Sicherheit

In dieser Kategorie sind unterschiedliche Informationen rund um das Thema Sicherheit zu finden. Zusätzlich gibt es Anleitungen zum Beantragen und Einbinden von Sicherheitszertifikaten.

 

Anleitungen und Informationen

 

 

Das Thema Sicherheit ist in der virtuellen Welt mittlerweile nicht mehr Wegzudenken. An dieser Stelle sind Hinweise und Anleitungen dazu gesammelt.

 

Das Rechenzentrum stellt Beschäftigten einen lokalen Virenschutz für PCs kostenlos zur Verfügung. Es handelt sich hierbei um das Antivirenprogramm "Sophos Endpoint Security and Control", das in Form einer Landeslizenz für die Hochschulen in Rheinland-Pfalz beschafft wurde. Die Lizenz umfasst alle von den Beschäftigten genutzten Geräte, unabhängig davon, ob sie von der Universität oder privat beschafft wurden.

Selbst das beste Virenschutzprogramm kann die Infizierung eines Arbeitsplatzrechners nicht vollständig ausschließen. Auf jeden Fall ist eine ständige Aktualisierung unverzichtbar. Die über das Rechenzentrum erhältliche Software ist deshalb so konfiguriert, dass sie beim Starten des PCs und danach alle dreißig Minuten überprüft, ob neue Virensignaturen oder Software-Updates vorliegen.

Eine Installationsanleitung für Sophos finden Sie in der Kategorie "Software".

Weitere Informationen finden Sie auf der Webseite des Herstellers: http://www.sophos.de/

Aus Sicherheitsgründen blockt das URZ folgende Dienste:

  • Simple Mail Transfer Protocol (SMTP)
  • Network Time Protocol (NTP)
  • Internet Printing Protocol (IPP)
  • Universal Plug and Play (UPnP)
  • SAMBA (SMB)
  • JetDirect
  • Line Printer Daemon protocol (LPD)

Falls Sie eines dieser Dienste benutzen möchten, kontaktieren Sie bitte den URZ-Support.

Sie alle haben sicherlich die Meldungen der Medien zum BSI-Sicherheitstest verfolgt. Die Kollegen des Rechenzentrums in Koblenz (GHRKO) haben hierzu eine ausführliche Info-Seite gestaltet:

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Mitte Januar bekannt gegeben, dass ein sog. Bot-Netz ausgehoben wurde und dabei ca. 16 Millionen Mail-Adressen mit zugehörigen Passworten im Klartext gefunden wurden. Das BSI stellt eine Seite bereit, mit der man überprüfen kann, ob eigene Mailadressen betroffen sind. Es werden keine Fehlanzeigen per Mail versendet (vermutlich wollte das BSI vermeiden, dass zig Millionen Mails generiert werden). Unserer Erfahrung nach können Sie mit einer Antwort aber innerhalb weniger Stunden rechnen.
Wenn Sie keine Mail erhalten, schätzen Sie sich glücklich. Was aber sind die Folgen, wenn Sie eine Mail erhalten?

Die Folgen
Das ist ohne genauere Informationen des BSI auch für uns schwer zu beurteilen. Wir vermuten, dass die gefundenen Informationen hauptsächlich durch Phishing erstellt wurden. Als weitere Quellen kämen gehackte Internet-Services (Amazon, Dropbox, eBay, Facebook) in Frage. Die letzte Möglichkeit ist die, dass auf einem Ihrer Rechner ein Trojaner/Keylogger läuft, der alle Ihre Anmeldungen aufgezeichnet hat.
Sie sollten demnach folgendes tun:

1. Ändern Sie das Passwort für Ihren/Ihre Account/s an der Uni Koblenz/Landau. Machen Sie das auch in dem Fall, dass zwar nicht Ihre Uni-Adresse betroffen ist, Sie aber für mehrere Adressen das gleiche Passwort verwendet haben.

2. Versuchen Sie sich daran zu erinnern, bei welchen Internet-Diensten Sie sich mit der betreffenden Mailadresse angemeldet haben. Ändern Sie dort Ihr Passwort oder löschen Sie die Registrierung.

