FAQs zur Informationssicherheit

Warum ist mein Rechner für Angreifer interessant?

Dafür gibt es eine ganze Reihe von Gründen:

  • Geltungsdrang
  • (Zer-)Störungswille
  • Machtausübung
  • Wirtschaftliche Interessen (Cyber-Kriminalität)

In der Anhangsphase war das Hacken eine Art Sport, bei dem Experten ihre Fähigkeiten unter Beweis stellen wollten. In Phase II steckten oft Script-Kiddies dahinter, die meist gar nicht wussten, was sie anrichten - inzwischen ist es die Spielwiese der organisierten Kriminalität:
Dabei geht es i. Allg. weniger darum, Daten von einem privaten Rechner zu entwenden, als vielmehr Zugriff auf den Rechner zu haben, im schlimmsten Fall darum, diesen in ein „Botnet“ zu integrieren, wofür eigene „Forschungszentren“ betrieben werden, die Angriffe schon vor dem Tag 0 (Zero Day) ermöglichen sollen.

Mit dem Finden solcher Sicherheitslücken lässt sich inzwischen viel Geld verdienen: sowohl staatliche Stellen, als auch Malware-Hersteller, Anti-Viren-Software-Erzeuger und auch die Hersteller der Software selbst zahlen dafür!

Was ist ein „Botnet“?

Ein „Botnet“ ist ein Netz von fernsteuerbaren PC-Robotern, das z. B. für eine DDoS-Attacke (verteilter Angriff um einen Dienst zu stören), das Versenden von Spam oder das Knacken von Kennwörtern verwendet werden kann, wobei diese „Dienste“ dann im Internet gegen Gebühr auch gemietet werden können.
Mit der Erpressung von großen Dienstleistern im Internet (Banken, Suchmaschinen, Wettbüros, …) werden inzwischen viele Millionen pro Monat „verdient“.

Wie entsteht ein „Botnet“?

Ein Botnet entsteht z. B. durch das Infizieren von vielen Rechnern mit einem Wurm, der dann Hintertüren für den Fernzugriff öffnet, Beispiel: Agobot

So hat z. B. der erst 20-jährige J. J. Ancheta aus Kalifornien 2005 knapp eine halbe Million PCs unter Ausnutzung einer Windows-Sicherheitslücke zu einem „Zombie-Netzwerk“ verbunden.

top

Mal- oder Badware (Schadcode)

Als sei es nicht genug, dass IKT-Systeme durch Fehlbedienungen, Stromausfälle, Netzwerkstörungen, Hardware- und Softwaredefekte bedroht sind, gibt es auch noch Störenfriede, die es sich zur Aufgabe gemacht haben, Malware zu produzieren um uns das Leben noch schwerer zu machen.
Waren das früher Personen, die entweder sich selbst oder anderen beweisen wollten, was sie können, stehen nun schon seit Jahren handfeste finanzielle Aspekte im Hintergrund.

Als Malware bezeichnet man im Internet allgemein Programme, die Schaden (in welcher Form auch immer) anrichten können, die aktuellen Bedrohungen ändern sich dabei laufend.

Dabei werden verschiedene Formen unterschieden:

Viren

Unter Viren versteht man Programme, die über Wirtsprogramme verbreitet werden und sich beim Ausführen dieser Programme in andere Programme hineinkopieren (diese somit auch infizieren) - die Verbreitung „baut allein auf die Idiotie der Computerbenutzer“ [Weltwoche, 12/04].
„Wer im Netz ohne Virenschutz unterwegs ist, gefährdet andere Nutzer in etwa so, wie ein Autofahrer, der mit kaputten Bremsen unterwegs ist und so andere fahrlässig gefährdet.“ (Sven Karge, Verband der deutschen Internetwirtschaft [heise.de, 8.12.2009]).
Neue Viren kommen inzwischen kaum noch vor, „Anti-Viren-Programme“ schützen aber auch gegen andere Malware und sollten daher weiter unbedingt eingesetzt werden.

Hauptverbreitung: E-Mails (Outlook!).
Schutz: Antivirensoftware.

Würmer

Würmer brauchen kein Wirtsprogramm, sondern sind eigenständige Programme, die sich auch selbst verbreiten. Wurden sie früher ebenfalls hauptsächlich per E-Mail verbreitet (und erst nach Anklicken aktiv), so verbreiten sie sich inzwischen hauptsächlich selbst über das Netzwerk und Betriebssystemslöcher (Vulnerabilities, offene Ports mit Sicherheitslücken), sie versenden sich selbst aber auch noch immer auch per E-Mail.
Sie richten häufig keinen direkten Schaden am befallenen Rechner an und fallen daher dem Benutzer kaum auf, belasten aber durch ihre massive Verbreitung das Netzwerk und/oder greifen dabei auch Server an, die dann durch die Überlastung versagen - Denial of Service (DoS)
Sie „leben“ also von den Löchern im Betriebssystem (oder anderen Programmen) und davon, dass die Benutzer zu faul (oder unwissend) sind um diese (oft bekannten) Löcher mit Updates (Patches) zu stopfen.

