Warum ist das wichtig?

Der sichere Umgang mit Anmeldedaten schützt nicht nur Ihren Computer und Ihre Daten. Insbesondere an der Universität gewährleisten Sie damit, dass sensible Daten der Universitätsverwaltung - und damit Rechte von Mitarbeiter/inne/n oder Studierenden - geschützt sind.

Was kann ich tun?

Im Umgang mit Ihren WU-Anmeldedaten sollten Sie folgende Punkte immer beachten.

• Anmeldedaten bestehen aus einem Benutzernamen (auch: User-ID, Kennung) und dem dazugehörigen Accountpasswort. Geben Sie diese NIE an Dritte weiter.

• Verwenden Sie WU-Anmeldedaten NIE auf fragwürdigen Geräten, etwa auf Hotelgeräten oder in Internet-Cafés.

• Verwenden Sie eine VPN-Verbindung, wenn Sie auf WU-Dienste zugreifen und Ihr Gerät mit einem fremden oder öffentlichen Netzwerk (z.B. WLAN) verbunden ist.

• Nach dem Arbeiten an öffentlichen Rechnern (z.B. Vortrags-PCs in Hörsälen) unbedingt abmelden UND verwendete USB-Sticks mitnehmen.

• Verwenden Sie Ihr WU-Accountpasswort nicht in anderen Systemen (z.B. Amazon, eBay, Wr. Linien, Google, Gmx etc.).

• Setzen Sie komplexe Passwörter, die Buchstaben, Ziffern und Sonderzeichen enthalten.

• Ändern Sie Ihre Passwörter regelmäßig.

• Passwörter NIE am oder in der Nähe des verwendeten Geräts notieren oder hinterlegen.

• Speichern Sie NIE Passwörter beim Anmeldevorgang, insbesondere nicht im Browser.

• Verwenden Sie WU-Anmeldedaten AUSSCHLIESSLICH für WU-Webdienste.

• WU-Anmeldedaten NIE über unverschlüsselte Internetverbindungen übertragen.

• Verwenden Sie nur Webseiten, die mit „https" beginnen.

• Keine Apps verwenden, die WU-Anmeldedaten abfragen, jedoch keine offiziellen Apps der WU sind.

• Niemals auf E-Mails reagieren, in denen, unter welchem Vorwand auch immer, auf verlinkten Web-Seiten die Eingabe von WU-Anmeldedaten gefordert wird.

• Prüfen Sie mit Hilfe der Webseite Have I been Pwned? ob Ihre Accountdaten noch sicher sind. Die Webseite überprüft, ob z.B. persönliche Daten aus Ihrem E-Mail-Account bei einem Cyberangriff öffentlich bekannt gemacht wurden.

Bei Fragen zu einzelnen Tipps senden Sie bitte eine E-Mail an infosec@wu.ac.at.

Warum ist das wichtig?

Wenn Ihr Passwort einfach zu erraten ist bzw. einen persönlichen Bezug zu Ihnen hat, haben es Unberechtigte leicht, in Ihr digitales Leben einzusteigen. Zudem können „erbeutete Passwörter" sofort oder auch zu einem späteren Zeitpunkt missbräuchlich eingesetzt werden – jedenfalls solange das Passwort nicht geändert wurde.

Was kann ich tun?

• Ändern Sie Ihre Passwörter regelmäßig (Empfehlung: einmal pro Jahr; jedoch sofort bei Bekanntheit oder möglichem Bekanntwerden). Passwörter für Ihren WU-Account ändern Sie im Controlpanel.

• Prüfen Sie mit Hilfe der Webseite Have I been Pwned? ob Ihr gewähltes Passwort sicher ist oder bereits durch einen Cyberangriff öffentlich bekannt wurde.

• Geben Sie Passwörter niemals weiter!

• Passwörter für sensible Anwendungen müssen sich deutlich unterscheiden von Passwörtern für triviale Anwendungen. Ihr Accountpasswort an der WU sollte daher KEINESFALLS zur Anmeldung bei anderen Systemen verwendet werden (z.B. amazon, eBay, Wr. Linien, google, gmx etc.).

• Benutzen Sie einen vertrauenswürdigen Passwortmanager, um für jeden Online-Service ein eigenes Passwort zu speichern.

Tipps für die richtige Auswahl von Passwörtern

• Ein sicheres Passwort besteht aus mindestens 12 Stellen und enthält Buchstaben, Zahlen und Sonderzeichen. Es kommt in keinem Wörterbuch oder Lexikon vor und verwendet Groß- und Kleinbuchstaben.

• Das Passwort sollte auswendig gemerkt werden können und nicht aufgeschrieben werden.