3. Überprüfen Sie alle Rechner, die Sie mit diesen Accounts verwendet haben, auf Trojaner/Viren/Root Kits.


Vorsichtsmaßnahmen

1. Antworten Sie nie(!) auf Phishing-Mails. Kein verantwortungsvolles Rechenzentrum wird Sie per Mail auffordern, Ihr Passwort bekannt zu geben. Solchen Aufforderungen sollten Sie demnach immer skeptisch gegenüberstehen und als erstes überprüfen, ob die betreffende Mail dem Phishing dienen könnte.


2. Verwenden Sie für externe Dienstleister nur dann Ihre dienstliche Mailadresse, wenn es sich um eine dienstliche Nutzung handelt.

3. Verwenden Sie bei diesen Registrierungen immer nur die Mailadresse Ihres persönlichen (Uni-) Accounts, keine Mail-Aliase, die nicht eindeutig einer Person zugeordnet werden können. Sonst ist man im Falle eines entdeckten Passworts nicht mehr in der Lage, nachzuvollziehen, wer den betreffenden Account bei welchem Dienstleister registriert hatte.

4. Verwenden Sie sichere Passwörter!

5. Verwenden Sie gerade bei verschiedenen externen Dienstleistern auch unterschiedliche Passworte ... und führen Sie darüber Buch. Dafür gibt es für alle Rechnerarchitekturen sog. Passwort-Safes, die Ihre Passworte verschlüsselt abspeichern, z.B. Keepass

6. Vermeiden Sie die Installation von unnötiger Software. Installieren Sie insbesondere keine Toolbars!

7. Arbeiten Sie mit Ihrer Kennung im Normalbetrieb nicht unter administrativen Rechten


Überprüfung eines Windows-PC
Anti-Virus Programm überprüfen. Universitätsangehörige können dazu Sophos Anti-Virus verwenden. Sie sollten in diesem Programm den On-Access-Scan und einen wöchentlichen Voll-Scan eingestellt lassen. Sophos ist von uns normalerweise vorab so eingestellt. Aus der Reihe können Sie Verzeichnisse, Dateien und ganze Festplatten überprüfen, indem Sie im Explorer mit der rechten Maustaste auf das zu untersuchende Objekt klicken und im Menü "Mit Sophos Anti-Virus überprüfen" auswählen. Falls Schadsoftware gefunden wird, entfernen Sie diese umgehend oder lassen sie entfernen. Benutzen Sie Ihren Rechner nicht, solange sich Schadsoftware auf dem Gerät befindet.
Falls Sie administrative Rechte inne haben, können Sie zusätzlich zum Anti-Virus einen System-File-Check ausführen. Dazu müssen Sie eine Komandozeileneingabe "Als Administrator ausführen" (rechte Maustaste über der Verknüpfung von "Eingabeaufforderung"). Geben Sie im Kommandofenster den Befehl:

sfc /SCANNOW

ein. Zur Wiederherstellung fehlerhafter Systemdateien benötigen Sie ggf. die original Windows-DVD. Bei Laptops und OEM Geräten ist die entweder dabei oder Sie können sie als Universitätsangehörige(r) bei uns bekommen.

Auf der Seite vom BSI finden Sie zusätzlich ein Programm zum Viren-Check, das Sie zur einmaligen Virensuche zusätzlich zu Ihrem regulären Virenscanner laufen lassen können. Ansonsten gilt generell, dass immer nur ein Virenscanner installiert sein sollte.

 

Cryptomator ist eine kostenlose Anwendung zur Verschlüsselung aller Daten, die in einer Cloud gespeichert werden sollen. Im folgenden Abschnitt erhalten Sie einen Einblick in das Programm basierend auf der Nextcloud der Universität Koblenz-Landau.

 

Installation und Einrichtung von Cryptomator

1. Öffnen Sie in Ihrem Browser cryptomator.org

2. Speichern Sie die kostenlose cryptomator.exe ab und führen Sie die Installation aus. Nach der Installation öffnet sich das Programm.

