direkt vor dem ersten Schrägstrich der Internetadresse stehen!) und auch niemals an andere weitergegeben werden.

Zum Teil sollen die Empfänger an der UHH auch dazu gezielt verleitet werden, auf die E-Mail zu antworten (Kontaktanfragen), um dadurch ihre Mailadresse zu bestätigen, in einen Dialog zu treten, Handlungen auszuführen oder Ansprechpersonen zu benennen, die dann weitere Spear-Phishing-Mails (z. B. vermeintliche Bewerbungen oder Anfragen mit Schadcode) erhalten.

In den folgenden Rubriken finden Sie hierzu aktuelle Warnhinweise, konkrete Handlungsempfehlungen sowie allgemeine Informationen zu Vorsichtsmaßnahmen und zur IT-Sicherheit:

• Erstellen Sie regelmäßig Sicherheitskopien Ihrer wichtigen (Forschungs-)Daten und Dokumente auf einem sicheren externen Speicher mit automatisierter Backup-Funktion (UHHDisk), der nicht dauerhaft an Ihren PC angeschlossen ist, nicht durch Defekt oder Diebstahl zu Datenverlust führen kann und sich möglichst auch an einem anderen Ort als Ihr PC befindet (siehe unten: "Handlungsempfehlungen"). USB-Sticks sind kein sicherer Speicher.

• Verwenden Sie bitte gute, sichere Passwörter mit ausreichender Länge und Komplexität. Verwenden Sie  für unterschiedliche Zwecke/Dienste unterschiedliche Passwörter und zur Unterstützung einen Passwort-Manager/Generator (siehe unten: "Empfehlungen zur Passwort-Sicherheit").

• Prüfen Sie eingehende E-Mails bitte genau:
  – Absender-Mailadresse (der Absendername ist leicht zu fälschen, aber eine Mail mit Schadsoftware kann durchaus auch von einer korrekten, echten Mailadresse verschickt worden sein, wenn der Rechner und Mail-Account des Absenders infiziert wurde),
  – Anrede und ausgeschriebener Name in der Anrede,
  – Formulierung des Betreffs,
  – inhaltlicher Zusammenhang der Mail (wird im Kontext von Absender und Inhalt der E-Mail aktuell ein Anhang oder ein Link erwartet?),
  – Mail-Anhänge (Warnung vor Makros und deaktivierte Inhalten!),
  – falsche bzw. gefälschte und hinter Buttons, Formatierungen und anderen Schreibweisen versteckte Links zu Seiten außerhalb der Domain "uni-hamburg.de" ("uni-hamburg.de" muss direkt vor dem ersten Schrägstrich der Internetadresse stehen!),
  – Signatur/Footer auf Vollständigkeit sowie auf korrekte Angaben und Schreibweise überprüfen,
  – im Zweifelsfall: Fragen Sie bei Ihrem IT-Service im Fachbereich oder telefonisch beim Absender nach, bevor Sie Links in E-Mails anklicken, Anhänge/Dateien öffnen usw.

• Klicken Sie bei verdächtigen, un­ver­langt zugesandten (oder unverlangt online bereitgestellten) Dokumenten/Dateien bitte nicht auf "Inhalt aktivieren“!

• Bitte Makros nicht aktivieren! - Führen Sie ohne telefonische Rücksprache mit einem dienstlichen Absender bitte keine Makros in Dokumenten/Dateien aus; vor allem dann nicht, wenn Ihnen diese unverlangt bzw. ohne konkrete Absprache zugesandt wurden.

• Denken Sie bitte daran, dass auch der (dienstliche) Absender bzw. die Absenderadresse einer E-Mail gefälscht sein könnte oder die E-Mail von einem infizierten System verschickt sein könnte.

• Antworten Sie bitte grundsätzlich nicht auf verdächtige Nachrichten, Spam-Mails und unverlangt zugesandte Newsletter. Nutzen Sie bitte stattdessen den Junk/Spam-Filter, um solche Mails aus Ihrem Posteingang zu entfernen. Nutzen Sie alternativ bitte von Ihnen selbst im Mail-Programm angelegte Regeln/Filter, um unerwünschte E-Mails automatisch in den Junk-Ordner, den Papierkorb oder in andere Verzeichnisse zu verschieben.

