Tipps und Tricks zur praktischen IT-Sicherheit
Im Folgenden haben wir Ihnen einige Tipps und Hinweise zum Thema IT-Sicherheit zusammengestellt. Diese sollen Sie im täglichen Umgang mit IT unterstützen. Außerdem finden Sie hier einige Verweise auf externe Angebote und Schulungen sowie Videos zu verschiedenen Aspekten wie dem sicheren PC, Mobilgerätesicherheit und den Umgang mit Daten und sicheren Passwörtern.
Hinweis: Diese Seiten befinden sich noch im Aufbau!
Sichere Passwörter wählen
Die wichtigste Regel für die Wahl eines sicheren Passworts: Vermeiden Sie mehrfach genutzte Passwörter! Wählen Sie für jeden Service ein eigenes Passwort, soweit dies möglich ist. Weitere Tipps zur Wahl sicherer Passwörter finden Sie auf den Seiten des Bundesamtes für Sicherheit in der Informationstechnik.
Passwörter sicher speichern
Verwenden Sie viele verschiedene Passwörter für unzählige Dienste? Um die Übersicht zu behalten, gibt es Programme mit sicheren Passwort-Safes – solche gibt es darüberhinaus auch als Apps für Mobilgeräte. Auf den Webseiten des heise-Verlags gibt es entsprechende Empfehlungen und Nutzungsanleitungen.
Virenschutzsoftware – welche soll ich vewenden?
An der Universität zu Köln steht für Dienstgeräte das Programm Sophos Intercept X als Antiviren-Software kostenlos zur Verfügung. Hierbei handelt es sich um eine neuere Art von Software, die das bisherige Anti-Virus-Produkt von ablöst, das nur bis zum 20. Juli 2023 verwendet werden kann. Einer der Vorteile der neuen Software Sophos Intercept X ist, dass die regelmäßigen Anti-Virus-Updates über einen Cloud-Service bezogen werden und daher auch stabil für mobile Geräte zur Verfügung stehen, die von wechselnden Netzwerken aus verwendet werden (z.B. auf Dienstreisen oder beim Arbeiten von zu Hause).
Für andere Geräte, wie beispielsweise Ihr privates Gerät, können Sie über den Lizenzvertrag der Universität das Produkt Sophos Home Premium kostenlos erhalten. Ansonsten ist in diesen Fällen auch der bei Windows vorinstallierte Windows Defender eine sinnvolle Option.
Benötige ich eine Firewall auf meinem Gerät?
Grundsätzlich gibt es zwei Arten von Firewall: Das eine ist die Hardware-Firewall, deren Funktion von Ihrem heimischen Router genauso abgedeckt wird wie es in der Universität durch die Firewall-Infrastruktur geschieht. Firewalls sind dazu da, um den Netzwerkverkehr entsprechender Regeln entweder zuzulassen oder zu blockieren, wie beispielsweise "bösen" Netzwerkverkehr durch Viren- oder Trojaner-Software. Die andere Art von Firewall ist die Software-Firewall, wie sie auch in Ihrem Betriebssystem zu finden ist: Von dieser bekommen Sie im Regelfall wenig mit (Windows beispielsweise ist sehr zurückhaltend mit Firewall-Meldungen!). Reicht also diese integrierte Firewall aus oder muss ich zusätzliche Firewall-Software kaufen, um noch sicherer zu sein? Aus unserer Sicht ist dies nicht nötig – eher im Gegenteil: Zusätzliche Firewallsoftware fragt allzu gern, welchen Netzwerkverkehr sie zulasen oder blockieren soll. So besteht die Gefahr, dass man aus Unwissen- oder Unsicherheit am Ende irgendetwas durchlässt, was besser gar nicht durchgelassen werden sollte: Lassen Sie die in Ihr System integrierte Firewall ruhig ihre Arbeit tun. Dies reicht völlig aus.
Daten sicher löschen – wie geht das?
Wie Sie Daten von Festplatten oder anderen Datenträgern sicher löschen können und was Sie dabei beachten müssen, haben wir hier erläutert.
10 goldene Regeln der Informationssicherheit
1.) Sichern Sie Ihren Arbeitsplatz, Ihre Unterlagen und Ihren Rechner!
