Sicherheit

In dieser Kategorie sind unterschiedliche Informationen rund um das Thema Sicherheit zu finden. Zusätzlich gibt es Anleitungen zum Beantragen und Einbinden von Sicherheitszertifikaten.

 

Anleitungen und Informationen

 

 

Das Thema Sicherheit ist in der virtuellen Welt mittlerweile nicht mehr Wegzudenken. An dieser Stelle sind Hinweise und Anleitungen dazu gesammelt.

 

Das Rechenzentrum stellt Beschäftigten einen lokalen Virenschutz für PCs kostenlos zur Verfügung. Es handelt sich hierbei um das Antivirenprogramm "Sophos Endpoint Security and Control", das in Form einer Landeslizenz für die Hochschulen in Rheinland-Pfalz beschafft wurde. Die Lizenz umfasst alle von den Beschäftigten genutzten Geräte, unabhängig davon, ob sie von der Universität oder privat beschafft wurden.

Selbst das beste Virenschutzprogramm kann die Infizierung eines Arbeitsplatzrechners nicht vollständig ausschließen. Auf jeden Fall ist eine ständige Aktualisierung unverzichtbar. Die über das Rechenzentrum erhältliche Software ist deshalb so konfiguriert, dass sie beim Starten des PCs und danach alle dreißig Minuten überprüft, ob neue Virensignaturen oder Software-Updates vorliegen.

Eine Installationsanleitung für Sophos finden Sie in der Kategorie "Software".

Weitere Informationen finden Sie auf der Webseite des Herstellers: http://www.sophos.de/

Aus Sicherheitsgründen blockt das URZ folgende Dienste:

  • Simple Mail Transfer Protocol (SMTP)
  • Network Time Protocol (NTP)
  • Internet Printing Protocol (IPP)
  • Universal Plug and Play (UPnP)
  • SAMBA (SMB)
  • JetDirect
  • Line Printer Daemon protocol (LPD)

Falls Sie eines dieser Dienste benutzen möchten, kontaktieren Sie bitte den URZ-Support.

 

Cryptomator ist eine kostenlose Anwendung zur Verschlüsselung aller Daten, die in einer Cloud gespeichert werden sollen. Im folgenden Abschnitt erhalten Sie einen Einblick in das Programm basierend auf der Nextcloud der Universität Koblenz-Landau.

 

Installation und Einrichtung von Cryptomator

1. Öffnen Sie in Ihrem Browser cryptomator.org

2. Speichern Sie die kostenlose cryptomator.exe ab und führen Sie die Installation aus. Nach der Installation öffnet sich das Programm.

3. Durch den Klick auf das „+“-Symbol kann ein Tresor erstellt werden. Der Tresor stellt ein Laufwerk bereit worin alle abgespeicherten Daten verschlüsselt werden.

Sicherheit Cryptomator 001

 

4. Speichern Sie den Tresor in Ihrem Nextcloud-Ordner ab.

Sicherheit Cryptomator 003

 

5. Im folgenden Fenster können Sie das Passwort für Ihren Tresor setzen. Wählen Sie ein Passwort für den Ordner, der für die Verschlüsselung der Daten erstellt wurde.

Sicherheit Cryptomator 002

6. Nachdem das Passwort gesetzt wurde kann das Cryptomator-Laufwerk geöffnet werden. Dort hineinkopierte Dateien sind verschlüsselt und synchronisieren mit Ihrer Nextcloud.

Sicherheit Cryptomator 004

Das Teilen von Daten mit Cryptomator

Mit der Nextcloud-Funktion „Teilen“ können auch verschlüsselte Ordner an, beispielsweise Mitarbeiter, weitergegeben werden. Hierbei befindet sich im verschlüsselten, geteilten Ordner eine masterkey.exe, welche die Verwendung einer versionsidentischen Cryptomatorinstallation voraussetzt. Mit dieser Datei und dem dazugehörigen Passwort kann der Mitarbeiter alle Daten einsehen und ändern.

Bitte teilen Sie das Passwort ihres verschlüsselten Ordners nur mit Mitarbeitern, die die Zugriffsrechte erhalten sollen.

Das Freischalten von Unterordnerstrukturen ist nicht möglich. Hierzu muss ein eigenständiges Cryptomatorlaufwerk angelegt werden, dessen einzige Funktion das Teilen von spezifischen Dateien ist.

 

Dieser Artikel beschreibt eine Vorgehensweise, wie Sie E-Mails, die ein Sicherheitsrisiko darstellen, erkennen können.

