IT-Notfallmanagement an der HSWT
Die IT-Sicherheit ist mittlerweile ein fester Bestandteil unseres täglichen Lebens geworden. Das IT-Notfallmanagement der HSWT soll User vor Cyber-Bedrohungen schützen. Maßnahmen gegen Phishing, Schadsoftware & Social Engineering.
Verhalten bei IT-Notfällen: Maßnahmen & Hinweise für HSWT Mitarbeitende
Die Prozesse in Forschung und Lehre sowie der Verwaltung sind immer stärker vom sicheren Funktionieren der Informations- und Kommunikationstechnik abhängig. Aber auch das richtige Verhalten bei IT-Notfällen schützt die HSWT bei Zwischenfällen. Alle Mitarbeitenden der Hochschule Weihenstephan-Triesdorf finden auf dieser Seite Infos zu möglichen Bedrohungen, den IT-Notfallplan, die IT-Notfallkarte sowie den Kontakt zum IT-Notdienst.
Die Zahl potenzieller Cyber-Bedrohungen steigt sprunghaft an. Gefährdet sind insbesondere die Verfügbarkeit, die Integrität und die Vertraulichkeit von IT-Systemen und vor allem die mit ihnen verarbeiteten Informationen. Diese Begriffe werden auch als Grundwerte der IT-Sicherheit verstanden.
Ziel ist es, einen Zustand zu erreichen bzw. zu erhalten, in dem die Grundwerte der IT-Sicherheit entsprechend den Vorgaben der Hochschulleitung und bestehender rechtlicher Auflagen gewahrt werden. In diesem Zustand sollen die potenziellen Bedrohungen nur so wirksam werden können, dass die verbleibenden Risiken tragbar sind. Hierzu werden vom Team der IT-Sicherheit alle erforderlichen Maßnahmen getroffen. Um hochschulweit einen wirksamen Schutz zu erreichen, ist aber die aktive Mitwirkung aller Nutzerinnen und Nutzer unverzichtbar.
IT-Notfallkarte für Mitarbeitende der HSWT
Das wichtigste Instrument gegen Cyber-Bedrohungen sind wache Mitarbeiterinnen und Mitarbeiter, die sich der Gefahren bewusst sind. Die IT-Notfallkarte hilft, sich im Fall von IT-Notfällen richtig zu verhalten.
-
1. IT-Vorfall erkennen
- System reagiert nicht wie gewohnt?
- Merkwürdige Warn- & Fehlermeldungen?
- Verdacht auf Schadsoftware?
- Zugangsdaten unbeabsichtigt offengelegt?
- Laptop oder sonstige Hardware wurde gestohlen?
-
2. Ruhig & besonnen reagieren
- Ruhe bewahren!
- Arbeit am System einstellen!
- Beobachtungen dokumentieren!
- Gerät stromlos machen! (5 Sekunden Ein-/Aus-Knopf gedrückt lassen)
- Weitere Maßnahmen nur nach Anweisung einleiten!
-
3. IT-Vorfall melden
Informiere das IT-Servicedesk der HSWT unter der
Rufnummer +49 8161 71-2222 oder it-sicherheit@hswt.de.
- Wer meldet? (Erreichbarkeit bitte mit angeben)
- Welches IT-System ist betroffen (Gerät der Hochschule: Aufkleber)?
- Wie hast Du mit dem System gearbeitet?
- Was hast Du beobachtet?
- Wann ist das Ereignis eingetreten?
- Wo befindet sich das betroffene IT-System? (Gebäude, Raum, Arbeitsplatz)
- Warten auf Rückfragen.
Phishing erkennen: Phishing-Seiten, -Links & -Mails
Seit Jahren erfreut sich im Bereich der Online-Kriminalität eine Betrugsform hoher Beliebtheit: das sogenannte Phishing.
Phishing ist ein Kunstwort, welches aus den Wörtern „password“ und „fishing“ gebildet wurde und mit „nach Passwörtern fischen“ übersetzt werden kann. Mit Fake-E-Mails, Webseiten, SMS oder Nachrichten in Messenger-Diensten (zum Beispiel: Signal, Telegram, WhatsApp, etc.) sollen Nutzende getäuscht und zur Preisgabe von vertraulichen und sensiblen Daten veranlasst werden, die dann missbraucht werden können.
