Handlungsempfehlungen

Viren, Trojaner, Passwortklau?–?es gibt viele Bedrohungen für Ihr PC-Rechner und Ihrem Account. Mit ein paar Einstellungen, Zusatzprogrammen und Verhaltensregeln l?sst sich die Sicherheit des dienstlichen PC deutlich erh?hen:

1. Nutzen Sie nur ein eingeschr?nktes Benutzerkonto und melden Sie sich nicht immer als Admin an.
2. Halten Sie Ihr Betriebssystem (Windows) aktuell.
3. Eine gute Antiviren-Software sollte für Sie Pflicht sein, um Sch?dlinge fernzuhalten.
4. Halten Sie Ihren Browser auf den neusten Stand.
5. Laden Sie Daten und Programme nur von vertrauenswürdigen Quellen herunter.
6. Speichern Sie Daten nicht lokal auf Ihrer Festplatte ab. Nutzen Sie die File-Ordner für Ihre Speicherung.
7. Schlie?en Sie keine externen Festplatten oder USB an Ihren Rechner an.
8. Nutzen Sie unterschiedlich komplexe Passw?rter für einzelne Logins (Dienste)
9. Bleiben Sie misstrauisch und halten Sie sich bei der Weitergabe pers?nlicher Informationen zurück.

Handlungsempfehlung + Anleitungen zur PC-Sicherheit

Zum Schutz vor Viren muss auf jedem Rechner ein Virenscanner mit aktiver Auto-Update-Funktion installiert werden. Unser Rechenzentrum bietet das Microsoft Defender an.

Weitere Informationen finden Sie unter:

/rechenzentrum/serviceangebot/sicherheit/arbeitsplatzsicherheit/index.html

Unsere Netzlaufwerke und Dateidienste bieten Ihnen eine sichere Aufbewahrung Ihrer Daten, komfortable M?glichkeiten zum Teilen und ein st?ndiges Backup.

Hier finden Sie weitere Infromation zum Thema Speicherm?glichkeiten:

/rechenzentrum/serviceangebot/server-cloud-service/speicherplatz/index.html

Cloud-Richtlinie

Richtlinie der Universit?t Regensburg zur Auslagerung von Daten in Cloud-Diensten

Das vertrackte Problem mit komplexen Passw?rtern:

Vielen Anwendern ist nicht bewusst, wie vielf?ltig die Konsequenzen sind, die bereits durch das Aussp?hen oder Erraten eines einzelnen Kennwortes drohen. Viele Anwender benutzen Passw?rter, die auf pers?nlichen Informationen wie dem eigenen Geburtstag beruhen und somit leichter zu merken sind. Das wissen auch Angreifer. Andere g?ngige Merkhilfen wie Namen von Haustieren oder Lebensgef?hrten finden sie ebenfalls mit geringem Aufwand heraus.

?Handlungsempfehlung_Erstellen eines komplexen Passwortes

• Passw?rter sollten niemals unverschlüsselt auf dem PC abgelegt werden.
• Passw?rter sollten niemals aufgeschrieben werden.
• Keine einheitlichen Passw?rter verwenden.
• Voreingestellt Passw?rter ?ndern.
• Passwortwechselzwang falls es Hinweise gibt, dass es tats?chlich in die H?nde von unbefugten Dritten gelangt ist.
• Niemals Zugangsdaten an Dritte weitergeben oder per Mail versenden.

Darüber hinaus gibt es weitere wichtige Regeln zum Umgang mit Passw?rtern, die Sie einhalten sollten:

Handlungsempfehlung zum sicheren Umgang mit Passw?rtern

Phishing, Viren, Internetbetrug – es gibt viele Risiken bei der Internetnutzung. Wer jedoch Schutzm?glichkeiten ergreift, kann unbesorgt die digitale Welt erkunden.

Handlungsempfehlung_Internetgefahren sicher begegnen

• Irrtum 1: "Wenn ich eine E-Mail nur anschaue, aber keinen Anhang ?ffne, kann nichts passieren."
• Irrtum 2: "Das Antworten auf Spam-Mails birgt keine Gefahr, man kann auch den Links zum L?schen aus dem Verteiler folgen."
• Irrtum 3: "Eine E-Mail kommt immer von der Adresse, die im Absender-Feld steht.“
• Irrtum 4: "Phishing-Mails sind leicht zu erkennen."