Hauptverbreitung: E-Mail, Vulnerabilities in Windows.
Schutz: Firewall bzw. Betriebssystem- oder Softwarepatch.

Das Neuinstallieren des Systems ohne Einspielen der aktuellen Patches hilft überhaupt nicht gegen Würmer, die Betriebssystemlöcher oder Löcher eines installierten Dienstes ausnutzen!
Sie müssen das System vom Datennetz trennen, mit CD oder DVD neu aufsetzen, die Sicherheitsupdates für alle installierten Dienste einspielen und erst dann dürfen Sie das System wieder ans Netz hängen!
Antivirenprogramme erkennen Würmer auch nicht unbedingt, vor allem verhindern sie das Eindringen nicht!

Trojaner

Trojaner sind oft verborgene und unerwünschte Zusatzfunktionen in an und für sich sinnvollen Programmen, so kann sich in einen IRC-Client z. B. ein Keylogger verstecken, ein Programm, das jeden Tastendruck registriert (also auch Kennworteingabe etc.) und an eine beliebige E-Mail-Adresse weiterleitet oder es wird ein Backdoor (ein neuer „Dienst“, über den unbefugte Personen Zugriff auf den Rechner erhalten) installiert.
Zu dieser Gruppe zählen u. a. „Greyware“ (Spyware wie Keylogger oder Adware, die unerwünschte Werbung einblendet), aber auch die besonders gefährlichen (da schwer aufzufindenden) Rootkits (für die z. B. Windows mittels ADS nun die optimale Strategie zum Verbergen schon mitliefert).

Hauptverbreitung: Wird oft von Viren/Würmern mitinstalliert, kann aber auch mit (Gratis-)Software unwissentlich mitinstalliert werden.
Schutz: Schutz gegen Viren und Würmer, keine Installation von Software, die man nicht kennt, Download von Software nur von den offiziellen Download-Servern.

Würmer und Trojaner können auch dazu dienen sogenannte BotNets aufzubauen.

In vielen Internetcafés sind auf den Rechnern Keylogger und Spyware installiert, daher raten wir dazu, sich dort (und auf allen Rechnern, die Sie nicht kennen) nicht mit Benutzername und Kennwort sondern mit Handy-Signatur (mobiler BKU) anzumelden, was für jedes System funktioniert, das mit unserem SSO verbunden ist.

Sollten Sie sich auf einem Rechner, den Sie nicht kennen (z. B. in einem Internetcafé) mit Usernamen und Kennwort angemeldet haben, ändern Sie bitte das Kennwort in TUGRAZonline so schnell wie möglich auf einem vertrauenswürdigen Rechner (oder z. B. über Ihr Mobiltelefon).

Spam

Unter Spam versteht man i. Allg. Massen-E-Mails, die nicht erwünscht sind.
Sie richten zwar keinen Schaden an der Software des „befallenen“ Systems an, verbrauchen aber Resourcen (Arbeitszeit beim Lesen und/oder Löschen, Administrationsaufwand am E-Mail-Server), blockieren u. U. die Mailbox oder legen bei extremen Auftreten den E-Mail-Server lahm.
Solange nur ein Promille-Anteil von „Kunden“ die Links in den E-Mails kommerzieller Spammer anklickt und andererseits das Versenden von E-Mails gratis ist, werden die Spammer ihren Müll weiter verbreiten.

Hauptverbreitung: Absichtliches Versenden an zuvor gekaufte/gesammelte E-Mail-Adressen, Versendung durch Viren und/oder Würmer.
Schutz: Zentrale Filter auf den E-Mail-Servern (definiert über Webmail), lokale (lernfähige) E-Mail-Filter im E-Mail-Client.

Phishing

Unter Phishing (ein Kunstwort aus den Teilen password harvesting und fishing) bezeichnet man den Versuch (durch manchmal geschickte Täuschung) Internetbenutzer dazu zu verleiten, Accountdaten auf einer gefälschten Webseite (oder per E-Mail) bekanntzugeben, besonders problematisch ist das natürlich bei Bankkontodaten (dafür sind wir aber nicht zuständig).

Eine gute Zusammenfassung der noch immer gängigen Techniken finden Sie in den Ausgabe 3/2004 (Seite 29ff) und 2/2006 (Seite 37ff) der Zeitschrift Comment: des ZIDs der Uni Wien. Falls man eine Phishing-Seite findet, kann man diese auf PhishTank melden, Informationen gibt es eventuell auch auf der Seite des VPT.

Werkzeuge für Phishing-Kampagnen stehen im Netz gratis zur Verfügung, d. h. auch für Laien ist es inzwischen möglich, einen solchen Angriff zu starten.