Sollte auch nur eine dieser Prüfungen einen Verdacht wecken, muss die Mail direkt als Anhang an spam@uni-landau.de geschickt werden. Sollten Sie die verdächtige E-Mail einfach weiterleiten, wird der Quelltext verändert und wir können Ihnen keine Auskunft über die Herkunft der E-Mail geben.

Anleitungen, wie eine E-Mail als Anhang versendet werden kann, finden Sie unter folgenden Links:

Thunderbird

Outlook

Apple Mail

 

Die Vorgehensweise besteht aus einer logischen Prüfung, einer Textprüfung, der Prüfung des Quelltextes, sowie der Domainprüfung.

 

Logische Prüfung

Die logische Prüfung zielt auf die Sinnhaftigkeit der E-Mail ab. Grundsätzlich ist nach dem Öffnen einer E-Mail immer zuerst die Frage zu stellen: Ergibt es Sinn, dass ich eine solche E-Mail erhalte?

Fragen, die man sich in diesem Zusammenhang stellen sollte sind beispielsweise:

1. Bin ich Kundin/Kunde des Unternehmens?

2. Wird eine korrekte und konkrete Anrede verwendet?

3. Werden persönliche Daten abgefragt?

4. Sind korrekte Logos und Adressen vorhanden? (Bei Buttons: mit der Maus darüberfahren zeigt am unteren Bildschirmrand die Adresse an -> Stimmt diese mit dem Absender überein?)

5. Ist die Absenderadresse korrekt?

Zur Veranschaulichung werden hier zu jeder Prüfung zwei Beispiele gezeigt.

Beispiel 1:

Sicherheit Mail 002

 

Wie man unschwer erkennen kann, handelt es sich hierbei um eine sogenannte „Phishing“-Mail, die darauf abzielt Passwörter zu „fishen“, indem Mailempfänger dazu verleitet werden, eine Seite aufzurufen und dort ihr Passwort einzugeben.

 

Beispiel 2:

Sicherheit Mail 003

 

Das zweite Beispiel scheint bereits sehr viel authentischer. Die logische Prüfung scheint hier im ersten Moment ein positives Ergebnis zu zeigen. Lediglich die Kopfzeile weckt möglicherweise einen Verdacht, dass es sich hier um eine Mail handelt die Schadsoftware auf einen Rechner transportieren soll. Dementsprechend muss eine weitere Prüfung erfolgen.

 

Textprüfung

Die Textprüfung zielt auf die Untersuchung des Textes ab. Hier ist sowohl Rechtschreibung, wie auch Grammatik von Relevanz. Die meisten E-Mails mit einer bösartigen Intention werden von automatisierten Programmen übersetzt und beinhalten häufig Rechtschreib- wie auch Grammatikfehler. Auch Umlaute wie ä, ö und ü stellen für solche Programme Probleme dar. Da diese Fehler meist sehr Auffällig sind, lassen sich Massenspammails dadurch einfach über einschlägige Suchmaschinen finden (Beispielsweise Google).

Das Vorgehen ist wie folgt:

1. Den Text auf Fehler überprüfen, die nicht auf Tippfehler oder einfach mangelnde Orthografiekenntnisse zurückzuführen sind.

2. Das Hauptthema des Textes in Google eingeben.

Zur Veranschaulichung wird hier auch Beispiel 1 nochmal gezeigt:

Beispiel 1:

Sicherheit Mail 004

 

Eine Googlesuche ergibt:

Sicherheit Mail 005

 

Auch hier ist erneut sehr schnell ersichtlich: Es handelt sich offensichtlich um einen Betrugsversuch. Dass es nicht immer so einfach ist zeigt hier erneut Beispiel 2:

 

Beispiel 2:

Sicherheit Mail 006

 

Eine Googlesuche ergab keine Treffer.

Hier zeigt sich: Das Niveau von Phishing- oder Schadmails unterscheidet sich massiv und kann sehr authentische Züge annehmen.

Um nun herauszufinden, ob es sich bei Beispiel 2 um einen Betrugsversuch handelt, kann die Quelltextprüfung durchgeführt werden.

