Blick in das LC Gebäude

Empfehlungen

IT-SERVICES berät Sie gerne bei der Einhaltung grundlegender Verhaltensweisen im Umgang mit IT-Ressourcen. Unsere IT-Richtlinien geben Ihnen dafür die Rahmenbedingungen vor.

IT-Sicherheit ist langweilig? Versicherungen auch! Aber nur solange sie nicht benötigt werden. Im Ernstfall beruhigt das Wissen, dass der eigene Schaden begrenzt ist. Es macht keinen Unterschied, ob Unberechtigte Ihren Safe knacken oder Ihr Notebook entwenden – in beiden Fällen sind vertrauliche bzw. für Sie wertvolle Daten/Unterlagen verloren. Machen Sie Ihre digitale Umgebung daher mit einfachen Mitteln sicherer!

Folgende Empfehlungen können Sie bei jedem Umgang mit IT-Ressourcen - egal ob an der WU oder privat – umsetzen. An der WU sind im Speziellen die bindenden Bestimmungen der Betriebs- und Benutzungsordnung einzuhalten.

Wenn Sie mehr über das Thema IT-Sicherheit wissen möchten, finden Sie auch gut illustrierte Empfehlungen im IT-Sicherheits-Handbuch für Mitarbeiter/innen von it-safe.at.

Hüten Sie Ihre Anmeldedaten

Ihr digitales Leben ist mit einem Benutzernamen und Passwort einfach erreichbar. Jede Person, die Ihre Anmeldedaten kennt, erlangt sofort Zugriff darauf.

Mehr über dieses Thema
Warum ist das wichtig?

Der sichere Umgang mit Anmeldedaten schützt nicht nur Ihren Computer und Ihre Daten. Insbesondere an der Universität gewährleisten Sie damit, dass sensible Daten der Universitätsverwaltung - und damit Rechte von Mitarbeiter/inne/n oder Studierenden - geschützt sind.

Was kann ich tun?

Im Umgang mit Ihren WU-Anmeldedaten sollten Sie folgende Punkte immer beachten.

  • Anmeldedaten bestehen aus einem Benutzernamen (auch: User-ID, Kennung) und dem dazugehörigen Accountpasswort. Geben Sie diese NIE an Dritte weiter.

  • Verwenden Sie WU-Anmeldedaten NIE auf fragwürdigen Geräten, etwa auf Hotelgeräten oder in Internet-Cafés.

  • Verwenden Sie eine VPN-Verbindung, wenn Sie auf WU-Dienste zugreifen und Ihr Gerät mit einem fremden oder öffentlichen Netzwerk (z.B. WLAN) verbunden ist.

  • Nach dem Arbeiten an öffentlichen Rechnern (z.B. Vortrags-PCs in Hörsälen) unbedingt abmelden UND verwendete USB-Sticks mitnehmen.

  • Verwenden Sie Ihr WU-Accountpasswort nicht in anderen Systemen (z.B. Amazon, eBay, Wr. Linien, Google, Gmx etc.).

  • Setzen Sie komplexe Passwörter, die Buchstaben, Ziffern und Sonderzeichen enthalten.

  • Ändern Sie Ihre Passwörter regelmäßig.

  • Passwörter NIE am oder in der Nähe des verwendeten Geräts notieren oder hinterlegen.

  • Speichern Sie NIE Passwörter beim Anmeldevorgang, insbesondere nicht im Browser.

  • Verwenden Sie WU-Anmeldedaten AUSSCHLIESSLICH für WU-Webdienste.

  • WU-Anmeldedaten NIE über unverschlüsselte Internetverbindungen übertragen.

  • Verwenden Sie nur Webseiten, die mit „https" beginnen.

  • Keine Apps verwenden, die WU-Anmeldedaten abfragen, jedoch keine offiziellen Apps der WU sind.

  • Niemals auf E-Mails reagieren, in denen, unter welchem Vorwand auch immer, auf verlinkten Web-Seiten die Eingabe von WU-Anmeldedaten gefordert wird.

  • Prüfen Sie mit Hilfe der Webseite Have I been Pwned? ob Ihre Accountdaten noch sicher sind. Die Webseite überprüft, ob z.B. persönliche Daten aus Ihrem E-Mail-Account bei einem Cyberangriff öffentlich bekannt gemacht wurden.

Bei Fragen zu einzelnen Tipps senden Sie bitte eine E-Mail an infosec@wu.ac.at.

Setzen Sie sichere Passwörter

Ihr Passwort ist der wichtigste Schlüssel zu digitalen Systemen. Legen Sie sich einen "Schlüsselbund" an sicheren Passwörtern zurecht und wechseln Sie eingesetzte Passwörter regelmäßig.

