Anmeldung von einem unbekannten Gerät - Was ist zu tun?: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
| (45 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
[[Category:Sicherheit]] | [[Category:Sicherheit]] | ||
[[Registration from an unknown device - What to do?|ENGLISH VERSION]] | |||
Seit dem [https://blogs.uni-bielefeld.de/blog/bisnews/entry/umstellung-des-bis-logins-auf 21. August 2024] verschickt das Loginsystem Benachrichtigungen, wenn Sie sich zum ersten Mail auf einem Gerät anmelden. In dieser Seite finden Sie Antworten zu den folgenden Fragen: | Seit dem [https://blogs.uni-bielefeld.de/blog/bisnews/entry/umstellung-des-bis-logins-auf 21. August 2024] verschickt das Loginsystem Benachrichtigungen, wenn Sie sich zum ersten Mail auf einem Gerät anmelden. In dieser Seite finden Sie Antworten zu den folgenden Fragen: | ||
* Warum bekomme ich diese E-Mails? | * Warum bekomme ich diese E-Mails? | ||
* Wann bekomme ich diese E-Mails? | * Wann bekomme ich diese E-Mails? | ||
* Wie kann ich | * Wie kann ich prüfen, ob diese E-Mails echt sind? | ||
* Wie kann ich beurteilen, ob ein Login von mir selbst der Auslöser war? | * Wie kann ich beurteilen, ob ein Login von mir selbst der Auslöser war? | ||
* Ich vermute, jemand anderes hat sich mit meinen Logindaten angemeldet. Was tue ich | * Ich vermute, jemand anderes hat sich mit meinen Logindaten angemeldet. Was tue ich zuerst? | ||
* Warum sollte sich jemand unter meinem Namen anmelden wollen? | * Warum sollte sich jemand unter meinem Namen anmelden wollen? | ||
* Warum bekomme ich diese E-Mails, obwohl ich immer das gleiche Gerät verwende? | * Warum bekomme ich diese E-Mails, obwohl ich immer das gleiche Gerät verwende? | ||
* Kann ich diese Benachrichtigungen abstellen? | * Kann ich diese Benachrichtigungen abstellen? | ||
* An wen kann ich mich bei weiteren Fragen werden? | |||
== Warum bekomme ich diese E-Mails? Um einen Passwortdiebstahl stoppen zu können! == | == Warum bekomme ich diese E-Mails? Um einen Passwortdiebstahl stoppen zu können! == | ||
Durch die Benachrichtigungen sollen Sie in die Lage versetzt werden einen '''Diebstahl Ihrer Logindaten erkennen und stoppen''' zu können. Vor der Einführung dieser Benachrichtigungen konnte nur ein regelmäßiger Blick in die Seite '[[Mein Account]]' Ihnen verraten, dass sich jemand in Ihrem Namen in den IT-Systeme der Universität bewegt. | Durch die Benachrichtigungen sollen Sie in die Lage versetzt werden einen '''Diebstahl Ihrer Logindaten erkennen und stoppen''' zu können. Vor der Einführung dieser Benachrichtigungen konnte nur ein regelmäßiger Blick in die Seite '[[Mein Account]]' Ihnen verraten, dass sich jemand in Ihrem Namen in den IT-Systeme der Universität bewegt. | ||
Durch die aktive Benachrichtigung wird die Chance erhöht einen erfolgreichen Angriff auf Ihr Login schnell zu bemerken und bei entsprechendem Handeln sofort zu kontern. Im besten Fall sehen Sie diese E-Mail | Durch die aktive Benachrichtigung wird die Chance erhöht einen erfolgreichen Angriff auf Ihr Login schnell zu bemerken und bei entsprechendem Handeln sofort zu kontern. Im besten Fall sehen Sie diese E-Mail unmittelbar nach dem fremden Login, folgen den Hinweisen darin, und sperren so die Angreifer gleich wieder aus, bevor diese Schaden anrichten oder Sie selbst aus Ihrem Konto aussperren können. | ||
== Wann bekomme ich diese E-Mails? Beim ersten Login auf jedem Gerät == | == Wann bekomme ich diese E-Mails? Beim ersten Login auf jedem Gerät == | ||
Grundsätzlich werden die Benachrichtigungen nur dann verschickt, wenn mit Ihren Logindaten ein Login durchgeführt und dabei das richtige Passwort | Grundsätzlich werden die Benachrichtigungen nur dann verschickt, wenn mit Ihren Logindaten ein Login durchgeführt und dabei das richtige Passwort verwendet wurde. Fehlerhafte Logins führen erst zu einer Benachrichtigung, wenn dadurch eine [[Mein Account#Temporäre Sperrung ihres Logins|temporäre Sperrung]] ihres Logins ausgelöst wurde. | ||