  • Tipp 1: Überlegen Sie sich einen Satz. Nehmen Sie von jedem Wort dieses Satzes den Anfangsbuchstaben. Ersetzen Sie einen oder mehrere Buchstaben durch eine Zahl oder ein Sonderzeichen. Beispiel: „Im Wintersemester beginnen an der WU sehr viele neue Studenten :-)" Ersetzt man nun "neue" z.B. durch die Zahl 9 ergibt das Passwort "IWbadWsv9S:-)"

  • Tipp 2: Verwenden Sie einen kurzen Satz und ersetzen Sie die Leerzeichen zwischen den Wörtern durch Zahlen oder Sonderzeichen in beliebiger Reihenfolge. Beachten Sie jedoch Informationen zur maximal möglichen Passwortlänge (z.B. im Controlpanel).

• Vermeiden Sie jedenfalls:

  • Namen oder Zeichenketten, die andere Personen mit Ihnen assoziieren würden. (Beispiele:
    Ihr Geburtsdatum; Teile Ihres Namens oder Namen Ihrer Familie, Freunde, Haustiere; Ihre Telefonnummer)

  • Zeichenketten, die sich mehrmals wiederholen

  • offensichtliche Zeichenketten wie z.B. abcdef, qwert, 12345 usw.

Warum ist das wichtig?

Da Mobilgeräte leicht gestohlen werden können und ev. auch verloren gehen, sollten Sie besonders darauf achten. Neben dem Verlust Ihrer Daten droht auch deren missbräuchliche Verwendung durch unberechtigte Dritte.

Was kann ich tun?

• Setzen Sie einen persönlichen Zugriffscode am Gerät
  Der Code bzw. das Passwort muss immer dann eingegeben werden, bevor das Gerät benutzt werden soll. Einige Geräte unterstützen mittlerweile auch biometrische Identifikation (Fingerabdruck), dies erleichtert die Bedienung. Vermeiden Sie bei Zahlenfolgen leicht zu ratende Kombinationen wie z.B. 0000, 12345, Ihr Geburtsdatum, Ihre Postleitzahl, etc. Die Webseiten der Hersteller bieten entsprechende Anleitungen:
  

  • Android: Displaysperre einrichten

  • Apple: Code verwenden oder Fingerabdruck verwenden

  • Windows Phone: Sperrbildschirm einrichten

• Nutzen Sie die automatische Gerätesperre
  Setzen Sie dabei den inaktiven Zeitraum so kurz wie nötig, z.B. am Smartphone auf eine oder zwei Minuten. Eine manuelle Aktivierung der Sperre erfolgt oft beim Drücken des Ein-/Ausschalters.

• Sichern Sie Ihre Daten regelmäßig
  zum Beispiel auf ein zweites Gerät (Laptop, externe Festplatte, etc.). Installieren Sie eventuell notwendige Software auf Ihrem Privatgerät. Löschen Sie danach nicht mehr benötigte Daten von Ihrem Mobilgerät.

• Speichern Sie nur die nötigsten Informationen am Mobilgerät
  Wägen Sie ab, welche Daten und Apps Sie auf dem Mobilgerät tatsächlich benötigen (Facebook, private E-Mails, Apps, etc.). Speichern Sie Passwörter nur für Dienste, wo Sie sehr oft und komfortabel Zugriff benötigen. Bei anderen Diensten geben Sie das Passwort einfach manuell ein, wenn es angefordert wird.

• Bei Verlust: Nutzen Sie Ortungs- und Löschdienste
  Viele Gerätehersteller bieten diese Dienste an. Für die Nutzung ist in der Regel eine Registrierung des Gerätes erforderlich - Sie müssen dabei im Besitz des Gerätes sein.

  • Android
    Mit dem Android Geräte-Manager können Sie das Mobilgerät orten, sperren oder gespeicherte Daten löschen lassen. Informationen des Herstellers.

  • iOS
    Apple bietet neben der Ortung Ihres Geräts auch eine Löschung gespeicherter Daten an. Informationen des Herstellers: "Mein iPhone suchen" bzw. "Mein Gerät löschen"

  • Windows
    Microsoft bietet für Windows Phones einen Rücksetz-Schutz an. Informationen des Herstellers

• Legen Sie vertrauliche Daten immer verschlüsselt auf den Geräten ab!

• Nutzen Sie in Hotels den Zimmersafe - selbst bei kurzer Abwesenheit.

• Bewahren Sie Ihre mobilen Geräte niemals im Auto auf. Lassen Sie diese auch nicht an öffentlichen Plätzen sichtbar liegen.

Warum ist das wichtig?