Mehr über dieses Thema
Warum ist das wichtig?

Wenn Ihr Passwort einfach zu erraten ist bzw. einen persönlichen Bezug zu Ihnen hat, haben es Unberechtigte leicht, in Ihr digitales Leben einzusteigen. Zudem können „erbeutete Passwörter" sofort oder auch zu einem späteren Zeitpunkt missbräuchlich eingesetzt werden – jedenfalls solange das Passwort nicht geändert wurde.

Was kann ich tun?
  • Ändern Sie Ihre Passwörter regelmäßig (Empfehlung: einmal pro Jahr; jedoch sofort bei Bekanntheit oder möglichem Bekanntwerden). Passwörter für Ihren WU-Account ändern Sie im Controlpanel.

  • Prüfen Sie mit Hilfe der Webseite Have I been Pwned? ob Ihr gewähltes Passwort sicher ist oder bereits durch einen Cyberangriff öffentlich bekannt wurde.

  • Geben Sie Passwörter niemals weiter!

  • Passwörter für sensible Anwendungen müssen sich deutlich unterscheiden von Passwörtern für triviale Anwendungen. Ihr Accountpasswort an der WU sollte daher KEINESFALLS zur Anmeldung bei anderen Systemen verwendet werden (z.B. amazon, eBay, Wr. Linien, google, gmx etc.).

  • Benutzen Sie einen vertrauenswürdigen Passwortmanager, um für jeden Online-Service ein eigenes Passwort zu speichern.

Tipps für die richtige Auswahl von Passwörtern

  • Ein sicheres Passwort besteht aus mindestens 12 Stellen und enthält Buchstaben, Zahlen und Sonderzeichen. Es kommt in keinem Wörterbuch oder Lexikon vor und verwendet Groß- und Kleinbuchstaben.

  • Das Passwort sollte auswendig gemerkt werden können und nicht aufgeschrieben werden.

    • Tipp 1: Überlegen Sie sich einen Satz. Nehmen Sie von jedem Wort dieses Satzes den Anfangsbuchstaben. Ersetzen Sie einen oder mehrere Buchstaben durch eine Zahl oder ein Sonderzeichen. Beispiel: „Im Wintersemester beginnen an der WU sehr viele neue Studenten :-)" Ersetzt man nun "neue" z.B. durch die Zahl 9 ergibt das Passwort "IWbadWsv9S:-)"

    • Tipp 2: Verwenden Sie einen kurzen Satz und ersetzen Sie die Leerzeichen zwischen den Wörtern durch Zahlen oder Sonderzeichen in beliebiger Reihenfolge. Beachten Sie jedoch Informationen zur maximal möglichen Passwortlänge (z.B. im Controlpanel).

  • Vermeiden Sie jedenfalls:

    • Namen oder Zeichenketten, die andere Personen mit Ihnen assoziieren würden. (Beispiele:
      Ihr Geburtsdatum; Teile Ihres Namens oder Namen Ihrer Familie, Freunde, Haustiere; Ihre Telefonnummer)

    • Zeichenketten, die sich mehrmals wiederholen

    • offensichtliche Zeichenketten wie z.B. abcdef, qwert, 12345 usw.

Achten Sie auf Ihre Mobilgeräte

Ihre Mobilgeräte kennen Sie oft besser als Ihre Freunde. Kalendereinträge, E-Mails, Fotos, Chatnachrichten und weitere private bzw. berufliche Daten sollen in den richtigen Händen bleiben.

Mehr über dieses Thema
Warum ist das wichtig?

Da Mobilgeräte leicht gestohlen werden können und ev. auch verloren gehen, sollten Sie besonders darauf achten. Neben dem Verlust Ihrer Daten droht auch deren missbräuchliche Verwendung durch unberechtigte Dritte.

Was kann ich tun?
  • Setzen Sie einen persönlichen Zugriffscode am Gerät
    Der Code bzw. das Passwort muss immer dann eingegeben werden, bevor das Gerät benutzt werden soll. Einige Geräte unterstützen mittlerweile auch biometrische Identifikation (Fingerabdruck), dies erleichtert die Bedienung. Vermeiden Sie bei Zahlenfolgen leicht zu ratende Kombinationen wie z.B. 0000, 12345, Ihr Geburtsdatum, Ihre Postleitzahl, etc. Die Webseiten der Hersteller bieten entsprechende Anleitungen:

  • Nutzen Sie die automatische Gerätesperre
    Setzen Sie dabei den inaktiven Zeitraum so kurz wie nötig, z.B. am Smartphone auf eine oder zwei Minuten. Eine manuelle Aktivierung der Sperre erfolgt oft beim Drücken des Ein-/Ausschalters.

