Für Sicherheit in der EDV sind nicht nur technische Systeme zuständig, sondern ebenso die einzelnen Benutzerinnen und Benutzer. Der sorgsame Umgang mit den Ressourcen der Kunstuniversität umfasst, neben der bestimmungsgemäßen Verwendung der Hardware, auch die Software- und Datensicherheit.
Versperren Sie das Büro beim Verlassen
Auch wenn es nur eine kurze Abwesenheit ist, können Wertgegenstände aus den Büroräumlichkeiten entwendet werden, außerdem verhindern Sie damit, dass Unbefugte physischen Zugriff auf Ihre Geräte und Datenträger haben.
Logout beim Verlassen des Arbeitsplatzes
Wenn Sie nicht mehr an Ihrem Rechner arbeiten, melden Sie Ihren Benutzer ab oder sperren Sie den Bildschirm. Aktivieren Sie die automatische Sperre mittels Einstellungen im Bildschirmschoner (Anmeldeseite bei Reaktivierung). Bei Dienstende fahren Sie das Gerät vollständig herunter.
Mobile Geräte (Laptop, Tablet, Smartphone) nicht unbeaufsichtigt lassen
Behalten Sie Ihre Geräte auch in einer scheinbar sicheren Umgebung, wie z. B. in Uni-Gebäuden, im Blick.
Vorsicht vor dem Schulterblick
Nicht nur in der Öffentlichkeit besteht die Gefahr, dass jemand auf Ihren Bildschirm oder Ihre Tastatur sehen kann und damit z. B. Passwörter oder sensible Daten ausspäht. Sollten Sie unsicher sein, dies verhindern zu können, so können Blickschutzfolien helfen, die am Bildschirm des jeweiligen Geräts angebracht werden.
Externe Datenträger und Geräte
Verwenden Sie für dienstliche Zwecke keine Geräte (z. B. USB-Sticks, Mäuse, Tastaturen), die Sie gefunden oder geschenkt bekommen haben. USB-Geräte, die man als Werbegeschenke erhält, können unbemerkt Schadsoftware enthalten, die etwa Ihre Dateneingabe protokollieren oder sogar die Elektronik Ihres Rechners beschädigen.
Datenträger mit dienstlichen Daten müssen am Ende der Verwendungsdauer sicher gelöscht bzw. vernichtet werden, kontaktieren Sie dazu den IT Helpdesk.
Nur notwendige Software installieren
Sichere Zugangsdaten und Benutzerkonten
Umgang mit Daten
Updates
Im Gegensatz zu Funktionsupdates sollten Sicherheitsupdates auf jeden Fall regelmäßig durchgeführt werden. Aktivieren Sie die automatischen (Sicherheits-)Updates, sowohl des Betriebssystems als auch der Programme/Apps.
Anti-Virus
Auf Rechnern, die vom ZID ausgegeben werden, ist ein Antiviren-Programm installiert – deaktivieren Sie das nicht! Installieren Sie auf Dienstgeräten nicht selbstständig weitere Antiviren-Programme. Bei Privatgeräten ist der "Windows Defender" ausreichend.
Allgemeine Sicherheitshinweise
Seien Sie vorsichtig speziell gegenüber E-Mails, in denen Sie aufgefordert werden, etwas zu tun, wie: Link anklicken, Webseite aufrufen, Daten eingeben, Anhänge öffnen.
Achtung! Genau wie bei herkömmlichen Briefen kann auch ein E-Mail-Absender gefälscht sein. Wenn Sie sich nicht sicher sind, fragen Sie beim Absender nach, ob das E-Mail tatsächlich von ihm stammt, am besten über andere Kommunikationskanäle (persönlich, telefonisch, andere E-Mail-Adresse, Messenger-Apps).
Leiten Sie verdächtige E-Mails "als Anlage" an den ZID-Helpdesk weiter.
Spam-/Junk-Mails
Damit werden unerwünschte, massenweise verschickte E-Mails bezeichnet. Aus Sicht der EDV ergibt sich das Problem, dass "unerwünscht" ein subjektives Kriterium ist, das heißt es wird nie möglich sein, bereits im Vorfeld sämtliche Spam-Mails zu filtern und umgekehrt kann es durchaus möglich sein, dass erwünschte Mails als Spam gekennzeichnet werden.
Verwenden Sie Ihre dienstliche Adresse nicht zur Anmeldung bei externen, nicht beruflich notwendigen Diensten (Online-Shops, Portale, Chats, Foren, Social Media, Gewinnspiele …).
Reagieren Sie nicht auf eine Spam-Mail und klicken Sie nicht auf darin enthaltene Links, denn dadurch kann der Absender nachvollziehen, dass Ihre E-Mail-Adresse aktiv ist und Sie diese E-Mails lesen, die Folge sind häufig noch mehr Spam-Mails.
Im Zusammenhang mit diesem Thema werden viele Begriffe verwendet, im Folgenden ein kleiner Überblick:
Böswillige Software, Überbegriff für schädliche Programme und Skripte.