Hauptverbreitung: HTML-E-Mails an unwissende oder unaufmerksame Internetuser.
Schutz: Überprüfen Sie bei HTML-E-Mails immer, ob ein Link auch tatsächlich zur angegebenen Seite zeigt, noch besser ist es, wenn Sie HTML für E-Mail deaktivieren.

Es gibt immer wieder auch Versuche zu Accounts der TU Graz zu kommen: auf solche Versuche bitte nie reagieren: wir fragen Sie sicher nicht per E-Mail nach Ihrem Kennwort und auch wenn Sie mit falschen Daten antworten:
    • verraten Sie damit, dass Ihre E-Mail-Adresse aktiv ist
    • können wir nicht feststellen, dass Sie mit falschen Angaben geantwortet haben - wir sehen aber, dass Sie geantwortet haben und daher sperren wir Sie dann sicherheitshalber

Da die Anzahl solcher Versuche zunimmt, werden wir Warnungen nur dann aussenden, wenn das Phishing sehr gut gemacht ist (z. B. in gutem Deutsch, ohne Tippfehler, mit E-Mail-Adressen, die vertrauenswürdig wirken etc.), bei schlecht gemachtem Phishing (schlechtes Englisch, E-Mail-Adressen oder Web-Adressen, die offensichtlich nichts mit der TU Graz zu tun haben) gehen wir davon aus, dass die User an der TU Graz das selbst als Betrugsversuch erkennen können (z. B. indem sie den Header der E-Mail analysieren).

Wir führen nun aber eine Liste der uns bekannten Phishing-Versuche, falls Sie also einen „Phish“ erhalten, können Sie dort nachschauen, ob das bereits bekannt ist oder ihn uns sonst melden.

Spear-Phishing

Darunter versteht man das zielgerichtete Versenden von Phishing-E-Mails, wobei durch Social Engineering etc. versucht wird, die Trefferquota zu erhöhen, indem die E-Mail z. B. vorgibt von einem Kollegen, einem Vorgesetzten oder der Personalabteilung oder einem Kunden, Patienten etc. zu kommen.
Zumeist wird dabei nicht versucht zu Account-Daten zu kommen, sondern einen Trojaner in das System der angegriffenen Person einzuschleusen oder einen BEC-Angriff durchzuführen.

Whale-Phishing

Es werden gezielt die Personen angegriffen, bei denen man den größten Impact erzielen kann: Geschäftsführung, IT-Administratoren, …

Dynamit-Phishing

Sehr breit gestreutes Spear-Phishing.

Pharming

Zielt Phishing darauf unaufmerksame Benutzer durch E-Mails auf falsche Adressen zu locken, wo den echten Seiten täuschend nachempfundene Internetseiten dem Besucher Kennwörter zu entlocken versuchen, so verwendet Pharming verschiedene Methoden um den DNS-Eintrag eines Rechners zu manipulieren (DNS-Spoofing).
Selbst wenn man aus Bookmarks oder händisch die richtige Adresse anwählt, gelangt man auf die falsche Seite, weil es die Betrüger geschafft haben, dieser Web-Adresse eine andere IP-Adresse zu hinterlegen. Das kann z. B. entweder dadurch geschehen, dass in einer lokalen hosts-Datei z. B. durch einen Trojaner ein falscher Eintrag hinzugefügt wird, oder indem dem Rechner (per DHCP oder per direktem Eintrag) ein falscher Nameserver untergeschoben wird, der dann die Web-Adresse falsch auflöst oder indem z. B. der richtige Nameserver gehackt wird, der dann für alle Benutzer dieses Netzes eine falsche Auflösung bringt, was dann z. B. eine MITM-Attacke ermöglicht.

Hauptverbreitung: Trojaner, Virus, „rogue“-DHCP-Server.
Schutz: Überprüfen Sie immer das Sicherheitszertifikat der Seite, vor allem, wenn angezeigt wird, dass es sich geändert hat.

Drive-by-Exploits

Durch das Ausnutzen von Vulnerabilities (Sicherheitslücken) durch sogenannte Exploits (bzw. Exploit-Kits) ist es möglich, dass Sie Ihren Rechner schon durch den Besuch einer manipulierten Webseite oder das Öffnen einer E-Mail infizieren.

Hauptverbreitung: Manipulierte Webseiten, E-Mails.
Schutz: Aktueller Browser, aktuelle Plugins und Add-Ons. Aktuelles E-Mail-Programm mit deaktivierten Scripts/Makros.

Blended Threats - gezielte Angriffe

Die Kombination von Spam, Phishing, Spyware, Viren, … mit Betrugsmethoden aus dem Web auf Applikationsebene.
Gezielte Angriffe richten sich i. Allg. entweder auf (bekannte) Schwachstellen des verwendeten Betriebssystems („härten” Sie daher Ihre Rechner, indem Sie nur diejenigen Programme installieren, die Sie wirklich brauchen, verwenden Sie eine Firewall), auf Schwachstellen in weit verbreiteten Programmen (z. B. PHP-Scripts oder CMS-Schwachstellen wie bei WordPress auf Web-Servern) oder auf Schwachstellen Ihrer eigenen Programme.