-
Woran erkenne ich Phishing? Allg. Schutzmaßnahmen
- Keine sensiblen Daten leichtfertig preisgeben (keine Reaktion auf zweifelhafte Mails). Denk vorab nach, ob die Eingabe von persönlichen Daten notwendig ist, um eine bestimmte Website bzw. ein Feature zu nutzen.
- Erhältst Du zweifelhafte E-Mails, die angeblich von offiziellen Stellen der Hochschule Weihenstephan-Triesdorf stammen, prüfe bitte:
- … die Versandadresse – Achtung: Der Anzeigename einer E-Mail hat keinerlei Verlässlichkeit. Frag ggf. telefonisch nach (Telefonnummer aus seriöser Quelle, nicht aus der E-Mail verwenden).
- … die Webseiten des betreffenden Bereichs hinsichtlich aktueller Warnungen vor gefälschten E-Mails.
- Klicke verdächtige Links nicht leichtfertig an. Wenn Du den Mauscursor über den Link platzierst, erscheint im Bildschirm unten rechts die Vorschau des Links. Passt diese URL zur Seite, die Du besuchen wolltest oder die in der Mail angekündigt ist?
- Zweifelhafte E-Mail-Anhänge solltest Du weder öffnen noch speichern.
- Sichere Websites bzw. sichere Verbindungen erkennst Du vor allem am gültigen SSL-Zertifikat (https:// und das Vorhängeschloss in der URL-Zeite). Vorsicht ist geboten bei auffälligen Domain-Endungen wie „.de.com“
- Aktuelle Browser verfügen meist über einen integrierten Phishingschutz, der beim Aufruf potenzieller Phishing-Websites warnt oder den Zugriff blockt.
Hinweise zu aktuellen Phishing-/Fake-E-Mails an der Hochschule Weihenstephan-Triesdorf erhältst Du als E-Mail von der IT-Sicherheit.
-
Spear Phishing, Pharming & Co.: verfeinerte Phishing-Varianten erkennen
Neben dem häufig anzutreffenden eher allgemein gehaltenen Phishing-Versuchen, gibt es auch verfeinerte Varianten, um an Passwörter zu gelangen. Zur Vermeidung eines IT-Notfalls durch diese speziellen Varianten gelten die oben genannten Maßnahmen und bewusstes Klickverhalten:
- Das sogenannte Spear-Phishing richtet sich gezielt gegen einzelne Personen. Beim CEO-Fraud gibt der Angreifer durch das Verwenden gefälschter Absenderangaben vor, ein Vorgesetzter zu sein, um das Opfer zu Fehlhandlungen zu verleiten.
- Weiterhin wird neben der klassischen Methode des Phishing – dem Versand von E-Mails mit gefälschten Links – eine verfeinerte Form vermehrt eingesetzt.
Beim sogenannten Pharming wird das Domain Name System (DNS) manipuliert, welches dafür verantwortlich ist, die im Browser eingegebenen Internet-Adressen (Domainnamen) in die korrespondierenden IP-Adressen umzusetzen. Durch diese Manipulation können Nutzerinnen und Nutzer trotz korrekt eingegebener URL auf eine gefälschte Website geleitet werden. - Ebenso ist es möglich in Programmen eingebaute Links – die zum Beispiel der Registrierung dienen – zu manipulieren. Diese Form wird als Binary Phishing bezeichnet.
- Beim Sluring (Service Luring) sollen die Betroffenen mit präparierten Websites, die eine Dienstleistung versprechen, zur Preisgabe von persönlichen Daten gebracht werden.
- Beim Smishing (auch SMS-Phishing) werden statt E-Mails gefälschte SMS an die potenziellen Betroffenen versendet.
- Neben den herkömmlichen Varianten werden Phishing-E-Mails bzw. E-Mails mit Schadpotenzial auch als vermeintliche Termineinladungen versendet. Auf Grund des Formates der Termineinladungen werden diese in der Regel automatisch in Outlook oder andere Mailclients übernommen. Auf eine entsprechende Termin-Einladung sollte nicht reagiert werden (nicht annehmen, ablehnen etc.), die Eintragung kann per Rechtsklick und der Option Löschen aus dem Kalender entfernt werden. Auf keinen Fall sollte leichtfertig auf einen Link geklickt werden.
