Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
it-sec:internettipps [2016/09/01 11:35] chrboett angelegt |
it-sec:internettipps [2020/02/11 10:36] henhess gelöscht |
||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== Phishing E-Mails ======Â | + | ====== Tipps gegen Angriffe aus dem Internet ======Â |
- | ===== Halten Sie Ihre Software aktuell! =====Â | + | ===== Kurztipps =====Â |
- | Daten-Phisher nutzen bestehende Sicherheitslücken in Browsern, Mailprogrammen, aber auch anderer Software aus. Die meisten Hersteller veröffentlichen daher in kurzen Abständen Aktualisierungen, die die bekannt gewordenen Lücken schließen („Patches“). Sie sollten diese Sicherheits-Aktualisierungen unbedingt schnellstmöglich installieren. Viele Hersteller informieren automatisch. Weitergehend informiert auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Newsletter "**Sicher • Informiert**", den das **BÜRGER-CERT des BSI** [[https://www.buerger-cert.de/]] alle zwei Wochen veröffentlicht. | + | * Achten Sie darauf, dass Sie immer die aktuellen **Sicherheitsupdates** des Herstellers installiert haben, und zwar für das Betriebssystem und alle installierten Programme, allen voran u.a. Internet-Browser, Office, Flash Player, Adobe Reader. Am besten nutzen Sie dafür die in den meisten Programmen vorhandene Funktion „Automatische Updates“. |
- | ===== Bevor Sie persönliche Daten eingeben: Überprüfen Sie den Sicherheitsstatus der Webseite! ===== | + | * Aktualisieren Sie Ihr **Virenschutzprogramm** regelmäßig, die Signaturdatenbanken mindestens täglich. Nutzen Sie dafür am besten die eingebaute Funktion „Automatische Updates“. Als Angehöriger der TU Braunschweig können Sie das bereit gestellte Programm verwenden: [[https://doku.rz.tu-bs.de/doku.php?id=software:sophos]] und [[https://www.tu-braunschweig.de/it/downloads/software]]  |
- | Diese Punkte sind dabei besonders wichtig: | + | * Nutzen Sie die in Ihrem Betriebssystem enthaltene **Personal Firewall** – und Seien Sie vorsichtig, welche Zugriffe Sie dann auf Anfrage erlauben. Die Personal Firewall schützt in gewissem Rahmen vor Angriffen von außen und überprüft auch (sofern Sie es nicht manuell freigeben oder die Überprüfung ausschalten!) die Daten, die von Ihrem Rechner ggf. unbemerkt gesendet werden. |
- | * Achten Sie auf das Schlosssymbol in der Statuszeile Ihres Browsers. Nur wenn dieses Symbol auftaucht, werden Ihre Daten verschlüsselt (mit dem SSL Verfahren) übertragen. Wenn Sie auf das Schlosssymbol klicken, öffnet sich ein Fenster ("Zertifikat") mit Informationen über den Betreiber der Webseite. Der dort angegebene Namen der Webseite muss mit jenem in der Statuszeile übereinstimmen. Außerdem muss das Zertifikat von einer anerkannten Stelle ausgestellt worden sein. Es existiert mittlerweile eine große Zahl an privaten wie öffentlichen Anbietern von Zertifikaten. Die [[http://www.bundesnetzagentur.de/|Bundesnetzagentur]] ist als Behörde zuständig und veröffentlicht auf ihrer Webseite die Namen jener Anbieter, die von ihr geprüft wurden. Ihr Browser zeigt eine Warnmeldung an, wenn ein Zertifikat abgelaufen ist oder eine unsichere Herkunft hat. | + | * Verwenden Sie __//**ausschließlich**//__ ein **Benutzerkonto mit eingeschränkten Rechten** zum Internetzugriff, sei es per Browser oder E-Mail oder sonstigem – **niemals** ein Konto mit Administratorrechten! Wie Sie ein einfaches Benutzerkonto ohne Administratorrechte einrichten, erklärt das Bundesamt für Sicherheit in der Informationstechnik hier: [[http://windows.microsoft.com/de-de/windows/create-user-account|Microsoft Windows]], [[http://support.apple.com/kb/PH14411?viewlocale=de_DE&locale=de_DE|Mac OS X]], [[http://wiki.ubuntuusers.de/Benutzer_und_Gruppen_Ubuntu|Linux Ubuntu]] |
