Informationssicherheit

Die Betrugsmasche "Fake President Fraud" oder "CEO-Fraud" betrifft vorwiegend große Organisationen und zielt auf finanzielle Schäden.

Dabei handelt es sich um spezielle Phishing-Angriffe, um entscheidungsbefugte Personen so zu manipulieren, dass diese Geld an Unbefugte überweisen. Dazu imitieren Täter Vorgesetzte in E-Mails, Telefonaten oder Briefen. In der Kommunikation wird Zeitdruck vorgegeben und dazu aufgefordert, einen Vorgang vor anderen Beschäftigten geheim zu halten.

Beispiel: Beschäftigte erhalten eine E-Mail, die vorgeblich von der Präsidentin der Hochschule stammt. Der Text ist kurz gehalten, weil sich die Präsidentin in einem Meeting befinde und vom Smartphone aus schreibe. Wegen des Meetings solle man auch nicht anrufen. In der E-Mail wird dann ein wichtiges Vorhaben angesprochen, das schnelles Handeln erfordere. Die Angesprochenen werden durch die Ansprache aufgewertet ("Es ist wichtig", "Nur Sie können jetzt helfen", "Ihre Vorgesetzten wissen bereits Bescheid" oder "Die Sache ist so wichtig, dass ich mich direkt an Sie wende") - und grundsätzlich sind wir ja alle daran interessiert, dass die Dinge laufen und stehen nicht jeder Anfrage gleich misstrauisch gegenüber. Die Handlungen, zu denen aufgefordert wird, können z.B. die Anweisung einer Zahlung sein, die Freigabe einer Aktion, das Einräumen von Berechtigungen in IT-Anwendungen oder das Übersenden von Dateien.

• Überprüfen Sie Absender, Fußzeile und E-Mail-Signatur auf Unstimmigkeiten
• Sind Anrede und Text stimmig? Ist es plausibel, dass sich der Absender mit dem Anliegen direkt an Sie wendet und ggf. Vorgesetzte auslässt?
• Fragen Sie im Zweifel lieber einmal zu viel nach und nutzen Sie die dienstliche Telefonnummer, nicht eine für Rückfragen in der E-Mail angegebene bisher unbekannte Mobiltelefonnummer. Informieren Sie Ihre Vorgesetzten.

Wählen Sie für Ihren HTWG-Account ein sicheres Passwort. Halten Sie das Passwort vertraulich. Nutzen Sie das Passwort nur für Ihren HTWG-Account und wählen Sie für andere Dienste andere Passwörter.

(Anforderung abgeleitet aus IT-Grundschutz-Kompendium: ORP.4.A8 Regelung des Passwortgebrauchs, ORP.4.A22 Regelung zur Passwortqualität)

Wenn Sie an Ihrem PC angemeldet sind, werden alle ausgeführten Aktionen Ihnen zugerechnet. Verlassen Sie Ihren Arbeitsplatz z.B. für ein Gespräch im Nachbarbüro oder für eine Pause, dann denken Sie daran, Ihren PC zu sperren. Sonst kann jede Person, die Zugang zu Ihrem Arbeitsplatz hat, Ihren Computer nutzen, in Ihrem Namen E-Mails verschicken, auf alle Ihre E-Mails und Dateien zugreifen und alle Ihre Daten verändern oder löschen.

• Windows-Computer sperren: Tasten Windows + L gleichzeitig drücken
• Apple-Computer sperren: Ctrl+Befehlstaste+Q gleichzeitig drücken

Wenn Ihnen die Eingabe Ihres langen HTWG-Passworts zum Entsperren zu lange dauert, gibt es in vielen Fällen die Möglichkeit, auch ein Entsperren per Fingerabdruck oder Gesichtserkennung umzusetzen.

(Anforderung abgeleitet aus IT-Grundschutz-Kompendium: SYS.2.1.A1 Sichere Benutzerauthentisierung)

Wechseldatenträger (USB-Sticks, CDs, DVDs, externe Festplatten, SD-Karten) werden dazu genutzt, Daten zu speichern, zu transportieren, oder um sie weitergeben zu können. Immer wieder liest man von verlorengegangenen USB-Sticks mit wichtigen Daten.

Da USB-Sticks das meistgenutzte Speichermedium sind und mit ihnen oft fahrlässig umgegangen wird, hier ein paar Regeln zum sicheren und bewussten Umgang mit USB-Sticks. Diese Regeln sollten selbstverständlich ebenfalls auf andere Speichermedien angewendet werden.