- QR-Code-Phishing, auch bekannt als Quishing, ist eine Form des Social-Engineering-Phishing, bei der die Zielperson gezielt dazu gebracht wird, einen QR-Code zu scannen. Dieser Code führt sie entweder auf eine gefälschte Website oder lädt Malware herunter. Solche Angriffe können nicht nur über E-Mail-Benachrichtigungen erfolgen, sondern auch über Plattformen wie WhatsApp, Telefonanrufe (über Voice-Telefon) oder sogar in Form von Briefen.
Schutz vor Schadsoftware & Malware
Viren, Würmer und Trojaner können Rechner in diesen Fällen infizieren und Schadsoftware, sogenannte Malware installieren:
- bei der Nutzung des Internets.
- beim Empfang von E-Mails.
- beim Zugriff auf Dateien und Dokumente auf beweglichen Datenträgern (CDs, DVD.s, USB-Sticks, mobile Festplatten etc.), insbesondere wenn hier ein Austausch stattfindet.
Die möglichen negativen Folgen sind sehr vielschichtig und reichen von einer Beeinträchtigung von Programmen bis zum Verlust von Daten und vertraulichen Informationen. Daraus kann sich ein erheblicher finanzieller Schaden oder ein Reputationsverlust ergeben.
Der Einsatz eines aktivierten und aktuellen Virenscanners kann (neben weiteren Schutzmaßnahmen) vor derartigen Beeinträchtigungen schützen.
Spam
Als Spam, Spamming oder Junk Mail (Müllpost) bezeichnet man im Internet den Massenversand nichtangeforderter Werbe-E-Mails, Werbebeiträge in Newsgroups, die nichts mit dem Thema der Gruppe zu tun haben, sowie Kettenbriefe.
-
Spam-Mails erkennen: So geht’s!
Seltsame Formulierungen im Anschreiben sowie ungewöhnlich viele Rechtschreibfehler können ein Anzeichen für Spam von einem nicht deutschsprachigen Urheber sein. Ein fast untrügliches Spam-Indiz ist zudem die Aufforderung zur Eingabe persönlicher Daten – zum Beispiel aufgrund einer angeblich notwendigen Kontoüberprüfung bei einem Onlinezahlungsdienstleister: ein klassischer Fall von Phishing.
Eine weitere verbreitete Spam-Masche arbeitet mit fingierten Rechnungen im E-Mail-Anhang, oft in Form einer ZIP-Datei. Mit hoher Wahrscheinlichkeit verbirgt sich in der vermeintlichen Rechnung ein Schadprogramm, das beim Öffnen der Datei Ihren Computer unbemerkt mit Schadsoftware infiziert.
Weitere Anzeichen für Spam-E-Mails können sein:
- unbekannte Absender-Adresse
- ungewöhnlicher, oft kryptisch anmutender Absendername
- anonyme Ansprache
- kein Impressum
- kein Abmelde-Link wie bei einem seriösen Newsletter
- Weblinks oder anklickbare Bilder im E-Mail-Text
- merkwürdiger Betreff oder Inhalt
- viele Grammatik- & Rechtschreibfehler
- Zip-, Word- oder Excel-Dateien im Anhang
-
Maßnahmen gegen Spam-Mails
Die meisten Mail-Clients verfügen über relativ gute Spam-Filter. Dennoch solltest Du wachsam bleiben und die allgemeinen Vorsichtsmaßnahmen beachten. Hier gelten dieselben Sicherheitsrichtlinien wie für Schadsoftware oder Phishing.
Social Engineering & Schutz davor
Beim Thema Cyber-Sicherheit geht es nicht allein um Computersysteme und Netzwerke. Mindestens ebenso wichtig sind die Nutzerinnen und Nutzer dieser Technologien: der Mensch mit all seinen Stärken und Schwächen. Beim Social Engineering nutzen Angreifende den „Faktor Mensch“ als vermeintlich schwächstes Glied der Sicherheitskette aus, um ihre kriminelle Absichten zu verwirklichen.
-
Was ist Social Engineering?
Beim Social Engineering werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt, um Personen geschickt zu manipulieren. Cyber-Kriminelle verleiten das Opfer auf diese Weise beispielsweise dazu,
- vertrauliche Informationen preiszugeben.
- Sicherheitsfunktionen auszuhebeln.
- Überweisungen zu tätigen.
- Schadsoftware auf dem privaten Gerät oder einem Computer im Firmennetzwerk zu installieren.
