Hier werden Meldungen zur IT-Sicherheit mit besonderer Relevanz für die Bauhaus-Universität/ HfM veröffentlicht.

Für einen ständig aktuellen und umfassenden Überblick über Sicherheitsrelevante Informationen im IT-Bereich empfiehlt sich das Abonnieren einschlägiger Newsletter oder die Nutzung entsprechender Webportale (BSI, DFN-CERT, heise Security etc.).

Für die Gewährleistung des zeitnahen Einspielens von Sicherheitspachtes sollten die meist vorhandenen Automatismen des Betriebssystems, der Anwendungen und ihrer Erweiterungen genutzt werden.

11.06.2018: PHISHING-WARNUNG - E-Mail ohne Betreff

Die folgende Phishing-E-Mail wurde an einige unserer Nutzerinnen und Nutzer versendet.
Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen. Der Zugriff auf den in der E-Mail enthaltene Link wurde innerhalb der Universität gesperrt.
 
WIR VERSENDEN IN DER REGEL KEINE NICHT PERSONALISIERTEN MASSEN-E-MAILS AN UNSERE NUTZERINNEN UND NUTZER!!!
Sprachliche Fehler sind ein sicheres Indiz für eine Fälschung. Wir mixen in einer Mail nicht verschiedene Anredeformen, wie Du und Sie.
Beim ungewöhnlichen Begriffen sollten Sie stutzig werden, Zimbra-Konten gibt es hier nicht.
Wir verwenden immer einen Betreff bei unseren E-Mails, sowie eine persönliche Anrede und vermeiden auch zu legere Formulierungen, wie einfach nur Grüße am Ende der Mail.
Wir verwenden die offiziellen Bezeichnungen, es gibt bei uns weder einen Technischen Support, noch ein Technical Support Team.
Weiterhin enthalten offizielle E-Mails die an der Universität übliche Signatur mit Absenderinformationen.
Wir versenden E-Mails nur über E-Mail-Accounts der Bauhaus-Universität.
Wir fordern sie NIEMALS auf, auf Links außerhalb unserer Domain uni-weimar.de zu gehen, um dort Ihre persönlichen Daten einzugeben oder Tätigkeiten die interne Dienste betreffen durchzuführen.
 
Inhaltlich macht die E-Mail keinen Sinn, da es keine Einfach-Klick-Aktualisierungen/-Bestätigungen für irgendwelche Vorfälle bei uns gibt.
Die Drohung mit der endgültigen Schließung des Kontos ist rechtlich unzulässig und damit kompletter Schwachsinn.
-------- Nachricht --------
Von: Technical support team (pian.s.malgaretto@archiworld.it)
 
Lieber Webmail-Benutzer,
 
Hiermit möchten wir Sie darüber informieren, dass eine andere Person versucht hat, sich von einem
anderen Ort aus bei Ihrem Webmail-Konto anzumelden. (IP: 68.167.158.432 INDIA: 05-30-2018 vor 07:18 AM)
 
Klicken Sie unten, um sich anzumelden und Ihr Konto zu aktualisieren und zu bestätigen. Dafür hast
du nur 48 Stunden Zeit, um dein Zimbra-Konto aktiv zu halten.
 
Klicken Sie hier, um Ihr Konto zu bestätigen.
webmail.uni-weimar.de/horde/imp/ (...ttp://updateinfor.ucoz.net/webmail.uni-weimar.de.htm...)
 
Diese E-Mail unterliegt einer obligatorischen Nachverfolgung. Die Nichteinhaltung führt zur
endgültigen Schließung des Kontos.
Grüße,
Technischer Support

07.06.2018: PHISHING-WARNUNG - IT Helpdesk! Behandle sehr dringend!!!

Die folgende Phishing-E-Mail wurde an einige unserer Nutzerinnen und Nutzer versendet.
Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen.
 
WIR VERSENDEN IN DER REGEL KEINE NICHT PERSONALISIERTEN MASSEN-E-MAILS AN UNSERE NUTZERINNEN UND NUTZER!!!
Sprachliche Fehler sind ein sicheres Indiz für eine Fälschung. Wenn erforderlich, fordern wir jemanden zum Handeln, aber sicher nicht zum Behandeln auf.
Wir verwenden in der Regel eine persönliche Anrede und abschließende Grußformel, unsere E-Mails enden nicht abrupt mitten in einem Satz.
Weiterhin enthalten offizielle E-Mails die an der Universität übliche Signatur mit Absenderinformationen.
Wir versenden E-Mails nur über E-Mail-Accounts der Bauhaus-Universität.
Wir verwenden die offiziellen Bezeichnungen, es gibt bei uns kein Führungsteam und IT-Helpdesk ist ebenfalls eine von uns nicht genutzte Bezeichnung.
Wir fordern sie NIEMALS auf, auf Links außerhalb unserer Domain uni-weimar.de zu gehen, um dort Ihre persönlichen Daten einzugeben oder Tätigkeiten die interne Dienste betreffen durchzuführen. Nur weil in einem Link weimar enthalten ist, hat dieser noch lange nichts mit uns zu tun. Die in der Mail verwendete Domain ist weebly.com.
 
