Sicherheit im Home-Office

Dokumente bearbeiten und verschicken, E-Mails verfassen und Videokonferenzen organisieren und an ihnen teilnehmen: Bei den meisten von uns ist derzeit Home-Office angesagt. Für Hacker ist das ein Freudenfest. Denn über die weniger gut abgesicherten privaten Netze und Geräte ist es leichter, das Universitätsnetz zu infiltrieren oder Schadsoftware zu verbreiten.

Wir geben Ihnen 9 Tipps an die Hand, wie Sie sich und die Universität auch vor digitalen Viren besser schützen können.

1. Berufliches und Privates trennen

Benutzen Sie einen Dienstrechner bitte ausschließlich für Berufliches, auch wenn es bequem ist, damit kurz mal private E-Mails zu checken oder privat im Internet zu surfen. Umgekehrt sollten Sie nach Möglichkeit private Rechner und Smartphones nicht für die Arbeit nutzen. So ist die Universität besser geschützt und für Sie ist es leichter, Arbeit von Freizeit zu trennen.

Wenn Sie ausnahmsweise ihren privaten Rechner oder ihr privates Smartphone für Berufliches nutzen, sollten Sie besonders auf eine klare Trennung achten. Am besten schaffen Sie das, indem Sie für die Arbeit einen separaten Computer-Account ohne Admin-Rechte einrichten. Das geht sowohl unter Windows und Mac ganz schnell. Ihre installierten Programme sind weiterhin verfügbar.

Außerdem achten Sie bitte darauf, dass nach dem Bearbeiten von Dateien diese nicht auf Ihrem privaten Gerät verbleiben. Dies gilt insbesondere für systembedingt temporär angelegte Dateien, die z.B. beim Öffnen von E-Mail-Anhängen angelegt werden.

2. Sicherheit Computer

Installieren Sie einen Virenscanner und achten Sie darauf, dass Betriebssystem, Virenscanner, Browser, Office und Acrobat immer aktuell sind.

Gewöhnen Sie sich auch zu Hause an, immer die Bildschirmsperre zu aktivieren, wenn Sie sich vom Rechner entfernen.

3. Sicherheit Internetzugang

Ihr Internetzugang zu Hause sollte so sicher wie möglich sein. Wenn Sie WLAN nutzen, achten Sie auf ein langes, komplexes Passwort von mindestens 16 Zeichen. Außerdem empfiehlt es sich, den WLAN-Zugang auf bekannte Geräte zu beschränken.

VPN sollten Sie immer dann aktivieren, wenn Sie in einem fremden Netz arbeiten, z.B. bei Verwandten, Freunden oder in einem öffentlichen Hotspot. So kann Ihr Datenverkehr nicht mitgelesen werden.

4. Sicherheit Kommunikation

Viele Informationen, die wir täglich austauschen, sind eher unkritisch. Wichtige oder hochvertrauliche Informationen dagegen sollten immer über abgesicherte Wege gehen:

  • E-Mail
    Bei E-Mail heißt das Verschlüsseln oder angehängte Dateien mit einem Passwort versehen.
    >> Alle Infos zum Signieren und Verschlüsseln von E-Mails

  • Messenger
    Bei Messengerdiensten setzen Sie gleich auf solche mit Ende-zu-Ende-Verschlüsselung, wie z.B. MS Teams, Signal, Threema oder zur Not auch WhatsApp, nicht aber Skype oder Slack.

5. Sicherheit Browser

Wenn Sie ausnahmsweise ein privates Gerät für dienstliche Aufgaben einsetzen, dann verwenden Sie bitte immer einen eigenen Browser für die Arbeit. Wenn Sie beispielsweise bislang für alles MS Edge benutzen, so installieren Sie z.B. Firefox und nutzen diesen ausschließlich für Berufliches. Verwenden Sie in Ihrem Arbeits-Browser keine Plugins, kein Flash und wenn nicht zwingend notwendig auch kein Java. Löschen Sie regelmäßig den Cache und speichern Sie keine Passwörter im Browser.

6. Mitdenken

Erfahrungsgemäß − und das ist nicht böse gemeint − ist der größte Risikofaktor der Mensch vor dem Rechner. Achten Sie darauf, nicht leichtfertig Anhänge zu öffnen, Dateien herunterzuladen und Programme zu installieren. Wenn Sie einem Absender oder einer Internetseite nicht zu 100 Prozent vertrauen, sollten Sie lieber auf Nummer sichergehen und über einen anderen Kommunikationskanal rückfragen.

