Über die Pfingsttage haben Online-Betrüger E-Mails mit dem Betreff „Leider habe ich schlechte Nachrichten für Sie“ verschickt. Diese E-Mails gingen zum Teil auch an E-Mail-Adressen an der UzK, vor allem aber an externe Empfängeradressen.

Inhaltlich handelt es sich bei diesen E-Mails um einen Erpressungsversuch. Vor genau dieser Masche warnen wir schon seit einigen Jahren auf unseren Webseiten.

Die Besonderheit bei diesen massenhaft verschickten E-Mails war in diesem konkreten Fall, dass die Absender versucht haben, die E-Mails so wirken zu lassen, als seien sie über IT-Systeme der Universität zu Köln verschickt worden. Das war natürlich nicht der Fall. Dennoch ist dieses „Ablenkungsmanöver“ schon erstaunlich.

Erste Schale der Zwiebel

Auf den ersten Blick versuchen die E-Mails den Empfänger einzuschüchtern und zu einer Zahlung an die Betrüger zu veranlassen. Dazu wird als unmittelbar sichtbare Absenderangabe der Name bzw. die Mailadresse des Empfängers verwendet, um so zu tun, als hätte der Betrüger Zugriff auf das Mailkonto des Opfers. Einen solchen Zugriff haben die Betrüger jedoch nicht, denn es handelt sich lediglich um einen gefälschten Absender. Wie auf unserer Seite zum Thema Phishing ausgeführt werden gefälschte Absenderadressen bei betrügerischen E-Mails häufig verwendet. Aber bei flüchtiger Betrachtung könnte der Empfänger tatsächlich glauben, die E-Mail stamme „von ihm selbst“ und sei deshalb glaubwürdig.

Zweite Schale der Zwiebel

Auf den zweiten Blick versuchen die Abender, es so aussehen zu lassen, als sei die betreffende E-Mail über Mailserver der Universität zu Köln verschickt worden. Dazu haben sie den Hostnamen des Webmailsystems der UzK herangezogen und ihre eigenen Mailserver so konfiguriert, dass diese Server den UzK-Servernamen imitieren sollen. Natürlich können die Betrüger auf diese Weise nicht echte E-Mails auf den falschen Server umleiten, aber sie können bei E-Mails, die sie selbst über diesen Server versenden, es so aussehen lassen, als sei ein System der UzK beteiligt gewesen. Beschwerden über den vermeintlichen Versand unerwünschter E-Mails landen so bei den Betreuern der Mailsysteme an der UzK.

Dritte Schale der Zwiebel

Wie erwähnt können die Betrüger selbstverständlich nicht per Selbst-Akklamation so tun als seinen sie die legitimen Betreiber eines Mailservers der UzK. Die Mailserver der Empfänger, an die die Betrugs-E-Mails verschickt werden, bemerken, dass die vom Absenderserver aufgestellte Behauptung, er sei ein Server des Webmailsystems der Uni Köln, falsch ist. Dennoch vermerkt der empfangende Mailserver die vom absendenden Mailserver aufgestellte falsche Behauptung in den technischen Details der E-Mail (E-Mail-Header). Daneben vermerkt der empfangende Mailserver auch noch die tatsächliche IP-Adresse des Absender-Mailservers, denn diese IP-Adresse kann (im Gegensatz zur Selbstzuschreibung, wer der Absender behauptet zu sein) nicht so einfach gefälscht werden. Anhand dieser IP-Adresse können Empfänger der Betrugs-E-Mails also nachvollziehen, an welchen Serverbetreiber sie ihre Beschwerde richten sollten. Und eine Beschwerde ist hier in der Tat angebracht, weil dieser Serverbetreiber ganz bewusst betrügerische E-Mails verschickt und es auch noch so aussehen lässt, als stammten diese von einem unbeteiligten Dritten. Dahinter steckt also Absicht.

Aktuell werden Betrugs-E-Mails verschickt mit dem Betreff „1 New Notification“. Die Absender dieser Mail geben sich als uni-koeln.de SUPPORT aus und stellen im Text der Nachricht falsche Behauptungen auf:

• der eigene E-Mail-Account laufe „heute“ ab
• um den Account zu behalten, müssten die Zugangsdaten „bestätigt“ werden.

