--------------------
  • IT und Medien
  • Bibliothek
  • Informationstechnologie
    • ----------
    • Kontaktinformationen
    • IT-Teams
    • Passwort | Kennung
    • Anleitungen
    • Service | Dienste
      • ----------
      • Dateiserverdienste
      • Drucken | Kopieren | Scannen
      • E-Mail
      • eduroam
      • HCU-Card
      • Sicherheit
      • Software
      • WLAN / VPN
      • ----------
      ----------
  • Medien & Didaktik
  • Kartographie
--------------------

Cybersicherheit

Endpoint Protection
Die HCU setzt zum Schutz vor Angriffen durch z.B. Schadsoftware entsprechend geeignete Tools ein. Auf den durch die HCU-IT ausgegebenen/betriebenen Geräten ist diese Software standardmäßig vorinstalliert und kann genutzt werden. Hiermit können alle Computer in der Hochschule gegen Schadsoftware abgesichert werden. Sollten Sie hierzu Fragen oder Anmerkungen haben, senden Sie bitte ein E-Mail an den HCU IT-Support.

Möchten Sie darüber hinaus Ihren privaten Rechner mit einem zusätzlichen Programm schützen, so gibt es diverse Möglichkeiten dafür. Als eine dieser Möglichkeit können wir Ihnen z.B. Sophos Home nennen. Bitte beachten Sie, dass wir für private Geräte keinen Support übernehmen können. Ab sofort steht Ihnen Sophos Home Premium für private Geräte (bis zu 10 Computer pro Account) zur Verfügung. Die Premium-Version können alle HCU-Angehörigen mit zugehöriger Mailadresse beziehen. Eine kurze Anleitung finden Sie untenstehend:

Es kann ein neuer Account erstellt oder bestehende Sophos Home Accounts (falls das kostenlose Produkt bereits eingesetzt wird) mit dem Coupon-Code upgegradet werden.

 

Was enthält Sophos Home Premium:

  • Real-time antivirus
  • Advanced web protection
  • AI threat detection
  • Ransomware protection
  • Banking protection
  • Privacy + identity protection
  • Malware scan and clean
  • Remote management
  • Scheduled scans
  • Automatic updates
  • Protect up to 10 computers

Anleitung:

ACHTUNG: Bei der Registrierung eines Accounts mit dem Coupon-Code unbedingt auf die Richtigkeit der angegebenen E-Mail-Adresse achten, da die Codes und Verifizierungsadressen nur einmalig verwendet werden können!

 

1. Besuchen Sie home.sophos.com/employee (Dort wird der Coupon-Code mit der dienstlichen E-Mail-Adresse (@hcu-hamburg.de oder @vw.hcu-hamburg.de) angefordert.)

2. Geben Sie Ihre dienstliche E-Mail-Adressezur Verifizierung ein. Anschließend erhalten Sie eine E-Mail mit dem Coupon-Code und dem weiteren Vorgehen.

3. Folgen Sie den Anweisungen in der E-Mail, um Ihre dienstliche oder private E-Mail-Adresse für ein Sophos-Konto zu registrieren oder Ihr bestehendes Sophos-Konto zu aktualisieren.

 

Anschließend kann Sophos Home Premium heruntergeladen und installiert werden.

 

English version:

How to get it:

 

1. Visit https://home.sophos.com/employee

2. Use your work email address to verify your eligibility and receive your unique coupon code.  NOTE: Your personal email address is to be used later for registration.  During registration, please ensure the accuracy of your personal email as coupon codes are single-use.

3. Follow a few simple steps to register for and download the product, extending your powerful Sophos security to your home devices.

 

For more information about the product and get some answers to questions you may have, please visit home.sophos.com/en-us/landing/commercial-use.aspx.

Sicherer Umgang mit E-Mails

Die E-Mail ist eines der wichtigsten Kommunikationsmittel. Und immer wieder geschieht es, dass Kriminelle versuchen, an Ihre E-Mails und vor allem an Ihre sensiblen Daten zu kommen.Da ist es wichtig, dass Sie sich gegen solche Angriffe schützen, indem Sie bewusst mit Ihren Daten umgehen und einige Regeln beachten:

Vorsicht im Umgang mit verdächtigen E-Mails und Anhängen

  • Seien Sie vorsichtig mit den Inhalten unbekannter E-Mails und Anhängen. Es könnte sich z.B. um sogenannte Phishing-Mails handeln.
  • Öffnen Sie keine Anhänge und Links, wenn Sie dem Absender nicht vertrauen. Im Anhang könnte sich Schadsoftware befinden.