7. Gefährliche E-Mails erkennen

Wenn Sie eine E-Mail erhalten, auf die z.B. eines der folgenden Merkmale zutrifft, sollten Sie misstrauisch werden:

  • Unpersönliche Anrede
    "Sehr geehrter Kunde …"

  • Dringende Handlungsaufforderung, unrealistischer Zeitdruck
    Bei vielen verdächtigen E-Mails müssen Anwender in wenigen Tagen oder Stunden irgendwelche Daten preisgeben, Internetseiten aufrufen oder auf die E-Mail antworten.
    "Wenn Sie Ihre Daten nicht umgehend aktualisieren, dann gehen sie unwiederbringlich verloren …"

  • Drohungen, Erpressungen
    „Wenn Sie das nicht tun, müssen wir Ihr Konto leider sperren …"

  • Aufruf zur Herausgabe vertraulicher Daten
    Passwort, PIN für Ihren Online-Bankzugang, Kreditkartennummer
  • Anwalt oder Inkasso
    Anwälte und Inkassobüros versenden offizielle Schreiben niemals per E-Mail.
    „Gegenstand meiner Beauftragung ist, die von ihnen auf ihrer Website begangene Informationspflichtverletzung, nach Artikel 13 EU-DSGVO, nach der bisher in verschiedenen Gesetzen geregelten Informationspflichten ...“

  • Schlechtes Deutsch

  • fehlerhafter Zeichensatz
    kyrillische Buchstaben, falsch aufgelöste oder gänzlich fehlende Umlaute (a/ae statt ä)

Aber Achtung: anders als noch vor einigen Jahren weisen viele Betrugsversuche inzwischen keinerlei sprachliche Mängel mehr auf. Auch bei gut formuliertem Text sollten Sie deshalb wachsam sein.

Dateianhang untersuchen

Wenn Sie in einer betrügerischen E-Mail einen Dateianhang öffnen, laden Sie sich mit fast hundertprozentiger Sicherheit ein Schadprogramm auf Ihren Rechner. Ob ein Dateianhang gefährlich ist, ist im Vorfeld nicht einfach festzustellen. Hier ist es absolut wichtig, dass Sie den Absender verifizieren. Wenn das nicht geht, folgende Tipps:

  • Makros in Office Dateien
    Seien Sie generell vorsichtig beim Öffnen von Office Dateien. Wenn Sie gleich zu Beginn aufgefordert werden, Makros zu aktivieren, brechen Sie sofort ab.

  • Office Dokumente von Unbekannten
    Öffnen Sie keine Office Dokumente von Unbekannten (Bewerbern, ..). Lassen Sie sich die Dokumente nochmal als PDF zuschicken.

  • Dateinamen
    Achten Sie darauf, dass Ihr E-Mailprogramm immer den vollen Dateinamen anzeigt: „bild.jpg“ statt „bild“ oder „studie.docx“ statt „studie“. Angreifer nutzen das sonst aus, indem sie Ihnen getarnte Programme schicken: Ihnen wird „bild.jpg“ angezeigt und der wahre Dateiname lautet „bild.jpg.exe“. Beim Klick auf einen solchen Anhang wird das Programm sofort gestartet.

Absender verifizieren

Wenn Ihnen eine E-Mail verdächtig erscheint, untersuchen Sie bitte die Absenderadresse. Hier ist besonders die E-Mail-Domäne wichtig, also alles was nach dem @-Zeichen steht.

Mit etwas Recherche lässt sich schnell herausfinden, ob es sich hierbei überhaupt um eine offizielle E-Mail-Domäne des Unternehmens handelt. So wird die Deutsche Bank sicher keine E-Mails mit der Domäne @gmail.com versenden, ebenso wenig unser Rektor.

Darüber hinaus können Sie die E-Mailadresse auch mit der aus älteren E-Mails vergleichen. Oder Sie fragen gleich telefonisch beim Absender nach.

Links untersuchen

Bevor Sie auf einen Link klicken, prüfen Sie bitte immer, welche Zieladresse  angezeigt wird, wenn Sie mit der Maus darüber fahren und ob diese Adresse plausibel ist. Achten Sie auch auf die korrekte Schreibweise.

Negativbeispiele: UNI-H0HENHEIM.DE (Null statt o), uni-hohenheim.serv.ru, PAYPA1.COM, ...

Beachten Sie auch die Handlungsempfehlungen gegen E-Mail-Betrug des Landeskriminalamtes Baden-Württemberg.