Hierbei handelt es sich um eine typische Phishing-Nachricht, die versucht, die Empfänger unter Druck zu setzen, indem angebliche besonders kurze Fristen vorgegaukelt werden. Solche ultra-kurzen Fristen sind an der UzK aber absolut unüblich. Diese und weitere Merkmale, anhand derer Sie betrügerische E-Mails erkennen können, haben wir auf unseren Webseiten genauer beschrieben. Bitte klicken Sie nicht auf Links in betrügerischen E-Mails dieser Art und geben Sie Ihre Zugangsdaten nicht auf fremden Websites ein.

Seit rund drei Monaten wird die vorherige Version von Sophos-Anti-Virus nicht mehr mit Updates versorgt. Computer, auf denen weiterhin diese veraltete Version installiert ist, sind somit vor aktuellen Schadsoftware-Bedrohungen nicht geschützt.

Leider sind trotz mehrfacher Erinnerungen noch immer solche Computer im Uninetz aktiv. Wir sperren seit einigen Wochen nach und nach solche Computer aus dem Netz der Universität aus. Dies betrifft auch privat genutzte Geräte, die z.B. von zu Hause per VPN mit dem Uninetz verbunden werden. Bitte achten Sie darauf, auf allen Windows-Computern zumindest die alte Sophos-Version zu entfernen. Daraufhin wird nämlich der sog. Windows-Defender aktiv, der einen Basis-Schutz gegen Schadsoftware bietet und automatisch mit Updates versorgt wird. Weiterhin besteht natürlich auch die Möglichkeit, Sophos Home Premium auf Privatgeräten zu verwenden. In jedem Fall muss aber die vorherige Version von Sophos Endpoint Protection entfernt werden.

Mit E-Mails, die vermeintlich von den jeweiligen Vorgesetzten zu stammen scheinen, versucht eine Gruppe von Betrüger*nnen derzeit an Geld zu kommen. E-Mails, die auf den ersten Blick echt aussehen, aber von einer externen E-Mail-Adresse kommen, geben vor, dass die Einrichtungsleitung angeblich dringend Geschenkekarten/Gutscheine benötigen würde, die man möglichst rasch kaufen solle. Unter folgendem Link haben wir weitere Informationen zum sogenannten "Giftcard-Scam" zusammengestellt: https://rrzk.uni-koeln.de/informationssicherheit/it-sicherheit/giftcard-scam

Bitte lassen Sie sich nicht auf diesen Betrugsversuch ein! Es ist leicht, den Namen einer Einrichtungsleitung über die Webseiten herauszufinden, so dass eine gefälschte Mail schnell geschrieben ist. Schauen Sie also genau hin, von welcher Adresse die E-Mail kam! Fragen Sie im Zweifelsfall bei Ihren Vorgesetzten auf anderem Weg nach, ob die E-Mail echt oder fingiert war!

Eine gefälschte E-Mail der Bundespolizei mit einem "Mandat für Gerichtsverfahren" hat bei manchen User*innen für Unsicherheit gesorgt. Bestandteil der Mail ist eine Grafikdatei, in der ein Schreiben mit der Überschrift "zu Ihrer Kenntnisnahme" abgebildet ist. Diese Art von Scam-Mails will User*innen in die Irre führen, die sich an eine Google-Mail-Adresse wenden sollen. Das würde die "echte" Bundespolizei niemals tun. Bitte ignorieren Sie diesen Aufruf und löschen Sie die Mail. Weitere Maßnahmen sind in diesem Kontext wie zum Beispiel der Wechsel des Passworts sind nicht notwendig.

In letzter Zeit häufen sich die Fälle, in denen meist kurze E-Mails an Empfänger*innen an der UzK geschickt werden, die auf den ersten Blick von einer vetrauenswürdigen Person zu stammen scheinen (z.B. unmittelbare:r Vorgesetze:r, Arbeitsgruppenleitung, etc.) Dabei ist aber meistens nur der Vor- und Nachname (sowie ggf. akademischer Titel/Dienstgrad) wirklich zur vermeintlichen Vertrauensperson gehörig. Bereits beim Betrachten der verwendeten E-Mail-Adresse wird schnell klar, dass es sich bei den tatsächlichen Absender*innen um Scharlatane handelt, die sich als Vertrauensperson ausgeben, indem sie einen fremden Absendernamen vortäuschen. In Wirklichkeit stammen die Nachrichten von irgendeiner Person, die betrügerisch handelt, aber nicht von Personen in Leitungsfunktion an der UzK.