• Verwenden Sie das Admin-Profil Ihres Rechners bitte nicht für die tägliche Arbeit, sondern ein separates, persönliches Nutzerprofil.

• Aktivieren Sie bitte den Spamfilter des Mail-Servers in Webmail (Button Webmail > Filter > Spamfilter)

• Aktivieren Sie bitte den Junkfilter Ihrer Mail-Software auf Ihrem PC (Outlook: Register Start > Junk-E-Mail > Junk-E-Mail-Optionen)

• Aktivieren bei Ihrer Mail-Software die Ansicht im Nur-Text-Format (anstatt HTML-Ansicht), um gefälschte Links zu erkennen und Inhalte in Mails nicht automatisch zu laden. Schreiben Sie E-Mails möglichst im Nur-Text-Format.

• Optimieren Sie die Einstellungen im "Trust-Center" der Outlook-Optionen bitte, falls diese anders eingerichtet sind: Makros deaktivieren(!), automatischen Download deaktivieren, als Nur-Text lesen, ggf. Anlagenvorschau deaktivieren, Zugriff durch Anti-Virus-Software aktivieren.

• Achten Sie bitte darauf, dass "Sophos Anti-Virus" installiert, aktiv und vor allem aktuell ist bzw. sich täglich selbständig aktualisiert. Installieren Sie die Campus-Lizenz von "Sophos" (nur für Angehörige der UHH) auch auf Ihrem privaten Rechner.

• Halten Sie neben Sophos auch das Betriebssystem und die Programm-Versionen auf Ihrem Rechner aktuell und installieren Sie Sicherheits-Updates. Das bedeutet auch: Schalten Sie Ihren Rechner am Ende des Arbeitstages vollständig aus, sodass wichtige Updates beim nächsten Einschalten vollständig installiert werden können (bitte unterdrücken Sie die Installation von Updates nicht und unterbrechen Sie Update-Vorgänge nicht!). Falls Sie manuelle Updates von Anwendungen benötigen, die sich nicht automatisch aktualisieren lassen, senden Sie eine kurze Mitteilung an den IT-Support im Fachbereich.

• Zum Schluss bitte beachten: Es gibt auch Pishing-Mails ganz ohne die bekannten und üblichen Merkmale, zum Beispiel Kontaktanfragen bzw. Fragen nach Ansprechpartnern/Kontaktdaten, gefälschte Bewerbungen inkl. Lebenslauf-Datei mit Schadsoftware im Anhang usw.