Inhaltlich macht die E-Mail keinen Sinn, da Sie sich im SCC persönlich (bzw. Studierende bei Ihrem zuständigen Wohnheim-Administrator) melden müssen, sollten wir Ihren Account oder Netzanschluss sperren. Ein Aktivierung per Klick gibt es nicht und wird es nicht geben.
Eine Löschung von Mails aktiver Accounts ist unzulässig und wird durch uns niemals erfolgen.
---
Von: Carin Elvira Ehrhardt (carin.ehrhardt@tjrs.jus.br)
 
Liebe Bauhaus-Universität Weimar E-Mail Benutzer,
 
Ihr E-Mail-Konto wurde vom System Mail-Administrator aufgrund von ungewöhnlichen Aktivitäten in Ihrem E-Mail-Konto vorübergehend deaktiviert, da einige Informationen nicht überprüft wurden. Um Ihr Konto zu aktivieren, klicken Sie auf den folgenden Link
KLICK HIER (...ttps://weimar-de.weebly.com...)
 
Sie können diese Nachricht in Ihrem Junk-Ordner aufgrund der ungewöhnlichen Aktivitäten finden, gehen Sie bitte in Ihren Posteingang und klicken Sie auf den obigen Link. Wenn Sie dies nicht tun, wird Ihr E-Mail-Konto vollständig gesperrt und Ihre E-Mail wird vom Mail-Server gelöscht. Ignorieren Sie diese Benachrichtigung nicht. Gönnen Sie sich sehr dringend
 
Datenschutz | © 2018 Bauhaus-Universität Weimar. Alle Rechte vorbehalten
Führungsteam

19.02.2018: PHISHING-WARNUNG - IT-service

Die folgende Phishing-E-Mail wurde an einige unserer Nutzerinnen und Nutzer versendet.
Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen.
 
WIR VERSENDEN IN DER REGEL KEINE NICHT PERSONALISIERTEN MASSEN-E-MAILS AN UNSERE NUTZERINNEN UND NUTZER!!!
Sprachliche Fehler sind ein sicheres Indiz für eine Fälschung. Speicher holt man nicht ab und E-Mail-Kontos werden nicht heruntergefahren.
Wir verwenden in der Regel eine persönliche Anrede und einen möglichst aussagekräftigen Betreff und nicht nur lapidar IT-service.
Weiterhin enthalten offizielle E-Mails die an der Universität übliche Signatur mit Absenderinformationen.
Wir versenden E-Mails nur über E-Mail-Accounts der Bauhaus-Universität.
Wir fordern sie NIEMALS auf, auf Links außerhalb unserer Domain uni-weimar.de zu gehen, um dort Ihre persönlichen Daten einzugeben oder Tätigkeiten die interne Dienste betreffen durchzuführen.
Wir verwenden die offiziellen Bezeichnungen - Domänensicherheit 2018 - verwenden wir nicht.
Inhaltlich macht die E-Mail keinen Sinn, da es kein extra E-Mail-Speicherlimit gibt.
--
Absender: E.Jukova (e.jukova@cdek.ru)
 
Ihr E-Mail-Konto wird geschlossen, wenn Sie die Speicherkapazität nicht erhöhen können. Klicken Sie auf Aktualisieren (....ttps://zimbrawebmail.weebly.co...), um Ihre Speicherkapazität um 20,00 GB zu erhöhen ..
 
Klicken Sie auf " Aktualisieren", um kostenlosen Speicherplatz von 20 GB hinzuzufügen.
 
Wenn Sie nicht in den nächsten 24 Stunden von Ihnen abgeholt werden, werden wir Ihr E-Mail-Konto bis nach ordnungsgemäßer Überprüfung herunterfahren, bevor Sie wieder auf Ihr E-Mail-Konto zugreifen können.
 
Vielen Dank.
Domänensicherheit 2018.