Der Inhalt dieser Nachrichten ist üblicherweise kurz gehalten und läuft darauf hinaus, dass die Empfänger*innen sich per E-Mail bei den Absender*innen (den vermeintlichen Vertrauenspersonen) melden sollen. Unser Rat: Tun Sie das nicht.

Diese Art von E-Mail ist in aller Regel der Auftakt zu einem sog. Gift-Card-Scam, bei dem der/die vermeintliche Vorgesetzte im weiteren Verlauf der Konversation eine angebliche Notlage schildert. Diese Situation wird dann oft auch als Grund aufgeführt, warum die Person angeblich ausschließlich unter genau dieser gefälschten E-Mail-Adresse kontaktiert werden kann und nicht auf vertrauenswürdigen, etablierten Wegen. Wenn Sie eine solche Nachricht als betrügerisch erkennen, löschen Sie sie am besten direkt. Wenn Sie sich unsicher sind, ignorieren Sie die Aussagen in der E-Mail über eine angebliche Dringlichkeit und eine ausschließliche Kontaktaufnahme per E-Mail. Gehen Sie vor wie in unseren Ratschlägen beschrieben und nehmen Sie auf vertrauenswürdigen Kommunkationswegen (z.B. per Telefon) mit dem/der Vorgesetzen bzw. Vertrauensperson Kontakt auf und fragen Sie nach, ob es hier mit rechten Dingen zugeht.

Am 20. Juli 2023 endet der Support für die bisherige Version der Anti-Virus-Software von Sophos. Diese Anti-Viren-Software steht als Campuslizenz für alle Benutzerinnen und Benutzer an der Universität zu Köln bereit (mit Ausnahme der medizinischen Fakultät). Wenn Sie Sophos einsetzen und bisher noch kein Update auf die neueren Versionen von Sophos durchgeführt haben, denken Sie bitte daran, rechtzeitig auf die neue Software umzusteigen. Das Upgrade auf die neue Version geschieht nicht von selbst (wie es bei den täglichen Updates der Virendefinitionen der Fall ist), sondern muss von Ihnen angestoßen werden. Anders ist es nur, wenn es sich um ein Gerät handelt, das zentral verwaltet wird: dann kümmert sich Ihre IT-Abteilung darum, den Virenschutz aktuell zu halten.

Auf unseren Webseiten finden Sie generelle Informationen zum Umstieg auf die neue Version und wie Sie erkennen können, ob Sie noch die alte Version verwenden. Da die neue Version von Sophos die Aktualisierungen zu neuen Bedrohungen (neue Viren/Schadsoftware etc.) stets cloud-basiert herunterlädt, haben wir auch einige grundsätzliche Informationen zum Umgang mit der neuen Version für Sie bereitgestellt. Wenn Sie Ihren PC selbst verwalten und wissen, dass Sie noch auf die neue Version von Sophos umsteigen müssen, geht es hier direkt zu den Installationsanleitungen:

• Installation von Sophos Intercept X unter Windows
• Installation von Sophos Intercept X unter macOS

Mit täuschend echt aussehenden E-Mail-Inhalten wird derzeit Malware an User:innen versendet. Im Anhang der E-Mails finden sich ZIP-Anhänge mit Schadcode, die nur scheinbar von Accounts der Universität zu Köln stammen.

Bitte öffnen Sie diese Anhänge nicht!
Falls Sie die Dateien bereits geöffnet haben, trennen Sie Ihr Gerät vom Netzwerk und kontaktieren Sie dringend die Stabsstelle Security Operations!

Zunächst wurden die E-Mail-Anhänge mit dem Begriff "Rechnung_" versendet; mittlerweile werden auch andere Dateinamen beobachtet. In den entsprechenden Anhängen sind meist Word-Dateien, die beim Öffnen gefährlichen Schadcode nachladen. Deshalb werden die E-Mails nicht von vorneherein als gefährlich herausgefiltert, sondern erst einmal in die Posteingänge zugestellt.

Sollten Sie ZIP-Dateien erwarten und Bedenken bzgl. der Authentizität Ihrer Anhänge haben, erkundigen Sie sich bitte bei den Personen, die Ihnen die E-Mail (gegebenenfalls vermeintlich) geschickt haben.