Erkl?rungen zu Sicherheits-Irrtümer - E-Mail Sicherheit

So manch "Fake"- E-Mail sieht t?uschend echt aus. Jedoch gibt es einige Aspekte, die erkennen lassen, dass ein Cyberkrimmineller seine Angel ausgeworfen hat:

• Grammatik- und Orthografie-Fehler
• Mails in fremder Sprache
• Fehlender Name
• Dringender Handlungsbedarf
• Eingabe von Daten
• Aufforderung zur ?ffnung einer Datei Links oder eingefügte Formulare
• Bisher noch nie E-Mails von der Bank erhalten oder kein Kunde
• Verd?chtige Absenderadresse

Handlungsempfehlungen um "Fake"- E-Mails zu erkennen

• Haben Sie irgendwelche Zweifel ob eine E-Mail "echt" ist - belassen Sie E-Mails (unge?ffnet) für 2-3 Tage im Posteingang. Handelt es sich dabei um "übliche" Schadsoftware, konnten die Sicherheitshersteller inzwischen Muster erstellen anhand denen unser E-Mail Scanner diese E-Mails erkennt und in die Quarant?ne verschiebt.
• E-Mail Adressen z.B. ?PayPal“,??Amazon“, ?DHL“ ?u.a. k?nnen gef?lscht werden, sodass?sie t?uschend echt aussehen. Ein Blick in den E-Mail Header und Abfrage der IP-Adresse des sendenden Mailservers k?nnte Aufschluss geben.
• Kriminelle arbeiten?in Ihren Phishing-Mails oft mit einer emotionalen Sprache bzw.?versuchen den Anwender?mithilfe von Einschüchterung zu?bestimmte Aktivit?ten zu verleiten. Bleiben Sie standhaft und reagieren Sie nicht auf Forderungen.
• Phishing-Mails enthalten zum Teil verd?chtige weiterführende Links oder Anh?nge. Ignorieren Sie diese!
• Laden Sie niemals von diesen dubiosen Seiten angebotene Software herunter!
• ?ffnen Sie NIEMALS die?dubiosen Anh?nge der E-Mail!

Jede Nacht werden Mailbox Inhalte auf Schaddateien (Viren/Phishing) gescannt. Untersucht werden die Inhalte der Inbox und Outbox (max. 3 Tage alt) - andere Ordner werden nicht erfasst.

Sollten Sie eine verd?chtige E-Mail erhalten, belassen Sie diese E-Mail in Ihren Eingangsnachrichten/Inbox und warten Sie bitte 2-3 Tage mit dem ?ffnen der E-Mail. Ist die E-Mail, nach der Wartezeit, immer noch in Ihrer Mailbox, dann ist es wahrscheinlich keine sch?dliche E-Mail.

Wenn Sie sich nicht sicher sind, ob Sie auf eine Fake-Mail hereingefallen sind, so melden Sie dies bitte umgehend, um den Schaden so minimal wie m?glich zu halten:

• Ben?tigen Sie als Bediensteter einen pers?nlichen Ansprechpartner, so wenden Sie sich bitte an Ihren zust?ndigen Workgroupmanager. bwin娱乐_bwin娱乐官网欢迎您@er kann Sie Vor-Ort unterstützen und kontaktiert den Support und ggfs. den IT-Sicherheitsbeauftragten (IT-SB) und den Datenschutzbeauftragten (DSB).

• Support kontaktieren: servicedesk@uni-regensburg.de (Tel. 5555)

Die Support Mitarbeiter helfen Ihnen bei Ihrem Problem und schalten ggfs. den IT-SB/DSB ein.

Handlungsempfehlung E-Mails melden

Der Begriff ?Cybercrime steht als international einheitliche Beschreibung für Computerkriminalit?t und umfasst alle Straftaten, die unter Ausnutzung der Informations- und Kommunikationstechnik oder gegen diese gegangen werden; am h?ufigsten unter Verwendung des Tatmittels Internet und E-Mail.

Cybercrime wird ein immer lukrativeres Gesch?ft. Nicht nur Weltkonzerne werden Opfer von Datenklau, Computersabotage oder Computerbetrug, sondern auch die Universit?ten rücken immer mehr in den Fokus von Cyberkriminellen. Die Cyberkriminellen haben es heute nicht nur auf neue Entwicklung oder Wissensinterna abgesehen. Oft wollen sie den Betroffenen auch finanziell schaden oder das Image negativ beeinflussen.

Handlungsempfehlung_ Cyberkriminalit?t - Richtiges Verhalten bei IT-?Sicherheitsvorf?lle

Auch wenn Sie sich nicht ganz sicher sind, ob ein IT-Sicherheitsvorfall vorliegt, melden Sie diesen bitte umgehend, um den Schaden so minimal wie m?glich zu halten.

