TU BRAUNSCHWEIG

Kurztipps zu IT-Sicherheit/Informationssicherheit aus dem Gauß-IT-Zentrum

Informationssicherheit kann man nicht aus dem Regal kaufen. Alle NutzerInnen müssen sich aktiv beteiligen.

Das Gauß-IT-Zentrum hat ausführliche Informationen und Anleitungen in einem Wiki zur Verfügung gestellt. Dort kann und sollte man sich ausführlich informieren.

Goldene Regeln

Einige wenige "goldene Regeln" sollten allerdings von allen NutzerInnen, egal ob MitarbeiterIn oder Studierende/r, immer beachtet werden.

  1. Update! Update! Update! Halten Sie ihre Software, ihr Betriebssystem und insbesondere Ihren Virenscanner auf allen Ihren Geräten immer aktuell.
  2. Nutzen Sie - wenn möglich und sinnvoll - für verschiedene Seiten verschiedene Benutzernamen (E-Mail-Adressen).
  3. Nutzen Sie für jeden Zugang (Konto, E-Mail, ...) jeweils ein verschiedenes, sicheres Passwort! Mit unserem Passwortgenerator ist es ganz einfach sich eins erzeugen zu lassen.
  4. Klicken Sie nie auf "OK", "Weiter", "Ja", "Einverstanden" oder "Akzeptieren" etc., ohne vorher gelesen und nachgedacht zu haben.
  5. "Kostenlos" ist oft teuer: Sie bezahlen mit Ihren Daten!
    Daher verbreiten Sie Ihre Daten mit Bedacht: Nicht immer muss jedes Online-Formularfeld befüllt werden.
  6. Eine E-Mail ist wie eine Postkarte, nicht wie ein Brief!
  7. Achten Sie bei jeder E-Mail und bei jeder Webseite auf die Links und die Anhänge: nicht einfach klicken, erst schauen! - Phishing und Erpressungs-Trojaner sind ganz groß in Mode!
    Je wachsamer wir sind, desto raffinierter aber auch die Tricks.
    Informieren Sie sich! (weitere Infos im Wiki: hier und hier)
  8. Aktivieren Sie immer einen Bildschirmschoner mit Passwortschutz (z.B. bei Windows: "Windows"-Taste+"L"), wenn Sie den Rechner verlassen, und sei es noch so kurz! 
  9. Arbeiten Sie nicht als "Administrator", sondern als normaler Anwender. Deaktivieren oder Löschen Sie alle Anwendungen und Dienste, die Sie nicht brauchen. Was nicht da ist, kann nicht angegriffen werden.
  10. "Automatisch" ist nicht automatisch gut! Stellen Sie das automatische Verbinden mit "bekannten" WLANs ab - siehe Vortrag WLAN-Sicherheit
  11. Backup! Backup! Backup! Sichern Sie oft und regelmäßig Ihre Daten an einem sicheren Ort - es ist Ihre einzige Versicherung gegen Erpressungstrojaner - und gegen Hardware-Ausfälle.
Nochmals anders formuliert von Heise Online: So schützen Sie sich

Anwendungen und Dienste

Kostenlose Web-Dienste sind praktisch, ohne Frage. Aber warum in die Ferne schweifen, wenn das Gute liegt so nah?

Das Gauß-IT-Zentrum bietet für Angehörige und Mitglieder der TU Braunschweig viele kostenfreie Dienste an - und das inklusive kostenfreiem Support für die Angebote des GITZ. Teilweise werdendie Dienste über das  Deutsche Forschungsnetz (DFN) angeboten.

Den vollständigen Überblick über die Dienstleistungen des Gauß-IT-Zentrums finden Sie in unserem Dienstleistungskatalog.

