AStA der Medizinischen Hochschule Hannover

Weitere Empfehlungen

Weitere Empfehlungen

Sichere Benutzerkonten & Passwörter

In Eurem Alltag benutzt Ihr viele verschiedene Dienste. Über privat genutzte Angebote wie Online Banking und Webshops, hin zu hochschulinternen Angeboten wie ILIAS und Co. Wichtig dabei ist, dass Ihr ein sicheres Passwort benutzt. Aber was macht ein sicheres Passwort überhaupt aus?

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) schlägt die folgenden Punkte vor, zusätzliche gebe ich noch meine eigenen Empfehlungen ab. Die Vollversion könnt ihr gerne hier lesen.

Empfehlungen für Passwörter
  • Mindestens 8 Zeichen [BSI]
  • Groß- und Kleinbuchstaben [BSI]
  • Mehrere Ziffern [BSI]
  • Sonderzeichen wie "<", "?", "!" [BSI] - Achtet hierbei darauf, dass eure Sonderzeichen auf ausländischen Tastaturen evtl. nicht vorhanden. Es können auch "Übersetzungsfehler" zwischen verschiedenen Programmen auftreten, sodass bestimmte Sonderzeichen nicht erkannt werden, wie z.B. "§".
  • Ersetzt Buchstaben durch ähnlich aussehende Zahlen oder Sonderzeichen, z.B. A -> 4, oder C -> (.
  • Nutzt für jeden Dienst ein eigenes Passwort. [BSI]
  • Wechselt Eure Passwörter nur, wenn Ihr den Verdacht oder Beweis habt, dass Euer Konto übernommen wurde. Regelmäßige Passwortwechsel führen meist nur zu Serienpasswörtern oder sehr einfachen. [BSI]
  • Checkt eure Mailadressen z.B. bei "Have I Been Pwned" oder "Firefox Monitor" auf bekannte Leaks Eurer Nutzerdaten.

Passwortmanager

Falls Ihr viele verschiedene Benutzerkonten habt, ist die Versuchung groß, eines oder mehrere Standardpasswörter zu nutzen. Diese senken das Sicherheitsniveau erheblich, da auch die Gegenseite davon ausgeht, dass Ihr ein Passwort mehrfach benutzt. Um diesem Problem effektiv vorzubeugen, gibt es sogenannte Passwortmanager. Die in Browsern eingebauten Lösungen sind meist nicht so sicher wie eigenständige Programme. Das BSI empfiehlt hier KeePass. [BSI 1] [BSI 2]

Ein Passwortmanager ist ein Programm, in dem Ihr all Eure Benutzerdaten für andere Dienste speichert. Geschützt werden diese dann durch ein Masterpasswort. Zusätzlich können Passwortmanager auch Passwörter auf Wunsch generieren.

2-Faktor-Authentifizierung (2FA)

Viele Dienste erfordern oder ermöglichen auch die sogenannte 2-Faktor-Authentifizierung, so ist sie z.B. bei der Nutzung von CITRIX vorgeschrieben. Diese Verfahren bestehen aus 2 von einander unabhängigen Faktoren wie z.B. einem Passwort und einer TAN aus einer Handy-App oder SMS. Neben dem Banking-Bereich bieten auch viele Mail-Provider oder Shops 2FA an.

Umgang mit Emails und Anhängen

Neben sinnvollen Mails oder nervigem Spam können auch bösartige Emails den Weg in Euer Postfach finden. Besonderes Augenmerk sollte hier auf Links und Anhänge gelegt werden. Moderne Angriffe können auf den ersten Blick täuschen echt aussehen und enthalten mitunter ausgelesene Email-Verläufe um authentischer zu wirken. Mit ein wenig gesunder Skepsis seid ihr jedoch sicher. Hier eine kleine Übersicht des BSI.