  • Sichern Sie Ihre Daten regelmäßig
    zum Beispiel auf ein zweites Gerät (Laptop, externe Festplatte, etc.). Installieren Sie eventuell notwendige Software auf Ihrem Privatgerät. Löschen Sie danach nicht mehr benötigte Daten von Ihrem Mobilgerät.

  • Speichern Sie nur die nötigsten Informationen am Mobilgerät
    Wägen Sie ab, welche Daten und Apps Sie auf dem Mobilgerät tatsächlich benötigen (Facebook, private E-Mails, Apps, etc.). Speichern Sie Passwörter nur für Dienste, wo Sie sehr oft und komfortabel Zugriff benötigen. Bei anderen Diensten geben Sie das Passwort einfach manuell ein, wenn es angefordert wird.

  • Bei Verlust: Nutzen Sie Ortungs- und Löschdienste
    Viele Gerätehersteller bieten diese Dienste an. Für die Nutzung ist in der Regel eine Registrierung des Gerätes erforderlich - Sie müssen dabei im Besitz des Gerätes sein.

  • Legen Sie vertrauliche Daten immer verschlüsselt auf den Geräten ab!

  • Nutzen Sie in Hotels den Zimmersafe - selbst bei kurzer Abwesenheit.

  • Bewahren Sie Ihre mobilen Geräte niemals im Auto auf. Lassen Sie diese auch nicht an öffentlichen Plätzen sichtbar liegen.

Mitarbeiter/innen der WU finden im Intranet ergänzende Hinweise für den Umgang mit WU-Diensthandys.

Prüfen Sie erhaltene Nachrichten genau

Nachrichten, die Ihnen unerwartet zugestellt werden und dringendes Handeln vermitteln oder Ihre Neugier herausfordern, können Angriffe auf Ihre Privatsphäre oder Daten sein. Ignorieren Sie in diesem Fall bei E-Mails die enthaltenen Links und Anhänge. Prüfen sie ggf. den Ursprung auf anderen Wegen direkt beim vermeintlichen Absender. Beantworten Sie unübliche Telefonanrufe einsilbig und verheimlichen Sie jedenfalls Zugangsdaten sowie Informationen über betriebliche Abläufe und Ihr Privatleben.

TIPP: WU Mitarbeiterinnen und Mitarbeiter können E-Mail Aussendungen von IT-SERVICES auf der Intranetseite https://swa.wu.ac.at/it-services-aussendungen nachlesen und überprüfen.

Mehr über dieses Thema
Warum ist das wichtig?

Um sensible oder persönliche Daten zu erhalten, kombinieren Angreifer immer öfter mehrere Medien und Methoden (z.B. E-Mail, SMS, soziale Netze, Telefonanrufe, etc.). Beispielsweise kann das einmalige Anklicken eines manipulierten Links oder Anhangs in einer Mitteilung das gesamte IT-Netzwerk mit Schadsoftware infizieren. Aufgrund der technischen Vernetzung stehen dabei auch Mobilgeräte im Fokus von Angriffen (z.B. durch Instant Message Services wie WhatsApp oder SMS). Methoden des Social Engineerings(*) werden oftmals zur Vorbereitung von größer angelegten Attacken eingesetzt.

(*) zwischenmenschliche Einflußnahme für unehrliche Zwecke

Was kann ich tun?

Informieren Sie sich über laufende Bedrohungen im Internet - beispielsweise auf

Beachten Sie zusätzlich bei allen Kommunikationsformen die folgenden generellen Vorsichtsmaßnahmen. Beherzigen Sie auch die Empfehlungen zum Umgang mit Anmeldedaten und zur Passwortsicherheit auf dieser Seite!

  • Ungewöhnliche E-Mails senden Sie bitte als Anhang direkt an die Adresse phishing.alert@wu.ac.at.

  • Vorfälle und Mängel betreffend IT- und Informationssicherheit melden Sie bitte umgehend an: it-security@wu.ac.at.
    Behalten Sie nach Ihrer Meldung alle E-Mails und andere Daten. Löschen Sie nichts! Schalten Sie die betroffenen Geräte sofort ab und lassen Sie diese deaktiviert.

  • Generelle Vorsichtsmaßnahmen

    • Informieren Sie sich über aktuelle Bedrohungen und trainieren Sie Ihre Wahrnehmung für missbräuchliche Kommunikation (vgl. Punkt Selbsttests).

    • Verheimlichen Sie bei unüblichen und unerwarteten Anfragen jedenfalls Ihre WU-Zugangsdaten (Benutzername, Account- & WLAN-Passwort) sowie betriebsinterne Abläufe und Fachbegriffe.