Die Benachrichtigungen sollen '''seltene Ereignisse''' sein, damit sie - wenn sie auftreten - zu etwas besonderem werden und Beachtung finden. Würde das Loginsystem bei jedem Login eine Benachrichtigung verschicken, dann würden diese E-Mails vermutlich schnell ignoriert. Es soll daher nur dann eine Benachrichtigung geschickt werden, wenn Sie sich '''auf einem Gerät zum ersten Mal''' anmelden. Spätere Anmeldungen lösen keine Benachrichtigungen mehr aus. | Die Benachrichtigungen sollen '''seltene Ereignisse''' sein, damit sie - wenn sie auftreten - zu etwas besonderem werden und Beachtung finden. Würde das Loginsystem bei jedem Login eine Benachrichtigung verschicken, dann würden diese E-Mails vermutlich schnell ignoriert. Es soll daher nur dann eine Benachrichtigung geschickt werden, wenn Sie sich '''auf einem Gerät zum ersten Mal''' anmelden. Spätere Anmeldungen lösen keine Benachrichtigungen mehr aus. | ||
=== Was ist mit 'Gerät' gemeint? === | === Was ist mit 'Gerät' gemeint? === | ||
Der Begriff des 'Geräts' ist dabei aus technischen Gründen nicht ganz einfach zu definieren, aber vereinfacht kann man sagen, ein 'Gerät' ist ein bestimmter Webbrowser (z. B. Safari oder Chrome) auf einem bestimmten Computer (also Ihrem Laptop oder Smartphone). Wenn Sie sich auf dem gleichen Computer mit zwei unterschiedlichen | Der Begriff des 'Geräts' ist dabei aus technischen Gründen nicht ganz einfach zu definieren, aber vereinfacht kann man sagen, ein 'Gerät' ist ein bestimmter Webbrowser (z. B. Safari oder Chrome) auf einem bestimmten Computer (also Ihrem Laptop oder Smartphone). Wenn Sie sich auf dem gleichen Computer mit zwei unterschiedlichen Webbrowsern anmelden, so sind dies aus Sicht des Loginsystems zwei unterschiedliche Geräte. Auch wenn Sie sich in der [https://www.uni-bielefeld.de/themen/campus-support/bis-hilfeseiten/bis-app/ Meine Uni App] anmelden, so wird dies als Anmeldung auf einem 'neuen' Gerät gewertet. | ||
=== Ich verwende meinen Computer schon lange! Warum ist er dann ein neues Gerät? === | |||
Aus Sicht des Loginssystems zunächst einmal jedes Gerät neu, welches das Loginsystem zuvor noch nicht als bekanntes Gerät markieren konnte. Daher erhalten Sie auch dann so einen Sicherheitshinweis, wenn Sie einen Computer schon lange verwenden. Was die genauen technischen Hintergründe sind - Stichwort 'Cookies' - wird in einem späteren Abschnitt beschrieben. | |||
=== Auf meinem Computer melden sich auch andere Person an. Führt das zu Problemen? === | |||
Wenn Sie sich Ihren Rechner teilen und mehrere Personen sich drauf anmelden, so stellt dies kein Problem dar. Die Kennzeichnung eines Geräts als bekanntes Gerät bezieht sich jeweils auf konkrete Nutzer*innen. Wenn Sie also einer Kommilitonin gestatten auf Ihrem Rechner schnell einmal ihren eKVV Stundenplan einzusehen, so wird sie eine Benachrichtigung über ein Login auf einem neuen Gerät erhalten, für Sie ändert sich hingegen nichts. | |||
== Wie kann ich prüfen, ob diese E-Mails echt sind? == | |||
Nahezu jede*r erhält mehr oder weniger häufig gefälschte E-Mails, die dazu verleiten sollen die eigenen Logindaten auf einer fremden Webseite einzugeben, wo sie dann gestohlen werden. Das nennt sich '''Phishing''' und dazu finden Sie in folgenden Absätzen noch weitere Informationen. Wenn Sie sich die Frage stellen, ob eine E-Mail mit einer Sicherheitswarnung wirklich von den IT-Systemen der Universität geschickt wurde, dann zeigt dies schon mal, dass Sie für diese Gefahr sensibilisiert sind! | |||
'''Leider lässt sich fast alles an einer E-Mail fälschen''', daher ist es nicht völlig sicher die folgenden Merkmale zu prüfen: | |||
* Betreff: Die vom System verschickten E-Mails haben heute (August 2024) diesen Betreff: | |||