3. Durch den Klick auf das „+“-Symbol kann ein Tresor erstellt werden. Der Tresor stellt ein Laufwerk bereit worin alle abgespeicherten Daten verschlüsselt werden.

  Sicherheit Cryptomator 001

 

4. Speichern Sie den Tresor in Ihrem Nextcloud-Ordner ab.

Sicherheit Cryptomator 003

 

5. Im folgenden Fenster können Sie das Passwort für Ihren Tresor setzen. Wählen Sie ein Passwort für den Ordner, der für die Verschlüsselung der Daten erstellt wurde.

Sicherheit Cryptomator 002  

6. Nachdem das Passwort gesetzt wurde kann das Cryptomator-Laufwerk geöffnet werden. Dort hineinkopierte Dateien sind verschlüsselt und synchronisieren mit Ihrer Nextcloud.

Sicherheit Cryptomator 004  

Das Teilen von Daten mit Cryptomator

Mit der Nextcloud-Funktion „Teilen“ können auch verschlüsselte Ordner an, beispielsweise Mitarbeiter, weitergegeben werden. Hierbei befindet sich im verschlüsselten, geteilten Ordner eine masterkey.exe, welche die Verwendung einer versionsidentischen Cryptomatorinstallation voraussetzt. Mit dieser Datei und dem dazugehörigen Passwort kann der Mitarbeiter alle Daten einsehen und ändern.

Bitte teilen Sie das Passwort ihres verschlüsselten Ordners nur mit Mitarbeitern, die die Zugriffsrechte erhalten sollen.

Das Freischalten von Unterordnerstrukturen ist nicht möglich. Hierzu muss ein eigenständiges Cryptomatorlaufwerk angelegt werden, dessen einzige Funktion das Teilen von spezifischen Dateien ist.

 

Dieser Artikel beschreibt eine Vorgehensweise, wie Sie E-Mails, die ein Sicherheitsrisiko darstellen, erkennen können.

Sollte auch nur eine dieser Prüfungen einen Verdacht wecken, muss die Mail direkt als Anhang an spam@uni-landau.de geschickt werden. Sollten Sie die verdächtige E-Mail einfach weiterleiten, wird der Quelltext verändert und wir können Ihnen keine Auskunft über die Herkunft der E-Mail geben.

Anleitungen, wie eine E-Mail als Anhang versendet werden kann, finden Sie unter folgenden Links:

Thunderbird

Outlook

Apple Mail

 

Die Vorgehensweise besteht aus einer logischen Prüfung, einer Textprüfung,  der Prüfung des Quelltextes, sowie der Domainprüfung.

 

Logische Prüfung

Die logische Prüfung zielt auf die Sinnhaftigkeit der E-Mail ab. Grundsätzlich ist nach dem Öffnen einer E-Mail immer zuerst die Frage zu stellen:  Ergibt es Sinn, dass ich eine solche E-Mail erhalte?

Fragen, die man sich in diesem Zusammenhang stellen sollte sind beispielsweise:

1. Bin ich Kundin/Kunde des Unternehmens?

2. Wird eine korrekte und konkrete Anrede verwendet?

3. Werden persönliche Daten abgefragt?

4. Sind korrekte Logos und Adressen vorhanden? (Bei Buttons: mit der Maus darüberfahren zeigt am unteren Bildschirmrand die Adresse an -> Stimmt diese mit dem Absender überein?)

5. Ist die Absenderadresse korrekt?

Zur Veranschaulichung werden hier zu jeder Prüfung zwei Beispiele gezeigt.

Beispiel 1:

Sicherheit Mail 002

 

Wie man unschwer erkennen kann, handelt es sich hierbei um eine sogenannte „Phishing“-Mail, die darauf abzielt Passwörter zu „fishen“, indem Mailempfänger dazu verleitet werden, eine Seite aufzurufen und dort ihr Passwort einzugeben.