Ihr Rechner ist das Tor zu den auf ihm gespeicherten Daten. Sorgen Sie dafür, dass niemand Zugriff auf Ihr Gerät hat. Dies gilt gleichermaßen für Ihren physischen Arbeitsplatz – wie beispielsweise Ihren Schreibtisch – und alle dort befindlichen Dokumente wie Unterlagen, Akten und ähnliches. Sorgen Sie Sie dafür, dass diese sicher und unerreichbar für andere eingeschlossen werden, damit niemand diese Daten einsehen, entwenden oder beschädigen kann. Konkret bedeutet dies:
Sperren Sie Ihren PC (oder melden Sie sich ab), sobald Sie Ihren Arbeitsplatz verlassen – auch kurzzeitig!
Schließen Sie vertrauliche Unterlagen weg. Dasselbe gilt für Datenträger wie USB-Sticks oder externe Festplatten.
Prüfen Sie, ob für Ihre Datenträger eine Verschlüsselung aller Daten in Frage kommen. Mittlerweile können die Betriebssysteme von sich aus eine Festplattenverschlüsselung einrichten, wenn man dem zustimmt.
microsoft.de Was ist Geräteverschlüsselung?
microsoft.de Aktivieren der Geräteverschlüsselung
2.) Halten Sie Ihre Software auf dem neuesten Stand!
Updates und Sicherheitswarnungen der verwendeten Software können lästig sein – allzugerne werden diese Meldungen "weggeklickt" und ignoriert. Aber: Sicherheitslücken machen Systeme und Software unsicher. Dadurch können Angreifende Ihre Geräte kompromittieren. Um dies zu verhindern, machen Sie regelmäßige Updates, erst recht, wenn Ihre Software Sie daran erinnert! Besondere Priorität haben das Betriebssystem, der Internet-Browser und PDF-Software, weil diese am meisten gefährdet sind. Achten Sie darum immer auf Sicherheitshinweise.
3.) Vorsicht bei der Nutzung von externen/mobilen Datenträgern!
Von USB-Sticks, Festplatten anderer und ähnlichen Medien können Gefahren ausgehen. Diese können unbemerkt gefährliche Schadsoftware in das eigene (Uni-)Netzwerk einspielen. Denken Sie daran: Schließen Sie gefundene USB-Sticks auf keinen Fall an Ihren Rechner an! Und seien Sie vorsichtig bei Speichermedien von Kolleg*innen, Freundinnen, Bekannten.
4.) Verwenden Sie sichere Passwörter!
Wichtig ist: Nicht überall dasselbe Passwort verwenden. Sonst können bei Hackingangriffen gefundene Passwörter auch zum erfolgreichen Hacking weiterer Benutzerkonten und Systeme verwendet werden. Wenn Sie für das Online-Shopping dasselbe Passwort verwenden wie für Ihre dienstliche Mail-Adresse, könnten Angreifende dies direkt bei mehreren Diensten ausnutzen, sobald auch nur eines Ihrer Konten gehackt wurde.
Weitere Tipps zur Wahl eines sicheren Passworts beziehungsweise wie man Passwörter sicher mit Hilfe von Passwort-Safe-Apps speichern kann, finden Sie auf unserer
Übrigens: Bei vielen Webdiensten wird mittlerweile auch der Login mit dem eigenen Google- oder Facebook-Account ermöglicht. Aus Sicherheitsgründen sollte man davon aber Abstand nehmen. Warum? Wenn Ihr Facebook- oder Google-Account kompromittiert wird, hätten die Angreifenden auch gleich Zugriff auf die vielen anderen Dienste, die Sie mit diesem Account nutzen. Dies sollte natürlich vermieden werden.
5.) Geben Sie Zugangsdaten nie weiter!
Egal aus welchem Grund: Geben Sie Passwörter oder andere Zugangsdaten niemals an andere weiter! Die Daten Ihres Benutzerkontos gehören ausschließlich Ihnen und dürfen nicht an andere weitergegeben werden – auch nicht für den WLAN- oder VPN-Zugang. Die Weitergabe von Zugangsdaten kann zur Sperrung Ihres Accounts führen und darüberhinaus arbeitsrechtliche Konsequenzen haben!
Für Gäste Ihrer Einrichtung können in einem solchen Fall Gast-Accounts oder WLAN-Accounts beantragt werden.
6.) Sichern Sie Ihre Daten regelmäßig!
Eine regelmäßige Sicherung Ihrer Daten ist wichtig, damit Sie bei Hardwaredefekten oder anderen Fehlern keine Informationen verlieren. Wer kein Backup vornimmt, läuft Gefahr, bei Störungen ohne Daten dazustehen. Denken Sie daran: Auch externe Datenträger können kaputtgehen! Und USB-Sticks sind besonders anfällig für Datenverluste, sie können beziehungsweise sollten also zur Datensicherung nicht verwendet werden.