<blockquote>''Sicherheitshinweis: Ein neues Gerät hat sich auf Ihrem Universitätskonto angemeldet''</blockquote>Wir nennen hier bewusst nicht den weiteren Inhalt der E-Mail damit Personen, die versuchen unsere E-Mails nachzuahmen, nicht direkt eine Vorlage haben. | |||
* Absendeadresse: Die Absendeadresse endet auf ''@ekvv.uni-bielefeld.de'' | |||
* Links: In der E-Mail werden nur Links geschickt, die auf ''uni-bielefeld.de'' enden. Aber Achtung: Es ist einfach sehr ähnlich aussehende Links zu gestalten, oder durch Tricks in der Formatierung scheinbar eine ''uni-bielefeld.de'' Adresse anzubieten, während tatsächlich eine ganz andere Adresse dahinter liegt | |||
Wenn Sie ganz sicher gehen wollen, dann rufen Sie direkt diese Seite auf: | |||
https://login.uni-bielefeld.de/idp/fremdlogin | |||
Auf dieser Seite werden Ihnen die Schritte gezeigt, die Sie durchlaufen sollten, um einen fremden Zugriff wieder abzustellen. | |||
== Wie kann ich beurteilen, ob ein Login von mir selbst der Auslöser war? == | == Wie kann ich beurteilen, ob ein Login von mir selbst der Auslöser war? == | ||
Diese Frage ist meist '''am einfachsten über den Zeitpunkt''' zu beurteilen: In der zugeschickten E-Mail ist der Zeitpunkt dokumentiert, an dem das Login erfolgt ist. Erinnern sich, zu diesem Zeitpunkt eine Anmeldung vorgenommen zu haben? Falls Sie sich nicht mehr genau erinnern, dann können Sie | Diese Frage ist entscheidend für Ihr weiteres Vorgehen und meist '''am einfachsten über den Zeitpunkt''' zu beurteilen: In der zugeschickten E-Mail ist der Zeitpunkt dokumentiert, an dem das Login erfolgt ist. Erinnern Sie sich, zu diesem Zeitpunkt eine Anmeldung vorgenommen zu haben? Falls Sie sich nicht mehr genau erinnern, dann können Sie in der Seite '[[Mein Account]]' ihren Loginverlauf der letzten Tage sehen. | ||
Es gibt noch weitere Hinweise: | |||
=== Betriebssystem und Webbrowser === | === Betriebssystem und Webbrowser === | ||
Weitere Merkmale sind die in der E-Mail | Weitere Merkmale sind die in der E-Mail mitgeschickten Informationen zum verwendeten Betriebssystem und Webbrowser, mit dem das Login vorgenommen wurde. Zwar können Angreifer diese Angaben fälschen und an die von Ihnen normalerweise verwendeten Geräte anpassen, aber sie können trotzdem ein Hinweis auf fremde Zugriffe sein. | ||
Allerdings gibt es auch Fälle, in denen diese Angaben irreführend sind: | |||
* Der Chrome Webbrowser gibt seit der sogn. [https://developers.google.com/privacy-sandbox/blog/user-agent-reduction-android-model-and-version?hl=de Reduzierung des User-Agents] nicht mehr in jedem Fall zutreffende Angaben für das Betriebssystem aus. So wird zum Beispiel unter Android immer die Version 10 ausgegeben. | |||
* Dann sind Beispiele bekannt, bei denen bestimmte, nicht von der Universität autorisierte Apps Logins in die IT-Systeme durchführen, und dabei ungewöhnliche Webbrowserbezeichnungen verwenden. | |||
* Ein weiterer Grund für abweichende Angaben können anonymisierende Webbrowser Erweiterungen sein. Siehe dazu unten mehr. | |||
In der Seite '[[Mein Account]]' können Sie im Abschnitt 'Mein Gerät' sehen, welche Angaben das System für Ihr gerade verwendetes Gerät ausgibt. Damit können Sie auf einfache Weise vergleichen, ob die Angaben in der E-Mail zu einem Ihrer Geräte passen. | |||
=== IP-Adresse === | === IP-Adresse === | ||
Eine weitere Angabe ist die sogn. IP-Adresse, die am Ende der E-Mail | Eine weitere Angabe ist die sogn. IP-Adresse, die am Ende der E-Mail angegeben wird. Die IP-Adresse ist die Internetadresse des Computers, von dem aus das Login erfolgt ist. Sie kann nicht gefälscht werden, ist aber nicht ganz einfach zu interpretieren. Dazu haben wir am Ende der Seite einen eigenen Abschnitt. | ||
Die IP-Adresse ist aber ggf. ein guter Ausgangspunkt für weitergehende Recherchen durch uns im Fall vermuteter Fremdzugriffe und kann dazu dienen ein Bild des potentiellen Schadens zu erhalten. | |||
=== Bezeichnung des Rechners === | |||