Der Betreff von aktuell verschickten Betrugs-E-Mails beginnt mit "Action Required: Message …". Dahinter folgt noch eine Umschreibung der eigenen E-Mail-Adresse.
Die auf englisch gehaltene E-Mail versucht die Leser auf eine betrügerische Webseite zu locken unter dem Vorwand, es müsse "noch heute" das Passwort des Accounts "bestätigt" werden. Diese Behauptungen sind natürlich frei erfunden. Sowohl die Absender-Adresse der E-Mail als auch die Adresse der Webseite sind auf den ersten Blick als betrügerisch erkennbar.

Als technische Besonderheit werden bei dieser E-Mail sowohl im Betreff der E-Mail als auch im weiteren Text besondere Zeichen verwendet, um die automatische Erkennung der E-Mail als betrügerische Nachricht zu erschweren. Dabei werden sog. "weiche Trennzeichen" eingefügt, an denen bei Bedarf ein Zeilenumbruch innerhalb eines Wortes erfolgen dürfte, die ansonsten aber unsichtbar sind (insbesondere dann, wenn kein Zeilenumbruch erfolgt).

Achtung, Phishing-Mails! Aktuell registrieren wir vermehrt Versuche, an Zugangsdaten von Uni-Angehörigen zu kommen. Eine angeblich vom "IT-Service-Desk" stammende Mail enthält einen Link zu einer gefälschten Webseite. Bitte die Mail einfach ignorieren und direkt löschen – und nicht auf den Link klicken.

Wie Sie Phishing-Mails erkennen und die Absendeadressen beziehungsweise die enthaltenen Links überprüfen können, finden Sie einfach und gut erklärt vom Team "Secuso", siehe https://secuso.aifb.kit.edu/1047.php

Derzeit gibt es Berichte über Erpressungsmails mit dem Betreff: "Sie haben eine ausstehende Zahlung."

Es handelt sich dabei um einen plumpen Betrugsversuch, dessen Vorgehensweise wir hier auf unserer Webseite genauer beschrieben haben.

Die E-Mail beginnt mit dem Text:

Hallo Sie!
Leider habe ich ein paar schlechte Nachrichten für Sie.
Vor einigen Monaten habe ich mir Zugang zu Ihren Computern verschafft, die Sie zum Surfen im Internet benutzen.
Daraufhin habe ich Ihre Internetaktivitäten zurückverfolgt. [...]

Im weiteren Verlauf wird auf die Zahlung an eine Bitcoin-Adresse gedrängt.

Bitte ignorieren Sie diese E-Mail und löschen Sie diese am besten direkt!

In den letzten Tagen wurden Betrugs-E-Mails verschickt mit dem Betreff "Alert : Email Outgoing Blocked" [sic]. Darin wird wahrheitswidrig behauptet, der E-Mail-Account müsse über eine bestimmte Website verlängert werden oder werde andernfalls gesperrt. Diese E-Mails sind natürlich nur ein Versuch, Sie dazu zu verleiten, auf einer gefälschten Website Ihre Zugangsdaten einzugeben.

Wie immer gilt bei derartigen E-Mails: Bitte fallen Sie nicht auf diese Betrugsmasche herein, sondern löschen Sie betreffende Nachricht am besten direkt.

Falls Sie eine solche E-Mail erhalten, für echt erachtet und Ihre Zugangsdaten auf einer fremden Website eingegeben haben, ändern Sie bitte so schnell wie möglich Ihr Passwort über das uniKIM-System.

Auf den RRZK-Webseiten finden Sie weitere Informationen und Erläuterungen zu diesem Thema.

Etwa ab der KW 45 wurden und werden vermehrt E-Mails an Empfänger der UzK gesendet, die im Anhang eine verschlüsselte Zip-Datei enthalten, wobei das Entschlüsselungspasswort im Text der E-Mail genannt wird. Diese Dateien enthalten Schadsoftware. Wenn Sie eine solche E-Mail erhalten haben, löschen Sie sie am besten direkt. Öffnen Sie keinesfalls die angehängte Datei.