 

Beispiel 2:

Sicherheit Mail 003 

 

Das zweite Beispiel scheint bereits sehr viel authentischer. Die logische Prüfung scheint hier im ersten Moment ein positives Ergebnis zu zeigen. Lediglich die Kopfzeile weckt möglicherweise einen Verdacht, dass es sich hier um eine Mail handelt die Schadsoftware auf einen Rechner transportieren soll. Dementsprechend muss eine weitere Prüfung erfolgen.

 

Textprüfung

Die Textprüfung zielt auf die Untersuchung des Textes ab. Hier ist sowohl Rechtschreibung, wie auch Grammatik von Relevanz. Die meisten E-Mails mit einer bösartigen Intention werden von automatisierten Programmen übersetzt und beinhalten häufig Rechtschreib- wie auch Grammatikfehler. Auch Umlaute wie ä, ö und ü stellen für solche Programme Probleme dar. Da diese Fehler meist sehr Auffällig sind, lassen sich Massenspammails dadurch einfach über einschlägige Suchmaschinen finden (Beispielsweise Google).

Das Vorgehen ist wie folgt:

1. Den Text auf Fehler überprüfen, die nicht auf Tippfehler oder einfach mangelnde Orthografiekenntnisse zurückzuführen sind.

2. Das Hauptthema des Textes in Google eingeben.

Zur Veranschaulichung wird hier auch Beispiel 1 nochmal gezeigt:

Beispiel 1:

Sicherheit Mail 004

 

Eine Googlesuche ergibt:

Sicherheit Mail 005 

 

Auch hier ist erneut sehr schnell ersichtlich: Es handelt sich offensichtlich um einen Betrugsversuch. Dass es nicht immer so einfach ist zeigt hier erneut Beispiel 2:

 

Beispiel 2:

Sicherheit Mail 006 

 

Eine Googlesuche ergab keine Treffer.

Hier zeigt sich: Das Niveau von Phishing- oder Schadmails unterscheidet sich massiv und kann sehr authentische Züge annehmen.

Um nun herauszufinden, ob es sich bei Beispiel 2 um einen Betrugsversuch handelt, kann  die Quelltextprüfung durchgeführt werden.

 

Quelltextprüfung

Wie der Quelltext für eine Mail angezeigt werden kann ist hier in der Kurzform dargestellt:

Thunderbird: E-Mail auswählen -> „Mehr“ -> „Quelltext anzeigen“

Outlook: E-Mail mit einem Doppelklick öffnen -> „Datei“ -> „Eigenschaften“

Apple Mail: E-Mail auswählen -> Darstellung -> E-Mail -> “Reine Datei“

SOGo: E-Mail auswählen -> „drei Punkte“ -> „Nachrichten Quelltext“

 

Ausführliche Anleitungen zu den Programmen finden sich hier:

SOGo

Thunderbird

Outlook

Apple Mail

 

Der Quelltext einer E-Mail gibt Aufschluss über den tatsächlichen Absender und den Server von dem die E-Mail gesendet wurde. Auch wenn der Absender einer E-Mail im ersten Moment korrekt zu sein scheint, kann es sich um ein sogenanntes „Spoofing“ handeln. Bei dem der Angreifer suggeriert ein anderer Absender zu sein.

Außerdem kann im Quelltext überprüft werden, ob die E-Mail über andere Server weitergeleitet wurde oder ob die Antwortadresse möglicherweise manipuliert wurde.

Zusammengefasst sind folgende Bezeichnungen relevant:

„Return-Path“: Hierbei handelt es sich um die Adresse an die eine Antwort geschickt wird. Sie sollte mit dem Absender übereinstimmen.

„Recived“-Zeilen: Unter „Recived“ sind folgende Informationen zu sehen:

Erster Eintrag: Der „Zustellungsserver“, im Fall der Universität Koblenz-Landau ist dies nsmtp.uni-koblenz.de

Zwischeneinträge:  Hier würden ggf. Weiterleitungen vermerkt werden, die dazu dienen sollen am Ende die Identität des Absenders zu verschleiern.

Letzter Eintrag: Der Server von dem die Mail geschickt wurde. (from X.X.X.XX. ([….]) by servername.com.). Hier ist vor allem verdächtig, wenn zum einen mehrere Adressen vorhanden sind oder ein großer Leerraum zwischen Adressen vorhanden ist.