Hauptverbreitung: Es gibt immer mehr Leute als Sie glauben, die entweder an Ihren Daten oder Ihrer Internetverbindung Interesse haben!
Schutz: Härtung des Betriebssystems, Verwendung einer (Application) Firewall, Überprüfung selbstgeschriebener Software auf Schwachstellen, Installation von Patches bei Bekanntwerden von Schwachstellen verwendeter Programme (lesen Sie die entsprechende RSS-Feeds oder Newsgroups oder tragen Sie sich in den relevanten Mailinglisten ein!)

Der Admin eines Servers und/oder Services muss sich täglich um den Server (Betriebssystem) und/oder das Service (z. B. CMS) kümmern!

Scareware (Reveton)

Unter Scareware versteht man Software, die dem Benutzer die (scheinbare) Infektion des Rechners mit Malware meldet, um dann die kostenpflichtige Bereinigung des Rechners anzubieten, bekanntestes Beispiel: der BKA-Trojaner.

Teilweise ist das dann mit einem Sperrbildschirm kombiniert, was dann schon eine Version von Ransomware ist. Die Daten sind dabei dann aber zumeist nicht verloren: Wenn man z. B. von CD oder USB-Stick bootet, kann man das System wieder herstellen, weil oft nur der Start-Bildschirm manipuliert ist.

Ransomware (Krypto-Trojaner)

Im Gegensatz dazu infiziert Ransomware tatsächlich Ihren Rechner, verschlüsselt alle Daten auf der Festplatte (bzw. allen erreichbaren Speicherbereichen) und gibt sie nur mehr gegen Zahlung eines Lösungsgeldes (engl. ransom) wieder frei.

Schutz: Regelmäßige Sicherung auf ein externes (eventuell wechselndes) Sicherungsmedium. Zahlen Sie kein Geld: es ist nicht garantiert, dass Sie den Freischaltcode wirklich erhalten! Recherchieren Sie, ob es vielleicht bereits Entschlüsselungsprogramme gibt.

Eine weitere Form der Erpressung ist Sie mit der Veröffentlichung an und für sich geheimer (z. B. Patententwicklung, Firmendaten, …) oder privater Informationen (z. B. Sextortion) zu bedrohen.

Schutz: Solche Daten sollten nur verschlüsselt gespeichert werden und der Zugriff darauf entsprechend abgesichert sein.

Hoax (Fake-News)

Hoaxes sind E-Mails (zumeist in Kettenbriefform), die entweder vor irgendetwas warnen oder um etwas bitten. Sie stellen zwar an sich keinen Schaden an, aber alleine die Arbeitszeit, die Netzressourcen etc. kosten Geld.

Hauptverbreitung: Absichtliche Weitersendung durch unwissende Internetuser.
Schutz: Überprüfen Sie bei kettenbriefartigen E-Mails ob dieser Typ nicht bereits als Hoax bekannt ist.

CEO Fraud („Fake President“-Trick) bzw. BEC

Durch Trojaner aber auch Social Engineering etc. (an der TU Graz veröffentlichen wir das in TUGRAZonline) wird herausgefunden, wer in einem Unternehmen der Chef (CEO) ist, wie seine E-Mails üblichwerweise aussehen und wer für die Buchhaltung/Zahlungen zuständig ist.
Dann wird über eine gefälschte E-Mail versucht entweder die Buchhaltung dazu zu bringen, Geld zu überweisen oder man versucht Mitarbeiter dazu zu bringen, z. B. Gutscheine zu kaufen.

Bekanntester Fall in Österreich: FACC (Schaden: 50.000.000 Euro).

Deepfakes:
Inzwischen wird per Stimmsynthesizer auch bereits die Stimme des Chefs imitiert und die Anweisung zur Zahlung per Anruf gegeben.
Es ist vermutlich nur eine Frage der Zeit, bis bei Videoanrufen Gesichter und Stimme in Realtime gefälscht werden.

top

Warum soll ich meinen Benutzernamen geheim halten?