09.02.2018: PHISHING-WARNUNG - BEACHTUNG

Die folgende Phishing-E-Mail wurde an einige unserer Nutzerinnen und Nutzer versendet.
Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen. Der Zugriff auf den Link aus dem Netzwerk der Universität wurde gesperrt.
 
WIR VERSENDEN IN DER REGEL KEINE NICHT PERSONALISIERTEN MASSEN-E-MAILS AN UNSERE NUTZERINNEN UND NUTZER!!!
 
Wir versenden E-Mails ausschließlich über E-Mail-Accounts der Bauhaus-Universität.
Wir verwenden in der Regel eine persönliche Anrede und einen möglichst aussagekräftigen Betreff und nicht lapidar BEACHTUNG, sowie eine abschließende Grußformel. Offizielle E-Mails enthalten in der Regel die an der Bauhaus-Universität übliche Signatur mit Detailangaben zum Absender.
Wir nutzen die offiziellen Bezeichnungen, die Begrifflichkeiten Technical Service und IT-Verwaltung verwenden wir nicht.
Sprachliche Fehler bzw. eine übertrieben gestelzte oder holprige Sprache sind ein Indiz für eine Fälschung.
Wir leiten Sie niemals auf irgendwelche externen Webseiten, wenn es um unsere internen Services geht.
Updates bei unseren Services bedürfen in der Regel keiner Nutzerinteraktion, wenn doch informieren wir hierzu auch über andere Kanäle (Pinnwand SCC).
Ein Produkt mit dem Namen Web-Access 2018 wird an der Bauhaus-Universität nicht eingesetzt.
 
Von: Technical Support (Eliana.Candrlic@hrt.hr)
 
Wir aktualisieren unser E-Mail-System auf Web-Access 2018. Dieser Dienst schafft mehr Platz und einfachen Zugriff auf E-Mails. Bitte aktualisieren Sie Ihr Konto, indem Sie auf den unten stehenden Link klicken und Informationen zur Aktivierung eingeben.
 
KLICK HIER (...ttp://www.se-ed.nl/index.ht...)
 
Unfähigkeit, die Informationen zu vervollständigen, macht Ihr Konto inaktiv.
Vielen Dank.
IT-Verwaltung

06.02.2018: WARNUNG VOR ZIELGERICHTETEN GEFÄLSCHTEN E-MAILS (CEO-Fraud)

Neben den immer wieder eher unspezifisch versendeten gefälschten E-Mails tauchen im Bereich der Bauhaus-Universität Weimar zunehmend zielgerichtete gefälschte E-Mails auf, d.h. es wird versucht bestehende Kommunikationsbeziehungen auszunutzen.
Angeblich wendet sich die Abteilungsleitung an Mitarbeiterinnen und Mitarbeiter und stellt vermeintlich Dokumente wie Rechnung o.ä. zur Verfügung oder fragt eine Überweisung an. Das Angriffsszenario wird CEO-Fraud bezeichnet. Beim BKA kann ein Flyer zum Thema heruntergeladen werden: Link.
 
Ziel entsprechender E-Mails ist entweder das Abgreifen persönlicher Informationen (insbesondere Zugangsdaten), das Infizieren des Systems mit Schadsoftware oder das Verleiten zu schädigenden Handlungen, wie dem Überweisen von Geld an die Angreifer.
 
Den besten Schutz vor diesem Angriffsszenario bieten umsichtiges, vorsichtiges Agieren und ein sorgsamer Umgang mit dem potentiell unsicheren Kommunikationsmittel E-Mail.
 
Der angezeigte Absendername besitzt so gut wie keine Verlässlichkeit. Er kann sehr leicht gefälscht werden. Die Authentizität eines Absenders lässt sich nur durch den Einsatz digitaler Signaturen gewährleisten.
Die gleichbleibende und sorgfältige Nutzung von E-Mail erschwert den Missbrauch (Verwendung von Anrede und Grußformel, E-Signatur, korrekter Schreibweise, sprechenden Betreffs etc.)
 
Skeptisch sein sollte man bei:
- der Verwendung externer Mailadressen für die interne Kommunikation und externen Links für interne Dienste der Bauhaus-Universität,
- ungewöhnlichen Betreffs und Inhalten die einem nichts sagen,
- Schreib- und Darstellungsfehlern,
- einen vom üblichen, gewohnten abweichenden Schreibstil eines bekannten Absenders,
- das Fehlen der E-Mailsignatur, (persönlicher) Anrede und abschließender Grußformel,
- irritierenden Aussagen, wie das Sprechen von einem Anhang, die E-Mail enthält aber nur einen Link,
- ungewöhnliche Anfragen,
- das Erzeugen von starkem Handlungsdruck.
 