Bei diesen E-Mails handelt es sich um raffiniertere Betrugs-E-Mails als zuvor üblich. Die Betrüger erstellen automatisiert E-Mails, deren Ziel es ist, ein Vertrauensverhältnis zwischen vermeintlichem Absender und Empfänger auszunutzen. Die E-Mails sehen auf den ersten Blick so aus, als seien es an Sie persönlich gerichtete Nachrichten. Dabei werden u.a. folgende Techniken angewendet:

• Der Absender der E-Mail scheint eine Person zu sein, mit der Sie in der Vergangenheit bereits im E-Mail-Austausch standen.
• Im Betreff wird Ihr Name genannt oder der Name einer Person, mit der Sie zusammenarbeiten.
• Der Betreff entspricht dem eines E-Mail-Austauschs, an dem Sie aktuell beteiligt sind.
• Im Text der betrügerischen E-Mail befindet sich ein Zitat aus einem vorangegangenen E-Mail-Austausch, an dem Sie beteiligt waren.
• Im Text der E-Mail wird die Universität zu Köln oder eine Untereinheit (Arbeitsgruppe, Fakultät, ...) genannt, bei der Sie arbeiten oder mit der Sie zusammenarbeiten.

Lassen Sie sich von dieser vermeintlichen Nähe nicht täuschen! Es handelt sich hierbei um automatisch erzeugte E-Mails, die nur dem Zweck dienen, Sie dazu zu verleiten, den Anhang der E-Mail zu öffnen. Wie am Anfang erwähnt: Bitte öffnen Sie solche Anhänge nicht, auch wenn die E-Mail das zum Öffnen der Datei benötigte Passwort enthält.

Daneben werden in diesen „besseren“ Betrugs-E-Mails auch die üblichen Mittel verwendet, um den Empfänger unter Druck zu setzen. Diese Vorgehensweise ist die gleiche wie sie bei „klassischen“ Phishing-E-Mails üblich. Beispielsweise ist manchmal die Rede von einer „Rechnung“, die beglichen werden müsste oder von einer „Rechnungskorrektur“. Ein weiteres Erkennungsmerkmal dieser gefälschten E-Mails ist auch, dass der Bezug zu einem vorherigen E-Mail-Austausch nur formal gegeben ist. Meist passt die vermeintliche „Antwort“ weder vom Stil, der Ansprache oder dem Inhalt her zum zuvor geschriebenen und zitierten Text. Auch eine E-Mail mit einem „dahingeklatschten“ Anhang, ohne weitere Erläuterung und ohne dass zuvor dazu eine Absprache stattfand, sollte Sie stutzig machen.

Hintergrundinformationen

Die Betrüger gehen geschickt vor und versuchen sich so immer weiteren Opfern zu nähern. Wenn sie ein erstes  Opfer gefunden haben, das auf den Betrug hereingefallen ist und die Datei mit der Schadsoftware geöffnet hat, können die Betrüger die Kontrolle über den PC des Opfers erlangen. Von dort kopieren sie den Bestand an E-Mails des Opfers und analysieren diese E-Mails. So können sie automatisiert herausfinden, wer mit wem in regelmäßigem E-Mail-Austausch steht. Die so gewonnene Information über Beziehungen zwischen Personen (Absender, Empfänger, CC-Empfänger) und in der Vergangenheit ausgetauschte E-Mails nutzen die Kriminellen, um automatisch E-Mails zu generieren, die grob so aussehen, als kämen sie von einer Ihnen bekannten Person und beträfen ein Ihnen vertrautes Thema. So hangeln sich die Betrüger weiter zu den nächsten Opfern im Umfeld des ursprünglichen Opfers. Wenn Sie eine solche Betrugs-E-Mail erhalten, können Sie also davon ausgehen, dass eine Person in Ihrem Umfeld in der Vergangenheit auf diese Betrugsmasche hereingefallen ist (dabei muss es sich aber keineswegs um den vermeintlichen Absender der Ihnen vorliegenden E-Mail handeln und der Vorfall kann auch schon einige Zeit zurückliegen).
Die Betrüger verwenden zudem die Technik der „sinnlosen Verschlüsselung“ (verschlüsselte Datei, bei der der Schlüssel mitgeliefert wird), um den Inhalt der Datei vor Virenscannern zu verbergen. Denn solange die Datei verschlüsselt ist, kann der gefährliche Inhalt nicht automatisch erkannt werden. Wäre die Datei unverschlüsselt, würde die E-Mail in aller Regel gar nicht erst zugestellt werden, weil die betreffende Datei schon auf dem Mailserver als virenverseucht erkannt würde. Allerdings ist die Technik der „sinnlosen Verschlüsselung“ auch verräterisch, denn kein mitdenkender Mensch würde das Passwort, mit dem die Verschlüsselung aufgehoben werden kann, auf dem gleichen Kanal übertragen wie die verschlüsselten Daten. In dem Fall könnte man sich die Verschlüsselung nämlich sparen, weil jeder Empfänger der verschlüsselten Daten die Ursprungsdaten wieder lesbar machen kann, während Verschlüsselung eigentlich dazu dient, bestimmte Daten vor willkürlichem Zugriff zu schützen. Daher können Sie Betrugsversuche auch an diesem Merkmal (Verschlüsselung, die nur dem Zweck dient, die Erkennung durch Virenscanner zu behindern) erkennen.

