Um die Online-Services der HAW Hamburg nutzen zu können, brauchen Sie zunächst einen persönlichen Account, der über Microsoft 365 eingerichtet wird: den HAW-Account / M365. Mit diesem Account, bei dem Sie sich mit Ihrer HAW-Kennung, Passwort und einem zweiten Faktor einloggen, können Sie direkt einige Services nutzen.
HAW-Account / M365 und verfügbare Dienste
Für weitere Online-Dienste brauchen Sie zusätzlich ein weiteres Login-Verfahren: den Single-Sign-on-Service (SSO), den Sie ebenfalls einrichten müssen. Vorraussetzung dafür ist der HAW-Account / M365.
IT-Sicherheitshinweise
Übliche Betrugsmaschen: Telefonanrufe (persönlich oder per Computerstimme)
................................................................................................................................................................................................
Kriminelle geben sich vermehrt als Beamte von Europol/Interpol/BKA aus (siehe auch Warnhinweis des BKA). Diese Fake-Anrufe können mit dem Cyberangriff auf die HAW Hamburg zu tun haben, müssen es aber nicht. Bitte merken Sie sich: Die Polizei oder eine andere Ermittlungsbehörde ruft Sie nicht an und fordert Sie niemals auf, persönliche Daten am Telefon zu nennen. Auch andere Behörden oder Banken tätigen solche Anrufe nicht. Sofern Sie den Anweisungen folgen, werden Sie möglicherweise unbemerkt auf kostenpflichtige Nummern weitergeleitet, bei denen sehr hohe Gebühren anfallen. Außerdem könnten die Täter versuchen, im Zuge der Anrufe an weitere Daten von Ihnen zu gelangen, um diese für weitere kriminelle Aktivitäten zu nutzen.
Wie sollten Sie reagieren?
1. Folgen Sie nicht den Anweisungen, lassen Sie sich nicht in ein Gespräch verwickeln und geben Sie keine Daten preis! Notieren Sie sich die Rufnummer und legen Sie auf.
2. Lassen Sie die Rufnummer sperren bzw. blockieren Sie Rufnummern, die Sie bereits unerwünscht kontaktiert haben.
3. Zusätzlich können Sie bei der Bundesnetzagentur gegen diese Rufnummern Beschwerde einreichen.
Phishing-Versuche
................................................................................................................................................................................................
Unter Phishing versteht man Versuche Dritter, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdige Person / Unternehmen / Organisation in einer elektronischen Kommunikation auszugeben. Ziel der Angreifer ist es, an weitere personenbezogene Daten zu gelangen oder Ihre Endgeräte mit entsprechender Schadsoftware zu infiltrieren.
Wie sollten Sie reagieren?
- Prüfen Sie stets den Absender von eingehenden E-Mails, indem Sie auf die Absenderadresse klicken. Beachten Sie dabei aber auch, dass selbst bekannte Absender-Adressen durch fremde Personen gefälscht oder unautorisiert genutzt werden könnten.
- Achten Sie auf Rechtschreibfehler oder ähnliche Auffälligkeiten (z.B. fehlende Anrede, andere Sprache, angeblicher dringender Handlungsbedarf) – das weist ebenfalls auf eine Phishing-Mail hin.
- Öffnen Sie keine Anlagen und Links in verdächtigen E-Mails. Bei den Anlagen und Links in solchen E-Mails kann es sich um Schadsoftware / Malware handeln, die unbemerkt Schäden auf Ihrem Endgerät verursacht oder persönliche Daten, z.B. Kontodaten, von Ihrem Gerät abzieht, die für weitere kriminelle Handlungen genutzt werden.
- Fragen Sie in Zweifelsfällen auf anderem Wege (z.B. telefonisch) nach, ob die E-Mail tatsächlich von dem angeblichen Absender stammt.
- Berücksichtigen Sie bitte auch die Hinweise der Verbraucherzentrale zu aktuellen Phishing- Aktivitäten.
Weiterführende Informationen stellt die Polizei Hamburg zur Verfügung.
Warenkreditbetrug
................................................................................................................................................................................................
Häufig werden gestohlene Personen- und Adressdaten auch dazu verwendet, um damit Warenkreditbetrug zu begehen – also auf fremden Namen im Internet einzukaufen. Die Betrüger bestellen Produkte, die sie an eine Paketstation oder alternative Adresse liefern lassen. Die Rechnungen oder gegebenenfalls Inkassoschreiben gehen dann an die Adresse des nichts ahnenden Opfers des Datendiebstahls.
Wie sollten Sie reagieren?