Dafür gibt es 2 gute Gründe:

  1. Wenn ein Angreifer weder Benutzername noch Kennwort kennt, ist es für ihn viel, viel schwieriger einen Account zu „hacken“.
  2. Wenn ein Angreifer Ihren Benutzernamen kennt, kann er Sie in vielen Systemen blockieren, indem er einfach so lange falsche Kennwörter eingibt, bis Ihr Account gesperrt oder der Zugriff zumindest verzögert wird - d. h. auch wenn er nicht zu Ihren Daten kommt, kann er zumindest erreichen, dass Sie ebenfalls nicht zu Ihren Daten kommen (DoS).

top

Sicheres Kennwort (Paßwort; Password)

Warum verlangt der ZID, dass Ihr Kennwort so lang und kompliziert ist? Es kann dem ZID doch egal sein, wenn jemand Zugriff auf Ihre E-Mails bekommt, oder?
Die Antwort ist, dass an der TU Graz das TU Graz-Kennwort an vielen Stellen zum Einsatz kommt und nicht alle Systeme derzeit durch einen 2. Faktor abgesichert sind. Ein Angreifer, der Ihr Kennwort kennt, hat somit Zugriff auf einige Dienste, z. B. auch den SMTP-Server, über den der Angreifer dann beispielsweise Spam versenden kann, wodurch dann der SMTP-Server der TU auf Blocklists landet. Die Konsequenz ist, dass dann niemand mehr E-Mails versenden kann (und das ist kein konstruiertes Beispiel, das ist schon mehrfach vorgekommen und würde bei einfach zu erratenden Kennwörtern noch häufiger vorkommen).

Empfehlungen für Kennwörter (nicht nur in TUGRAZonline):

  • Je länger, desto besser (Minimum: 8 Zeichen).
    Ein deutlich längeres Kennwort ist (in Bezug auf einen „brute force“-Angriff) sicherer als ein kompliziertes kurzes Kennwort: ein Kennwort mit 6 Zeichen aus dem Zeichenvorrat
    1. Gross- und Kleinbuchstaben
    2. 10 Sonderzeichen
    knackt eine moderne CPU in unter 10 Minuten, 2 Stellen mehr und es dauert schon fast ein Jahr, immer vorausgesetzt, man kennt das gehashte Kennwort (in der Cloud geht es entsprechend schneller, wenn man nur genügend Geld zur Verfügung hat).
  • Mindestens 1 Ziffer.
  • Mindestens 1 Buchstabe.
  • Mindestens 1 Sonderzeichen aus ASCII 33 bis 126 (wobei es mit Sonderzeichen wie „-“ am Beginn des Kennwortes zu Problemen kommen kann!).
  • Kein Teil > 3 Buchstaben
    • aus einem Wörterbuch (de / en),
    • eines Vor- oder Nachnamens bzw.
    • des Usernamens.
  • Möglichst oft ändern (monatlich).
    Über diese Regel wird inzwischen viel diskutiert, ein langes Kennwort, das nie weiter gegeben wird und das gleich oder ähnlich nie in anderen Systemen verwendet wurde, ist - solange kein Sicherheitsvorfall vorliegt - wohl ähnlich sicher.
  • Ein neues Kennwort soll sich von allen alten Kennwörtern (innerhalb eines bestimmten Zeitraums) in mindestens 3 Stellen unterscheiden.
  • Case sensitive (Gross- und Kleinschreibung)
  • Nur verschlüsselte Übertragung (HTTPS, IMAPS, …).

Ein solches Kennwort ist dann i. Allg. recht kompliziert und schwer zu merken - ein Hinweis, wie man ein Kennwort erzeugen kann, das diesen Kriterien entspricht und das trotzdem nicht vergessen wird:

  1. Man nimmt einen Kinderreim, den Refrain des aktuellen Lieblingsliedes, den Titel des Buchs, das man gerade liest etc. und verwendet die Anfangs- und/oder Endbuchstaben jedes Wortes (Acronymisierungsmethode).
  2. einzelne Buchstaben dieser Zeichenkette werden dann aufgrund ihres Aussehens durch Sonderzeichen etc. kodiert (Leetspeak) - Beispiel (Sie sollten sich aber eine eigene Tabelle/Zuordnung überlegen!):

    B C D G H i K L M N O S T U V W Z
    I3 ( [) 6 I-I ! I< |_ |`1 I\I 0 5 7 I_I \/ \/\/ 2
  3. dazu streut man z. B. noch „,“ und/oder „.“ oder gleich ein Smiley (z. B. ;-)) in die so entstandene Zeichenkette ein - Leetspeak alleine macht ein unsicheres Kennwort nicht sicher, das wird von jedem Angreifer probiert!

So ist das Kennwort jederzeit wieder rekonstruierbar, man muss sich nur merken, aus welcher Zeile das aktuelle Kennwort abgeleitet ist, welche „Codierung“ man für bestimmte Buchstaben verwendet und an welcher Stelle welches weitere Sonderzeichen eingebaut wird.

Das Kennwort kann man z. B. durch den Kennwort-Check auf https://www.datenschutz.ch/ testen lassen (den Kennworttest nicht mit dem echten, sondern nur mit einem ähnlichen Kennwort verwenden!)

Weitere Tipps finden Sie in der Kennwort-Policy.

TU Graz-Kennwörter

Die TU Graz-Kennwörter dürfen in nicht mit TUGRAZonline verbundenen Systemen nicht verwendet werden, da die Sicherheit dort eventuell deutlich niedriger ist! Möchte ein Institut Daten im Web mit dem TU Graz-Account schützen, so bieten wir eine SSO-Lösung mit Shibboleth an!