Im Namen der Firma Böttcher AG werden derzeit E-Mails an Mitglieder der Universität zu Köln registriert. Die Fake-E-Mails enthalten Malware im Anhang. Vorgeblich sollen die Anwender:innen dazu verleitet werden, die Rechnung aus dem Anhang herunterzuladen.

Bitte löschen Sie diese E-Mail umgehend und öffnen Sie dort auch nicht das Attachment! Generell: Seien Sie vorsichtig und prüfen Sie die Absende-Adresse von E-Mails vor dem Öffnen auf deren Plausibilität.

Achtung: Sollten Sie eine Mail mit dem Betreff erhalten haben: "In Ihrem Konto wurden ungewöhnliche Aktivitäten festgestellt […]", oder: "Sehr geehrter E-Mail-Nutzer", löschen Sie diese E-Mail bitte direkt und folgen Sie vor allem nicht dem angegebenen Link!

Die IT-Security Awareness Days werden von mehreren deutschen Hochschulen gemeinsam veranstaltet und finden vom 2. Mai  bis zum 19. Mai 2022 zum dritten Mal statt.

Die Online-Veranstaltungsreihe mit Vorträgen rund um Informationssicherheit. Die Vorträge werden von verschiedenen Hochschulen gestaltet. Neben der Universität zu Köln sind mit dabei: TU Braunschweig, TU Darmstadt, Uni Hildesheim, KU Eichstätt-Ingolstadt, Uni Göttingen/GWDG, Uni Marburg, Uni Osnabrück, Leuphana Universität Lüneburg, Uni Duisburg-Essen. Die Vortragsthemen zu "Sicherheit im Homeoffice" bis "Social Engineering" richteten sich meist an Nutzende ohne Vorkenntnisse. Es sind allerdings auch Vorträge für technisch Versierte dabei.

Besonders zu empfehlen: Die Teilnahme am "Cybersecurity Escape Room", bei der Sie Ihre Informationssicherheitskenntnisse in einem Rätsel unter Beweis stellen können!

Alle Vorträge können Sie sich anschauen unter:
https://blogs.tu-braunschweig.de/it/it-sad-it-security-awareness-days-sommersemester-2022

Unter https://www.bakgame.de/Spiele können Sie spielend Ihre Kenntnisse rund um Cybersicherheit, Phishing und den sicheren Rechner erwerben. Probieren Sie es aus!

Zu den Aufgaben der neu gegründeten Stabsstelle Security Operations gehört auch die Information und Kommunikation im Bereich der IT-sicherheitsrelevanten Themen. So posten wir hier regelmäßig die ein oder andere Neuigkeit, die für Sie als User:in der Uni Köln wichtig oder interessant sein könnte – wie beispielsweise Sicherheitsmeldungen oder Phishing-Warnungen. "Stay tuned"!

Ihr Rechner ist das Tor zu den auf ihm gespeicherten Daten. Sorgen Sie dafür, dass niemand Zugriff auf Ihr Gerät hat. Dies gilt gleichermaßen für Ihren physischen Arbeitsplatz – wie beispielsweise Ihren Schreibtisch – und alle dort befindlichen Dokumente wie Unterlagen, Akten und ähnliches. Sorgen Sie Sie dafür, dass diese sicher und unerreichbar für andere eingeschlossen werden, damit niemand diese Daten einsehen, entwenden oder beschädigen kann. Konkret bedeutet dies:
Sperren Sie Ihren PC (oder melden Sie sich ab), sobald Sie Ihren Arbeitsplatz verlassen – auch kurzzeitig!
Schließen Sie vertrauliche Unterlagen weg. Dasselbe gilt für Datenträger wie USB-Sticks oder externe Festplatten.

