Das Internet bietet hervorragende Möglichkeiten, Dokumente, Bilder und alle Arten digitaler Daten zu veröffentlichen. Ohne teure und langsame Druck– und Versandprozesse kann eine hohe Reichweite erzielt werden. Gemeinsame Dateiformate wie PDF für Dokumente oder JPEG für Bilder sorgen dafür, dass die Informationen unabhängig vom Gerät (Smartphone, Tablet, PC usw.) und Betriebssystem (Windows, Android, Linux usw.) dargestellt werden können.
Dabei sollte man sich aber darüber im Klaren sein, dass diese Formate im Allgemeinen viel mehr Daten enthalten, als von den üblichen Darstellungsprogrammen angezeigt werden. Es handelt sich um die sog. Metadaten, die beispielsweise beinhalten, wo ein Foto aufgenommen wurde oder wer einen Text geschrieben hat. Das ist meist sehr nützlich, kann aber ungewollt Cyberkriminellen wertvolle Informationen in die Hände spielen. So kann das Auslesen der Metadaten Aufschluss darüber geben, dass ein bestimmter Benutzer eine veraltete Version einer Applikation einsetzt und welches Betriebssystem dafür genutzt wird.
Daher sollten Sie Ihre Dokumente von Metadaten bereinigen, bevor Sie diese veröffentlichen!
Stellungnahme der IT-Sicherheitsbeauftragten und der Datenschutzbeauftragten
Zoom ist eine Cloud-Lösung, d.h. die Software wird beim Anbieter betrieben. Die Universität Regensburg (UR) hat mit diesem Anbieter aber einen Vertrag zur Auftragsdatenverarbeitung abgeschlossen. Dadurch ist sichergestellt, dass die Einhaltung der Datenschutzregelungen der DSGVO gewahrt ist. Zusätzlich werden durch die Administratoren des Rechenzentrums (RZ) entsprechende Einstellungen vorgenommen, die das Datenschutzniveau der Software im Vergleich zu den Standardeinstellungen weiter erhöhen.
Durch die hohe Popularität, die Zoom durch die Corona-Krise bekommen hat, steht der Dienst stark im Fokus der Öffentlichkeit, auch im Hinblick auf den Datenschutz. Dies bedeutet auf der einen Seite, dass Missbrauchsversuche (wie etwa das mutwillige Stören von Videokonferenzen) zunehmen, auf der anderen Seite werden so aber auch mögliche Schwachstellen der Software schneller erkannt und können durch den Hersteller schneller behoben werden. So hat Zoom in letzter Zeit sehr schnell auf Kritik und Hinweise reagiert und mögliche Schwachstellen geschlossen. Insbesondere die Version 5.0 hat wesentliche neue Sicherheitsfeatures bekommen, u.a. eine sehr starke Verschlüsselung mit 256-Bits. Der Anbieter hat die hohe Bedeutung des Themas gerade für europäische Nutzer*innen mittlerweile erkannt und bemüht sich durch zahlreiche Maßnahmen um eine verbesserte Transparenz und das Vertrauen der Nutzer*innen.
Wir halten die Nutzung von Zoom über die UR-Lizenz aus folgenden Gründen für vertretbar:
Die Datenschutzerklärung für die Nutzung von Zoom an der UR finden Sie unter folgendem Link: Datenschutzerklärung zu Zoom
Wir möchten in diesem Zusammenhang auch auf die wirklich umfangreichen Informationen der am RZ der Universität Würzburg beheimateten Stabsstelle IT-Recht für die bayerischen staatlichen Hochschulen und Universitäten zum Thema Zoom hinweisen: Zoom – Stellungnahme zu Schwachstellen
Es stimmt auch, dass in jüngster Vergangenheit tatsächlich viele Schwachstellen entdeckt wurden. Zoom hat diese Fehler zeitnah geschlossen und setzt nach eigenen Angaben nun mehr Entwicklerressourcen für die Verbesserung der Sicherheit und Datenschutz ein. Für alle, die aus diesem Grund Bedenken hinsichtlich der Nutzung von Zoom haben, bietet das RZ verschiedene an, die vom RZ selbst oder dem DFN betrieben werden. Diese unterscheiden sich jedoch im Hinblick auf Funktionsumfang und Qualität von Zoom und eignen sich daher eher für Besprechungen mit wenigen Teilnehmern.