An dieser Stelle stellen wir Ihnen einige wenige, aber wichtige ausgewählte Dienste des GITZ und des DFN vor:

EinsatzgebietZugangBemerkung
E-Mail, Termine, Kontakte
(für Mitarbeiter: inkl. Mailarchiv)
Groupware
Communigate Pro
Zugang Anleitung
Cloudstorage
Online-Speicher
und Dateiaustausch
PowerFolder
Zugang Anleitung
Online-Office
Online-
Dokumentenbearbeitung
und Kollaboration
OnlyOffice
im Cloudstorage
integriert
Anleitung
Terminabstimmungen
Umfragen
Terminplanungstool
Foodle

Aktuelle Version (mit SSO)

DFN
Anleitung im Dokuwiki
Virenschutz
Sophos
Download Anleitungen
Spezialsoftware
(nur für Einrichtungen
und Institute)
lizenzpflichtig
Software Anleitungen
Campusplan
Lageplan Campus TU Braunschweig TU Braunschweig
Land- und Straßenkarten
Open Street Map
Karten OpenStreetMap
Foundation

(OSMF)
Videokonferenzen
Web-Konferenzen
(auch um externe
Teilnehmer einzubinden)

Webkonferenz
Videokonferenz

DFN
Backup / Restore
(nur für Institute
und Einrichtungen)
Anleitung

Password-Regeln und Prüfung

Sichere Passwörter wählen

Die Regeln und Tipps für sichere Passwörter sind hier zusammen gefasst:

Erweiterung der Passwort-Prüfung im interaktiven Passwort-Service des GITZ

Prüfung auf bereits bekannte Passwörter

Anlässlich des Weltpassworttags am 03.05.2018, der immer am ersten Donnerstag im Mai stattfindet, erweitert das GITZ die Passwortprüfung auf der „Passwort ändern“-Seite des GITZ.

 

Diese Änderung gilt nicht für Mitarbeiterinnen und Mitarbeiter, die in der Verwaltungsdomäne arbeiten, da dort das Passwort über Windows-interne Mechanismen gesetzt wird und nicht über den Webservice.

 

Zusätzlich zu der bereits bekannten Prüfung auf Einhaltung der Passwort-Regeln wird ab dem 3.5.2018 auf der „Passwort ändern“-Seite des GITZ https://www.tu-braunschweig.de/it/service-interaktiv/passwortaendern ebenfalls geprüft, ob das gewünschte Passwort eventuell schon einmal in einer Liste von bereits schon einmal gehackten und bekannt gewordenen Passwörtern enthalten ist. Wenn dies der Fall ist, gilt das Passwort als unsicher, da solche Passwortlisten auch von Hackern für neue Angriffe oftmals verwendet werden.

 

Das GITZ verwendet dafür den Service der Webseite „have I been pwned[1]“ (HIBP) des unabhängigen Sicherheitsforschers Troy Hunt[2], bei der es sich um die umfassendste, offen zugängliche Sammlung von unsicheren, „geleakten“ Passwörtern handelt. Die Seite wird auch von mehreren Regierungen als Prüfinstanz verwendet[3].

 

Durch diese Zusatzprüfung[4] wird die Benutzung der Services der TU Braunschweig wieder ein Stück sicherer.

 

Der online verfügbare Service verwendet einen ausgeklügelten Mechanismus, der sicherstellt, dass das eingegebene Passwort bzw. der daraus erzeugte sog. „Hash“ in keinem Fall vom GITZ an HIBP weiter gegeben wird[5].

 

Falls das Passwort bereits in der Liste vorkommt, wird eine Fehlermeldung ausgegeben und das Passwort wird nicht akzeptiert:

Fehlermeldung HIBP

In diesem Fall muss man ein anderes Passwort verwenden.

 

In einer späteren Ausbaustufe wird die Prüfung der Passwörter auch noch um eine Prüfung gegen bekannte Wörterbücher und Wortlisten erweitert, da die Verwendung von „normalen Alltagswörtern“, auch in leichter Verfremdung, ebenfalls ein Sicherheitsrisiko darstellt.



[5] Die „Passwort-ändern“-Seite ist natürlich (über https) aus dem Internet erreichbar, vom Endgerät des Benutzers wird das Passwort natürlich (abgesichert) über das Internet an das GITZ übermittelt, aber vom GITZ aus wird es dann nicht weitergegeben, auch nicht an die HIBP-Seite.



  aktualisiert am 25.05.2018
TU_Icon_E_Mail_1_17x17_RGB Zum Seitenanfang