Kennwort-Speicherung

Viele Programme bieten Ihnen inzwischen auch die Möglichkeit das Kennwort zu speichern - wir empfehlen das nicht zu tun, da

  • je nach Programm die Kennwörter (fast) unverschlüsselt gespeichert werden - Thunderbird/Firefox/Mozilla bieten hier die Möglichkeit, diesen Speicherbereich mit einem Masterkennwort zu verschlüsseln: das sollte (falls man Kennwörter speichert) unbedingt verwendet werden! Google Chrome verwendet kein Masterkennwort, jeder der Zugriff zu Ihrem Computer hat, hat Zugriff zu allen Ihren in Google Chrome gespeicherten Kennwörtern!
  • so jemand, der Zugang zu Ihrem Rechner erhält, auch Zugang zu all diesen Applikationen erhält (wenn sie nicht mit einem Masterkennwort geschützt sind)
  • Sie andererseits das Kennwort leicht vergessen (da Sie es ja nie eintippen müssen) und dann über einen fremden Rechner nicht einsteigen können (das Masterkennwort hat mit dem TU Graz-Account nichts zu tun!)
  • Sie im Falle eines abgelaufenen Kennworts dieses dann in allen Applikationen (bzw. im Kennwortmanager für alle Applikationen) ändern müssen

Der ZID bietet Ihnen aber eine sichere Möglichkeit, Ihre Kennwörter zu speichern und auch zu teilen: sesam.TUGraz.at.

Verwendung

Verwenden Sie das Kennwort (wenn möglich) nur auf Systemen, deren Integrität zu einem hohen Maß gewährleistet ist, auf unsicheren Systemen sollten Sie stattdessen besser ein SMS-TAN-System bevorzugen, das über die Handy-Signatur auch für TUGRAZonline verfügbar ist.

top

Arbeitsplatzsicherheit

Die Sicherheit am Arbeitsplatz umfasst viele Punkte, die im folgenden nahegelegt werden:

  • fester Standort der Geräte auf dem Boden/Tisch/Regal etc.
  • Sperren des PCs beim Verlassen des Arbeitsplatzes (Bildschirmschoner mit Passwort etc.)
  • keine einfachen Kennwörter benutzen
  • Abschließen des Raumes beim Verlassen
  • Schutz des PCs durch ein BIOS-Kennwort vor unberechtigter Benutzung
  • keine Daten auf der lokalen Festplatte (Netzwerklaufwerke verwenden)
  • sichern Sie alle anwenderbezogenen Daten vor einer Hardwareerneuerung
  • Sicherung von Daten auf Backup-Medien (Netzwerklaufwerke werden gesichert)
  • Installieren Sie keine unsichere Zusatzsoftware wie Bildschirmschoner, Spiele etc.
  • evtl. Installation einer Instituts-Firewall durch den EDV-Beauftragten
  • Signierung und evtl. Verschlüsselung von E-Mails

top

Betriebssystem-Sicherheit

Die Sicherheit der Betriebssystemsoftware eines Arbeitsplatzes bedarf zusätzlich folgender Einstellungen bzw. Vorsichtsmaßnahmen:

  • Einsatz eines sicher installierten/konfigurierten Betriebssystems (Linux, Mac, UNIX).
    Zum Punkt Microsoft Windows möchten wir Sie auch auf die Informationen des Heise-Verlags und von Microsoft hinweisen.
  • Installation aktueller Updates & Patches
  • auf aktuellen Virenschutz achten
  • falls sie Outlook (Express) verwenden, so ist unbedingt die „Anhang-Vorschau“ zu deaktivieren!
  • Lassen sie sich immer die Extensions der Dateien anzeigen
  • Aktivierung der internen Firewall von Linux/MacOS/Windows oder eine Personal Firewall installieren
  • Microsoft Netzwerkfunktionalität deaktivieren bzw. keine Datei- und Druckerfreigaben verwenden
  • SSH und SFTP anstelle von Telnet und FTP verwenden

Verwenden sie innerhalb der TU Graz den Windows-Update-Server des ZID!

top

Datensicherung

Achten Sie bitte darauf, dass keine Daten lokal auf dem Kleinrechner abgespeichert werden, sondern immer ein Netzlaufwerk verwendet wird. Dann kann es auch nicht zu unliebsamen Datenverlusten bei Schäden an der lokalen Festplatte kommen!

Die Server für die Verwaltung und das Rektorat werden zentral vom ZID gesichert.

Die Institute sind i.d.R. für die Sicherung ihrer Datenbestände auf Institutsservern selbst verantwortlich. Weitere Informationen finden Sie unter Backup.

top

Server-Sicherheit

Um einen störungsfreien Betrieb aller Server - und auch Netzwerkkomponenten - zu gewährleisten, sind die Maschinen des ZID in speziellen klimatisierten Räumen untergebracht und durch eine unterbrechungsfreie Stromversorgung (USV) auch gegen Stromausfälle abgesichert. Weiters existieren eine Brandschutzeinrichtung sowie eine Zutrittskontrolle.

