Vorlesen

Empfehlungen

IT-SERVICES berät Sie gerne bei der Einhaltung grundlegender Verhaltensweisen im Umgang mit IT-Ressourcen. Unsere IT-Richtlinien geben Ihnen dafür die Rahmenbedingungen vor.

IT-Sicherheit ist langweilig? Versicherungen auch! Aber nur solange sie nicht benötigt werden. Im Ernstfall beruhigt das Wissen, dass der eigene Schaden begrenzt ist. Es macht keinen Unterschied, ob Unberechtigte Ihren Safe knacken oder Ihr Notebook entwenden – in beiden Fällen sind vertrauliche bzw. für Sie wertvolle Daten/Unterlagen verloren. Machen Sie Ihre digitale Umgebung daher mit einfachen Mitteln sicherer!

Folgende Empfehlungen können Sie bei jedem Umgang mit IT-Ressourcen - egal ob an der WU oder privat – umsetzen. An der WU sind im Speziellen die bindenden Bestimmungen der Betriebs- und Benutzungsordnung einzuhalten.

Wenn Sie mehr über das Thema IT-Sicherheit wissen möchten, finden Sie auch gut illustrierte Empfehlungen im IT-Sicherheits-Handbuch für Mitarbeiter/innen von it-safe.at.

Hüten Sie Ihre Anmeldedaten

Ihr digitales Leben ist mit einem Benutzernamen und Passwort einfach erreichbar. Jede Person, die Ihre Anmeldedaten kennt, erlangt sofort Zugriff darauf.

Mehr über dieses Thema
Warum ist das wichtig?

Der sichere Umgang mit Anmeldedaten schützt nicht nur Ihren Computer und Ihre Daten. Insbesondere an der Universität gewährleisten Sie damit, dass sensible Daten der Universitätsverwaltung - und damit Rechte von Mitarbeiter/inne/n oder Studierenden - geschützt sind.

Was kann ich tun?

Im Umgang mit Ihren WU-Anmeldedaten sollten Sie folgende Punkte immer beachten.

  • Anmeldedaten bestehen aus einem Benutzernamen (auch: User-ID, Kennung) und dem dazugehörigen Accountpasswort. Geben Sie diese NIE an Dritte weiter.

  • Verwenden Sie WU-Anmeldedaten NIE auf fragwürdigen Geräten, etwa auf Hotelgeräten oder in Internet-Cafés.

  • Nach dem Arbeiten an öffentlichen Rechnern (z.B. Vortrags-PCs in Hörsälen) unbedingt abmelden UND verwendete USB-Sticks mitnehmen.

  • Verwenden Sie Ihr WU-Accountpasswort nicht in anderen Systemen (z.B. Amazon, eBay, Wr. Linien, Google, Gmx etc.).

  • Setzen Sie komplexe Passwörter, die Buchstaben, Ziffern und Sonderzeichen enthalten.

  • Ändern Sie Ihre Passwörter regelmäßig.

  • Passwörter NIE am oder in der Nähe des verwendeten Geräts notieren oder hinterlegen.

  • Speichern Sie NIE Passwörter beim Anmeldevorgang, insbesondere nicht im Browser.

  • Verwenden Sie WU-Anmeldedaten AUSSCHLIESSLICH für WU-Webdienste.

  • WU-Anmeldedaten NIE über unverschlüsselte Internetverbindungen übertragen.

  • Verwenden Sie nur Webseiten, die mit „https" beginnen.

  • Keine Apps verwenden, die WU-Anmeldedaten abfragen, jedoch keine offiziellen Apps der WU sind.

  • Niemals auf E-Mails reagieren, in denen, unter welchem Vorwand auch immer, auf verlinkten Web-Seiten die Eingabe von WU-Anmeldedaten gefordert wird.

Bei Fragen zu einzelnen Tipps senden Sie bitte eine E-Mail an infosec@wu.ac.at.

Setzen Sie sichere Passwörter

Ihr Passwort ist der wichtigste Schlüssel zu digitalen Systemen. Legen Sie sich einen "Schlüsselbund" an sicheren Passwörtern zurecht und wechseln Sie eingesetzte Passwörter regelmäßig.

Mehr über dieses Thema
Warum ist das wichtig?