 

Quelltextprüfung

Wie der Quelltext für eine Mail angezeigt werden kann ist hier in der Kurzform dargestellt:

Thunderbird: E-Mail auswählen -> „Mehr“ -> „Quelltext anzeigen“

Outlook: E-Mail mit einem Doppelklick öffnen -> „Datei“ -> „Eigenschaften“

Apple Mail: E-Mail auswählen -> Darstellung -> E-Mail -> “Reine Datei“

SOGo: E-Mail auswählen -> „drei Punkte“ -> „Nachrichten Quelltext“

 

Ausführliche Anleitungen zu den Programmen finden sich hier:

SOGo

Thunderbird

Outlook

Apple Mail

 

Der Quelltext einer E-Mail gibt Aufschluss über den tatsächlichen Absender und den Server von dem die E-Mail gesendet wurde. Auch wenn der Absender einer E-Mail im ersten Moment korrekt zu sein scheint, kann es sich um ein sogenanntes „Spoofing“ handeln. Bei dem der Angreifer suggeriert ein anderer Absender zu sein.

Außerdem kann im Quelltext überprüft werden, ob die E-Mail über andere Server weitergeleitet wurde oder ob die Antwortadresse möglicherweise manipuliert wurde.

Zusammengefasst sind folgende Bezeichnungen relevant:

„Return-Path“: Hierbei handelt es sich um die Adresse an die eine Antwort geschickt wird. Sie sollte mit dem Absender übereinstimmen.

„Recived“-Zeilen: Unter „Recived“ sind folgende Informationen zu sehen:

Erster Eintrag: Der „Zustellungsserver“, im Fall der Universität Koblenz-Landau ist dies nsmtp.uni-koblenz.de

Zwischeneinträge: Hier würden ggf. Weiterleitungen vermerkt werden, die dazu dienen sollen am Ende die Identität des Absenders zu verschleiern.

Letzter Eintrag: Der Server von dem die Mail geschickt wurde. (from X.X.X.XX. ([….]) by servername.com.). Hier ist vor allem verdächtig, wenn zum einen mehrere Adressen vorhanden sind oder ein großer Leerraum zwischen Adressen vorhanden ist.

Dieser Schritt der Prüfung mag komplex erscheinen, ist aber anhand eines Beispiels relativ konkret nachvollziehbar. Die Schritte zur Prüfung sind hier:

1. „Return-Path“ überprüfen

2. Von welchem Server wurde die Mail versendet?

3. Wurde die Mail weitergeleitet?

4. Gibt es mehr als einen Absender? Sind Auffälligkeiten bei der Absendereingabe vorhanden?

Sicherheit Mail 007

 

In der Mail ist zu erkennen:

1. Der "Return-Path" ist verdächtig, da er nicht mit dem vorgegebenen Absender übereinstimmt.

2. Der Server von dem die E-Mail stammt ist ebenfalls verdächtig.

3. Die Mail wurde mehrfach weitergeleitet.

4. In der Absenderzeile sind Auffälligkeiten vorhanden. (Große Menge an Leerzeichen).

 

Eine weitere Möglichkeit die Sicherheit von Mails zu garantieren, ist die sogenannte DKIM-Signatur. DKIM steht für „Domain Keys Identified Mail“. Diese ist ein Hinweis auf den Server, von dem die E-Mail gesendet wurde. Sämtliche Mails der Universität Koblenz-Landau sind mit einer solchen Signatur versehen.

Die DKIM-Signatur ist im Quelltext unter „DKIM-Signature“ zu finden. Sollte eine E-Mail vorgeben, vom Server der Universität Koblenz-Landau zu stammen, aber keine Signatur tragen, ist von einem Spam- oder Phishingversuch auszugehen.

Beispiel 2 gibt vor, von einer Universitätsmailadresse geschickt worden zu sein, trägt aber keine DKIM-Signatur. Auch das ist ein klares Indiz für eine verdächtige Mail! Bitte beachten Sie hierbei, dass die DKIM-Signatur lediglich das authorisierte Absenden der E-Mail von unseren Servern verifiziert, nicht jedoch die Integrität des Absenders. Ein Angreifer mit einem "geklauten" Passwort kann authentifiziert über unsere Server E-Mails versenden, die eine DKIM-Signatur enthalten.

 

Domainprüfung

Eine weitere Möglichkeit eine E-Mail auf mögliche Spamangriffe zu testen, ist die Domainprüfung.

Im Quelltext wird eine Domain als Sender angegeben. Sollten Sie sich Zweifel an der Authentizität einer Mail haben, können Sie diese Domain auf den Seiten https://virustotal.com oder via https://whois.com auf Schadware und auf den Besitzer der angegebenen Domain überprüfen.

 

Um die Sicherheit des E-Mailverkehrs zu gewährleisten, empfiehlt das URZ die Einrichtung von Nutzerzertifikaten zur Verschlüsselung und Signierung von E-Mails. Eine Anleitung dazu ist hier zu finden.

 

 

Zertifikate können zum einen E-Mails verschlüsseln, oder auch eine Website als sicher auszeichnen. Alles zum Thema Zertifikate finden Sie hier.