- | * Achten Sie unbedingt darauf, dass die in der Adresszeile angegebene Webadresse (URL, Uniform Resource Locator) mit "''https''" und nicht wie sonst üblich mit "''http''" beginnt – das ist ein deutlicher Hinweis dafür, dass eine durch SSL gesicherte Verbindung aufgebaut wurde. Leider können Betrüger auch das "https" in der URL fälschen. Als Sicherheitscheck hilft es hier, nach einem Klick mit der rechten Maustaste den Bereich "Seiteninformationen" aufzurufen und die Quelle dort nachzuschlagen. | + | * **Bleiben Sie misstrauisch und halten Sie sich bei der Weitergabe persönlicher Informationen zurück.** Denken Sie nach, bevor Sie einen Link anklicken, einen Dateianhang öffnen oder ein Formular ausfüllen. Fragen Sie bei einer E-Mail im Zweifel telefonisch nach, ob der Absender der Mail authentisch ist. Laden Sie Software möglichst ausschließlich von der Seite des Herstellers direkt herunter, oder von wirklich vertrauenswürdigen Verteilern wie [[https://www.heise.de/download/]]  |
- | * Nutzen Sie das Online-Training auf [[https://www.secuso.informatik.tu-darmstadt.de/de/secuso/forschung/ergebnisse/nophish/]]  | + | ===== Ergänzende Tipps ===== |
- | ===== Seriöse Anbieter fordern niemals ihre Kunden per E-Mail oder per Telefon zur Eingabe von vertraulichen Informationen auf! ===== | + | * Nutzen Sie einen **modernen Browser**, der moderne Sicherheitstechnologien verwendet, etwa eine Sandbox. Chrome setzt dieses Konzept beispielsweise konsequent um. Darüber hinaus sollte der Browser einen Filter besitzen, der sie vor gefährlichen Seiten warnt, bevor Sie die Seite wirklich aufrufen (URL Check). Beispiele sind der Smart Screen Filter beim Internet Explorer sowie der Phishing- und Malwareschutz bei Google Chrome und Mozilla Firefox. Allerdings können diese Filter teilweise „nach Hause telefonieren“, also die zu prüfenden Adressen an den Hersteller melden. Verwenden außerdem Sie nur so wenige Plugins wie wirklich nötig. Manche Plugins allerdings sind hilfreich für sichereres Surfen: [[https://www.secuso.informatik.tu-darmstadt.de/de/secuso/]] Weitere Empfehlungen zur sicheren [[https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungSoftware/EinrichtungBrowser/derbrowser_node.html|Konfiguration Ihres Browsers]] hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) für Sie zusammengestellt: [[https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungSoftware/EinrichtungBrowser/derbrowser_node.html]]  |
- | Banken, Online-Shops und sonstige seriöse Anbieter kennen natürlich die Tricks der Phisher und schicken daher niemals E-Mails mit Links mit der Aufforderung, dort vertrauliche Daten einzugeben. Wenn Sie eine solche Aufforderung per E-Mail bekommen, können sollten Sie sie gleich löschen. Wenn Sie unsicher sind, rufen Sie einfach bei Ihrem Geschäftspartner an und fragen nach – aber klicken Sie niemals einfach auf Links in E-Mails. | + | * Verwenden Sie **sichere Passwörter**. Benutzen Sie für jeden genutzten Online-Dienst – wie E-Mail, Online Shops, Online Banking, Foren, Soziale Netzwerke – jeweils ein anderes, sicheres Passwort und ändern Sie diese Passwörter auch regelmäßig. Voreingestellte Passwörter eines Herstellers oder Anbieters sollten Sie sofort ändern. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Hilfestellungen für ein sicheres Passwort bereit gestellt: [[https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html]]. Einige Online-Demonstrationsseiten geben Ihnen einen ganz groben Eindruck von der Sicherheit eines Passworts, beispielsweise hier: [[https://password.kaspersky.com/de/]]  |
- | Das gleiche gilt natürlich für Telefonanrufe – geben Sie niemals Passwörter, PIN oder TAN per Telefontastatur oder Sprachcomputer ein, wenn jemand sie anruft und dazu auffordert. | + | * Achten Sie darauf, dass sie **ausschließlich verschlüsselte Verbindungen** nutzen, um persönliche Daten zu übertragen, etwa beim Online Banking, beim Einkaufen oder auch bei jeder Passwort-Eingabe. Jeder seriöse Online-Dienst bietet eine Verschlüsselung an, meist durch die Nutzung des sicheren Kommunikationsprotokolls "''HTTPS''". Erkennen können Sie dies an der Internetadresse, die bei Verschlüsselung mit "**https:**" beginnt statt "**http:**". Außerdem zeigt Ihr Browser ein kleines **Schlosssymbol** an. . |
- | ===== Seien Sie umsichtig beim Internetsurfen und mit E-Mails! ===== | + | * **Räumen Sie auf!** Nicht benötigte Programme sollten Sie deinstallieren. Was gar nicht drauf ist auf Ihrem Rechner, kann auch nicht angegriffen werden oder sonstige Fehler verursachen. |