• Verwenden Sie getrennte USB-Sticks für die Arbeit an der Hochschule und für den privaten Gebrauch. Transportieren Sie USB-Sticks in einer verschließbaren Tasche, idealer zusammen mit Ihrem Laptop, wenn Sie unterwegs sind.
• Verleihen Sie Ihre USB-Sticks nicht an Dritte; es lässt sich in sehr kurzer Zeit Schadsoftware auf diesen installieren.
• Stecken Sie niemals einen gefundenen USB-Stick an Ihren Computer. Fremde USB-Sticks könnten Schadsoftware enthalten. Und nicht alles, was aussieht wie ein USB-Stick ist auch einer - es gibt Geräte, die über die USB-Schnittstelle direkt auf Ihren Computer zugreifen, wenn sie eingesteckt werden. Die Bauform alleine sagt wenig über die Funktionen des Geräts aus.
• Wenn Sie Ihren USB-Stick entsorgen wollen, sprechen Sie mit Ihrer EDV-Betreuerin bzw. Ihrem EDV-Betreuer. Diese können Ihnen bei der sicheren Löschung vertraulicher Daten helfen.

(Anforderung abgeleitet aus IT-Grundschutz-Kompendium: SYS.4.5: Wechseldatenträger)

E-Mails, die Sie hausintern versenden und empfangen, sind ausreichend gut gegen Dritte gesichert: Die Verbindung zwischen Computer und E-Mail-Server ist verschlüsselt und der E-Mail-Server wird von vertrauenswürdigem Personal der Hochschule betrieben.

Aber: Der Absender einer E-Mail kann leicht verfälscht werden. Es ist technisch keine große Hürde, E-Mails unter einem anderen Namen zu versenden (aber rechtlich verboten). Wenn Sie dem Empfänger eine höhere Verlässlichkeit signalisieren wollen, können Sie Ihre E-Mail signieren. Mit einer sogenannten digitalen Signatur geht das einfach und schnell.

E-Mails, die Sie hausintern versenden, können aus Versehen falsch adressiert sein. E-Mails, die Sie nach extern versenden, können außer vom Empfänger auch von den Betreibern der Netzwerkinfrastruktur auf dem Weg zum Empfänger eingesehen werden. Vermeiden Sie daher den Versand vertraulicher Daten wie Passwörter per E-Mail.

(Anforderung abgeleitet aus IT-Grundschutz-Kompendium: APP.5.3: Allgemeiner E-Mail-Client und -Server)

Wenn Sie an Ihrem Computer angemeldet sind, haben Sie Zugriff auf Dateien und Dienste abhängig von Ihren Arbeitsaufgaben und Ihrer Vertrauenswürdigkeit. Es wird davon ausgegangen, dass die Programme, die Sie nutzen, auf Ihre Dateien nur in dem Maße zugreifen, wie das nötig ist.

Schadsoftware nutzt die an Sie erteilten Berechtigungen aus. Damit können alle Ihre Dateien gelesen und auf andere Computer übertragen werden, es können alle Ihre Dateien verändert oder gelöscht werden. Weit verbreitet ist Software, die Ihre Dateien verschlüsselt, also die Inhalte so verändert, dass Sie sie nicht mehr nutzen können. Als Gegenleistung für die nötigen Daten und Programme zur Entschlüsselung wird dann ein Lösegeld verlangt ("Ransomware"). In vielen Fällen, in denen Lösegeld gezahlt wird, funktioniert die Entschlüsselung dann aber auch nicht: Man hat Datenverlust und gleichzeitig einen finanziellen Schaden. Hier helfen nur Vermeiden der Ausführung von Schadsoftware und vorbeugende Datensicherung, um im Schadensfall Daten wiederherstellen zu können.

Auf den meisten Computern ist standardmäßig ein Virenschutz aktiviert, der häufig vorkommende Schadsoftware erkennt und deren Ausführung verhindert. Es werden aber ständig neue Varianten in Umlauf gebracht, sodass der Virenschutz alleine nicht ausreicht. Starten Sie nur Programme, die Sie für Ihre Arbeit benötigen. Falls Sie selber Programme auf Ihrem Computer installieren dürfen, seien Sie sorgfältig bei der Auswahl Ihrer Bezugsquellen. Empfehlenswert sind App Stores und die Homepages der Softwarehersteller. Downloadportale sind in vielen Fällen zwar praktisch und bei der Suche nach einer Software in den Trefferlisten der Suchmaschinen oben gelistet, sie sind allerdings nicht immer vertrauenswürdig und dienen in Einzelfällen auch der Verbreitung von Schadsoftware.

(Anforderung abgeleitet aus IT-Grundschutz-Kompendium: OPS.1.1.4.A7 Sensibilisierung und Verpflichtung der Benutzer)