8. Gefährliche Webseiten erkennen

Betrügerische Webseiten können eine vertraute Webseite kopieren und Sie so zur Eingabe vertraulicher Daten bewegen. Das kann die Homepage der Universität, eines Mobilfunkanbieters oder einer Bank sein. Natürlich gibt es auch falsche Webshops oder Seiten von falschen Dienstleistern.

Solche Seiten zu entlarven ist nicht immer einfach. Wenn eines der folgenden Merkmale zutrifft, sollten Sie misstrauisch werden:

  • HTTP statt HTTPS
    Bei HTTPS wird im Gegensatz zu HTTP der Verkehr verschlüsselt. Sie erkennen HTTPS an einem geschlossenen Vorhängeschloss in der Navigationsleiste Ihres Browsers.

    Bei vielen Seiten macht es für Sie keinen großen Unterschied, ob HTTP oder HTTPS verwendet wird. Aber sobald Sie Zugangsdaten eingeben, Bestellungen oder sonstige Interaktionen tätigen, achten Sie unbedingt auf das Vorhängeschloss.

    Dies ist jedoch kein Allheilmittel. Einige Phishing-Websites könnten HTTPS verwenden, um legitim zu erscheinen. Als Faustregel gilt: Wenn eine Website dieses Vorhängeschloss nicht anzeigt, dann geben Sie Ihr Passwort oder Ihre Kreditkartennummer nicht ein.
  • gefälschte Domain
    Ist diese Adresse plausibel? Achten Sie auch auf die korrekte Schreibweise.
    UNI-H0HENHEIM.DE (Null statt o), uni-hohenheim.serv.ru, PAYPA1.COM, ...

  • Fehlendes oder unvollständiges Impressum
    Wenn eine Webseite kein oder ein unvollständiges Impressum hat, dann geben Sie dort Ihr Passwort oder Ihre Kreditkartennummer nicht ein.

  • Bösartige Redirects
    Falls Sie sofort auf eine völlig andere, insbesondere eine dubiose, Webseite weitergeleitet werden, handelt es sich um einen bösartigen Redirect. Die ursprüngliche Webseite war dann gefälscht oder gehackt. Auf so einer Seite sollten Sie sich nicht aufhalten.

9. Sicherheit Zoom

Aktuell wird für Videokonferenzen und Online-Seminare weltweit verstärkt Zoom genutzt. Durch diese Popularität wird Zoom zunehmend interessant für Hacker, die Sie mit gefälschten Meeting-Einladungen zur Installation von Schadsoftware verleiten wollen. Das andere Problem ist, dass bei falschen Einstellungen unbekannte "Trolle" dem Meeting beitreten können um verstörende Inhalte zu teilen.

Daher achten Sie bitte auf Folgendes:

  • Meeting-Einladung verifizieren
    Prüfen Sie bei Einladungen zwei Dinge: verifizieren Sie den Absender (siehe oben) und den Link zum Meeting

    richtig: zoom.us

    falsch: zoom.us.ru, Z00M.COM (Null statt o), ...

  • Immer ein Meeting erstellen
    Verwenden Sie nicht Ihre persönliche Meeting-ID für ein Meeting, sondern erstellen Sie immer ein geplantes Meeting.

  • Geschlossene Veranstaltungen nur mit Passwort
    Definieren Sie für jedes Zoom-Meeting ein Passwort, damit kein Dritter dem Meeting beitreten kann.

  • Einladungen über einen anderen Kanal verschicken
    Schicken Sie Einladung und Passwort nicht über Zoom direkt, sondern z.B. über E-Mail. Die Meeting-Zugangsdaten können Sie über die Zwischenablage aus Zoom kopieren.

Bei öffentlichen Veranstaltungen

  • Teilnahme vor dem Host verbieten
    Deaktivieren Sie "Teilnahme vor dem Host ermöglichen", damit Benutzer vor Ihrer Ankunft keine Probleme verursachen können.

  • Bildschirmfreigabe einschränken
    Schränken Sie die Bildschirmfreigabe zu Beginn des Meetings ein: Menü unten [ Bildschirm freigeben | erweiterte Freigabeoptionen | Nur Host ]

  • Dateiübertragung deaktivieren (nur Pro-Lizenz)
    Deaktivieren Sie "Dateiübertragung", damit z.B. keine schädlichen Dateien übertragen werden können.

  • Links in Chats verifizieren
    In Chats können bösartige Links vorkommen. Bitte erst genau hinschauen, bevor man sie anklickt.

Haben Sie Fragen oder Hinweise zu dieser Seite? Kontaktformular