1. Schritt

Ben?tigen Sie als Bediensteter einen pers?nlichen Ansprechpartner, so wenden Sie sich bitte an Ihren zust?ndigen Workgroupmanager. bwin娱乐_bwin娱乐官网欢迎您@er kann Sie Vor-Ort unterstützen und kontaktiert den Support und ggfs. den IT-Sicherheitsbeauftragten (IT-SB) und den Datenschutzbeauftragten (DSB).

2. Schritt

Sollten Sie Ihren Workgroupmanager nicht erreichen k?nnen, so kontaktieren Sie unseren RZ-Support: servicedesk@uni-regensburg.de (Tel. 5555)

Die Support Mitarbeiter helfen Ihnen bei Ihrem Problem und schalten ggfs. den IT-SB/DSB ein.

Das Internet bietet hervorragende M?glichkeiten, Dokumente, Bilder und alle Arten digitaler Daten zu ver?ffentlichen. Ohne teure und langsame Druck– und Versandprozesse kann eine hohe Reichweite erzielt werden. Gemeinsame Dateiformate wie PDF für Dokumente oder JPEG für Bilder sorgen dafür, dass die Informationen unabh?ngig vom Ger?t (Smartphone, Tablet, PC usw.) und Betriebssystem (Windows, Android, Linux usw.) dargestellt werden k?nnen.

Dabei sollte man sich aber darüber im Klaren sein, dass diese Formate im Allgemeinen viel mehr Daten enthalten, als von den üblichen Darstellungsprogrammen angezeigt werden. Es handelt sich um die sog. Metadaten, die beispielsweise beinhalten, wo ein Foto aufgenommen wurde oder wer einen Text geschrieben hat. Das ist meist sehr nützlich, kann aber ungewollt Cyberkriminellen wertvolle Informationen in die H?nde spielen. So kann das Auslesen der Metadaten Aufschluss darüber geben, dass ein bestimmter Benutzer eine veraltete Version einer Applikation einsetzt und welches Betriebssystem dafür genutzt wird.

Daher sollten Sie Ihre Dokumente von Metadaten bereinigen, bevor Sie diese ver?ffentlichen!

Stellungnahme der IT-Sicherheitsbeauftragten und der Datenschutzbeauftragten

Zoom ist eine Cloud-L?sung, d.h. die Software wird beim Anbieter betrieben. Die Universit?t Regensburg (UR) hat mit diesem Anbieter aber einen Vertrag zur Auftragsdatenverarbeitung abgeschlossen. Dadurch ist sichergestellt, dass die Einhaltung der Datenschutzregelungen der DSGVO gewahrt ist. Zus?tzlich werden durch die Administratoren des Rechenzentrums (RZ) entsprechende Einstellungen vorgenommen, die das Datenschutzniveau der Software im Vergleich zu den Standardeinstellungen weiter erh?hen.

Durch die hohe Popularit?t, die Zoom durch die Corona-Krise bekommen hat, steht der Dienst stark im Fokus der ?ffentlichkeit, auch im Hinblick auf den Datenschutz. bwin娱乐_bwin娱乐官网欢迎您@ bedeutet auf der einen Seite, dass Missbrauchsversuche (wie etwa das mutwillige St?ren von Videokonferenzen) zunehmen, auf der anderen Seite werden so aber auch m?gliche Schwachstellen der Software schneller erkannt und k?nnen durch den Hersteller schneller behoben werden. So hat Zoom in letzter Zeit sehr schnell auf Kritik und Hinweise reagiert und m?gliche Schwachstellen geschlossen. Insbesondere die Version 5.0 hat wesentliche neue Sicherheitsfeatures bekommen, u.a. eine sehr starke Verschlüsselung mit 256-Bits. Der Anbieter hat die hohe Bedeutung des Themas gerade für europ?ische Nutzer*innen mittlerweile erkannt und bemüht sich durch zahlreiche Ma?nahmen um eine verbesserte Transparenz und das Vertrauen der Nutzer*innen.