Hier wird die zur IP-Adresse gehörende Bezeichnung des Computers angezeigt. In technischer Hinsicht wird dazu eine Anfrage an das sogn. [https://de.wikipedia.org/wiki/Domain_Name_System Domain Name System (DNS)] gestellt. Diese Bezeichnung kann unter Umständen auch etwas kryptisch sein, gerade bei automatisch vergebenen Rechnerbezeichnungen. Diese sind zum Beispiel bei der Verwendung eines WLANs üblich. | |||
Diese Angabe kann Ihnen aber insbesondere dabei helfen zu entscheiden, ob das Login von einem Rechner im Netzwerk der Universität kam: In diesem Fall wird die Bezeichnung auf ''uni-bielefeld.de'' enden. Bei anderen Internetprovidern findet sich häufig im Namen auch ein Hinweis auf den Anbieter, der Ihnen einen Rückschluss erlauben kann, ob der Zugriff von Ihnen kam. | |||
Es können Fälle auftreten, bei denen das Loginsystem den Rechnernamen nicht ermitteln kann, weil kein entsprechender DNS Name verfügbar war. Hier wird dann ein entsprechender Hinweis gezeigt. | |||
=== Im Zweifelsfall: Link anklicken === | === Im Zweifelsfall: Link anklicken === | ||
Generell gilt: Wenn Sie nach einer Prüfung der E-Mail '''auch nur geringe Zweifel''' haben, dass das Login von Ihnen selbst durchgeführt wurde, so ist es das Sicherste den Link in der E-Mail zu klicken und den Hinweisen im folgenden Abschnitt zu folgen. Im schlimmsten Fall haben sie danach ein neues Passwort. Aber das Risiko vermieden, dass jemand in Ihrem Namen und mit Zugriff auf Ihre Daten in den IT-Systemen unterwegs ist. | Generell gilt: Wenn Sie nach einer Prüfung der E-Mail '''auch nur geringe Zweifel''' haben, dass das Login von Ihnen selbst durchgeführt wurde, so ist es das Sicherste den Link in der E-Mail zu klicken bzw. die Seite https://login.uni-bielefeld.de/idp/fremdlogin direkt aufzurufen und den Hinweisen im folgenden Abschnitt zu folgen. Im schlimmsten Fall haben sie danach ein neues Passwort. Aber auf jeden Fall das Risiko vermieden, dass jemand in Ihrem Namen und mit Zugriff auf Ihre oder die Ihnen anvertrauten Daten in den IT-Systemen der Universität unterwegs ist. | ||
== Ich vermute, jemand anderes hat sich mit meinen Logindaten angemeldet. Was tue ich zuerst? == | |||
Nun heißt es vor allem '''schnell handeln'''! Eine Person mit Ihrem Login kann sie jederzeit aus Ihrem Zugang aussperren und es ist deutlich schwerer, einen Zugang in fremder Hand wieder zurück zu gewinnen, als die Angreifer gleich wieder auszusperren. Der Ausgangspunkt ist die schon mehrfach genannte Seite | |||
https://login.uni-bielefeld.de/idp/fremdlogin | |||
bzw. der erste Link in der E-Mail, der mit dieser Adresse beginnt, aber noch einen langen Parameter angehängt hat. Wenn Sie den Link in der E-Mail aufrufen, so wird die Markierung, die das Gerät der fremder Person nun als bekanntes Gerät kennzeichnet, ungültig gemacht. | |||
Das Wichtigste ist aber '''das eigene Web-Passwort zu ändern''' und zwar auf dieser Seite: | |||
https://login.uni-bielefeld.de/kv/password | |||
Wenn Sie das erledigt haben, dann ist schon einmal ein wesentlicher Teil Ihrer IT-Konten an der Universität '''wieder sicher unter Ihrer Kontrolle'''. | |||
=== Weitere Passworte ändern: E-Mail, SAP und noch mehr === | |||
Sie sollten dann auch das Passwort für Ihr E-Mailkonto ändern und für den Windows-, VPN- und WLAN Zugriff. Das tun Sie im PRISMA Portal: | |||
https://prisma.uni-bielefeld.de/ | |||
Als Mitarbeitende sollte Sie auch das Passwort für Ihr SAP Konto ändern. Falls Sie das gestohlene Passwort auch in privat genutzten IT-Systemen verwendet haben, so sollten Sie es auch dort ändern. | |||
=== 2-Faktor-Authentifizierung aktivieren === | |||
Die {{2FA}} macht Ihr Login um einiges sicherer, da ein Angreifer nun nicht mehr nur Ihr Passwort braucht. Ist Ihr Zugang bereits einmal abhanden gekommen, so ist die Wahrscheinlichkeit hoch, dass Angreifer erneut versuchen werden sich Ihres Zugangs zu bemächtigen. Die 2-Faktor-Authentifizierung kann Sie gegen eine ganze Reihe von Angriffsmöglichkeiten auf Ihr Konto schützen und funktioniert ganz ähnlich, wie man es von anderen Internetdiensten gewohnt ist. | |||