Neben Zoom bietet das RZ auch Alternativen an: DFNconf und Jitsi
Wir empfehlen Zoom (wie bereits in der Vergangenheit geschrieben) für die Lehre, empfehlen allerdings auch, kritische Informationen (Personalangelegenheiten, Dienstgeheimnisse etc.) nicht über Zoom zu verbreiten. Hierfür stehen andere Plattformen (z.B. DFN Conf, aktuell mit Skalierungsschwierigkeiten innerhalb der Peak-Zeiten) zur Verfügung.
Ihre IT-Sicherheitsbeauftragte | Ihre Datenschutzbeauftragte |
Elena Maria Kellinghaus | Susanne Stingl |
Handlungsempfehlung: Sicherheitseinstellungen & -funktionen
Um die Sicherheit Ihres Zoom-Meetings zu erhöhen, sollten Sie beim Planen und Durchführen des Meetings je nach Einsatzgebiet (z.B. Vorlesung oder kleine Besprechung) folgende Einstellungen und Funktionen nutzen:
Handlungsempfehlung: Datenschutz
Bitte beachten Sie auch die folgenden datenschutzrechtlichen Empfehlungen:
Stellungsnahme & Handreichung in PDF-Form.
Diese Stellungnahme ist auch in der Rubrik "Datenschutz" zu finden.
Weitere wichtige Hinweise und Tipps zu Zoom finden sie hier.
Viren, Trojaner, Passwortklau – es gibt viele Bedrohungen für Ihr PC-Rechner und Ihrem Account. Mit ein paar Einstellungen, Zusatzprogrammen und Verhaltensregeln lässt sich die Sicherheit des dienstlichen PC deutlich erhöhen:
Handlungsempfehlung + Anleitungen zur PC-Sicherheit
Zum Schutz vor Viren muss auf jedem Rechner ein Virenscanner mit aktiver Auto-Update-Funktion installiert werden. Unser Rechenzentrum bietet das Produkt Sophos Endpoint Protection an.
Auf dienstlichen Rechnern muss Sophos Endpoint Protection installiert werden.
Auf PCs, die vom Rechenzentrum aus vorinstalliert wurden, auf Rechnern die mit unserem Installationsdienst installiert wurden, auf allen Leihgeräten und CIP-Pool-Rechnern ist Sophos Endpoint Protection bereits installiert.
Für die Nachinstallation oder die Neuinstallation auf einem Gerät ohne Virenschutz erfolgt der Download der Installationsdatei aus dem Softwarekatalog.
Sophos kann unter Windows und MacOS Systemen installiert werden.
Die Konfiguration des Virenscanners unter Windows wird vom zentralen RZ-Sophos Server vorgegeben. In folgendem Dokument finden Sie eine Erläuterung der RZ-Standard-Konfiguration mit Kurzbeschreibung der wichtigsten Funktionen: Sophos_Konfiguration-dt.pdf
Für bestimmte Einrichtungen (Klinik, UR Verwaltung) wurden eigene Installer erstellt, bei denen die Konfiguration vom Standard abweicht. In diesen Einrichtungen werden die Computer und damit auch die Sophos Installation von der lokalen IT-Abteilung verwaltet.
Auf privat genutzten Rechnern können Sie Sophos Home Premium verwenden.
Installieren Sie niemals mehrere Virenscanner gleichzeitig - das kann Ihr System zum Absturz bringen.
Viele PCs werden mit befristeten Virenscanner-Lizenzen ausgeliefert, z.B. mit 30-Tage-Testversionen. Nach Ablauf dieser Frist steht es Ihnen frei eine Lizenz für dieses Produkt zu erwerben oder ein anderes Produkt zu verwenden. Sie können dann beispielsweise den Sophos Anti-Virus installieren. Deinstallieren Sie jedoch immer erst andere Virenscanner, ehe Sie Sophos Anti-Virus installieren und führen Sie dabei immer einen Neustart des Systems durch, falls die Installationsroutinen dies fordern.
Unter Windows wird Ihnen im System Tray (in der Taskleiste in der Nähe der Uhrzeit) ein blau umrandetes weißes Schild mit blauem S angezeigt.
Unter MacOS finden Sie dieses Sophos Icon in der Finder-Leiste.
Nur ein wirklich aktuell gehaltener Virenscanner kann Sie effektiv vor Viren schützen. Deshalb bemühen wir uns, die Virenscanner-Engine und die Viren-Patterns so aktuell wie möglich zu halten. Bei jeder Änderung (der Patterns oder der Engine) sehen Sie, dass sich Sophos Anti-Virus automatisch aktualisiert. Das Rechenzentrum betreibt hierfür einen eigenen Sophos Server, der alle Rechner mit installiertem Sophos Virenscanner aktuell hält.