Um sensible oder persönliche Daten zu erhalten, kombinieren Angreifer immer öfter mehrere Medien und Methoden (z.B. E-Mail, SMS, soziale Netze, Telefonanrufe, etc.). Beispielsweise kann das einmalige Anklicken eines manipulierten Links oder Anhangs in einer Mitteilung das gesamte IT-Netzwerk mit Schadsoftware infizieren. Aufgrund der technischen Vernetzung stehen dabei auch Mobilgeräte im Fokus von Angriffen (z.B. durch Instant Message Services wie WhatsApp oder SMS). Methoden des Social Engineerings(*) werden oftmals zur Vorbereitung von größer angelegten Attacken eingesetzt.

(*) zwischenmenschliche Einflußnahme für unehrliche Zwecke

Was kann ich tun?

Informieren Sie sich über laufende Bedrohungen im Internet - beispielsweise auf

• www.melani.admin.ch

• www.watchlist-internet.at

Beachten Sie zusätzlich bei allen Kommunikationsformen die folgenden generellen Vorsichtsmaßnahmen. Beherzigen Sie auch die Empfehlungen zum Umgang mit Anmeldedaten und zur Passwortsicherheit auf dieser Seite!

• Generelle Vorsichtsmaßnahmen

  • Informieren Sie sich über aktuelle Bedrohungen und trainieren Sie Ihre Wahrnehmung für missbräuchliche Kommunikation (vgl. Punkt Selbsttests).

  • Verheimlichen Sie bei unüblichen und unerwarteten Anfragen jedenfalls Ihre WU-Zugangsdaten (Benutzername, Account- & WLAN-Passwort) sowie betriebsinterne Abläufe und Fachbegriffe.

  • Machen Sie in Webformularen nur unbedingt benötigte Angaben ("Mut zur Lücke" bei z.B. Geburtstag, Postanschrift, Telefonnummer, etc.)

  • Hegen Sie ein gesundes Misstrauen gegenüber allzu vorteilhaften Angeboten oder Versprechen.

  • Lassen Sie sich nicht überreden. Widerstehen Sie dem Drängen, etwas zu tun, das Sie sonst nicht tun würden.

  • Geben Sie Zugangsdaten nur über verschlüsselte Internetverbindungen (https://...) ein. Lassen Sie sich ggf. das verwendete Zertifikat der Webseite anzeigen (dazu klicken Sie in der Adresszeile des Browsers auf das Schloss-Symbol).

  • Lagern Sie Passwortnotizen falls nötig nur in versperrten Laden oder Schränken.

  • Verwenden Sie für jedes Online-Konto ein anderes Passwort bzw. eine alternative E-Mail-Adresse.

• Maßnahmen für mündliche und schriftliche Kommunikation
  (z.B. E-Mail, SMS, WhatsApp-Nachrichten, Telefonanrufe, etc.)

  • Ignorieren Sie Aufforderungen zu raschem Handeln
    Betrüger spekulieren, dass Sie in der Eile wichtige Warnhinweise des gefälschten Textes übersehen.

  • Prüfen Sie Verlinkungen genau
    - Tippen Sie angegebene Webadressen ggf. mit der Tastatur manuell in Ihren Browser ein (Schutz vor Punycode).
    - Verharren Sie mit der Maus länger auf verlinkten Elementen, um die Zieladresse des Links anzeigen zu lassen. Kommt Ihnen diese seltsam vor, löschen Sie die Nachricht.

  • Vermeiden Sie das Öffnen verdächtiger Dateianhänge
    Übliche Dokumentformate (z.B. PDF, Word, Excel, Powerpoint) sowie ZIP- oder Bild-Dateien können bösartigen Code transportieren. Löschen Sie insbesondere verschlüsselte Dateianhänge, die beim Öffnen ein mitgeteiltes Passwort erfordern!
    Prüfen Sie die E-Mail auf Plausibilität:
    - Ist Ihnen der Absender bekannt?
    - Passt die Art der Formulierung zum Absender?
    - Erwarten Sie diese Nachricht oder Datei von diesem Absender?
    - Kann sich im (ev. passwortgeschützten) Dateianhang Schadsoftware verbergen?

  • Überprüfen Sie gemachte Angaben
    - Wenn Sie den Absender kennen, rufen Sie ihn an und fragen Sie nach dem Zweck der Nachricht.
    - Bei Unternehmen rufen Sie die Stammwebseite des vermeintlichen Absenders auf, und suchen Sie dort nach den zugesandten Informationen. Kontaktieren Sie ggf. ein Servicecenter oder den Helpdesk telefonisch für Nachforschungen.

  • Löschen Sie alle Nachrichten, die Ihnen verdächtig vorkommen
    Entfernen Sie diese auch aus Ihrem Papierkorb.

  • Bestehen Sie bei Anfragen zu vertraulichen Informationen auf schriftliche (Brief-)Form oder persönliche Vorsprache.

Selbsttests

Wie gut erkennen Sie missbräuchliche Informationsangebote?