Wir halten die Nutzung von Zoom über die UR-Lizenz aus folgenden Gründen für vertretbar:

• Vertrag zur Auftragsdatenverarbeitung zwischen UR und Zoom garantiert DSGVO-Konformit?t
• Zahlreiche potenziell kritische Funktionen durch IT-Administration des RZ deaktiviert (z.B. Anmeldung mittels Facebook)
• Meetings sind transportverschlüsselt und lassen sich durch zahlreiche Zoom-Features (Passwort, Warteraumfreigabe, geheime Raum-ID usw.) vor Missbrauch (sog. Zoombombing) schützen
• IT-Sicherheitsbeauftragte hat Zugriff auf die ?90 Tage Sicherheitsplan“- Fortschrittsberichte
• Zoom bessert bekannte Schwachstellen schnell nach und konzentriert sich in den n?chsten Monaten ausschlie?lich auf Sicherheitsfeatures

Die Datenschutzerkl?rung für die Nutzung von Zoom an der UR finden Sie unter folgendem Link: Datenschutzerkl?rung zu Zoom

Wir m?chten in diesem Zusammenhang auch auf die wirklich umfangreichen Informationen der am RZ der Universit?t Würzburg beheimateten Stabsstelle IT-Recht für die bayerischen staatlichen Hochschulen und Universit?ten zum Thema Zoom hinweisen: Zoom – Stellungnahme zu Schwachstellen

Es stimmt auch, dass in jüngster Vergangenheit tats?chlich viele Schwachstellen entdeckt wurden. Zoom hat diese Fehler zeitnah geschlossen und setzt nach eigenen Angaben nun mehr Entwicklerressourcen für die Verbesserung der Sicherheit und Datenschutz ein. Für alle, die aus diesem Grund Bedenken hinsichtlich der Nutzung von Zoom haben, bietet das RZ verschiedene an, die vom RZ selbst oder dem DFN betrieben werden. bwin娱乐_bwin娱乐官网欢迎您@e unterscheiden sich jedoch im Hinblick auf Funktionsumfang und Qualit?t von Zoom und eignen sich daher eher für Besprechungen mit wenigen Teilnehmern.

Neben Zoom bietet das RZ auch Alternativen an: DFNconf und Jitsi

Wir empfehlen Zoom (wie bereits in der Vergangenheit geschrieben) für die Lehre, empfehlen allerdings auch, kritische Informationen (Personalangelegenheiten, Dienstgeheimnisse etc.) nicht über Zoom zu verbreiten. Hierfür stehen andere Plattformen (z.B. DFN Conf, aktuell mit Skalierungsschwierigkeiten innerhalb der Peak-Zeiten) zur Verfügung.

Handlungsempfehlung: Sicherheitseinstellungen & -funktionen

Um die Sicherheit Ihres Zoom-Meetings zu erh?hen, sollten Sie beim Planen und Durchführen des Meetings je nach Einsatzgebiet (z.B. Vorlesung oder kleine Besprechung) folgende Einstellungen und Funktionen nutzen:

• Passwortschutz: Ein Passwort ist für jedes Meeting zwingend erforderlich. Es wird automatisch generiert.
• Zugangsdaten: Geben Sie die Meeting-URL, die h?ufig auch das Passwort enth?lt, nicht weiter. Geben Sie die Zugangsdaten direkt an die Teilnehmer*innen weiter; ver?ffentlichen Sie die Zugangsdaten nicht auf anderem Weg.
• Warteraumfreigabe: Wenn Sie ein Meeting mit kleiner Gruppengr??e planen, k?nnen Sie unter "Erweiterte Optionen" die Warteraumfreigabe aktivieren. Sie müssen nun jedem*jeder Teilnehmer*in den Zutritt zum Meeting manuell erlauben. Auf diese Weise verhindern Sie den Beitritt unerwünschter Personen. Sie k?nnen den Warteraum auch direkt im Meeting in der unteren Menüleiste unter "Sicherheit" aktivieren.
• Meeting sperren: Wenn Sie ein Meeting mit kleiner Gruppengr??e durchführen, k?nnen Sie das Meeting für weiteren Zutritt sperren, sobald alle Teilnehmer*innen anwesend sind. Sie finden die Option in der unteren Menüleiste unter "Sicherheit". Auf diese Weise verhindern Sie den Beitritt unerwünschter Personen zum Meeting sowie zum?Warteraum, falls Sie diesen aktiviert haben.
• Unerwünschte Teilnehmer*innen entfernen: Unerwünschte Teilnehmer*innen k?nnen Sie in der unteren Menüleiste über "Teilnehmer verwalten" aus dem Meeting entfernen. Ein erneuter Beitritt durch diese*n Teilnehmer*in ist dann nicht mehr m?glich.
• Bildschirmfreigabe durch Teilnehmer*innen deaktivieren: Grunds?tzlich sollten Sie die Bildschirmfreigabe durch eine*n Teilnehmer*in nur erm?glichen, wenn Sie tats?chlich ben?tigt wird (bspw. für Pr?sentationen durch Studierende). Deaktivieren Sie die Funktion anschlie?end wieder, um zu verhindern, dass Personen unerwünschte Inhalte zeigen. Die relevanten Einstellungsoptionen finden Sie in der unteren Menüleiste unter "Bildschirm freigeben".
• Bildschirmfreigabe - Annotierung deaktivieren: Bei einer Bildschirmfreigabe k?nnen andere Teilnehmer*innen standardm??ig Anmerkungen auf den Bildschirm schreiben. Falls Sie die Funktion nicht ben?tigen, sollten Sie sie bei jeder Freigabe deaktivieren. Sobald Sie Ihren Bildschirm freigegeben haben, k?nnen Sie die Funktion über die Buttons "Sicherheit" oder "Mehr" deaktivieren.
• Chat deaktivieren: Für den Fall, dass Teilnehmer beispielsweise unpassende Witze, Werbung, Beleidigungen oder Verleumdung über den Chat ver?ffentlichen,kann dieser vom Host deaktiviert werden. Sie finden die Option in der unteren Menüleiste unter "Sicherheit".
• Virtueller Hintergrund: Zum Schutz Ihrer Privatsph?re k?nnen Sie bei Bedarf den virtuellen Hintergrund in den Einstellungen oder direkt im Meeting in den Videoeinstellungen aktivieren. So ist Ihre Umgebung für die anderen Teilnehmer*innen nicht sichtbar.