=== Fremde Geräte ausschließen === | |||
Durch die Passwortänderung sollten alle Geräte, die Zugriff auf Ihr Konto hatten, wieder ausgesperrt sein. Es schadet aber nicht einen Blick in diese Seite zu werfen, die alle Geräte auflistet, die wie die ''Meine Uni'' App Zugriff haben: | |||
https://login.uni-bielefeld.de/idp/devices | |||
=== Mögliche Schäden beurteilen === | |||
Nachdem Sie Ihre Logins in die IT-Systeme gesichert haben und damit nun wieder die einzige Person sind, die sich unter Ihrem Namen anmelden kann, sollten Sie etwas Zeit investieren und prüfen, ob mit Ihrem Zugang illegitime Aktivitäten durchgeführt wurden. Es hängt etwas davon, welchen Status Sie haben, wo Risiken zu sehen sind: | |||
==== Loginhistorie ==== | |||
Sie sollten zuerst einen Blick in die Seite 'Mein Account' werden: | |||
https://login.uni-bielefeld.de/kv/ | |||
Prüfen Sie dort, welche Aktivitäten Ihnen unbekannt vorkommen. Das kann Ihnen einen Hinweis darauf geben, wie lange und in welchem Umfang diese Zugriffe stattgefunden haben. | |||
==== Das eigene E-Mailkonto ==== | |||
Hat jemand in Ihrem Namen E-Mails verschickt? Da sich E-Mails löschen lassen, ist diese Auswertung unter Umständen unvollständig. | |||
Eine perfidere und schwerer zu bereinigende Auswirkung eines Angriffs auf Ihr E-Mailkonto kann die Einrichtung von automatischen Weiterleitungen sein, durch die Angreifer auch nach der Änderung Ihres Passworts weiterhin Ihre E-Mails mitlesen können. Sie sollten hier die Einstellungen Ihres E-Mailkontos über den Webmailer prüfen: | |||
https://mail.uni-bielefeld.de/ | |||
==== Prüfungen für Studierende: eKVV ==== | |||
Für Studierende ist es insbesondere wichtig sicherzustellen, dass Klausur- und Prüfungsanmeldungen noch passen. Zumindest falls Sie in einem Fach studieren, bei dem solche Anmeldungen über das eKVV durchgeführt werden. Generell sollten Sie Ihren eKVV Stundenplan einmal prüfen. | |||
==== Prüfungen für Mitarbeitende ==== | |||
Für Mitarbeitende lässt sich nicht so einfach eine vollständige Auflistung aller potentiellen Schäden aufstellen, die Angreifer mit Ihrem Login verursacht haben könnten. Dies hängt es sehr von Ihren Aufgabenbereichen ab, daher ist diese Liste nur beispielhaft zu verstehen: | |||
* Lehrende: Prüfen Sie, ob im eKVV Leistungen in Veranstaltungen gemeldet wurden, die Sie sich nicht erklären können, oder Benotungen im E-Prüfungssystem | |||
* SAP: Wenn Sie weitergehende Berechtigungen in SAP haben sollten Sie die damit möglichen Vorgänge genauer prüfen | |||
== Warum sollte sich jemand unter meinem Namen anmelden wollen? == | == Warum sollte sich jemand unter meinem Namen anmelden wollen? == | ||
Diebstähle von Logindaten kommen immer wieder vor, insbesondere durch '''Phishing'''. In [https://www.uni-bielefeld.de/verwaltung/informationssicherheit/beschaeftigte/emails/ dieser Seite der Informationssicherheit] der Universität finden Sie weitergehende Beschreibungen dazu. | Diebstähle von Logindaten kommen immer wieder vor, insbesondere durch '''Phishing'''. In [https://www.uni-bielefeld.de/verwaltung/informationssicherheit/beschaeftigte/emails/ dieser Seite der Informationssicherheit] der Universität finden Sie weitergehende Beschreibungen dazu. Die Gründe sind zahlreich und hier nicht abschließend zu nennen. Die genannten Beispiele sind aber alle bereits an der Universität vorgekommen: | ||
* Spamversand: Der Besitz von E-Mailkonten ist für die Versender von Spam- und Phishingmails sehr wertvoll. Er ist um so wertvoller, je besser die Reputation einer E-Maildomäne wie ''@uni-bielefeld.de'' ist. Solche Angreifer interessieren sich normalerweise wenig für ihre persönlichen Daten, es geht darum möglichst viele unerwünschte E-Mails in die Welt senden zu können, bevor sie gestoppt werden. Diese Art von Angreifer gelangt oft durch Phishing an Ihre Logindaten. | |||