Dieser Schritt der Prüfung mag komplex erscheinen, ist aber anhand eines Beispiels relativ konkret nachvollziehbar. Die Schritte zur Prüfung sind hier:

1. „Return-Path“ überprüfen

2. Von welchem Server wurde die Mail versendet?

3. Wurde die Mail weitergeleitet?

4. Gibt es mehr als einen Absender? Sind Auffälligkeiten bei der Absendereingabe vorhanden?

Sicherheit Mail 007

 

In der Mail ist zu erkennen:

1. Der "Return-Path" ist verdächtig, da er nicht mit dem vorgegebenen Absender übereinstimmt.

2. Der Server von dem die E-Mail stammt ist ebenfalls verdächtig.

3. Die Mail wurde mehrfach weitergeleitet.

4. In der Absenderzeile sind Auffälligkeiten vorhanden. (Große Menge an Leerzeichen).

 

Eine weitere Möglichkeit die Sicherheit von Mails zu garantieren, ist die sogenannte DKIM-Signatur. DKIM steht für „Domain Keys Identified Mail“. Diese ist ein Hinweis auf den Server, von dem die E-Mail gesendet wurde.  Sämtliche Mails der Universität Koblenz-Landau sind mit einer solchen Signatur versehen.

Die DKIM-Signatur ist im Quelltext unter „DKIM-Signature“ zu finden.  Sollte eine E-Mail vorgeben, vom Server der Universität Koblenz-Landau zu stammen, aber keine Signatur tragen, ist von einem Spam- oder Phishingversuch auszugehen.

Beispiel 2 gibt vor, von einer Universitätsmailadresse geschickt worden zu sein, trägt aber keine DKIM-Signatur. Auch das ist ein klares Indiz für eine verdächtige Mail! Bitte beachten Sie hierbei, dass die DKIM-Signatur lediglich das authorisierte Absenden der E-Mail von unseren Servern verifiziert, nicht jedoch die Integrität des Absenders. Ein Angreifer mit einem "geklauten" Passwort kann authentifiziert über unsere Server E-Mails versenden, die eine DKIM-Signatur enthalten.

  

Domainprüfung

Eine weitere Möglichkeit eine E-Mail auf mögliche Spamangriffe zu testen, ist die Domainprüfung.

Im Quelltext wird eine Domain als Sender angegeben. Sollten Sie sich Zweifel an der Authentizität einer Mail haben, können Sie diese Domain auf den Seiten https://virustotal.com oder via https://whois.com auf Schadware und auf den Besitzer der angegebenen Domain überprüfen.

 

Um die Sicherheit des E-Mailverkehrs zu gewährleisten, empfiehlt das URZ die Einrichtung von Nutzerzertifikaten zur Verschlüsselung und Signierung von E-Mails. Eine Anleitung dazu ist hier zu finden.

 

 

Zertifikate können zum einen E-Mails verschlüsseln, oder auch eine Website als sicher auszeichnen. Alles zum Thema Zertifikate finden Sie hier.

 

Wir betreiben eine Registrierungsstelle für Personenzertifikate, die zum Siginieren und Verschlüsseln von E-Mails genutzt werden können. Die Benutzerzertifikate werden im Rahmen der DFN-PKI ausgegeben und sind weltweit akzeptiert.

Benutzerzertifikat beantragen:

1. Rufen Sie mit einem Browser (Internet-Explorer, Firefox oder Safari) unseren Zertifikatsserver auf und klicken Sie auf die Schaltfläche "Nutzerzertifikat". Sie benötigen denselben Browser auf dem selben Rechner zu einem späteren Zeitpunkt erneut, um das generierte Zertifikat zu importieren. Beantragen Sie daher das Benutzerzertifikat nicht von einem fremden Rechner aus.

Sicherheit Zertifikate beantragen 001

2. Füllen Sie das Formular aus und klicken Sie auf die Schaltfläche "Weiter".

Sicherheit Zertifikate beantragen 002

3. Überprüfen Sie Ihre Eingaben und klicken Sie anschließend auf die Schaltfläche „Bestätigen“.