Phishing

Phishing ist ein Portemanteau aus den Wörtern “Password” und “Fishing”. Das erklärt auch den Nutzen der Methode gut; es sollen so gezielt Benutzerdaten mit Eurer Mithilfe erlangt werden. Eine Phishing-Mail gaukelt euch vor, von einer echten, vertrauensvollen Stelle zu kommen und fordert Euch auf, Euer Passwort und Co. anzugeben. Klickt hier für mehr Informationen des BSI.

Phishing erkennen und verhindern
  • Kennt ihr den Absender?
  • Stimmt der Mailabsender mit der angezeigten Mail-Adresse überein?
  • Erwartet Ihr eine Email? Ruft im Zweifel an.
  • Wird eine erneute Anmeldung / werden Benutzerdaten abgefragt?
  • Wird Druck auf Euch aufgebaut / wird Dringlichkeit genutzt?
  • Wohin führen die Links? Ist das die echte Website oder nur ein Nachbau?
  • Ist die Mail sprachlich komisch? Dies kann so wohl Grammatik und Rechtschreibung, Umgangston als auch die Anrede oder Signatur umfassen.
  • Habt einen aktuellen Virenschutz und eine aktive Firewall.

Als generellen Schutz gilt folgende Regel: Geht selbst auf die Website des Dienstes von dem angeblich die Mail kommt. Nutzt nicht den Link in der Email!

Anhänge und MS Office / Dateien aus dem Internet

Neben dem Phishing kann auch über infizierte Dateien ein Angriff auf Euch erfolgen. Diese können z.B. schon in der Email als Word-Dokumente angehängt sein oder werden es nach dem Öffnen eines Links direkt heruntergeladen. Insbesondere die Schadsoftware EMOTET hat hierbei in den letzten Jahren eine traurige Berühmtheit erlangt. Um Euch gut abzusichern, stellt euch die MHH z.B. die Antivirus-Software SOPHOS bereit.

Umgang mit Email-Anhängen / Dateien aus dem Internet
  • Kennt ihr den Absender?
  • Stimmt der Mailabsender mit der angezeigten Mail-Adresse überein?
  • Erwartet Ihr eine Email? Ruft im Zweifel an.
  • Erwartet Ihr einen Anhang? Wie heißt dieser?
  • Wird Druck auf Euch aufgebaut / wird Dringlichkeit genutzt?
  • Ist die Mail sprachlich komisch? Dies kann so wohl Grammatik und Rechtschreibung, Umgangston als auch die Anrede oder Signatur umfassen.
  • Nutzt die "Geschützte Ansicht" für Microsoft Office - Programme. Diese ist standardmäßig aktiviert, klickt hier für mehr.
  • Deaktiviert Makros: Makros sind, benigne eingesetzt, nützliche Werkzeuge für die Office-Programme. Leider werden sie aber vermehrt für bösartige Zwecke genutzt. Standardmäßig sind Makros deaktiviert, Ihr aber von Office darüber benachrichtigt, falls die Datei eines enthält. Löst es im Zweifel nicht aus oder deaktiviert Makros gänzlich ohne Benachrichtigung. Mehr findet ihr hier.
  • Achtet auf die Dateiendungen. Die meisten Angriffe laufen hier über die oben genanten Makroviren. Office-Dokumente, die Makros enthalten könnten, lassen sich so leicht filtern. Die in dieser Hinsicht unbedenklichen Endungen sind ".docx" (Word), ".xlsx" (Excel) und ".pptx" (PowerPoint).
  • Installiert keine Programme auf Eurem Rechner, deren Quelle Ihr nicht kennt.
  • Habt einen aktuellen Virenschutz und eine aktive Firewall.

Disclaimer

Die hier aufgelisteten Verhaltensweisen, Dienste, Websites und Programme stellen nur Empfehlungen dar. Der AStA bzw. das AStA-Referat für IT übernehmen auch trotz sorgfältiger redaktioneller Arbeit keine Haftung, die Nutzung erfolgt stets auf eigene Gefahr.