Wenn Ihr Passwort einfach zu erraten ist bzw. einen persönlichen Bezug zu Ihnen hat, haben es Unberechtigte leicht, in Ihr digitales Leben einzusteigen. Zudem können „erbeutete Passwörter" sofort oder auch zu einem späteren Zeitpunkt missbräuchlich eingesetzt werden – jedenfalls solange das Passwort nicht geändert wurde.

Was kann ich tun?

Ändern Sie Ihre Passwörter regelmäßig (Empfehlung: nach längstens 42 Tagen). und geben Sie Passwörter unter gar keinen Umständen weiter!

Passwörter für Ihren WU-Account ändern Sie im Controlpanel.

Tipps für die richtige Auswahl von Passwörtern

  • Das Passwort sollte niemals ein Name oder eine Zeichenkette sein, die andere Personen mit Ihnen assoziieren würden. Hierzu zählen u.a.:
    Ihr Geburtsdatum; Teile Ihres Namens oder Namen Ihrer Familie, Freunde, Haustiere; Ihre Telefonnummer.
    Vermeiden Sie ebenso eine Zeichenkette, die sich mehrmals wiederholt bzw. offensichtliche Zeichenketten wie z.B. abcdef, qwert, 12345 usw.

  • Ein sicheres Passwort besteht aus mindestens 10 Stellen und enthält Buchstaben, Zahlen und Sonderzeichen. Idealerweise kommt es in keinem Wörterbuch oder Lexikon vor und verwendet Groß- und Kleinbuchstaben. Beispiel für ein sicheres Passwort: bFeD8erx0!p
    Beispiel für ein unsicheres Passwort: susi1234

  • Das Passwort sollte auswendig gemerkt werden können und nicht aufgeschrieben werden. Hierzu ein Tipp: Überlegen Sie sich einen Satz und nehmen Sie von jedem Wort dieses Satzes den Anfangsbuchstaben. Ersetzen Sie dann einen oder mehrere Buchstaben durch eine Zahl. Zum Beispiel: „Im Wintersemester beginnen an der WU sehr viele neue Studenten :-)" Ersetzt man nun "neue" z.B. durch die Zahl 9 ergibt als Passwort "IWbadWsv9S:-)", welches kaum zu erraten, jedoch relativ einfach zu merken ist.

  • Passwörter, welche für sensible Anwendungen verwendet werden, sollten nicht auch für triviale Anwendungen verwendet werden. Ihr Accountpasswort an der WU sollte daher KEINESFALLS zur Anmeldung bei anderen Systemen verwendet werden (z.B. amazon, eBay, Wr. Linien, google, gmx etc.).

Achten Sie auf Ihre Mobilgeräte

Ihre Mobilgeräte kennen Sie oft besser als Ihre Freunde. Kalendereinträge, E-Mails, Fotos, Chatnachrichten und weitere private bzw. berufliche Daten sollen in den richtigen Händen bleiben.

Mehr über dieses Thema
Warum ist das wichtig?

Da Mobilgeräte leicht gestohlen werden können und ev. auch verloren gehen, sollten Sie besonders darauf achten. Neben dem Verlust Ihrer Daten droht auch deren missbräuchliche Verwendung durch unberechtigte Dritte.

Was kann ich tun?
  • Setzen Sie einen persönlichen Zugriffscode am Gerät
    Der Code bzw. das Passwort muss immer dann eingegeben werden, bevor das Gerät benutzt werden soll. Einige Geräte unterstützen mittlerweile auch biometrische Identifikation (Fingerabdruck), dies erleichtert die Bedienung. Vermeiden Sie bei Zahlenfolgen leicht zu ratende Kombinationen wie z.B. 0000, 12345, Ihr Geburtsdatum, Ihre Postleitzahl, etc. Die Webseiten der Hersteller bieten entsprechende Anleitungen:

  • Nutzen Sie die automatische Gerätesperre
    Setzen Sie dabei den inaktiven Zeitraum so kurz wie nötig, z.B. am Smartphone auf eine oder zwei Minuten. Eine manuelle Aktivierung der Sperre erfolgt oft beim Drücken des Ein-/Ausschalters.

  • Sichern Sie Ihre Daten regelmäßig
    zum Beispiel auf ein zweites Gerät (Laptop, externe Festplatte, etc.). Installieren Sie eventuell notwendige Software auf Ihrem Privatgerät. Löschen Sie danach nicht mehr benötigte Daten von Ihrem Mobilgerät.