Prüfen Sie, ob für Ihre Datenträger eine Verschlüsselung aller Daten in Frage kommen. Mittlerweile können die Betriebssysteme von sich aus eine Festplattenverschlüsselung einrichten, wenn man dem zustimmt.

microsoft.de Was ist Geräteverschlüsselung?

microsoft.de Aktivieren der Geräteverschlüsselung
 

heise.de Externe Datenträger verschlüsseln mit VeraCrypt

heise.de Dateien am Mac verschlüsseln – so geht's 

Updates und Sicherheitswarnungen der verwendeten Software können lästig sein – allzugerne werden diese Meldungen "weggeklickt" und ignoriert. Aber: Sicherheitslücken machen Systeme und Software unsicher. Dadurch können Angreifende Ihre Geräte kompromittieren. Um dies zu verhindern, machen Sie regelmäßige Updates, erst recht, wenn Ihre Software Sie daran erinnert! Besondere Priorität haben das Betriebssystem, der Internet-Browser und PDF-Software, weil diese am meisten gefährdet sind. Achten Sie darum immer auf Sicherheitshinweise.

Von USB-Sticks, Festplatten anderer und ähnlichen Medien können Gefahren ausgehen. Diese können unbemerkt gefährliche Schadsoftware in das eigene (Uni-)Netzwerk einspielen. Denken Sie daran: Schließen Sie gefundene USB-Sticks auf keinen Fall an Ihren Rechner an! Und seien Sie vorsichtig bei Speichermedien von Kolleg*innen, Freundinnen, Bekannten.

Wichtig ist: Nicht überall dasselbe Passwort verwenden. Sonst können bei Hackingangriffen gefundene Passwörter auch zum erfolgreichen Hacking weiterer Benutzerkonten und Systeme verwendet werden. Wenn Sie für das Online-Shopping dasselbe Passwort verwenden wie für Ihre dienstliche Mail-Adresse, könnten Angreifende dies direkt bei mehreren Diensten ausnutzen, sobald auch nur eines Ihrer Konten gehackt wurde.

Bundesamt für Sicherheit in der Informationstechnik - bsi.de: sichere Passwörter erstellen und verwenden

Weitere Tipps zur Wahl eines sicheren Passworts beziehungsweise wie man Passwörter sicher mit Hilfe von Passwort-Safe-Apps speichern kann, finden Sie auf unserer

Tipps-und-Tricks-Seite.

Übrigens: Bei vielen Webdiensten wird mittlerweile auch der Login mit dem eigenen Google- oder Facebook-Account ermöglicht. Aus Sicherheitsgründen sollte man davon aber Abstand nehmen. Warum? Wenn Ihr Facebook- oder Google-Account kompromittiert wird, hätten die Angreifenden auch gleich Zugriff auf die vielen anderen Dienste, die Sie mit diesem Account nutzen. Dies sollte natürlich vermieden werden.

Egal aus welchem Grund: Geben Sie Passwörter oder andere Zugangsdaten niemals an andere weiter! Die Daten Ihres Benutzerkontos gehören ausschließlich Ihnen und dürfen nicht an andere weitergegeben werden – auch nicht für den WLAN- oder VPN-Zugang. Die Weitergabe von Zugangsdaten kann zur Sperrung Ihres Accounts führen und darüberhinaus arbeitsrechtliche Konsequenzen haben!

Für Gäste Ihrer Einrichtung können in einem solchen Fall Gast-Accounts oder WLAN-Accounts beantragt werden.

Eine regelmäßige Sicherung Ihrer Daten ist wichtig, damit Sie bei Hardwaredefekten oder anderen Fehlern keine Informationen verlieren. Wer kein Backup vornimmt, läuft Gefahr, bei Störungen ohne Daten dazustehen. Denken Sie daran: Auch externe Datenträger können kaputtgehen! Und USB-Sticks sind besonders anfällig für Datenverluste, sie können beziehungsweise sollten also zur Datensicherung nicht verwendet werden. 

Allgemeine Informationen: heise.de Was ist ein Backup?

Backup unter Windows 10: heise.de Windows Backup erstellen

Backup unter MacOS mit "TimeMachine": apple.com TimeMachine Backup einrichten

An der Uni Köln steht außerem das Backupsystem TSM zur Verfügung (Hinweis: Die Nutzung erfordert aber einiges an Fachwissen und ist eher für fachkundige User*innen zu empfehlen).