1. E-Mail-Kommunikation und Anhänge

• Klicken Sie bitte niemals auf Links in verdächtigen Nachrichten, ohne die Mail zuvor genau auf Echtheit und den dienstlichen Kontext geprüft zu haben.
• Klicken Sie grundsätzlich bitte keine Links/Buttons in E-Mails an und öffnen Sie bitte keine Dateien aus dem Mail-Anhang, wenn Sie sich nicht ganz sicher sind, dass Sie den Absender kennen und dass der Absender (ggf. aus der Universität), die Absenderadresse bzw. die E-Mail nicht gefälscht ist und der Inhalt wirklich dienstlich relevant und vertrauenswürdig ist.
• Seien Sie bei der Kommunikation per E-Mail und im Internet bitte besonders wachsam. Wenden Sie sich im Zweifelsfall bitte zuerst an Ihren IT-Service, bevor Sie verdächte E-Mails öffnen, beantworten oder gar Links anklicken und Anhänge öffnen.
• Geben Sie Ihre Zugangsdaten (Kennung + Passwort) bitte nicht auf externen Webseiten ein (Adresszeile im Browser genau kontrollieren!) und nicht an andere (auch nicht an Ihren lokalen IT-Service oder das RRZ!) weiter.
• Bei verdächtigen Mails bitte die Dateien im Mailanhang nicht öffnen und Links/Buttons im Text der Mail bitte nicht anklicken, insb. bei Verdacht nicht diese Dateitypen: exe, zip, pdf, doc(x), rtf, xls(x), vbs, inf, cab, bat, com, lnk, url usw.
• Führen Sie ohne Rücksprache mit dem dienstlichen Absender bitte keine Makros in Office-Dokumenten aus - vor allem dann nicht, wenn Ihnen diese unverlangt bzw. ohne Absprache zugesandt wurden.
• Denken Sie bitte immer daran, dass auch der (dienstliche) Absender bzw. die Absenderadresse gefälscht sein könnte (z. B. bei Mails, die scheinbar von Kolleginnen und Kollegen, Einrichtungen der UHH, dem RRZ, Unternehmen, Dienstleistern oder Internetportalen kommen). Im Zweifelsfall kontaktieren Sie bitte den Absender per Telefon oder kontaktieren Sie Ihren IT-Service.
• Antworten Sie bitte grundsätzlich nicht auf Spam-Mails, unverlangte Newsletter/Werbung und verdächtige Nachrichten.
• Klicken Sie bei solchen unverlangten E-Mails, die Sie nicht zuvor abonniert haben, nicht auf (vermeintliche) Abmelde-Links zum Austragen aus dem Verteiler. Es könnte ein Link zu Schadsoftware, einer Phishing-Webseite o. ä. sein.
• Nutzen Sie bitte stattdessen den Filter Ihrer Mail-Software und des Mail-Servers, um unerwünschte Newsletter, Info- und Werbe-Mails bei Eingang automatisiert zu löschen.
• Machen Sie sich bitte mit den Filter-Einstellungen und Junk-Mail-Optionen Ihres E-Mail-Programms sowie Ihrer Webmail-Schnittstelle vertraut und nutzen Sie diese bitte dauerhaft, um unerwünschte Mails automatisch aus Ihrem Posteingang in den Junk/Spam-Ordner zu verschieben.
• Leiten Sie Ihre dienstlichen E-Mails nicht auf Mail-Accounts externer (kommerzielle) Anbieter weiter. Ihr Mail-Account an der UHH hat einen Speicher (Live Archiv "UHHLA") mit 20 GB Kapazität, der erweitert werden kann.

2. Zugangsdaten, Kennungen, Passwörter

• Mitarbeiter/-innen der Universität, des Rechenzentrums und seriöser Unternehmen/Dienstleister werden Sie niemals nach vertraulichen Informationen wie Ihren Zugangsdaten oder Ihrem Passwort fragen.
  
  
• Zur Passwort-Sicherheit: Verwenden Sie komplexe, ausreichend lange Passwörter; nicht dasselbe Passwort für unterschiedliche Dienste, Accounts, Portale, Zwecke und - wenn möglich - ggf. eine Zwei-Faktor-Authentifizierung (via Handy, App, SMS, TAN-Generator).
• Nutzen Sie ggf. einen sog. Passwort-Manager als Software zum Verwalten vieler Passwörter und Generieren sicherer neuer Passwörter. Geben Sie Zugangsdaten, Kennungen und Passwörter niemals an andere Personen weiter. Prüfen Sie mit Hilfe entsprechender Dienst, ob Ihre Daten gehackt und möglicherweise veröffentlicht wurden.
• Weitere Informationen im Abschnitt „Empfehlungen zur Passwort-Sicherheit“

3. Anti-Virus-Software

• Installieren Sie die Campus-Lizenz von "Sophos Anti-Virus" bitte auch auf Ihrem privaten Rechner.
• Halten Sie das Betriebssystem und die Software-Versionen auf Ihrem Rechner aktuell. Installieren Sie Sicherheits-Updates. Bitte schalten Sie Ihren Rechner am Ende des Arbeitstages vollständig aus, sodass wichtige Updates beim nächsten Einschalten vollständig installiert werden können (bitte unterdrücken Sie die Installation von Updates nicht und unterbrechen Sie Update-Vorgänge nicht!). Falls Sie manuelle Updates von Anwendungen benötigen, die sich nicht automatisch aktualisieren lassen, reicht eine kurze Mitteilung an den IT-Support im Fachbereich.