Vergleichbar mit dem Trickbetrug an der Haustür setzen auch Cyber-Kriminelle im Internet auf die Vortäuschung einer persönlichen Beziehung zum Opfer oder machen Gewinnversprechen. Viele weitere Varianten dieses Social Engineering genannten Vorgehensweise sind denkbar und werden eingesetzt. Zum Teil wird dabei auch ein indirekter Kontakt über Freunde des eigentlichen Opfers gewählt.
-
Wie kann man sich gegen Social Engineering schützen?
Täter nutzen beim Social Engineering tief sitzende menschliche Dispositionen und Bedürfnisse aus, um ihre kriminellen Ziele zu erreichen – etwa den Wunsch, anderen Menschen schnell und unbürokratisch zu helfen. Das macht es schwer, sich zuverlässig gegen diese Angriffsform zu schützen.
Um das Risiko von Social-Engineering-Betrügereien zu mindern, solltest Du in jedem Fall die folgenden Grundregeln beachten
- Verantwortungsvoll mit Sozialen Netzwerken umgehen: User sollten genau überlegen, welche persönlichen Informationen sie dort offenlegen, da diese von Kriminellen gesammelt und für Täuschungsversuche missbraucht werden können.
- Diskretion über den Arbeitsplatz: In privaten und beruflichen Sozialen Netzwerken sind vertrauliche Informationen über Arbeitsstelle oder Unternehmen tabu.
- Passwörter, Zugangsdaten oder Kontoinformationen niemals per Telefon oder E-Mail mitteilen: Banken und seriöse Firmen fordern ihre Kundinnen und Kunden nie per E-Mail oder per Telefon zur Eingabe von vertraulichen Informationen auf.
- Besondere Vorsicht bei E-Mails von unbekannten Absendern: Sollte auch nur ansatzweise der Verdacht bestehen, dass es sich um einen Angriffsversuch handeln könnte, ist keine Reaktion die beste Reaktion. Wenn es sich um falschen Alarm handelt, werden sich die absendende Person ggf. noch über einen anderen Kanal melden. Die 3-Sekunden-Regel verschafft Zeit, um über die Richtigkeit der Nachricht nachzudenken.
- Sollte eine Reaktion zwingend erforderlich sein, schafft ein Anruf bei der absendenden Person Klarheit, ob es sich um eine legitime E-Mail handelt.
Predatory Conferences und Predatory Journals
Wissenschaftliche Publikationen sind von zentraler Bedeutung für die Forschung. Die Veröffentlichung in renommierten Fachzeitschriften und die Teilnahme an angesehenen Konferenzen gelten als wesentliche Indikatoren für den wissenschaftlichen Erfolg. Für Wissenschaftler:innen ist es entscheidend, ihre Forschungsergebnisse sichtbar zu machen. Leider versuchen einige fragwürdige Verlage und unseriöse Veranstalter, dies auszunutzen.
Predatory Journals, auch bekannt als Raubzeitschriften oder pseudowissenschaftliche Zeitschriften, verfolgen ein Geschäftsmodell, bei dem Autor:innen gegen eine Gebühr ihre wissenschaftlichen Arbeiten veröffentlichen können, ohne die erforderlichen wissenschaftlichen Standards wie Qualitätssicherung und redaktionelle Betreuung anzubieten, die in seriösen Fachzeitschriften üblich sind. Artikel in Predatory Journals werden in der Regel nicht in relevanten Fachdatenbanken erfasst, wodurch sie der Fachcommunity verborgen bleiben.
In den letzten Jahren hat sich zudem eine besorgniserregende Entwicklung im Bereich der wissenschaftlichen Publikationen und Kommunikation gezeigt, die sogenannten Predatory Conferences, auch als Fake Conferences oder Raubkonferenzen bekannt. Diese Veranstaltungen können auf den ersten Blick seriös und wissenschaftlich erscheinen, bieten jedoch keinen echten Mehrwert und dienen den Organisatoren hauptsächlich dazu, durch Konferenzgebühren Profit zu erzielen. Dabei werden die Teilnehmenden und Vortragenden oft ausgenutzt.
Die Universitätsbibliothek der Technischen Universität Hamburg hat eine Checkliste für Fake-Konferenzen erstellt und verweist auf die Initiative "Think. Check. Attend". Bei unbekannten Konferenzen ist es ratsam, sich im eigenen Netzwerk und online zu informieren.