Behandeln Sie insbesondere personenbezogene Daten und vertrauliche Daten mit Sorgfalt. Dies bedeutet: Speichern Sie Daten nur auf vertrauenswürdigen Datenträgern wie SoFS oder internen Netzlaufwerken. Und achten Sie auf die Dienste, die Sie zur Datenspeicherung nutzen, denn: Auf Dropbox und externen Cloudspeichern haben sensible Daten nichts verloren! 

Falls Sie unsicher sind, welche Daten Sie wo speichern dürfen, wenden Sie sich gern an den RRZK-Helpdesk, um diese Fragen zu klären oder gegebenenfalls an die richtige Beratungsstelle verwiesen zu werden.

Und: Geben Sie nicht leichtfertig Informationen heraus! Überlegen Sie, ob die Herausgabe von Informationen zum Sachverhalt passt oder ob man nicht "zuviel verrät". Dies betrifft nicht nur die Informationen im Internet, sondern ebenso Anrufe oder persönliche Gespräche.

Richtiger Umgang mit Daten bedeutet auch zu wissen, wie man Daten richtig, vollständig und unwiederherstellbar löscht. Einige Hinweise sind auf diesen Seiten von heise.de zusammengestellt.

Es gibt sie schon seit vielen Jahren: Phishing- und Spam-Mails. In den letzten Monaten hat die Anzahl von Phishing-Attacken weltweit nachweislich zugenommen – auch an der Universität zu Köln. Seien Sie vorsichtig, wenn jemand Sie per E-Mail unter Druck setzt, insbesondere wenn Sie zur Eingabe Ihrer Daten auf einer Webseite aufgefordert werden – beispielsweise unter dem Vorwand, Ihr Benutzerkonto werde sonst gesperrt. Achten Sie darauf, um welche Webseite es sich handelt, prüfen Sie die URL, also die Internetadresse dieser Seite genau.

Unsere Verhaltenshinweise zu Phishing finden Sie auf unserer Seite "Was ist Phishing?" Wenn Sie wissen wollen, wie Phishing-Mails aussehen, haben wir Ihnen hier einige Beispiele für Phishing-Mails an der Uni Köln aufgelistet.

Achten Sie außerdem auf die besonders gefährliche Variante des sogenannten Spear-Phishings!

Wie Sie sich grundsätzlich gegen Phishingmails und andere Bedrohungen schützen können, hat das BSI auf seinen Webseiten zusammengefasst: bsi.de Methoden der Cyberkriminalität: Spam, Phishing & Co.

Übrigens: E-Mails zu fälschen ist so einfach wie das Versenden einer Postkarte! Sofern Sie unsicher sind, ob eine E-Mail wirklich von den genannten Urheber*innen stammt, fragen Sie bei der jeweiligen Person nach! Ein Telefonanruf kann schnelle Klarheit bringen und Schlimmeres verhindern!

Trennen Sie Berufliches von Privatem – auch in der IT. Richten Sie für Dienst und Privates getrennte Benutzerkonten ein, so dass auch dort Ihre Daten und Ihre Software voneinander getrennt genutzt werden können. Und: Verwenden Sie möglichst ein eingeschränktes Benutzerkonto!

Unter MacOS und Linux ist dies bereits seit Jahren ein Standard. Aber unter Windows 10 muss dies selbstständig von Ihnen eingerichtet werden:

Wie das geht, steht auf den Webseiten von Microsoft beschrieben. microsoft.com Einrichten eines lokalen Benutzerkontos.

Wenn Sie unsicher sind, sei es durch unbekannte Fehlermeldungen oder "verdächtige" Nachrichten, zögern Sie nicht, die zuständigen Hilfestellen (zum Beispiel den RRZK-Helpdesk) um Rat zu fragen. Auf der Startseite des RRZK werden bei größeren Phishing-Attacken auch entsprechende Hinweise veröffentlicht. Werfen Sie dort zunächst einen Blick auf die Informationen über mögliche Vorfälle.
Wichtig ist: Lassen Sie sich nicht unter Druck setzen, denn in Drucksituationen lassen sich Entscheidungen nicht immer leicht fällen oder führen zu Fehlentscheidungen. Fragen Sie lieber einmal zu viel nach, als zu wenig. Und haben Sie keine Sorge vor unverständlichen Reaktionen. In der Informationssicherheit gilt: Lieber einmal mehr Vorsicht walten lassen, bevor etwas passiert!