* Stalking: Jemand aus Ihrem unmittelbarem Umfeld versucht Sie zu überwachen bzw. an Informationen über Sie zu gelangen. In diesem Szenario kann es sein, dass diese Person umfangreiche Manipulationen an Ihren Geräten vornehmen konnte und auch nach einer erfolgten Passwortänderung möglicherweise auf diese Weise wieder Zugriff auf Ihre Konten bekommt. Die 2-Faktor-Authentifizierung kann hier einen besseren Schutz bieten und Sie sollten in den kommenden Tagen Ihre Loginhistorie im Blick behalten. | |||
* Nicht autorisierte Änderungen in den IT-Systemen: Wenn Sie kritische Berechtigungen in IT-Systemen haben, zum Beispiel als Prüfungsamt, können Sie aus diesem Grund zum Ziel von Angriffen auf Ihr Login werden. Hier geht es Angreifern darum, mit Ihren Berechtigungen Änderungen zu ihren Gunsten in den IT-Systemen durchzuführen. Hier gab es in der Vergangenheit Fälle, bei denen es sich um interne Täter handelte, die eine hohe kriminelle Energie gezeigt haben. | |||
* Verantwortung für Manipulationen auf andere schieben: Jemand möchte illegitime Manipulationen in den IT-Systemen durchführen, aber im Fall einer Entdeckung nicht dafür zur Verantwortung gezogen werden können. In diesem Szenario würden Sie zunächst als verantwortliche Person eingestuft, da Ihr Login verwendet wurde. | |||
* Industriespionage: An der Universität wird Forschung betrieben, und einige dieser Forschungsbereiche arbeiten in Feldern, in denen Industriespionage ein lohendes Geschäft ist. Hier hat man es möglicherweise mit sogn. APTs zu tun, [https://de.wikipedia.org/wiki/Advanced_Persistent_Threat Advanced Persistent Threats], also leistungsfähigen, immer wieder erneut angreifenden Akteuren, die sich von einem Misserfolg nicht abschrecken lassen. Besteht ein entsprechender Verdacht, so müssen unbedingt weitergehende Untersuchungen angestellt werden. | |||
== Warum bekomme ich diese E-Mails, obwohl ich immer das gleiche Gerät verwende? | == Warum bekomme ich diese E-Mails, obwohl ich immer das gleiche Gerät verwende? == | ||
Wie erkennt das Loginsystem, ob Sie sich schon mal auf Ihrem Laptop angemeldet hatten? Es gibt hier keine für uns nutzbare 'Kennnummer' etc., mit der sich Geräte wie Laptops oder Smartphones eindeutig identifizieren lassen. Das ist auch gut so, sonst würden sich Unternehmen, die im Internet Profile von Webseitenbesucher*innen anlegen, sofort darauf stürzen. | Wie erkennt das Loginsystem, ob Sie sich schon mal auf Ihrem Laptop angemeldet hatten? Es gibt hier keine für uns nutzbare 'Kennnummer' etc., mit der sich Geräte wie Laptops oder Smartphones eindeutig identifizieren lassen. Das ist auch gut so, sonst würden sich Unternehmen, die im Internet Profile von Webseitenbesucher*innen anlegen, sofort darauf stürzen. | ||
Das Loginsystem hat hier nur den Weg ein sogn. '''Cookie in Ihrem Webbrowser''' zu platzieren, und dadurch Ihr Gerät als bekanntes Gerät zu markieren. Das Cookie bezieht sich dabei auf Sie bzw. Ihr Login. Falls Sie Ihr Gerät mit anderen Nutzer*innen teilen, so wird für jede Person ein eigenes Cookie gesetzt. In dieser [https://blogs.uni-bielefeld.de/blog/bisnews/entry/umstellung-des-bis-logins-auf Meldung zur Einführung der Benachrichtigungen] haben wir im Detail beschrieben, wie diese Cookies genau aussehen und warum nur das Loginsystem in der Lage ist zu erkennen, zu welcher Person so ein Cookie gehört. | |||
Das Loginsystem wird Ihnen also immer dann eine Benachrichtigung über ein Login von einem neuen Gerät schicken, wenn es kein Cookie vorfindet. Ein Logout durch Sie führt dabei nicht dazu, dass dieses Cookie gelöscht wird. Aber u. a. in diesen Fällen kann es zu mehr Benachrichtigungen führen, als eigentlich gewollt: | |||
=== Nutzung von Inkognito / privatem Modus === | |||