  • Speichern Sie nur die nötigsten Informationen am Mobilgerät
    Wägen Sie ab, welche Daten und Apps Sie auf dem Mobilgerät tatsächlich benötigen (Facebook, private E-Mails, Apps, etc.). Speichern Sie Passwörter nur für Dienste, wo Sie sehr oft und komfortabel Zugriff benötigen. Bei anderen Diensten geben Sie das Passwort einfach manuell ein, wenn es angefordert wird.

  • Bei Verlust: Nutzen Sie Ortungs- und Löschdienste
    Viele Gerätehersteller bieten diese Dienste an. Für die Nutzung ist in der Regel eine Registrierung des Gerätes erforderlich - Sie müssen dabei im Besitz des Gerätes sein.

  • Legen Sie vertrauliche Daten immer verschlüsselt auf den Geräten ab!

  • Nutzen Sie in Hotels den Zimmersafe - selbst bei kurzer Abwesenheit.

  • Bewahren Sie Ihre mobilen Geräte niemals im Auto auf. Lassen Sie diese auch nicht an öffentlichen Plätzen sichtbar liegen.

Mitarbeiter/innen der WU finden im Intranet ergänzende Hinweise für den Umgang mit WU-Diensthandys.

Prüfen Sie erhaltene Nachrichten genau

Nachrichten, die Ihnen unerwartet zugestellt werden und dringendes Handeln vermitteln oder Ihre Neugier herausfordern, können Angriffe auf Ihre Privatsphäre oder Daten sein. Ignorieren Sie in diesem Fall bei E-Mails die enthaltenen Links und Anhänge. Prüfen sie ggf. den Ursprung auf anderen Wegen direkt beim vermeintlichen Absender. Beantworten Sie unübliche Telefonanrufe einsilbig und verheimlichen Sie jedenfalls Zugangsdaten sowie Informationen über betriebliche Abläufe und Ihr Privatleben.

TIPP: WU Mitarbeiterinnen und Mitarbeiter können E-Mail Aussendungen von IT-SERVICES auf der Intranetseite https://swa.wu.ac.at/it-services-aussendungen nachlesen und überprüfen.

Mehr über dieses Thema
Warum ist das wichtig?

Um sensible oder persönliche Daten zu erhalten, kombinieren Angreifer immer öfter mehrere Medien und Methoden (z.B. E-Mail, SMS, soziale Netze, Telefonanrufe, etc.). Beispielsweise kann das einmalige Anklicken eines manipulierten Links oder Anhangs in einer Mitteilung das gesamte IT-Netzwerk mit Schadsoftware infizieren. Aufgrund der technischen Vernetzung stehen dabei auch Mobilgeräte im Fokus von Angriffen (z.B. durch Instant Message Services wie WhatsApp oder SMS). Methoden des Social Engineerings(*) werden oftmals zur Vorbereitung von größer angelegten Attacken eingesetzt.

(*) zwischenmenschliche Einflußnahme für unehrliche Zwecke

Was kann ich tun?

Informieren Sie sich über laufende Bedrohungen im Internet - beispielsweise auf

Beachten Sie zusätzlich bei allen Kommunikationsformen die folgenden generellen Vorsichtsmaßnahmen. Beherzigen Sie auch die Empfehlungen zum Umgang mit Anmeldedaten und zur Passwortsicherheit auf dieser Seite!

Bitte melden Sie Vorfälle und Mängel betreffend IT- und Informationssicherheit umgehend an: it-security@wu.ac.at.

Behalten Sie nach Ihrer Meldung alle E-Mails und andere Daten. Löschen Sie nichts! Schalten Sie die betroffenen Geräte sofort ab und lassen Sie diese deaktiviert.

  • Generelle Vorsichtsmaßnahmen

    • Informieren Sie sich über aktuelle Bedrohungen und trainieren Sie Ihre Wahrnehmung für missbräuchliche Kommunikation (vgl. Punkt Selbsttests).

    • Verheimlichen Sie bei unüblichen und unerwarteten Anfragen jedenfalls Ihre WU-Zugangsdaten (Benutzername, Account- & WLAN-Passwort) sowie betriebsinterne Abläufe und Fachbegriffe.

    • Machen Sie in Webformularen nur unbedingt benötigte Angaben ("Mut zur Lücke" bei z.B. Geburtstag, Postanschrift, Telefonnummer, etc.)