- | * Klicken Sie nicht auf in E-Mails enthaltene Links, sondern tippen Sie die Internetadressen der Seiten, die Sie aufrufen wollen, immer manuell ein! | + | * **Sichern Sie Ihre Daten!** Fertigen Sie Sicherheitskopien und Backups von Ihren Daten an, im einfachsten Fall auf einer externen Festplatte, die aber nicht ständig als „Laufwerk“ verbunden sein darf. Institute und Einrichtungen der TU Braunschweig sollten den vom GITZ angebotenen Backup- und Archiv-Service nutzen (Dienstleistungskatalog Position 3103). |
- | * Reagieren Sie nicht auf vermeintliche Anrufe Ihrer Bank oder eines angeblichen Geschäftspartners, in denen Sie zur Eingabe von PIN oder TAN aufgefordert werden – etwa mit der Behauptung, Ihre Kreditkarte sei verloren gegangen. | + | * Nutzen Sie ausschließlich **verschlüsselte WLANs** (mindestens WPA2 als Standard, keinesfalls unverschlüsselt oder WEP) Wenn Sie ein WLAN ("Wireless LAN", drahtloses Netzwerk). Wie Sie zu Hause ein sicheres WLAN einrichten können, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI) hier: [[https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungWLAN-LAN/EinrichtungLAN-WLAN_node.html]] - auf dem Gelände der TU Braunschweig können Angehörige der TU das vom GITZ bereit gestellte WLAN „**eduroam**“ nutzen: [[https://www.tu-braunschweig.de/it/dienste/11/1106]]  |
- | * Schalten Sie in Ihrem Browser die Funktion "Aktive Inhalte ausführen" generell aus. Wenn Sie darauf nicht verzichten wollen oder können (weil mache Webseiten ohne aktive Inhalte nicht funktionieren), so stellen Sie Ihren Browser so ein, dass er in jedem Einzelfall bei Ihnen anfragt, ob Aktive Inhalte ausgeführt werden dürfen.  | + | * Eine Möglichkeit, den **Sicherheitsstatus Ihres Computers** zu überprüfen, bietet die Initiative botfrei des eco-Verbands: [[https://www.check-and-secure.com/start/]]  |
- | * Öffnen Sie E-Mails und darin enthaltene Anhänge nur dann, wenn Sie aus vertrauenswürdiger Quelle stammen. | + | ===== Weitere Informationen: ===== |
- | * Setzen Sie eine Firewall und Virenschutzsoftware ein und achte Sie auf regelmäßige Aktualisierung. | + | |
- | * Sorgen Sie dafür, dass alle Softwareaktualisierungen für Betriebssystem und auch andere Software zeitnah nach Erscheinen installiert werden, nutzen sie die angebotenen automatischen Updates! | + | |
- | ===== Wenn es doch passiert ist: Kontaktieren Sie Ihren Administrator, Ihre Bank oder Ihren Geschäftspartner! ===== | + | |
- | Als Angehöriger der TU Braunschweig informieren Sie umgehend das GITZ über den Service-Desk! Die für Sicherheitsfragen zuständigen Mitarbeiter können den Vorfall verfolgen und prüfen, ob Schaden entstanden ist. Ansonsten: Falls tatsächlich bereits Summen unberechtigt überwiesen worden sind, so wenden Sie sich bitte umgehend an die Polizei – unter Einhaltung der Vorschriften Ihres Arbeitgebers, falls zutreffend. | + | |
- | Siehe auch: [[https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Phishing/Schutzmassnamen/schutzmassnamen_node.html]] | + | * Zu Fragen der IT-Sicherheit hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) umfangreiche Tipps und Checklisten veröffentlicht: Tipps und Checklisten - [[https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Checklisten/checklisten_node.html]]  |
+ | * Für einen Schnelltest eignet sich Avira PC-Cleaner [[http://install.avira-update.com/package/pccleanerwebloader/win32/de/avira_pc_cleaner_de.exe]] – aber natürlich ersetzt die Software keinen vollwertigen Virenscanner. | ||
+ | * Weitere Tools finden sich bei Heise Download: [[https://www.heise.de/download/products/sicherheit/virenschutz/#?cat=sicherheit%2Fvirenschutz]] Â | ||
+ | * Sehen Sie sich das [[https://video.secuso.org/onlinebetrug|Video gegen Onlinebetrug]] an! (erstellt von [[https://www.secuso.informatik.tu-darmstadt.de/de/secuso/|SECUSO, TU Darmstadt]])Â | ||
+ | Â | ||
+ | Siehe auch [[https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Checklisten/Massnahmen_gegen_Internetangriffe.html]] | ||