Wie erkenne ich einen Phishing Versuch

Was ist Phishing?

Wikipedia bietet eine sehr gute und detaillierte Erklärung an. Etwas zusammengefasst kann man sagen, dass Phishing der Versuch ist, mit Hilfe gefälschter Mails an Kennworte zu gelangen, die man für verschiedene Zwecke missbrauchen kann. Innerhalb der Uni wird mittels Phishing am meisten Schaden angerichtet, indem gephischte Passworte wiederum zum Versand von Spam-Mails über den Uni-Mailserver genutzt werden. Das ist automatisch quasi nicht zu verhindern, führt aber u.U. dazu, dass unser Mailserver als "spammend" erkannt wird und weltweit keine Mails mehr zustellen kann. So kann eine kleine Unachtsamkeit eines Benutzers dazu führen, dass ca. 10.000 Benutzer keine Mails mehr versenden können -- sehr ärgerlich.

Wie erkenne ich eine Phishing-Mail?

In der Regel wird in einer Phishing-Mail zunächst versucht, Unsicherheit oder Panik beim Empfänger zu schüren. Dazu werden Themen verwendet, die viele Leute weltweit betreffen: "Ihr Konto wurde geknackt", "Ihr Mailquota ist voll" etc. Dann wird darauf hingewiesen, dass Sie schnell handeln müssen und auf eine Webseite verwiesen, auf der Sie - unter Angabe Ihrer Nutzerdaten - das Problem aus der Welt schaffen können sollen.

Folgende Hinweise sollen Sie dabei unterstützen, leicht zu erkennen, ob es sich um eine echte Warnmail des Rechenzentrums oder um eine Phishing-Mail handelt:

  1. Überprüfen Sie, ob die Mail inhaltlich tatsächlich passen kann. Wenn beispielsweise auf ein volles Postfach verwiesen wird, checken Sie zunächst, ob Ihr Postfach wirklich voll ist.
  2. Schauen Sie auf die Absenderadresse. Wir werden Ihnen niemals eine Mail von einer Adresse außerhalb der Uni senden.
  3. Wenn der angegebene Link auf eine Adresse außerhalb der Uni verweist, Finger weg!
  4. Klicken Sie niemals einfach auf einen angegebenen Link, selbst wenn die Adresse "uni-koblenz.de" enthält. Stattdessen tippen Sie die Adresse selber ins Adressfeld Ihres Browsers. Die angezeigte Adresse und die tatsächlich angeklickte Adresse sind leicht fälschbar!
  5. Achten Sie auf die Ausdrucksweise im Betreff und Mailtext: Sehr oft sind gerade die deutschen Übersetzungen der Phishing-Mails automatisch generiert, so dass grammatikalischer Unsinn entsteht. Alle Mitarbeiter im Rechenzentrum sind des Deutschen soweit mächtig, dass wir uns (einmal abgesehen von Tippfehlern) klar und deutlich ausdrücken können!
  6. Wir werden Sie niemals auffordern, uns Ihr Kennwort per Mail zu schicken!
  7. Anhänge, die auf .zip enden sind - wenn Sie sie nicht von diesem Absender erwarten - in der Regel Angriffe über das Windows-Archivierungsprogramm. Beim Auspacken des Archivs wird ein Trojaner oder ein Wurm installiert. Öffnen Sie solche Anhänge niemals!
  8. Allgemein gilt für Anhänge: Überprüfen Sie mit gesundem Menschenverstand, ob der mitgelieferte Anhang plausibel ist! So wird Ihnen beispielsweise keine Firma der Welt eine Rechnung als Word-Dokument (.doc) senden. Sie wären ja in der Lage, die Rechnung zu ändern ... das macht keinen Sinn, sagen Sie? Richtig! Auch ausführbare Programme (.exe) oder JavaScript-Code (.js) machen in der Regel keinen Sinn -- es sei denn, Sie haben die Sendung dieses Anhangs vorher mit dem Sender abgesprochen.

Alle diese Hinweise sind nicht eindeutig, alle Kennzeichen sind fälschbar und werden teilweise sehr geschickt ausgenutzt. Aber 95% aller Phishings sind aufgrund dieser Hinweise einfach zu erkennen.