Sicherheit Zertifikate beantragen 003

4. Klicken Sie auf die Schaltfläche „Zertifikatsantrag anzeigen“ und drucken Sie den Antrag aus. Vervollständigen Sie die fehlenden Angaben per Hand.

Sicherheit Zertifikate beantragen 004

5. Legen Sie das Formular mit einem gültigen Personalausweis oder Pass bei Herrn Kupper, bei Herrn Schäfer, bei Herrn Ballmann oder bei Herrn Schwalb vor. Diese prüfen Ihren Antrag.

6. Nach erfolgreicher Prüfung wird Ihnen umgehend ein Link auf das ausgestellte Zertifikat per E-Mail zugesandt. Um das Benutzerzertifikat herunterzuladen, folgen Sie den Anweisungen in der Mail. Sie müssen den Link von dem Rechner und Browser aus aufrufen, von welchem der Zertifikatsantrag erstellt wurde.

7. Die Ausstellung des Benutzerzertifikats ist nun abgeschlossen. Das Benutzerzertifikat wurde in dem Zertifikatsspeicher Ihres Browsers abgelegt. Im nächsten Schritt kann das Zertifikat von dort aus exportiert und in weiteren Programmen, wie zum Beispiel in Ihrem E-Mail Client, verwendet werden.

Sie können Ihr Benutzerzertifikat aus dem Zertifikatsspeicher exportieren, um dieses auch in anderen Programmen, wie zum Beispiel Ihrem E-Mail-Client, zu verwenden.

Voraussetzung für diese Anleitung:

  • Ein Benutzerzertifikat ist beantragt (Siehe oben)

Benutzerzertifikat exportieren:

1. Öffnen Sie das Menü und wählen Sie den Eintrag "Einstellungen" aus.

Sicherheit Zertifikate exportFFneu 001

2. Klicken Sie auf die Schaltfläche "Datenschutz & Sicherheit", scrollen Sie ganz nach unten bis zum Bereich "Zertifikate" und klicken Sie auf die Schaltfläche "Zertifikate anzeigen".

Sicherheit Zertifikate exportFFneu 002

3. Wählen Sie innerhalb des Registers "Ihre Zertifikate" das gewünschte Zertifikat aus und klicken Sie auf die Schaltfläche "Sichern...".

Sicherheit Zertifikate exportFF 003

4. Wählen Sie einen Speicherort für Ihr Zertifikat aus und bestätigen Sie Ihre Auswahl.

5. Ihr Zertifikat wurde an den von Ihnen gewählten Ablageort exportiert und kann im nächsten Schritt von weiteren Programmen, wie zum Beispiel Ihrem E-Mail-Client, zur dortigen Verwendung importiert werden. Eine Anleitung für den E-Mail-Client Ihrer Wahl finden Sie hier:
Thunderbird
Outlook
Apple-Mail
 

Sie können für die von Ihnen betriebenen Server der Universität ein Serverzertifikat beantragen.
Der erste Schritt ist die Akkreditierung durch den Institutsleiter.
Als zweiten Schritt erstellen Sie, z.B. mit openssl, einen Zertifikatsrequest.

Infos hierzu:
https://www.pki.dfn.de/faqpki/faqpki-allgemein/
https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Anleitung_Nutzung_OpenSSL.pdf

Als dritten Schritt füllen Sie das entsprechende Formular aus und laden den Zertifikatsrequest hoch. Sie erhalten dann zum Download ein PDF-Dokument, das Sie ausdrucken und unterschreiben.

Im nächsten Schritt gehen Sie persönlich mit dem Antrag und der Akkreditierung zu der Zertifizierungsstelle (Hubert KupperDominik SchäferMicha Ballmann oder Stefan Schwalb) und weisen sich mit Personalausweis oder Reisepass aus.

Das Serverzertifikat wird Ihnen dann vom DFN per Email zugeschickt. Dieses können Sie dann auf Ihren Server importieren.