Informationssicherheit kann man nicht aus dem Regal kaufen. Alle NutzerInnen müssen sich aktiv beteiligen.
Einige wenige "goldene Regeln" sollten allerdings von allen NutzerInnen, egal ob MitarbeiterIn oder Studierende/r, immer beachtet werden.
- Update! Update! Update! Halten Sie ihre Software, ihr Betriebssystem und insbesondere Ihren Virenscanner auf allen Ihren Geräten immer aktuell.
- Nutzen Sie - wenn möglich und sinnvoll - für verschiedene Seiten verschiedene Benutzernamen (E-Mail-Adressen).
- Nutzen Sie für jeden Zugang (Konto, E-Mail, ...) jeweils ein verschiedenes, sicheres Passwort! Mit unserem Passwortgenerator ist es ganz einfach sich eins erzeugen zu lassen.
- Klicken Sie nie auf "OK", "Weiter", "Ja", "Einverstanden" oder "Akzeptieren" etc., ohne vorher gelesen und nachgedacht zu haben.
- "Kostenlos" ist oft teuer: Sie bezahlen mit Ihren Daten!
Daher verbreiten Sie Ihre Daten mit Bedacht: Nicht immer muss jedes Online-Formularfeld befüllt werden.
- Eine E-Mail ist wie eine Postkarte, nicht wie ein Brief!
- Achten Sie bei jeder E-Mail und bei jeder Webseite auf die Links und die Anhänge: nicht einfach klicken, erst schauen! - Phishing und Erpressungs-Trojaner sind ganz groß in Mode!
Je wachsamer wir sind, desto raffinierter aber auch die Tricks.
Informieren Sie sich! (weitere Infos im Wiki: hier und hier)
- Aktivieren Sie immer einen Bildschirmschoner mit Passwortschutz (z.B. bei Windows: "Windows"-Taste+"L"), wenn Sie den Rechner verlassen, und sei es noch so kurz!
- Arbeiten Sie nicht als "Administrator", sondern als normaler Anwender. Deaktivieren oder Löschen Sie alle Anwendungen und Dienste, die Sie nicht brauchen. Was nicht da ist, kann nicht angegriffen werden.
- "Automatisch" ist nicht automatisch gut! Stellen Sie das automatische Verbinden mit "bekannten" WLANs ab - siehe Vortrag WLAN-Sicherheit
- Backup! Backup! Backup! Sichern Sie oft und regelmäßig Ihre Daten an einem sicheren Ort - es ist Ihre einzige Versicherung gegen Erpressungstrojaner - und gegen Hardware-Ausfälle.
Nochmals anders formuliert von Heise Online:
So schützen Sie sich
Kostenlose Web-Dienste sind praktisch, ohne Frage. Aber warum in die Ferne schweifen, wenn das Gute liegt so nah?
Das Gauß-IT-Zentrum bietet für Angehörige und Mitglieder der TU Braunschweig viele kostenfreie Dienste an - und das inklusive kostenfreiem Support für die Angebote des GITZ. Teilweise werdendie Dienste über das Deutsche Forschungsnetz (DFN) angeboten.
Den vollständigen Überblick über die Dienstleistungen des Gauß-IT-Zentrums finden Sie in unserem Dienstleistungskatalog.
An dieser Stelle stellen wir Ihnen einige wenige, aber wichtige ausgewählte Dienste des GITZ und des DFN vor:
Sichere Passwörter wählen
Die Regeln und Tipps für sichere Passwörter sind hier zusammen gefasst:
Erweiterung der Passwort-Prüfung im interaktiven Passwort-Service des GITZ
Prüfung auf bereits bekannte Passwörter
Anlässlich des Weltpassworttags am 03.05.2018, der immer am ersten Donnerstag im Mai stattfindet, erweitert das GITZ die Passwortprüfung auf der „Passwort ändern“-Seite des GITZ.
Diese Änderung gilt nicht für Mitarbeiterinnen und Mitarbeiter, die in der Verwaltungsdomäne arbeiten, da dort das Passwort über Windows-interne Mechanismen gesetzt wird und nicht über den Webservice.
Zusätzlich zu der bereits bekannten Prüfung auf Einhaltung der Passwort-Regeln wird ab dem 3.5.2018 auf der „Passwort ändern“-Seite des GITZ https://www.tu-braunschweig.de/it/service-interaktiv/passwortaendern ebenfalls geprüft, ob das gewünschte Passwort eventuell schon einmal in einer Liste von bereits schon einmal gehackten und bekannt gewordenen Passwörtern enthalten ist. Wenn dies der Fall ist, gilt das Passwort als unsicher, da solche Passwortlisten auch von Hackern für neue Angriffe oftmals verwendet werden.
Das GITZ verwendet dafür den Service der Webseite „have I been pwned[1]“ (HIBP) des unabhängigen Sicherheitsforschers Troy Hunt[2], bei der es sich um die umfassendste, offen zugängliche Sammlung von unsicheren, „geleakten“ Passwörtern handelt. Die Seite wird auch von mehreren Regierungen als Prüfinstanz verwendet[3].
Durch diese Zusatzprüfung[4] wird die Benutzung der Services der TU Braunschweig wieder ein Stück sicherer.
Der online verfügbare Service verwendet einen ausgeklügelten Mechanismus, der sicherstellt, dass das eingegebene Passwort bzw. der daraus erzeugte sog. „Hash“ in keinem Fall vom GITZ an HIBP weiter gegeben wird[5].
Falls das Passwort bereits in der Liste vorkommt, wird eine Fehlermeldung ausgegeben und das Passwort wird nicht akzeptiert:

In diesem Fall muss man ein anderes Passwort verwenden.
In einer späteren Ausbaustufe wird die Prüfung der Passwörter auch noch um eine Prüfung gegen bekannte Wörterbücher und Wortlisten erweitert, da die Verwendung von „normalen Alltagswörtern“, auch in leichter Verfremdung, ebenfalls ein Sicherheitsrisiko darstellt.
[5] Die „Passwort-ändern“-Seite ist natürlich (über https) aus dem Internet erreichbar, vom Endgerät des Benutzers wird das Passwort natürlich (abgesichert) über das Internet an das GITZ übermittelt, aber vom GITZ aus wird es dann nicht weitergegeben, auch nicht an die HIBP-Seite.