Das Wort kommt von Passwort und „fishing“ (angeln), also das „Angeln nach Zugangsdaten“. Das Ziel ist meistens Identitätsdiebstahl und -missbrauch, womit dann z. B. Bankkonten ausgeräumt werden oder es wird Dritten diese gestohlene Identität vorgegaukelt, um an weitere Daten oder Güter zu kommen.
Eine Betrugsmethode, bei der die Opfer auf gefälschte Webseiten umgeleitet werden, um dort arglos ihre Daten einzugeben.
Wie der Name andeutet, wird dabei versucht ein Lösegeld ("ransom") zu erpressen, wobei als Geisel die Daten bzw. der Zugriff auf Systeme genommen wird. Diese werden verschlüsselt/gesperrt und erst gegen Herausgabe des Lösegelds wieder entschlüsselt.
Ist darauf ausgelegt, im Verborgenen die Daten des Benutzers auszuspähen („spy“) und an Dritte weiterzugeben.
Zeigt dem Benutzer unerwünschte Werbung an und wird meistens im Verbund mit erwünschter Software installiert/ausgeführt.
Software, die bereits beim Kauf auf Geräten vorinstalliert ist und sich schwer oder nicht entfernen lässt. Diese Software ist häufig unerwünscht und verlangsamt das System, kann aber ebenso ein Sicherheitsrisiko darstellen.
Eine Form von Malware, die dem Benutzer durch Täuschung Angst einjagt ("scare") und ihn damit zu bestimmten Handlungen verleiten soll. Beispiel: Eine Webseite zeigt ein offiziell aussehendes Dialogfenster an, wonach der PC mit Viren infiziert sei und man solle sofort eine bestimmte Telefonnummer anrufen oder eine App installieren.
Zeichnet die Tastatureingaben auf, um so an Passwörter oder andere sensible Daten zu gelangen.
Eine „Hintertür“, die in einem System vorhanden ist oder durch Malware geöffnet wird, um dort – unter Umgehung von Sicherheitsmaßnahmen – eindringen zu können.
Wie ein biologisches Virus zeichnet sich ein Computervirus dadurch aus, dass es sich einerseits selbst vermehrt, andererseits die Software eines Systems infiziert und dadurch unerwünschte Effekte hervorruft, die dem Benutzer allerdings auch (vorerst) verborgen bleiben können.
Im Gegensatz zu einem Virus ist ein Wurm nicht darauf angewiesen Dateien zu infizieren, sondern verbreitet sich autark innerhalb eines Computernetzwerkes oder über Wechseldatenträger und nutzt dabei systematisch Schwachstellen und Sicherheitslücken. Diesen Vorgang nennt man "Exploit".
Eine Schadsoftware, die sich als nützliches Programm tarnt, im Hintergrund jedoch Viren oder Würmer auf dem Zielsystem installiert.
Als Folge eines Malware-Befalls kann ein Computer Teil eines Bot-Netzwerkes werden. Das Ziel ist dabei nicht, die einzelnen Computer lahmzulegen. Vielmehr geht es darum, dessen Rechenleistung ferngesteuert gegen größere Ziele zu richten, um z. B. DDoS-Attacken zu starten oder Spam-Mails zu versenden. Unter Umständen könnte dabei sogar der Besitzer/Benutzer des PCs rechtlich belangt werden, da diese illegale Aktivität von seinem Gerät ausging. Das größte bekannte schädliche Botnetz „BredoLab“ umfasste rund 30 Millionen Computer.
Distributed-Denial-of-Service. Durch eine hohe Anzahl an Zugriffen auf einen Server innerhalb kürzester Zeit, kann dieser die Anfragen nicht mehr verarbeiten und reagiert auch auf reguläre Zugriffe nicht mehr – der Server fällt aus und mit ihm alle Dienste, die darauf laufen (z. B. Webseiten). Wenn diese Attacke von vielen unterschiedlichen Quellen ausgeführt wird, z. B. einem Botnetz, ist es schwierig den Angriff zu blockieren.
Einfach ausgedrückt das (automatisierte) Ausprobieren aller Möglichkeiten, um etwa ein Passwort zu erraten. Aufgrund höherer Erfolgswahrscheinlichkeit werden gängigere und unsichere Passwörter zuerst verwendet („Wörterbuchangriff“). Aus diesem Grund tritt bei vielen Systemen eine Sperre in Kraft, wenn fehlgeschlagene Anmeldeversuche einen Schwellenwert überschreiten.
Neben technischen Methoden, um in ein Computer-System einzudringen oder Identitätsdiebstahl zu betreiben, wird auch die „Schwachstelle Mensch“ als Angriffsvektor genutzt, etwa durch Gewinnen des Vertrauens einer Zielperson.
Die Beobachtung Ihres Bildschirms und Ihrer Eingaben. Dadurch können nicht nur Passwörter herausgefunden werden, sondern auch Vorlieben und Lebensumstände von Personen herausgefunden werden, die wiederrum für „Social Engineering“ nützlich sind.
Eine Art des Social Engineering, bei dem Angreifer einen Vorwand („pretext“) erfinden, den sie nutzen können, um Daten abzugreifen. Beispielsweise gibt sich der Betrüger als Bankmitarbeiter aus, der bestimmte Informationen von seinem Opfer benötigt, um dessen Identität zu bestätigen.