    • Hegen Sie ein gesundes Misstrauen gegenüber allzu vorteilhaften Angeboten oder Versprechen.

    • Lassen Sie sich nicht überreden. Widerstehen Sie dem Drängen, etwas zu tun, das Sie sonst nicht tun würden.

    • Geben Sie Zugangsdaten nur über verschlüsselte Internetverbindungen (https://...) ein. Lassen Sie sich ggf. das verwendete Zertifikat der Webseite anzeigen (dazu klicken Sie in der Adresszeile des Browsers auf das Schloss-Symbol).

    • Lagern Sie Passwortnotizen falls nötig nur in versperrten Laden oder Schränken.

    • Verwenden Sie für jedes Online-Konto ein anderes Passwort bzw. eine alternative E-Mail-Adresse.

  •  

  • Maßnahmen für mündliche und schriftliche Kommunikation
    (z.B. E-Mail, SMS, WhatsApp-Nachrichten, Telefonanrufe, etc.)

    • Ignorieren Sie Aufforderungen zu raschem Handeln
      Betrüger spekulieren, dass Sie in der Eile wichtige Warnhinweise des gefälschten Textes übersehen.

    • Prüfen Sie Verlinkungen genau
      - Tippen Sie angegebene Webadressen ggf. mit der Tastatur manuell in Ihren Browser ein (Schutz vor Punycode).
      - Verharren Sie mit der Maus länger auf verlinkten Elementen, um die Zieladresse des Links anzeigen zu lassen. Kommt Ihnen diese seltsam vor, löschen Sie die Nachricht.

    • Vermeiden Sie das Öffnen verdächtiger Dateianhänge
      Übliche Dokumentformate (z.B. PDF, Word, Excel, Powerpoint) sowie ZIP- oder Bild-Dateien können bösartigen Code transportieren. Löschen Sie insbesondere verschlüsselte Dateianhänge, die beim Öffnen ein mitgeteiltes Passwort erfordern!
      Prüfen Sie die E-Mail auf Plausibilität:
      - Ist Ihnen der Absender bekannt?
      - Passt die Art der Formulierung zum Absender?
      - Erwarten Sie diese Nachricht oder Datei von diesem Absender?
      - Kann sich im (ev. passwortgeschützten) Dateianhang Schadsoftware verbergen?

    • Überprüfen Sie gemachte Angaben
      - Wenn Sie den Absender kennen, rufen Sie ihn an und fragen Sie nach dem Zweck der Nachricht.
      - Bei Unternehmen rufen Sie die Stammwebseite des vermeintlichen Absenders auf, und suchen Sie dort nach den zugesandten Informationen. Kontaktieren Sie ggf. ein Servicecenter oder den Helpdesk telefonisch für Nachforschungen.

    • Löschen Sie alle Nachrichten, die Ihnen verdächtig vorkommen
      Entfernen Sie diese auch aus Ihrem Papierkorb.

    • Bestehen Sie bei Anfragen zu vertraulichen Informationen auf schriftliche (Brief-)Form oder persönliche Vorsprache.

  •  

Selbsttests

Wie gut erkennen Sie missbräuchliche Informationsangebote?

Erkennen Sie die Fälschung?Anschauliches Quiz über mobile Phishing-Webseiten mit verblüffenden Fälschungen. Englischsprachiger Blogeintrag von Wandera - einem Anbieter für mobile Sicherheitslösungen.
Phishing IQ TestErkennen Sie in den dargestellten E-Mails die vertrauenswürdigen Nachrichten? Lösungshinweise erhalten Sie am Ende des englischsprachigen Quizes von SonicWall (Anbieter von Netzwerksicherheitslösungen).
Phishing TestHier begründen Sie, warum eine dargestellte E-Mail in Ihren Augen ein Phishingversuch ist. Sie erhalten zu jeder Aufgabe direktes Feedback. Ein Test der belgischen Initiative safeontheweb.be.
Anschauliche BeispieleBeispiele für Phishing über WhatsApp, Spielewebseiten und Kontaktintegration bei Apple-Geräten. Englischsprachiger Blogeintrag von Wandera - einem Anbieter für mobile Sicherheitslösungen.

Downloads und Dokumente

Checkliste "Phishing E-Mails & Social Engineering"
Checkliste "Phishing E-Mails & Social Engineering"