Server in Räumlichkeiten der Institute, die nicht derart gesichert sind, sollten zumindest durch einen separaten, abgeschlossenen und gut belüfteten Raum sowie durch ein Sperren der Konsole gegen unberechtigten Zugriff geschützt werden.

Es existiert ein Vielzahl an Software-Tools mit der eine Sicherheitskontrolle bzw. ein Monitoring von Servern durchgeführt werden kann.

Zugangsdaten (Username/Kennwort) sollten nur auf eine der folgenden Arten vom Administrator an die User weitergegeben werden:

  • persönlich
  • in verschlüsselten E-Mails
  • über unseren Kennwort-Safe „sesam

top

„Freie“ Netzwerkdosen

Netzwerkdosen in (halb)öffentlichen Bereichen der TU Graz (Gänge, Seminarräume, Hörsäle, Aufenthaltsräume etc.) dürfen sich nur in einem der folgenden 3 Zustände befinden:

  1. ungepatcht (also ohne Verbindung zum TUGnet)
  2. privater IP-Bereich, aus dem man nur authentifiziert (PPPoE, eventuell auch VPN) eine IP aus dem TUGnet (und damit Internetconnectivity) erhält
  3. spezieller IP-Bereich für Drucker, Scanner etc., aus dem nur spezielle Dienste (ftp, E-Mail) erreichbar sind und der selbst nur aus bestimmten Bereichen des TUGnets (z. B. dem VLAN der Organisationseinheit) für spezielle Dienste (z. B. Drucken) erreichbar ist

Falls im Bereich einer Organisationseinheit der TU Graz Netzwerkdosen in (halb)öffentlichen Bereichen existieren, dann ist zu überprüfen, ob sich diese Netzwerkdosen in einem der oben erwähnten Zustände befinden.
Wenn nicht, ist mit dem ZID Kontakt aufzunehmen, sonst haftet der Leiter der Organisationseinheit für jeglichen Missbrauch!

top

Netzwerk

Im Netzwerkbereich der Verwaltung, in den Subzentren und den Räumlichkeiten des ZID wird durch entsprechende Konfigurationen von Routern und Switches sowie der Verwendung von virtuellen Netzen und einer sorgfältigen Hardwareerneuerung eine solide Basissicherheit vom ZID eingerichtet.

Next-Generation Firewall

Eine NGFW durchsucht den Datenverkehr nach abnormen Mustern (dazu zählt z. B. Webtraffic auf einem Port, der normalerweise nicht von Webservern verwendet wird) und blockiert unerwünschte Kommunikation; dabei wird der gesamte Netzverkehr der TU Graz (also auch der ausgehende Verkehr!) mit Ausnahme des E-Mail-Verkehrs, der sowieso über die zenralen Mailgates geführt wird, auf mögliche Angriffsversuche (ob bewusst oder unwissentlich z. B. durch Malware) überprüft.
Wird ein Angriff erkannt, so wird dieser geblockt, die erlaubten Verbindungen des Rechners sind davon aber nicht betroffen.
Sollten Sie die Vermutung haben, dass ein Dienst (von der NGFW) irrtümlich gesperrt wird, so senden Sie uns bitte eine E-Mail - aufgrund der großen Datenmengen werden Log-Files nur für sehr kurze Zeit gespeichert, daher ist es im nachhinein oft schwer festzustellen, warum etwas blockiert wurde, der Vorgang muss daher dann oft reproduziert werden.

Traffic Shaper

Mit Schadprogrammen befallene Rechner werden am Übergang ins Internet durch eine TUGRAZonline-Applikation am Traffic-Shaper gesperrt, IPs ohne DNS-Eintrag sind automatisch gesperrt.

Sie finden den Status Ihrer eigenen IPs (und einen eventuellen Sperrgrund wie z. B. Wurm oder Virus oder Portscan etc.) in TUGRAZonline, die EDV-Beauftragten sehen den Status jeder IP in dem IP-Bereich, für den sie zuständig sind.

Beim Sperren wird eine E-Mail mit dem Grund der Sperre an den „Besitzer“ der IP versandt - jede IP sollte daher (wie schon lange vorgesehen) einer Person zugeordnet sein, umgekehrt sollten einer Person nur die IPs zugeordnet werden, für die diese Person auch tatsächlich zuständig ist (das kann durchaus straf-, zivil- und dienstrechtliche Konsequenzen haben!). Diesen Sperrgrund zu einer IP finden Sie auch (ausser in der E-Mail), indem Sie in der Hostnamenverwaltung den Status anklicken und dann auf Detailansicht gehen.