- Erstatten Sie umgehend Strafanzeige, wenn Ihre Identität missbräuchlich verwendet wurde. Verweisen Sie in der Strafanzeige bei der Polizei bitte auch auf das polizeiliche Aktenzeichen zum Cyber-Angriff: LKA541/1K/0870845/2022, wenn der Missbrauch mit dem Cyberangriff auf die HAW Hamburg und der Veröffentlichung Ihrer Daten im Darknet in Verbindung stehen kann.
- Sofern Ihnen Rechnungen, Mahnungen oder unaufgefordert Pakete zugesandt werden, setzen Sie sich am besten persönlich mit den absendenden Firmen in Verbindung (seien Sie vorsichtig bei angeblichen Rechnungen, die Ihnen per E-Mail zugestellt werden, denn mit dem Betreff „Rechnung“ o.ä. werden nicht selten Dateien verschickt, die auf Ihrem Endgerät Schadsoftware installieren).
- Beachten Sie, dass ggf. zugestellten gerichtlichen Mahnbescheiden fristgerecht widersprochen werden muss.
- Melden Sie Identitätsmissbrauch ggf. bei den großen Wirtschaftsauskunftsdateien; entsprechende Formulare finden Sie u.a. unter: schufa.de und crifbuergel.de. Wenn Sie sicher gehen wollen, dass nicht bereits mit Ihren Identitätsdaten Straftaten, wie z.B. Warenkreditbetrug, begangen wurde, können Sie nach einiger Zeit des Abwartens ggf. eine kostenlose Selbstauskunft bei den gängigen Wirtschaftsauskunfteien, wie der Schufa oder CRIF beantragen, um festzustellen, ob unbekannte Täter bereits in Ihrem Namen aktiv waren.
- Wenn Sie feststellen, dass in Ihrem Namen Betrügereien begangen werden, kann es zudem sinnvoll sein, eine sogenannte Einmeldung bei den großen Wirtschaftsauskunftsdateien vornehmen zu lassen, um einen Missbrauch Ihrer Identität durch unbekannte Täter zu erschweren.
- Beachten Sie für diesen Fall aber, dass die Vertragspartner der Wirtschaftsauskunftsdateien einen Hinweis erhalten, dass Ihre Daten als Identitätsbetrugsopfer gespeichert sind. Dies kann dazu führen, dass ggf. auch Ihre eigenen Verträge einer gesonderten Prüfung unterzogen werden. Dies kann unter Umständen dazu führen, dass zusätzliche Unterlagen oder eine erweiterte Identifizierung angefordert werden und die Bearbeitungszeiten dadurch verlängert werden.
Weitere Informationen stellt die Verbraucherzentrale zur Verfügung.
Kompromittierte E-Mail-Daten
................................................................................................................................................................................................
Tausende von Passwörtern, Zugangsdaten und Konten werden jährlich gehackt. Soziale Netzwerke und Unterhaltungsseiten gehören zu den häufigsten Zielen von Phishing-Angriffen. Um zu prüfen, ob Ihre E-Mail-Adresse(n) kompromittiert ist/sind, stehen verschiedene Online-Portale zur Verfügung, die die Daten bekannter Leaks zusammenfassen und eine Suche nach Mailadressen ermöglichen. Einer der umfassendsten dieser Dienste ist Have I Been Pwned, den Sie unter haveibeenpwned.com erreichen können.
Wenn Sie die Meldung erhalten "Oh no - pwnded", bedeutet dies, dass diese E-Mail-Adresse bei einem oder mehreren Datenleaks veröffentlicht wurde. Welche dies sind, wird auf der genannten Webseite veröffentlicht. Für Sie gilt dann mit besonderer Dringlichkeit, was ohnehin jeder beachten sollte:
- 1. Wählen Sie ein starkes Passwort.
- 2. Nutzen Sie eine Zwei-Faktor-Authentifizierung, wo immer dies möglich ist.
- 3. Und wählen Sie die Benachrichtigungsfunktion (Subscribe to notification) von haveibeenpwned.com.
Die Website weist mit den "3 Steps to better security" darauf hin.
Weitere Sicherheitshinweise
................................................................................................................................................................................................
Schützen Sie Ihren Computer
Schon mit geringem Aufwand können Sie einiges selbst tun, um sich vor unberechtigten Zugriffen auf Ihren Computer und Ihr Mail-Postfach zu schützen.
Vorsicht im Internet-Café
Dort können Sie nicht kontrollieren, ob Ihre Daten umgeleitet oder ausgelesen werden und Sie wissen nicht, ob die installierten Virenscanner auf neuestem Stand sind. Möglicherweise können Sie auch nicht den Browser umkonfigurieren und Ihren Sicherheitswünschen anpassen.