Quelle(n): https://www.uni-koblenz-landau.de/de/koblenz/GHRKO/faq/sicherheit/phishing

TLS-Server-Zertifikate beantragen

Der elektronische Zertifikatsantrag, (engl. Certificate Signing Request, CSR), ist wie das folgende Beispiel aufgebaut:

C="DE", O="HafenCity Universitaet Hamburg", OU="Informationstechnik", CN="www.pki.hcu-hamburg.de"
  

  • Die HCUHH CA kann nur Zertifikate mit C="DE", O="HafenCity Universitaet Hamburg" ausstellen.
  • Mit OU (Organisational Unit) wird die Organisationseinheit bezeichnet, die den Server betreibt. Die Zeichenkette, die die OU beschreibt, kann nicht frei gewählt werden. Es muss sich dabei um die offizielle Bezeichnung der Einrichtung oder des Instituts handeln. Umlaute und Kommata sollten nicht verwendet werden.
  • CN ist der Common Name, d. h. für einen Server der vollständige DNS-Name (Fully Qualified Domain Name, FQDN). Jeder Webbrowser wird prüfen, ob der Common Name im präsentierten Zertifikat mit der aufgerufenen URL übereinstimmt. Andernfalls gibt es eine Zertifikatswarnung.

Zum Erzeugen des Zertifikatantrages muss ein vertrauenswürdiger Computer gewählt werden. Auf diesem Rechner wird bei der Erzeugung des Zertifikatantrages ein Schlüsselpaar erzeugt. Das Schlüsselpaar besteht aus einem geheimen (private key) und einem öffentlichen (public key) Schlüssel. Der geheime Schlüssel darf nicht in falsche Hände geraten!

Mit OpenSSL wird ein Zertifikatsantrag mit dem folgenden Befehl erzeugt:

openssl req -newkey rsa:2048 -sha256 -subj "/CN=www.pki.hcu-hamburg.de/OU=Informationstechnik/O=HafenCity Universitaet Hamburg/L=Hamburg/ST=Hamburg/C=DE" -nodes -keyout www.pki.hcu-hamburg.de.private.key -out www.pki.hcu-hamburg.de.csr

Seit Bekanntwerden der Logjam-Attacke gehört zum Erzeugen eines neuen Zertifikates auch das Erzeugen individuellen Diffie-Hellman-Parameter dazu. Die Diffie-Hellman-Parameter sollten die gleiche Länge aufweisen, wie das dazugehörende Zertifikat. Der entsprechende Aufruf lautet:

openssl dhparam -out www.pki.hcu-hamburg.de.dhparams.pem 2048

Sowohl Windows Server, als auch SUSE Linux Systeme erwarten TLS-Server-Zertifikate im PKCS#12 Dateiformat. Im PKCS#12-Format kann man alle für die Nutzung eines Zertifikats benötigten Dateien (privater Schlüssel, öffentlicher Schlüssel und Zertifikatskette) in einer einzigen Datei passwortgeschützt abspeichern. Mit Hilfe von OpenSSL wird die Datei wie folgt erstellt:

wget https://pki.pca.dfn.de/dfn-ca-global-g2/pub/cacert/chain.txt
openssl pkcs12 -export -inkey www.pki.hcu-hamburg.de.private.key -in www.pki.hcu-hamburg.de.pem -certfile chain.txt -out www.pki.hcu-hamburg.de.p12

Nachdem das TLS-Zertifikat erstellt wurde folgt die eigentliche Arbeit. Denn die Konfiguration von TLS-Servern stellt eine ständige Herausforderung dar. Aktuelle Informationen hierzu findet man beispielsweise im Blog der Kollegen der DFN PKI.

  • Menüpunkt "Zertifikate"
  • Menüpunkt "Serverzertifikat"

Online-Antrag

Für den Online-Antrag wird die zuvor erzeugte Datei server.csr benötigt.

https://pki.pca.dfn.de/hafencity-uni-hamburg-ca-g2/pub

Identifizierung bei der Registrierungsstelle

Der Antragsteller vereinbart einen Termin zur Identifizierung bei einer Registrierungsstelle (Kontakt über die IT-Beratung) und bringt dazu folgende Dokumente mit:

  • den gültigen Personalausweis
  • den ausgefüllten und unterschriebenen Zertifikatantrag im Original
  • die ausgefüllte, unterschriebene und gestempelte Teilnehmer-Erklärung

Nach der Identifizierung und Überprüfung der Dokumente wird die Registrierungsstelle den Online-Antrag digital signieren. Daraufhin sollten Sie nach ein paar Stunden Ihr Zertifikat per Email an die Adresse erhalten, die Sie im Online-Antrag angegeben haben.