Bei suspekten E-Mails ist es besser Rücksprache mit der angeblichen Absenderin/ dem angeblichen Absender zu halten (Nutzung von Kontaktdaten aus einer seriösen Quelle), anstatt leichtfertig einem Link zu folgen oder Anhang zu öffnen. Auch über die Hotline des SCC kann die Beurteilung der Seriosität einer E-Mail unterstützt werden.

Beispiele: 

Von: Vorname Name Mitarbeiterin (officemail.12@aol.com) 
An: Vorname Name Mitarbeiterin eines anderen Bereichs
Betreff: Dringend
 
Wir müssen eine internationale Zahlung von 54.255,00 EUR machen. Können wir das heute machen?

grüße,
Vorname Nachname Vorgesetzte.

---

Von: Name Vorname eines Abteilungsleiters der Bauhaus-Uni (mailto:Edclines@cox.net)
An: Mitarbeiterinnen und Mitarbeiter
 
Betreff: Dokumente F - 725-K9244
 
Guten Tag,
 
bitte Anhang beachten.
...ttp://bakeitbakeitbaby.com/Rechnungs-Details... (aus Sicherheitsgründen Link leicht verändert)
 
Freundliche Grüße
Name Vorname

06.02.2018: PHISHING-WARNUNG - AKTUALISIERUNG

Die folgende Phishing-E-Mail wurde an einige unserer Nutzerinnen und Nutzer versendet.
Auf die E-Mail sollte nicht reagiert werden, sie ist zu löschen.
 
WIR VERSENDEN IN DER REGEL KEINE NICHT PERSONALISIERTEN MASSEN-E-MAILS AN UNSERE NUTZERINNEN UND NUTZER!!!
 
Wir versenden E-Mails ausschließlich über E-Mail-Accounts der Bauhaus-Universität.
Wir verwenden in der Regel eine persönliche Anrede und einen möglichst aussagekräftigen Betreff und nicht lapidar AKTUALISIERUNG, sowie eine abschließende Grußformel. Offizielle E-Mails enthalten in der Regel die an der Bauhaus-Universität übliche Signatur mit Detailangaben zum Absender.
Wir leiten Sie niemals auf irgendwelche externen Webseiten, wenn es um unseren internen Services bzw. Ihren Account geht.
Wir fragen Sie übrigens niemals nach Ihrem persönlichen Passwort, dessen Kenntnis benötigen wir für unsere Diensterbringung nicht.
Updates bei unseren Services bedürfen in der Regel keiner Nutzerinteraktion, wenn doch informieren wir hierzu auch über andere Kanäle (Pinnwand SCC).
Es gibt auch kein spezielles Webmail-Konto, sondern Webmail ist ein Teil des E-Mail-Services. Der Webmaster hat mit Webmail rein gar nichts zu tun.

--

From: Universität Weimar Webmaster (centrum.pameti@fnusa.cz)
Subject: AKTUALISIERUNG

Ihr Benutzerkonto muss aktualisiert werden. Bitte loggen Sie sich an der Universität Weimar ein, um Ihr Passwort zu bestätigen
Webmail-Konto.
Universität Weimar Webmaster

01.02.2018: Update-Probleme Sophos Home-Use Version

Wer die auf unserer Webseite verlinkte Home-Use Version des Sophos Virenscanners der SAGS (Sophos Stand Alone) auf einem Privatrechner verwendet und deren/dessen System in der Zeit zwischen dem 26.01. und 30.01.2018 mit dem Internet verbinden war, erhält höchst wahrscheinlich keine Updates mehr.
 
Hintergrund:
--------------
Updates bekommen Sophos Virenscanner nur, wenn Sie sich beim Update-Server mit Login + Passwort anmelden.
Diese sind in der Software hinterlegt und werde durch ein Clientsystem bei der Kontaktaufnahme zum Update-Server kommuniziert. Wird – wie am 26.01.2018 geschehen – ein falsches Passwort implementiert, schneidet man das System vom Update-Server ab.
 
Handlungsempfehlung:
--------------------------
Automatisch lässt sich das Problem leider nicht beheben, alle betroffenen Nutzer müssen selber handeln.
 
Die Webseite der SAGS aufrufen. Dann auf Downloads - Virenschutz-Software - Sophos AntiVirus (Bestätigung zur Einhaltung der Lizenzbedingungen: OK) gehen und die Datei iconn.zip herunterladen. Die heruntergeladene Datei entpacken und damit die im Verzeichnis enthaltene C:\ProgramData\Sophos\AutoUpdate\Config\iconn.cfg ersetzen.
 