    • Machen Sie in Webformularen nur unbedingt benötigte Angaben ("Mut zur Lücke" bei z.B. Geburtstag, Postanschrift, Telefonnummer, etc.)

    • Hegen Sie ein gesundes Misstrauen gegenüber allzu vorteilhaften Angeboten oder Versprechen.

    • Lassen Sie sich nicht überreden. Widerstehen Sie dem Drängen, etwas zu tun, das Sie sonst nicht tun würden.

    • Geben Sie Zugangsdaten nur über verschlüsselte Internetverbindungen (https://...) ein. Lassen Sie sich ggf. das verwendete Zertifikat der Webseite anzeigen (dazu klicken Sie in der Adresszeile des Browsers auf das Schloss-Symbol).

    • Lagern Sie Passwortnotizen falls nötig nur in versperrten Laden oder Schränken.

    • Verwenden Sie für jedes Online-Konto ein anderes Passwort bzw. eine alternative E-Mail-Adresse.

  • Maßnahmen für mündliche und schriftliche Kommunikation
    (z.B. E-Mail, SMS, WhatsApp-Nachrichten, Telefonanrufe, etc.)

    • Ignorieren Sie Aufforderungen zu raschem Handeln
      Betrüger spekulieren, dass Sie in der Eile wichtige Warnhinweise des gefälschten Textes übersehen.

    • Prüfen Sie Verlinkungen genau
      - Tippen Sie angegebene Webadressen ggf. mit der Tastatur manuell in Ihren Browser ein (Schutz vor Punycode).
      - Verharren Sie mit der Maus länger auf verlinkten Elementen, um die Zieladresse des Links anzeigen zu lassen. Kommt Ihnen diese seltsam vor, löschen Sie die Nachricht.

    • Vermeiden Sie das Öffnen verdächtiger Dateianhänge
      Übliche Dokumentformate (z.B. PDF, Word, Excel, Powerpoint) sowie ZIP- oder Bild-Dateien können bösartigen Code transportieren. Löschen Sie insbesondere verschlüsselte Dateianhänge, die beim Öffnen ein mitgeteiltes Passwort erfordern!
      Prüfen Sie die E-Mail auf Plausibilität:
      - Ist Ihnen der Absender bekannt?
      - Passt die Art der Formulierung zum Absender?
      - Erwarten Sie diese Nachricht oder Datei von diesem Absender?
      - Kann sich im (ev. passwortgeschützten) Dateianhang Schadsoftware verbergen?

    • Überprüfen Sie gemachte Angaben
      - Wenn Sie den Absender kennen, rufen Sie ihn an und fragen Sie nach dem Zweck der Nachricht.
      - Bei Unternehmen rufen Sie die Stammwebseite des vermeintlichen Absenders auf, und suchen Sie dort nach den zugesandten Informationen. Kontaktieren Sie ggf. ein Servicecenter oder den Helpdesk telefonisch für Nachforschungen.

    • Löschen Sie alle Nachrichten, die Ihnen verdächtig vorkommen
      Entfernen Sie diese auch aus Ihrem Papierkorb.

    • Bestehen Sie bei Anfragen zu vertraulichen Informationen auf schriftliche (Brief-)Form oder persönliche Vorsprache.

Selbsttests

Wie gut erkennen Sie missbräuchliche Informationsangebote?

Erkennen Sie die Fälschung?Anschauliches Quiz über mobile Phishing-Webseiten mit verblüffenden Fälschungen. Englischsprachiger Blogeintrag von Wandera - einem Anbieter für mobile Sicherheitslösungen.
Phishing IQ TestErkennen Sie in den dargestellten E-Mails die vertrauenswürdigen Nachrichten? Lösungshinweise erhalten Sie am Ende des englischsprachigen Quizes von SonicWall (Anbieter von Netzwerksicherheitslösungen).
Phishing TestHier begründen Sie, warum eine dargestellte E-Mail in Ihren Augen ein Phishingversuch ist. Sie erhalten zu jeder Aufgabe direktes Feedback. Ein Test der belgischen Initiative safeontheweb.be.
Anschauliche BeispieleBeispiele für Phishing über WhatsApp, Spielewebseiten und Kontaktintegration bei Apple-Geräten. Englischsprachiger Blogeintrag von Wandera - einem Anbieter für mobile Sicherheitslösungen.

Downloads & Dokumente

Phishing & Social Engineering

Nutzen Sie die Checkliste und erkennen Sie Angriffe auf Ihre Daten. Für besseren Schutz Ihrer digitalen Identät - auch privat.

IT-Sicherheit

Wichtige Aspekte betreffend IT- und Informationssicherheit auf einen Blick. Speziell für WU-Mitarbeiter*innen.

Talk with WU's Chatbot
Talk with WU's Chatbot