Aktualisieren Sie Ihr Betriebssystem regelmäßig
Aktuelle Betriebssysteme verfügen über eine kostenlose Aktualisierungsfunktion, über die automatisch die neuesten Sicherheitsupdates heruntergeladen werden.
Das Vorgehen zum Konfigurieren entnehmen Sie bitte der Beschreibung Ihres Betriebssystems.
Sie finden diese Updates auch auf den Internetseiten des betreffenden Herstellers zum manuellen Herunterladen
Schützen Sie Ihren Computer mit aktueller Sicherheitssoftware
Wir empfehlen Ihnen, Ihren Computer mit einer Firewall und einem Virenscanner auszustatten, um sich umfassend gegen externe Zugriffe zu schützen
Die aktuellen Programmversionen sorgen stets für den besten Schutz, aktualisieren Sie deshalb bitte Ihre Sicherheitssoftware so oft wie möglich
Hinweise zur Nutzung Ihres Internet-Browsers
-
Aktualisieren Sie Ihren Browser regelmäßig oder nutzen Sie die oftmals integrierte automatische Aktualisierung
-
Deaktivieren Sie im Browser den Menüpunkt „Autovervollständigen“ und geben Sie vertrauliche Daten aus Sicherheitsgründen immer von Hand ein, da diese Daten sonst ungeschützt auf Ihrem Computer gespeichert werden
-
Stellen Sie Ihren Browser so ein, dass Sie stets über alle sicherheitsrelevanten Vorgänge wie zum Beispiel über den Wechsel von einem gesicherten „https://“ - in einen ungesicherten „http://“ - Bereich informiert werden
-
Löschen Sie bitte den Verlauf in der Chronik Ihres Browser nach Beendigung Ihrer Online-Aktivitäten, insbesondere, wenn weitere Personen Zugriff auf Ihren Computer haben. (Im Internet Explorer: Klick auf „Extras“, dann „Internetoptionen“, dann „Verlauf leeren“. In Firefox: Klick auf „Extras“, dann „Private Daten löschen“, dann Haken bei „Chronik“ und auf „Private Dateien jetzt löschen“ klicken)
-
Das Vorgehen zum Konfigurieren entnehmen Sie bitte der Beschreibung Ihres Browsers
-
Manche Browser, wie zum Beispiel Firefox/IE, bieten Ihnen an, einmal eingegebene Passwörter zu speichern, damit Sie beim nächsten Besuch noch schneller auf die jeweiligen Seiten zugreifen können. Wir empfehlen Ihnen, diese Passwort-Speicher im Interesse Ihrer Sicherheit nicht zu nutzen und in den Einstellungen deaktivieren.
Sichere Passwörter
................................................................................................................................................................................................
Warum sichere Passwörter benutzen? Gute Passwörter dienen ihrer eigenen Sicherheit!
Dies soll an ein paar Beispielen erläutert werden.
Unsichere Passwörter können sehr schnell von sogenannten 'Crackern' durch einfaches ausprobieren gefunden werden. Diesen Leuten geht es meistens nicht darum Daten zu klauen, zu verändern oder fremde Emails zu lesen, sondern sie sind auf der Suche nach einem Account über den sie ihre kriminellen Aktivitäten ungestört ausüben können.
Dabei kann es sich um Angriffe gegen einzelne Rechner, um geplante "Denial of Service" Attacken gegen ganze Netzwerke (als Beispiele aus der jüngeren Vergangenheit sind Angriffe gegen Yahoo, Amazon und diverse IRC Server zu erwähnen) oder um den Handel mit Kinderpornografie o.ä. handeln. In jedem dieser Fälle fällt der Verdacht zuerst auf den Inhaber des gecrackten Accounts. Dies ist in der Regel mit erheblichen Unannehmlichkeiten verbunden (Hausdurchsuchungen, Verhöre durch die Polizei/Staatsanwaltschaft usw.).
Sie können das Risiko, Opfer einer solchen 'Verwechslung' zu werden erheblich senken, indem sie ihre Passwörter regelmäßig ändern und dabei auch auf die Sicherheit der Passwörter achten.
Bevor wir ihnen zeigen wollen wie sichere Passwörter aussehen, wollen wir ihnen zeigen, wie Passwörter auf gar keinen Fall aussehen sollten. Dazu bemühen wir unseren Beispielbenutzer Stefan Mustermann mit der Benutzerkennung su2476.