Handlungsempfehlung: Datenschutz

Bitte beachten Sie auch die folgenden datenschutzrechtlichen Empfehlungen:

• Aufzeichnung der Vorlesung: Soweit ein Zoommeeting aufgezeichnet werden soll, beispielsweise, um es im Anschluss in der Mediathek zur Verfügung zu stellen, ist aus Gründen der Transparenz darauf zu achten, dass alle Teilnehmer darüber informiert sind, ggf. ist eine Einwilligung einzuholen, wenn Daten, Bilder, Tonaufnahmen oder Videos von Studierenden oder Dritten ver?ffentlicht werden sollen. Eine Einwilligung kann auch mündlich im Rahmen der Zoomkonferenz erteilt werden. Aus Gründen der Datenminimierung und Rechtm??igkeit der Datenverarbeitung ist darauf zu achten, dass keine weiteren Teilnehmer eingeblendet werden oder personenbezogene Daten genannt werden, soweit dies nicht erforderlich ist und/oder die betroffenen Personen nicht eingewilligt haben. Beim Einstellen in die Mediathek ist dabei darauf zu achten, dass nur der Personenkreis darauf Zugriff hat, für den es erforderlich ist (bspw. nur für in einen GRIPS-Kurs eingeschriebene Studierende).
• Sensible Daten Dritter: Es ist darauf zu achten, dass keine sensiblen Daten Dritter zu sehen sind, soweit es hierfür keine Rechtsgrundlage gibt (z.B. Einwilligung), beispielsweise Patientendaten in medizinischen Vorlesungen.
• Zuschaltung der Kamera: Soweit es nicht für die konkrete Zoom-Konferenz erforderlich ist, sollte das Zuschalten der Kamera (insbesondere im h?uslichen Bereich) den Teilnehmern freigestellt werden. Ggf. kann auf die Option des virtuellen Hintergrundes hingewiesen werden.
• Hinweis auf die Datenschutzerkl?rung zu Zoom: Mit der Einladung zu einer Zoom-Konferenz oder der Ankündigung auf der Homepage o.?. sollte auf die o.g. Datenschutzerkl?rung zu Zoom der Universit?t Regensburg hingewiesen werden, um die Informationspflichten nach Art. 13 DSGVO zu erfüllen.
• Statusanzeige: ?ber die Zoom-Anwendung erfolgt eine Statusanzeige ("abwesend", "nicht st?ren", "online", "in einem Zoommeeting"). Der Status kann manuell ge?ndert werden. Eine automatische Anzeige als "abwesend" erfolgt nur, wenn man sich abmeldet. Das Schlie?en des Fensters alleine reicht nicht aus. Die Abfrage des Status darf ausschlie?lich für legitime Zwecke (z.B. spontane Einladungen zu Meetings) genutzt werden.

Stellungsnahme & Handreichung in PDF-Form.

bwin娱乐_bwin娱乐官网欢迎您@e Stellungnahme ist auch in der Rubrik "Datenschutz" zu finden.

Weitere wichtige Hinweise und Tipps zu Zoom finden sie hier.