Firewall

Die Bereiche der Verwaltung und die zentralen Datenbankserver der TU Graz werden durch eine zentrale Firewall geschützt.
Institute sind für die Absicherung Ihrer Netzwerkinfrastruktur selbst verantwortlich, werden vom ZID jedoch in Abhängigkeit der verfügbaren Ressourcen unterstützt (z. B. Aufbau von „Open Source“-Firewalls oder Verwendung einer „virtuellen“ Firewall des ZID).

top

Applikationssicherheit: Never trust the client!

Umfassende Security-Maßnahmen sollten - zwiebel- oder Matrjoschka-ähnlich - in mehreren Schichten ansetzen:
Schon auf der Netzwerkebene versuchen wir gewisse Gefahrenpotentiale zu erkennen und zu minimieren (z. B. durch Portsperren), die NGFW erkennt gewisse Angriffe und blockiert ebenfalls den Zugriff, die Firewall kann den Zugriff nur bestimmten IPs oder nur bestimmten Protokollen erlauben, bei der „Härtung“ des Betriebssystems unterstützen wir ebenfalls, wo wir derzeit aber (noch) nicht helfen können, sind (selbstentwickelte) Programme z. B. im Webserver-Umfeld, die eventuell angreif- und verwundbar sind: wenn die Webseite ganz normal aufgerufen wird, dabei aber ungültige Parameter übergeben werden, dann ist es Aufgabe des Programmierers der Applikation zu verhindern, dass damit Schaden entstehen kann, eine „Application Firewall” wird vom ZID derzeit nicht betrieben!

Beispiele für derartige Angriffsszenarien auf Applikationsebene:

SQL Injection

Sollte Ihre (Web-)Applikation auf einer SQL-Datenbank aufbauen, dann müssen Sie überprüfen, ob es möglich ist über Eingabefelder oder Aufrufsparameter neuen, zusätzlichen Code einzuschmuggeln.

Parameter Tampering

Das oben erwähnte Verfahren könnte aber auch z. B. bei „normalen“ Programmen in Script-Sprachen funktionieren: hier wird dann nicht versucht SQL-Statements einzubringen, sondern entweder Befehlszeilen in der jeweiligen Script-Sprache (z. B. PERL oder PHP) oder direkt Aufrufe von am Server gespeicherten anderen Programmen. Wird bei PHP die Funktion include() verwendet um externen Code nachzuladen spricht man auch von serverseitigem XSS (Cross Site Scripting - Beschreibung und Beispiel).

Weitere mögliche Schwachstellen

Cookies, Session Parameter, Hidden Field Tampering, Formatstring, FormMail

top

Instant Messaging, P2P, Skype, Bluetooth, …

Bitte beachten Sie, dass bei vielen „modernen“ Anwendungen große Gefahr besteht, dass Ihr Rechner mit Malware infiziert wird:
Virenfilter greifen hier beim Datenaustausch nicht - also Finger weg, wenn Sie nicht genau wissen, welche Optionen Sie aktivieren müssen!

Bitte beachten Sie bei der Verwendung von neuen Programmen auch immer die DSGVO und fragen Sie die DSK, ob ein Einsatz an der TU Graz rechtlich überhaupt möglich ist!

Im Falle von Skype gilt:

    • Skype umgeht so ziemlich jede Firewall.
    • Skype ist daher kein an der TU Graz unterstütztes Protokoll/Programm!
    • Skype sollte daher nicht als offizielle Kontaktmöglichkeit an der TU Graz verwendet werden.

top

Was tun bei einer (neuen) Bedrohung?

Noch nicht infizierter Rechner

  1. Betriebssystem (laufend) updaten.
  2. Security-Patches (sobald verfügbar) einspielen.
  3. Antiviren-Software und Firewall auf den neuesten Stand bringen bzw. laufend auf aktuellstem Stand halten.

Infizierter Rechner

  1. Rechner vom Netz trennen.
  2. Infektion dem ZID melden.
  3. Im Falle eines strafrechtlich relevanten Vorfalls den Rechner zur Beweissicherung in diesem Zustand belassen, sonst:
  4. Rechner neu aufsetzen oder zumindest die Schadsoftware vom Rechner entfernen.
  5. Firewall installieren bzw. aktivieren.
  6. Patches (z. B. per Diskette/CD/USB-Stick/externem Laufwerk) einspielen.
  7. Erst nun wieder eine Netzwerk-Verbindung herstellen.

Falls der Rechner vom ZID gesperrt ist:

  1. u. U. Sperrfrist abwarten (gilt nur für den externen Zugang).
  2. Mail an das NOC mit Angabe des TU Graz-Usernamen (externer Zugang) bzw. der gesperrten IP-Adresse (interner TU Graz-Rechner).

Wir ersuchen Sie sich laufend (z. B. bei Heise) über sicherheitsrelevante Angelegenheiten zu informieren, da das zu Ihren Verpflichtungen im TUGnet gehört!

top