4. Speichermedien, Datensicherung, Verschlüsselung

• Schließen Sie bitte niemals fremde oder gefundene USB-Sticks oder andere Speichermedien an Ihren Rechner an, deren Herkunft Sie nicht genau kennen. Auch externe Speicher wie z. B. USB-Sticks können Schadsoftware (Viren, Trojaner etc.) enthalten und beim Anschließen auf Ihren Computer und andere angeschlossene Speicher übertragen.
• Nutzen Sie für dienstliche Zwecke, Forschungsdaten und persönliche Daten die universitätsinternen Dienste, Speicher und Server (Webmail/Mailhost, Exchange, UHHLA, UHHDisk, UHHShare, VPN, Sophos, Zoom, DFNconf usw.), nicht externe kommerzielle Anbieter, Dienste, externe Festplatten, USB-Sticks u. ä.
• Speichern Sie Ihre wichtigen dienstlichen Daten auf dem internen UHHDisk-Server der Universität (mit täglichen Backups Ihrer Dateien), bitte nicht auf Festplatten oder Speichermedien, die durch einen plötzlichen Defekt ausfallen können oder bei denen es zu Verlust oder Diebstahl kommen kann.
• Nutzen Sie den Schutz durch ein gutes Passwort und verschlüsseln Sie die Daten auf mobilen/externen Geräten und Speichern wie Laptop, Tablet, Smartphone, SD-Karten (im Smartphone), USB-Sticks und externen Festplatten, sodass persönliche, dienstliche und vertrauliche Informationen bei Diebstahl und Verlust nicht in falsche Hände geraten.
• Bei verschlüsselten Daten sollte es grundsätzlich ein systematisches Schlüsselmanagement mit einem Backup auf einem anderen Gerät/Speicher an einem sicheren anderen Ort geben, damit bei einem Hardware-Ausfall (z. B. Defekt einer Festplatte/SSD, eines Speichermediums oder Handys) des verschlüsselnden Systems oder Verlust eines Schlüssels/Zugangs die Daten weiterhin auf anderem Wege zugänglich und nicht durch die technische Verschlüsselung verloren sind.
• Bei Verlust, Defekt oder Diebstahl des (einzigen) Schlüssels/Passworts ist eine Wiederherstellung verschlüsselt gespeicherter Daten nicht möglich!

5. Im Schadensfall/bei Problemen mit der IT-Sicherheit

• Sollte es dennoch zu einem sicherheitskritischen Vorfall an Ihrem Rechner kommen: Trennen Sie den Rechner bitte sofort vollständig sofort vom Internet bzw. Netzwerk (Netzwerk-Kabel aus der Buchse ziehen und/oder WLAN ausschalten) und wenden Sie sich an Ihren lokalen IT-Service im Fachbereich. Ändern sie so bald wie möglich von einem anderen Rechner die Passwörter für Ihre Kennung(en) bzw. die von Ihnen genutzten Dienste und Portale. Bitte nicht dasselbe Passwort für unterschiedliche Zwecke mehrfach verwenden!

6. Über weitere aktuelle Gefährdungen und Sicherheitsmaßnahmen auf dem Laufenden bleiben

• Halten Sie sich bitte über IT-Sicherheitsthemen auf dem Laufenden (sowohl dienstlich als auch bzgl. Ihrer privaten Geräte, Software, Computer- und Internetnutzung). Zum Beispiel über die Hinweise und den Newsletter des Bundesamts für Sicherheit in der Informationstechnik (Bürger-CERT), die Aktualisierungen auf dieser Webseite der IT SLM und die aktuellen Meldungen des RRZ.
• Siehe die ausführlichen Hinweise im Abschnitt „Allgemeine, aktuelle und weiterführende Informationen“