Allgemeine Informationen: heise.de Was ist ein Backup?
Backup unter Windows 10: heise.de Windows Backup erstellen
Backup unter MacOS mit "TimeMachine": apple.com TimeMachine Backup einrichten
An der Uni Köln steht außerem das Backupsystem TSM zur Verfügung (Hinweis: Die Nutzung erfordert aber einiges an Fachwissen und ist eher für fachkundige User*innen zu empfehlen).
7.) Gehen Sie bewusst mit (sensiblen) Daten um!
Behandeln Sie insbesondere personenbezogene Daten und vertrauliche Daten mit Sorgfalt. Dies bedeutet: Speichern Sie Daten nur auf vertrauenswürdigen Datenträgern wie SoFS oder internen Netzlaufwerken. Und achten Sie auf die Dienste, die Sie zur Datenspeicherung nutzen, denn: Auf Dropbox und externen Cloudspeichern haben sensible Daten nichts verloren!
Falls Sie unsicher sind, welche Daten Sie wo speichern dürfen, wenden Sie sich gern an den RRZK-Helpdesk, um diese Fragen zu klären oder gegebenenfalls an die richtige Beratungsstelle verwiesen zu werden.
Und: Geben Sie nicht leichtfertig Informationen heraus! Überlegen Sie, ob die Herausgabe von Informationen zum Sachverhalt passt oder ob man nicht "zuviel verrät". Dies betrifft nicht nur die Informationen im Internet, sondern ebenso Anrufe oder persönliche Gespräche.
Richtiger Umgang mit Daten bedeutet auch zu wissen, wie man Daten richtig, vollständig und unwiederherstellbar löscht. Einige Hinweise sind auf diesen Seiten von heise.de zusammengestellt.
8.) Phishing und Spam: Seien Sie misstrauisch!
Es gibt sie schon seit vielen Jahren: Phishing- und Spam-Mails. In den letzten Monaten hat die Anzahl von Phishing-Attacken weltweit nachweislich zugenommen – auch an der Universität zu Köln. Seien Sie vorsichtig, wenn jemand Sie per E-Mail unter Druck setzt, insbesondere wenn Sie zur Eingabe Ihrer Daten auf einer Webseite aufgefordert werden – beispielsweise unter dem Vorwand, Ihr Benutzerkonto werde sonst gesperrt. Achten Sie darauf, um welche Webseite es sich handelt, prüfen Sie die URL, also die Internetadresse dieser Seite genau.
Unsere Verhaltenshinweise zu Phishing finden Sie auf unserer Seite "Was ist Phishing?" Wenn Sie wissen wollen, wie Phishing-Mails aussehen, haben wir Ihnen hier einige Beispiele für Phishing-Mails an der Uni Köln aufgelistet.
Achten Sie außerdem auf die besonders gefährliche Variante des sogenannten Spear-Phishings!
Wie Sie sich grundsätzlich gegen Phishingmails und andere Bedrohungen schützen können, hat das BSI auf seinen Webseiten zusammengefasst: bsi.de Methoden der Cyberkriminalität: Spam, Phishing & Co.
Übrigens: E-Mails zu fälschen ist so einfach wie das Versenden einer Postkarte! Sofern Sie unsicher sind, ob eine E-Mail wirklich von den genannten Urheber*innen stammt, fragen Sie bei der jeweiligen Person nach! Ein Telefonanruf kann schnelle Klarheit bringen und Schlimmeres verhindern!
9.) Dienst / Privat / Administration: Arbeiten Sie mit getrennten Benutzerkonten!
Trennen Sie Berufliches von Privatem – auch in der IT. Richten Sie für Dienst und Privates getrennte Benutzerkonten ein, so dass auch dort Ihre Daten und Ihre Software voneinander getrennt genutzt werden können. Und: Verwenden Sie möglichst ein eingeschränktes Benutzerkonto!
Unter MacOS und Linux ist dies bereits seit Jahren ein Standard. Aber unter Windows 10 muss dies selbstständig von Ihnen eingerichtet werden:
Wie das geht, steht auf den Webseiten von Microsoft beschrieben. microsoft.com Einrichten eines lokalen Benutzerkontos.
10.) Fragen Sie nach! Informieren Sie sich!
Wenn Sie unsicher sind, sei es durch unbekannte Fehlermeldungen oder "verdächtige" Nachrichten, zögern Sie nicht, die zuständigen Hilfestellen (zum Beispiel den RRZK-Helpdesk) um Rat zu fragen. Auf der Startseite des RRZK werden bei größeren Phishing-Attacken auch entsprechende Hinweise veröffentlicht. Werfen Sie dort zunächst einen Blick auf die Informationen über mögliche Vorfälle.