Die meisten Webbrowser bieten heute einen Nutzungsmodus an, in dem keine Daten dauerhaft gespeichert werden. Die Bezeichnungen sind dabei unterschiedlich, so spricht man bei Firefox vom privaten Modus oder bei Chrome von Inkognito Modus. Mit der Beendigung dieses Modus werden insbesondere Cookies gelöscht. | |||
Wenn Sie Ihren Webbrowser in dieser Weise für Zugriffe auf die IT-Systeme der Universität verwenden, dann werden Sie jedes Mal eine Benachrichtigung erhalten. | |||
=== Webbrowsereinstellungen, die alle Cookies löschen === | |||
Einige Webbrowser bieten die Option, beim Beenden alle Cookies zu löschen, ganz unabhängig von der Art der Cookies. Wenn Sie so eine Option nutzen, dass hat dies den gleichen Effekt wie die Verwendung eines privaten Modus: Durch das dann fehlende Cookie erhalten Sie beim nächsten Login wieder eine Benachrichtigung. | |||
Zumindest bei Firefox kann man aber Ausnahmen festlegen, hier sollten Sie einstellen, dass Cookies von der Adresse des Loginsystems - ''login.uni-bielefeld.de'' - erhalten bleiben. | |||
=== Software, die Anonymität im Internet gewährleisten soll === | === Software, die Anonymität im Internet gewährleisten soll === | ||
| Zeile 57: | Zeile 166: | ||
* Einige dieser Produkte löschen regelmäßig alle Cookies, auch harmlose, wie sie durch unser Loginsystem gesetzt werden | * Einige dieser Produkte löschen regelmäßig alle Cookies, auch harmlose, wie sie durch unser Loginsystem gesetzt werden | ||
* Zusätzlich versuchen manche Produkte die Eigenschaften des Webbrowsers zu manipulieren, zum Beispiel die Version, mit der sich ein Webbrowser bezeichnet. Dies kann dazu führen, dass unser Loginsystem vermutet, dass das Cookie gestohlen wurde und auf einem fremden Rechner gelandet ist | * Zusätzlich versuchen manche Produkte die Eigenschaften des Webbrowsers zu manipulieren, zum Beispiel die Version, mit der sich ein Webbrowser bezeichnet. Dies kann dazu führen, dass unser Loginsystem vermutet, dass das Cookie gestohlen wurde und auf einem fremden Rechner gelandet ist. Auch werden in diesem Fall in den E-Mails mit Sicherheitshinweisen sehr unterschiedliche und unplausible Angaben zu den verwendeten Betriebssystemen und Webbrowsern erscheinen | ||
=== Externe Apps === | |||
Es gibt verschiedene externe Anbieter, die insbesondere Studierenden Apps anbieten, die die Organisation des Studiums erleichtern sollen. Hier ist zunächst zu sagen, dass dies keine von der Universität unterstützen Angebote sind. Offizielle Apps sind nur die ''Meine Uni'' App und die ''UniMaps'' App. | |||
Die externen Apps fragen normalerweise nach Ihrem Login, damit Sie sich in Ihrem Namen an den IT-Systemen der Universität anmelden und Ihre Daten abfragen können. Das tun diese Apps auch ohne Ihr aktives Zutun, um immer aktuelle Daten zu haben. Je nachdem, wie diese Apps programmiert sind, kann dadurch jedes Mal eine Benachrichtigung ausgelöst werden. | |||
Die Angaben zum Webbrowser und Betriebssystem, die Sie in der Benachrichtigungsmails finden, sind hier leider oft irreführend und geben keinen klaren Hinweis darauf, dass der Zugriff von einer App gemacht wurde. | |||
=== Lange nicht mehr verwendete Geräte === | |||
Das Cookie, welches ein Gerät als bekanntes Gerät markiert, hat keine unbegrenzte Lebensdauer, es wird aber bei jedem Login wieder erneuert. Wenn Sie ein Gerät über einen langen Zeitraum nicht mehr verwendet haben, dann verfällt das Cookie irgendwann. | |||
=== Was kann ich tun, um die Anzahl der Benachrichtigungen zu reduzieren === | |||
Dies hängt sehr davon ab, aus welchen Gründen die vom Loginsystem gesetzten Cookies immer wieder gelöscht werden. Je nachdem, welcher der zuvor genannten Gründe zutritt, muss unterschiedlich gehandelt werden. Falls es möglich ist, in der von Ihnen eingesetzten Software Ausnahmen für bestimmte Webseiten einzurichten, so sollten Sie hier eine Ausnahme für die Internetdomäne ''login.uni-bielefeld.de'' einstellen, damit die vom Loginsystem gesetzten Cookies verschont bleiben. | |||