• Mitarbeiter/-innen der Universität, des Rechenzentrums und seriöser Unternehmen/Dienstleister werden Sie niemals nach vertraulichen Informationen wie Ihren Zugangsdaten oder Ihrem Passwort fragen.
• Geben Sie Ihre Zugangsdaten (Kennungen + Passwörter) niemals an andere weiter - auch nicht an Ihren lokalen IT-Service oder das RRZ.
• Geben Sie Ihre Zugangsdaten nicht auf externen Webseiten ein. Bitte die Adresszeile im Browser vor der Eingabe Ihrer Daten genau kontrollieren (auch auf mobilen Endgeräten mit kleinem Display)!
• Verwenden Sie nicht dasselbe Passwort für unterschiedliche Dienste, Accounts, Portale und Zwecke.
• Nutzen Sie - wenn möglich - eine Zwei-Faktor-Authentifizierung (via Handy, App, SMS, TAN-Generator).
• Nutzen Sie ggf. einen sog. Passwort-Manager als Software zum Verwalten vieler Passwörter und Generieren sicherer neuer Passwörter.
• Machen Sie sich mit den Passwort-Regelungen und -Empfehlungen des RRZ und der UHH vertraut:
  Passwort-Richtlinie der UHH vom 26.05.2016 (PDF)
  RRZ-Merkblatt: Gute Passwörter (PDF)
  RRZ-Hinweise zu sicheren Passworten (RRZ)
• Sorgen Sie für einen ausreichenden Passwortschutz; sichern und verschlüsseln Sie die Daten auf mobilen/externen Geräten und Speichern wie Laptop, Tablet, Smartphone, SD-Karten (im Smartphone), USB-Sticks und externen Festplatten, sodass persönliche, dienstliche und vertrauliche Informationen bei Diebstahl und Verlust nicht in falsche Hände geraten. Aber: Beachten Sie dabei bitte unbedingt die Besonderheiten und Risiken der Verschlüsselung: siehe oben "Handlungsempfehlungen: Punkt 4. Speichermedien, Datensicherung, Verschlüsselung"). Dienstliche und vertrauliche Daten gehören in die gesicherten internen Speicher der Universität (UHHDisk-Server und Mail-Server mit Live Archiv für E-Mails).
• Prüfen Sie, ob Ihre vertraulichen Zugangsdaten, Passwörter oder persönlichen Daten gehackt/gestohlen und geleakt/veröffentlicht wurden:
  HPI Identity Leak Checker (Mailadresse prüfen)
  Have I Been Pwned (Mailadresse prüfen)
  Firefox Monitor (Mailadressen prüfen)
  Pwned Passwords (Passwort prüfen)
• Wenn Ihre Daten trotz aller Vorsichtsmaßnahmen geleakt wurden: Folgen Sie den Empfehlungen aus den oben verlinkten Webseiten, ändern Sie Ihre Passwörter und nutzen Sie dafür ggf. einen Passwort-Manager.

Allgemeine Informationen über Phishing, Beispiele und Merkmale solcher Mails sowie Hinweise zu Schutzmaßnahmen bekommen Sie u. a. auf der Website des Rechenzentrums und des Bundesamts für Sicherheit in der Informationstechnik.

Weitere aktuelle Warnungen: 

• Homepage des Rechenzentrums bzw. unter "Aktuelle Meldungen des RRZ"
• Bürger-CERT: Sicherheitshinweise des BSI
• Bürger-CERT: Newsletter „Sicher • Informiert“ des BSI
• Liste aktueller Phishing-Mails der TU München

Weiterführende Informationen:

• IT-Sicherheit – Informationen des RRZ
• ISDSM – Integriertes Informationssicherheits- und Datenschutz-Management der UHH
• Krypto-Trojaner/Verschlüsselungs-Trojaner/Ransomware (TU München)
• Spear-Phishing (TU München)
• Social Hacking erkennen (TU München)
• Schadprogramme: Vi­ren und Wür­mer, Tro­ja­ner, Ran­som­wa­re, Ad­wa­re und Spy­wa­re (BSI)
• Sicherheitsirrtümer (Dossier des BSI)