Wichtig ist: Lassen Sie sich nicht unter Druck setzen, denn in Drucksituationen lassen sich Entscheidungen nicht immer leicht fällen oder führen zu Fehlentscheidungen. Fragen Sie lieber einmal zu viel nach, als zu wenig. Und haben Sie keine Sorge vor unverständlichen Reaktionen. In der Informationssicherheit gilt: Lieber einmal mehr Vorsicht walten lassen, bevor etwas passiert!
Mobile Endgeräte
Wie kann ich mein Android-Smartphone oder -Tablet vor Schadsoftware schützen?
- Vermeiden Sie Downloads von Apps, die nicht aus dem Play Store stammen. Apps, die Sie nicht aus dem Play-Store, sondern als separate APK-Datei von einer Website herunterladen, können Schadsoftware enthalten. Die Installation von nicht aus dem Play Store stammenden Apps ist standardmäßig deaktiviert. Wenn Sie zwingend eine App installieren müssen, die nur separat erhältlich ist, achten Sie darauf, dass Sie der Downloadquelle vertrauen können. Im Play Store besteht zwar ein Maß an Sicherheit, dass die Apps vorher geprüft sind, jedoch gelingt dies auch nicht immer vollständig.
- Halten Sie Apps und das Betriebssystem Ihres Android-Gerätes auf dem aktuellen Stand. Nur so können bekannt gewordene Sicherheitslücken geschlossen werden.
- Schadsoftware kann auch durch einen sogenannten Drive by-Download installiert werden. Dabei werden Sicherheitslücken in Internetbrowsern ausgenutzt, dann kann bereits der Besuch einer Website ausreichen, um Schadsoftware auf Ihr Gerät herunterzuladen. Diese Drive-by-Downloads können auch durch Werbeanzeigen ausgelöst werden, die auf anderen Websites eingebettet sind. Die Nutzung eines aktuellen Werbeblockers reduziert daher das Risiko auf eine entsprechend manipulierte Werbeanzeige zu stoßen. Unter Android steht für Mozilla Firefox beispielsweise uBlock origin bereit.
- Stimmen Sie niemals der Installation einer App zu, wenn Sie dazu aufgefordert werden, die Installation aber nicht selber ausgelöst haben.
- Überprüfen Sie vor der Installation die angeforderten Zugriffsrechte der App. Was möchte diese für Daten auslesen? Will sie Zugriff auf Ihren Standort? Will sie diesen Zugriff immer oder nur, wenn Sie mit dem Programm arbeiten? Passen die geforderten Daten zu den Nutzungsmöglichkeiten der App (beispielsweise ist es unnötig, einer Spiele-App Zugriff auf Ihren Standort zu geben)?
Ist das Surfen im offenen WLAN (zum Beispiel im Café oder Hotel) gefährlich?
Wenn ein Gerät mit einem offenen WLAN verbunden wird, findet die Kommunikation zwischen Gerät und WLAN-Access Point unverschlüsselt statt. Dabei kann jede Person mit entsprechenden Kenntnissen, den Datenverkehr der anderen Geräte mitschneiden und im Ernstfall Zugangsdaten abgreifen und anschließend missbrauchen, falls nicht die Verbindung zwischen Ihrem Gerät und der eigentlich Website selbst noch extra verschlüsselt ist. Dies können Sie am "Schlüssel-Symbol" in der Adressleiste erkennen.
Daneben besteht theoretisch auch die Gefahr, dass der Betreiber des Netzwerkes den Datenverkehr mitschneidet.
Wenn Sie sich in einem öffentlichen oder allgemein nicht vertrauenswürdigen WLAN befinden, können Sie den VPN-Dienst der Universität nutzen, um eine sichere verschlüsselte Verbindung zwischen Ihrem Gerät und der Universität aufzubauen. Bei Nutzung des Full-Tunnels wird sämtlicher Datenverkehr von Ihrem Gerät zunächst verschlüsselt zur Universität geleitet und dann ggf. weiter zum Ziel, falls dieses außerhalb des Universitätsnetzes liegt. Andere Nutzer oder der Betreiber des öffentlichen WLAN können Ihren Datenverkehr dann nicht mehr im Klartext mitlesen.
Aktuell:
Informationen zu Tools für kollaboratives Arbeiten im Homeoffice
Kontakt
Bei Fragen und für individuellen Support wenden Sie sich bitte an den
RRZK-Helpdesk