Alternativ kann man auch die komplette Software herunterladen und installieren.

DROPBOX HACK – Betroffenheit der Bauhaus-Universität

In der Presse wurde kürzlich darüber berichtet, dass Zugangsdaten des beliebten Online-Speicher-Dienstes Dropbox im Internet aufgetaucht sind.
Die Daten stammen aus einem Hack des Dienstes im Jahr 2012.
Siehe hierzu: www.heise.de/security/meldung/Gestohlene-Dropbox-Passwoerter-offenbar-echt-3310017.html
 
Dem SCC liegt eine Liste von 1434 E-Mail-Accounts der Bauhaus-Universität Weimar vor, die von der Kompromittierung verschiedener Online-Dienste – hauptsächlich Dropbox – betroffen sind.
Genannt werden neben der E-Mail-Adresse der Dienst/ die Dienste bei dem/ denen Daten abgegriffen wurden.
Eine Überprüfung ergab, dass von den genannten E-Mail-Accounts 436 (korrigierte Zahl gegenüber Pinnwand-Posting) heute noch aktiv sind.
 
Das SCC hat alle betroffenen Nutzer per E-Mail informiert.
 
Zusätzlich möchten wir auf die Beachtung der Richtlinie zur Nutzung externer IT-Dienste (MdU 28/2014):
www.uni-weimar.de/fileadmin/user/uni/universitaetsleitung/kanzler/mdu_akad/14/28_2014.pdf
sowie auf unsere ergänzenden Informationen auf der Webseite des SCC hinweisen:
https://www.uni-weimar.de/de/universitaet/struktur/zentrale-einrichtungen/scc-rechenzentrum/it-English version:sicherheit/externe-it-dienste/

SICHERHEITSRISIKO: Outlook App für iOS und Android

Von der Verwendung der von Microsoft kürzlich veröffentlichten App
- Outlook for iOS
- Microsoft Outlook Vorschau (Android)
für den E-Mail Account der Bauhaus-Universität wird dringend abgeraten, da die Nutzung dieser Apps ein Sicherheitsrisiko darstellt.
 
Der Grund ist, dass die Logindaten und E-Mails nicht direkt dem Mailserver der Bauhaus-Universität übergeben, sondern über eine Reihe von Proxy-Servern geleitet und dort zwischengespeichert werden.
 
Haben sie die App bereits installiert, sollten sie diese umgehend wieder löschen und Ihr persönliches Passwort ändern.
 
Weitere Details bei heise.de

Gefahr durch Schadsoftware in Macros von Office-Dokumenten

Ein als ausgestorben geglaubte Angriffsform - die Verbreitung von Schadsoftware in Macros von Office-Dokumenten - wird wieder verstärkt eingesetzt.
 
Beim Empfang von E-Mails mit Anhängen vom Typ .doc oder .xls ist Vorsicht geboten, damit nicht unbewusst die standardmäßige Deaktivierung von Macros in Office aufgehoben wird und dann die Schadsoftware wirksam werden kann.

Meldung auf heise.de

Schwachstellen in Google Andoid - eduroam betroffen!

Das DFN-CERT informiert über zwei Schwachstellen, die das Ausspähen von Zugangsdaten für WLAN-Verbindungen ermöglichen:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0833/
 
Um die Gefahr zu verringern, dass Benutzerdaten im Klartext abgefangen werden können, ist in der eduroam-Konfiguration ein korrektes Root- oder CA-Zertifikat einzutragen.

Anleitung:
www.uni-weimar.de/fileadmin/user/uni/zentrale_einrichtungen/scc/wlan/eduroam-android.pdf

Android-Smartphones und sensible Daten

Android-Smartphones besitzen die Funktion „Meine Daten sichern“, die unter anderem dafür sorgt, dass auch WLAN-Passwörter auf Google-Servern unverschlüsselt gespeichert werden. Die Funktion ist bei einigen Geräten standardmäßig aktiviert.
Ist diese Funktion aktiviert und nutzt man WLAN über eduroam,  werden nicht nur die WLAN-Zugangsdaten, sondern gleichzeitig auch die eigenen Nutzer-Account-Informationen (Login + Passwort) an die Fa. Google weitergeben. Durch die Weitergabe dieser sensiblen Informationen kann einem Missbrauch durch Dritte Vorschub geleistet werden.

Wir empfehlend deshalb dringend die Funktion zu deaktivieren und das bisher verwendete persönliche Passwort zu ändern.

Eine Handlungsanweisung und weitere Detailinformationen finden Sie hier.