 

Wir betreiben eine Registrierungsstelle für Personenzertifikate, die zum Siginieren und Verschlüsseln von E-Mails genutzt werden können. Die Benutzerzertifikate werden im Rahmen der DFN-PKI ausgegeben und sind weltweit akzeptiert.

Alternativ zur Schritt-für-Schritt Anleitung können Sie sich das folgende Video-Tutorial anschauen:



Benutzerzertifikat beantragen:

1. Rufen Sie mit einem Browser (Internet-Explorer, Firefox oder Safari) unseren Zertifikatsserver auf und klicken Sie auf die Schaltfläche "Nutzerzertifikat". Sie benötigen denselben Browser auf dem selben Rechner zu einem späteren Zeitpunkt erneut, um das generierte Zertifikat zu importieren. Beantragen Sie daher das Benutzerzertifikat nicht von einem fremden Rechner aus.

sicherheit zertifikate 001

2. Klicken Sie auf den Link zur aktualisierten Antragsseite.
sicherheit zertifikate 002

 

3. Setzen & notieren Sie ein (lokales) Passwort für den Zertifikatsspeicher auf Ihrem Rechner.



sicherheit zertifikate 003

4. Füllen Sie das Formular aus und klicken Sie auf die Schaltfläche "Weiter". Vervollständigen Sie die fehlenden Angaben per Hand.

sicherheit zertifikate 004

5. Überprüfen Sie Ihre Eingaben und klicken Sie anschließend auf die Schaltfläche „Zertifikatsantrag anzeigen“

 

sicherheit zertifikate 005

 

6. Laden Sie sich den Zertifikatsantrag herunter und drucken diesen aus. Vervollständigen Sie die fehlenden Angaben per Hand.

Sie können Ihr Benutzerzertifikat aus dem Zertifikatsspeicher exportieren, um dieses auch in anderen Programmen, wie zum Beispiel Ihrem E-Mail-Client, zu verwenden.

Voraussetzung für diese Anleitung:

  • Ein Benutzerzertifikat ist beantragt (Siehe oben)

 

Alternativ zur Schritt-für-Schritt Anleitung können Sie sich das folgende Video-Tutorial anschauen:

 

Benutzerzertifikat exportieren:

1. Öffnen Sie das Menü und wählen Sie den Eintrag "Einstellungen" aus.

Sicherheit Zertifikate exportFFneu 001

2. Klicken Sie auf die Schaltfläche "Datenschutz & Sicherheit", scrollen Sie ganz nach unten bis zum Bereich "Zertifikate" und klicken Sie auf die Schaltfläche "Zertifikate anzeigen".

Sicherheit Zertifikate exportFFneu 002

3. Wählen Sie innerhalb des Registers "Ihre Zertifikate" das gewünschte Zertifikat aus und klicken Sie auf die Schaltfläche "Sichern...".

Sicherheit Zertifikate exportFF 003

4. Wählen Sie einen Speicherort für Ihr Zertifikat aus und bestätigen Sie Ihre Auswahl.

5
. Ihr Zertifikat wurde an den von Ihnen gewählten Ablageort exportiert und kann im nächsten Schritt von weiteren Programmen, wie zum Beispiel Ihrem E-Mail-Client, zur dortigen Verwendung importiert werden. Eine Anleitung für den E-Mail-Client Ihrer Wahl finden Sie hier:
Thunderbird
Outlook
Apple-Mail

Sie können für die von Ihnen betriebenen Server der Universität ein Serverzertifikat beantragen.
Der erste Schritt ist die Akkreditierung durch den Institutsleiter.
Als zweiten Schritt erstellen Sie, z.B. mit openssl, einen Zertifikatsrequest.

Infos hierzu:
https://www.pki.dfn.de/faqpki/faqpki-allgemein/
https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Anleitung_Nutzung_OpenSSL.pdf

Als dritten Schritt füllen Sie das entsprechende Formular aus und laden den Zertifikatsrequest hoch. Sie erhalten dann zum Download ein PDF-Dokument, das Sie ausdrucken und unterschreiben.

Im nächsten Schritt gehen Sie persönlich mit dem Antrag und der Akkreditierung zu der Zertifizierungsstelle (Hubert Kupper, Dominik Schäfer, Micha Ballmann oder Stefan Schwalb) und weisen sich mit Personalausweis oder Reisepass aus.

Das Serverzertifikat wird Ihnen dann vom DFN per Email zugeschickt. Dieses können Sie dann auf Ihren Server importieren.