.digital blog - der Blog zur Digitalisierung an der TU Wien

Den Mittelweg finden: Informationssicherheit beginnt am eigenen Arbeitsplatz

12. Dezember 2019 | Gregor Hartweger, Christine Cimzar-Egger

Informationssicherheit betrifft jeden. Auch wenn die Technik viel unterstützt, der beste Schutz vor Cyberkriminalität ist immer noch der Mensch.

Mit dem Internet steht einem die ganze Welt offen und per E-Mail geht im Arbeitsalltag vieles einfach schneller. Allerdings kann man in beiden Fällen sehr schnell Tür und Tor für unerfreuliche Aktivitäten öffnen, wenn man nicht über die eigene Informationssicherheit nachdenkt. Oder würden Sie die Haustüre sperrangelweit offenlassen, wenn Sie das Haus verlassen? Im übertragenen Sinne macht man aber genau das, wenn man sich keine Achtsamkeit für dieses Thema zulegt. Eine gewisse Grundskepsis im Umgang mit dem eigenen E-Mail-Posteingang ist da schon mal ein guter Anfang.

Mensch schlägt Technik

Auch wenn der Mensch zu den höchstentwickelten Lebewesen auf diesem Planeten zählt, in Sachen Informationssicherheit ist er oder sie immer noch das schwächste Glied in der (Sicherheits-)Kette. Die TU Wien setzt daher mit sog. „Awareness-Trainings“ darauf, das Bewusstsein und die Gefahrenerkennung von Mitarbeiter_innen laufend zu schulen. Damit ist es für die TU Wien möglich, den Mittelweg zwischen technisch Machbarem und technisch Notwendigem zu gehen, ohne sämtliche Aktivitäten im eigenen Arbeitsbereich komplett zu reglementieren. Gut geschulte Mitarbeiter_innen sind deutlich effektiver als es jegliche technische Lösung jemals sein könnte.

„Es gibt ein Problem mit Ihrem E-Mail-Account. Klicken Sie hier“: Die bunte Welt des Phishings

Jeder hat sie schon einmal bekommen: die schlecht formulierten, mit Fehlern durchsetzten E-Mails, die einen auffordern, auf einen Link zu klicken. Allerdings werden diese Phishing-E-Mails immer professioneller. Der Absender scheint aus der eigenen Organisation zu kommen, die Signatur erinnert auch an jene im Unternehmen und der Text klingt doch irgendwie plausibel. Und schon hat man draufgeklickt –wovor niemand gefeit ist.

Passieren kann dann zweierlei: Im ersten Fall geschieht nicht gleich etwas Dramatisches, wenn man auf den Link klickt: Es öffnet sich ein Browserfenster, in dem man aufgefordert wird, seine Nutzerdaten einzugeben. Diese Daten werden dann von der „bösen“ Website für weitere Aktionen wie das Versenden von weiteren Phishing-E-Mails an das gesamte Adressbuch oder für das Absaugen des gesamten E-Mailaccounts inklusiver aller sensiblen Informationen darin verwendet. Das kann dann schnell zu einem Schneeballeffekt führen. Im anderen Fall wird durch das Anklicken des Links eine Schadsoftware auf dem eigenen Computer installiert, der diesen Computer – und möglicherweise das gesamte zugehörige Netzwerk – befällt und jeglichen Zugriff auf sämtliche Daten sperrt (Verschlüsselungstrojaner oder Ransomware). Nur durch die Zahlung einer gewissen Summe von Bitcoins wird der Computer/das Netzwerk wieder freigegeben.

Was kann ich selbst tun?

Sollte wirklich einmal etwas passiert sein, melden Sie den Verdacht der Phishing-E-Mails unbedingt an phishing@tuwien.ac.at. Die IT-Abteilung eines Unternehmens hat in den meisten Fällen nur eine sehr kurze Reaktionszeit für Gegenmaßnahmen. Statistiken zeigen etwa, dass innerhalb der ersten 30 Minuten ca. die Hälfte der Vorfälle bereits passiert sind.

Zur Vorbeugung empfehlen wir ein paar simple Tricks:

  • Überprüfen Sie die Plausibilität einer Internetadresse mittels „mouse-over“ – also dem Drüberfahren über einen Link ohne ihn anzuklicken. Links von Unternehmen sind im Normallfall sehr „sprechend“, bestehen also nicht aus einer unübersichtlichen Ansammlung von Zahlen und Ziffern.
  • Lesen Sie URLs (Internetadressen) von hinten nach vorne – ihr Gehirn wird Unstimmigkeiten erkennen. Beispielsweise fällt dann auf ob statt „tuwien.at“ vielleicht „tuwein.at“ steht. Beim schnellen Drüberlesen in der richtigen Leserichtung wird vom Gehirn automatisch die bekannte Info ersetzt – in die falsche Leserichtung tut sich das Gehirn da deutlich schwerer und erkennt Fehler leichter.
  • Überprüfen Sie die E-Mailadresse: Kennen Sie diese und nicht nur den Anzeigenamen des Absenders?

Haben Sie dann den Verdacht, dass es sich um ein Phishing-E-Mail handelt, leiten Sie es als Attachment an phishing@tuwien.ac.at weiter. Durch diese Informationen können vorgelagerte Schutzmechanismen im System schneller lernen und diese immer weiter angepasst werden.

Informationssicherheit an der TU Wien

Ziel von Informationssicherheit ist es, ein einheitliches Sicherheitsniveau für alle IT-Organisationen an der TU Wien zu etablieren, an dem sich alle orientieren. Zu diesem Zweck ist der Informationssicherheitsbeauftragte, Gregor Hartweger, auch weisungsunabhängig und arbeitet an vielen Schnittstellen wie beispielsweise zum Thema Datenschutz und IT-Security.

Schulungsangebot zum Thema

Das nächste Informationssicherheitstraining findet im Sommersemester 2020 statt. Informationen dazu werden wieder zeitgerecht versendet.

Ein E-Learning-Training zum Thema Informationssicherheit ist seit Dezember 2019 für alle Mitarbeiter_innen der TU Wien verfügbar. In diesem ca. 40-minütigen Training kann man sich das notwendige Handwerkszeug aneignen, um den Gefahren der Cyberkriminalität besser gerüstet entgegenzutreten. Zur Schulung anmelden können Sie sich direkt im TISS-Weiterbildungskatalog der Abteilung Personalentwicklung. Sie finden die Schulung in der Kategorie „IT-Informationstechnik“ unter dem Titel „Informationssicherheit an der TU Wien *digital*“ (https://tiss.tuwien.ac.at/personal/interne_veranstaltung/anzeigen/6256).

Weiters sind Spezialschulungen für Kolleginnen und Kollegen in den Sekretariaten für 2020 geplant. Weitere Informationen dazu werden folgen.

Weiterführende Informationen:

TUwiki-Seite zum Thema Informationssicherheit https://wiki.tuwien.ac.at/display/ISMS/INFOSEC+-+Informationssicherheit
Website INFOSEC: https://www.tuwien.at/tu-wien/organisation/zentrale-services/information-security