Unsere Netzlaufwerke und Dateidienste bieten Ihnen eine sichere Aufbewahrung Ihrer Daten, komfortable Möglichkeiten zum Teilen und ein ständiges Backup.
Hier finden Sie weitere Infromation zum Thema Speichermöglichkeiten:
Das vertrackte Problem mit komplexen Passwörtern:
Vielen Anwendern ist nicht bewusst, wie vielfältig die Konsequenzen sind, die bereits durch das Ausspähen oder Erraten eines einzelnen Kennwortes drohen. Viele Anwender benutzen Passwörter, die auf persönlichen Informationen wie dem eigenen Geburtstag beruhen und somit leichter zu merken sind. Das wissen auch Angreifer. Andere gängige Merkhilfen wie Namen von Haustieren oder Lebensgefährten finden sie ebenfalls mit geringem Aufwand heraus.
Handlungsempfehlung_Erstellen eines komplexen Passwortes
Darüber hinaus gibt es weitere wichtige Regeln zum Umgang mit Passwörtern, die Sie einhalten sollten:
Handlungsempfehlung zum sicheren Umgang mit Passwörtern
Erklärungen zu Sicherheits-Irrtümer - E-Mail Sicherheit
So manch "Fake"- E-Mail sieht täuschend echt aus. Jedoch gibt es einige Aspekte, die erkennen lassen, dass ein Cyberkrimmineller seine Angel ausgeworfen hat:
Handlungsempfehlungen um "Fake"- E-Mails zu erkennen
Jede Nacht werden Mailbox Inhalte auf Schaddateien (Viren/Phishing) gescannt. Untersucht werden die Inhalte der Inbox und Outbox (max. 3 Tage alt) - andere Ordner werden nicht erfasst.
Sollten Sie eine verdächtige E-Mail erhalten, belassen Sie diese E-Mail in Ihren Eingangsnachrichten/Inbox und warten Sie bitte 2-3 Tage mit dem Öffnen der E-Mail. Ist die E-Mail, nach der Wartezeit, immer noch in Ihrer Mailbox, dann ist es wahrscheinlich keine schädliche E-Mail.
Wenn Sie sich nicht sicher sind, ob Sie auf eine Fake-Mail hereingefallen sind, so melden Sie dies bitte umgehend, um den Schaden so minimal wie möglich zu halten:
Die Support Mitarbeiter helfen Ihnen bei Ihrem Problem und schalten ggfs. den IT-SB/DSB ein.
Handlungsempfehlung Fake-E-Mails melden
Der Begriff „Cybercrime steht als international einheitliche Beschreibung für Computerkriminalität und umfasst alle Straftaten, die unter Ausnutzung der Informations- und Kommunikationstechnik oder gegen diese gegangen werden; am häufigsten unter Verwendung des Tatmittels Internet und E-Mail.
Cybercrime wird ein immer lukrativeres Geschäft. Nicht nur Weltkonzerne werden Opfer von Datenklau, Computersabotage oder Computerbetrug, sondern auch die Universitäten rücken immer mehr in den Fokus von Cyberkriminellen. Die Cyberkriminellen haben es heute nicht nur auf neue Entwicklung oder Wissensinterna abgesehen. Oft wollen sie den Betroffenen auch finanziell schaden oder das Image negativ beeinflussen.
Handlungsempfehlung_ Cyberkriminalität - Richtiges Verhalten bei IT-Sicherheitsvorfälle
Phishing, Viren, Internetbetrug – es gibt viele Risiken bei der Internetnutzung. Wer jedoch Schutzmöglichkeiten ergreift, kann unbesorgt die digitale Welt erkunden.
Handlungsempfehlung_Internetgefahren sicher begegnen
Auch wenn Sie sich nicht ganz sicher sind, ob ein IT-Sicherheitsvorfall vorliegt, melden Sie diesen bitte umgehend, um den Schaden so minimal wie möglich zu halten.
Benötigen Sie als Bediensteter einen persönlichen Ansprechpartner, so wenden Sie sich bitte an Ihren zuständigen Workgroupmanager. Dieser kann Sie Vor-Ort unterstützen und kontaktiert den Support und ggfs. den IT-Sicherheitsbeauftragten (IT-SB) und den Datenschutzbeauftragten (DSB).
Sollten Sie Ihren Workgroupmanager nicht erreichen können, so kontaktieren Sie unseren RZ-Support:
Die Support Mitarbeiter helfen Ihnen bei Ihrem Problem und schalten ggfs. den IT-SB/DSB ein.