Einfach wären natürlich Passwörter wie "Stefan", "StefanM", "Ssu2476M" oder ähnliche Kombinationen aus Name und Benutzerkennung. Diese sind aber auch extrem unsicher, da beim Cracken von Passwörtern zuerst mit den bekannten Daten des Benutzers gearbeitet wird. Auch Passwörter wie "StfnMstrmnn" (Vor- und Nachname ohne Vokale), "Stefan28" (er ist 28 Jahre alt), "19sm72" (geboren im Jahr 1972) oder "nafetS" (Vorname umgedreht) werden ebenso schnell gefunden. Daten mit persönlichem Bezug eignen sich also nicht als Passwörter.
Die nächste einfache Alternative ist normale Wörter zu benutzen. Aber auch dies ist extrem unsicher, denn der Cracker wird, wenn er mit benutzerbezogenen Daten keinen Erfolg hatte, sein Glück mit Wörterbüchern versuchen. Jedes Wort dieses Wörterbuchs wird wiederum in etlichen Kombinationen und Variationen als Passwort getestet. So wird z.B. aus "Internet" auch "tenretnI" oder "1n7ern37" oder "ntrt22" oder oder oder. Wörterbücher enthalten nicht nur alle Wörter einer bestimmten Sprache. Sie sind meist mehrsprachig und enthalten auch alle gängigen Vor- und Nachnamen. Zudem gibt es Wörterbücher zu speziellen Themengebieten wie Computer, Literatur, Internet, Medizin, Fantasy oder Science-Fiction. Dadurch sind Wörter wie "Appendix", "Zaphod", "ncc1701" oder "Bond007" als Passwort ungeeignet.
Versuchen wir es also mit unsinnigen Kombinationen aus Buchstaben und Zahlen. Viele Benutzer lieben es einfach, daher sind Tastaturkombinationen wie "abc123", "1234qwer", "1q2w3e4r", "abc:123" oder "0987poiu" längst bekannt und stellen somit keinerlei Sicherheit mehr dar.
Außerdem sollten sie unter keinen Umständen Netz- und Unixpasswort identisch wählen, da möglicherweise gespeicherte Passwörter unter Windows nur durch einen schwachen Algorithmus verschlüsselt werden und je nach Version sehr leicht zu knacken sind.
Es ist trotzdem sehr einfach, sich sichere und gut merkbare Passwörter herzuleiten. Nehmen sie einen Satz, den sie sich persönlich gut merken können. Von jedem Wort dieses Satzes nehmen sie nun den ersten Buchstaben (Groß- und Kleinschreibung beibehalten) und auch eventuell vorkommende Satzzeichen, und reihen sie diese aneinander.
So wird zum Beispiel aus dem Satz "Ein sicheres Passwort besteht aus mindestens 10 Zeichen." das Passwort "EsPbam10Z.". So einfach ist das.
Natürlich kann man durch bloßes Probieren bei genügend langer Rechenzeit auch dieses Passwort finden, allerdings normalerweise nicht innerhalb von 100 Tagen - und dann sollte ja schon ein neues Passwort gelten.
Kurz zusammengefasst:
- keine benutzerbezogenen Daten in Passwörtern verwenden.
- keine bekannten Wörter verwenden - egal aus welchem Bereich sie stammen mögen.
- keine 'einfachen' Tastaturkombinationen verwenden (z.B. nebeneinander liegende Tasten)
- Unix- und Netzpasswort nicht identisch wählen.
- Am besten einen gut merkbaren Satz wählen, und von diesem die Anfangsbuchstaben der einzelnen Wörter zu einem Passwort zusammenfügen.
Hinweis zur Verwendung von Codes bei MS-Teams-Einladungen
................................................................................................................................................................................................
Um die IT-Sicherheit an der HAW Hamburg weiter zu erhöhen, wird empfohlen, Einladungen zu öffentlichen MS-Teams-Kanälen nicht via Link, sondern mittels eines Codes zu kommunizieren. Hintergrund: Insbesondere Phishing-Mails enthalten oftmals die Aufforderungen: „Klicken Sie diesen Link“. Mit dem Code wird diese Gefahrenquelle minimiert und Studierende wie Beschäftigte für dieses mögliche Risiko sensibilisiert. Sie finden hier eine Anleitung zum Generieren des Codes (dies ist nur als Kanal-Besitzer*in möglich) sowie zum Beitreten zu einem MS Teams-Kanal via Code.
IT Benutzerordnung
................................................................................................................................................................................................
Benutzungsordnung für die Informationsverarbeitungsinfrastruktur der HAW Hamburg
vom 12. Mai 2011