== Kann ich diese Benachrichtigungen abstellen? == | |||
Aus Sicherheitsgründen lassen sich diese Benachrichtigungen nicht abstellen. Sie werden immer an die [[Mein Account#E-Mailadresse für sicherheitsrelevante Informationen|E-Mailadresse für sicherheitsrelevante Informationen]] verschickt. | |||
== An wen kann ich mich bei weiteren Fragen werden? == | |||
Falls Sie unsicher sind, wie Sie mit so einem Vorfall weiter umgehen sollen, wenden Sie sich gerne an den {{BISKontakt|Support}}. Sie sollten uns hier gleich auch eine der E-Mails zur Verfügung stellen, die Sie vom System erhalten haben. Und uns die Erlaubnis geben, weitergehende Recherchen in Ihren Logindaten durchzuführen. | |||
== Weitere Punkte == | |||
=== Wie kann ich eine IP-Adresse überprüfen === | |||
In der Seite '[[Mein Account]]' können Sie im Abschnitt 'Mein Gerät' sehen, mit welcher IP-Adresse Ihr gerade verwendetes Gerät auf das Loginsystem zugreift. | |||
Gerade wenn Sie mobil unterwegs sind, sowohl in einem WLAN wie in einem Mobilfunknetz, wird sich ihre IP-Adresse aber u. U. schnell ändern und es ist dann nicht mehr möglich nachzuvollziehen, ob eine IP-Adresse früher einmal Ihrem Rechner zugeordnet war. Auch die Verwendung eines VPNs ändert ihre IP-Adresse. | |||
Trotzdem kann ein Vergleich der IP-Adresse in einer Benachrichtigungsmails mit der aktuell in ''Mein Account'' gezeigten Adresse Hinweise geben, insbesondere wenn Sie schnell auf eine Benachrichtigung reagieren. | |||
Aktuelle Version vom 10. September 2024, 23:48 Uhr
Seit dem 21. August 2024 verschickt das Loginsystem Benachrichtigungen, wenn Sie sich zum ersten Mail auf einem Gerät anmelden. In dieser Seite finden Sie Antworten zu den folgenden Fragen:
- Warum bekomme ich diese E-Mails?
- Wann bekomme ich diese E-Mails?
- Wie kann ich prüfen, ob diese E-Mails echt sind?
- Wie kann ich beurteilen, ob ein Login von mir selbst der Auslöser war?
- Ich vermute, jemand anderes hat sich mit meinen Logindaten angemeldet. Was tue ich zuerst?
- Warum sollte sich jemand unter meinem Namen anmelden wollen?
- Warum bekomme ich diese E-Mails, obwohl ich immer das gleiche Gerät verwende?
- Kann ich diese Benachrichtigungen abstellen?
- An wen kann ich mich bei weiteren Fragen werden?
Warum bekomme ich diese E-Mails? Um einen Passwortdiebstahl stoppen zu können!
Durch die Benachrichtigungen sollen Sie in die Lage versetzt werden einen Diebstahl Ihrer Logindaten erkennen und stoppen zu können. Vor der Einführung dieser Benachrichtigungen konnte nur ein regelmäßiger Blick in die Seite 'Mein Account' Ihnen verraten, dass sich jemand in Ihrem Namen in den IT-Systeme der Universität bewegt.
Durch die aktive Benachrichtigung wird die Chance erhöht einen erfolgreichen Angriff auf Ihr Login schnell zu bemerken und bei entsprechendem Handeln sofort zu kontern. Im besten Fall sehen Sie diese E-Mail unmittelbar nach dem fremden Login, folgen den Hinweisen darin, und sperren so die Angreifer gleich wieder aus, bevor diese Schaden anrichten oder Sie selbst aus Ihrem Konto aussperren können.
Wann bekomme ich diese E-Mails? Beim ersten Login auf jedem Gerät
Grundsätzlich werden die Benachrichtigungen nur dann verschickt, wenn mit Ihren Logindaten ein Login durchgeführt und dabei das richtige Passwort verwendet wurde. Fehlerhafte Logins führen erst zu einer Benachrichtigung, wenn dadurch eine temporäre Sperrung ihres Logins ausgelöst wurde.
Die Benachrichtigungen sollen seltene Ereignisse sein, damit sie - wenn sie auftreten - zu etwas besonderem werden und Beachtung finden. Würde das Loginsystem bei jedem Login eine Benachrichtigung verschicken, dann würden diese E-Mails vermutlich schnell ignoriert. Es soll daher nur dann eine Benachrichtigung geschickt werden, wenn Sie sich auf einem Gerät zum ersten Mal anmelden. Spätere Anmeldungen lösen keine Benachrichtigungen mehr aus.
Was ist mit 'Gerät' gemeint?
Der Begriff des 'Geräts' ist dabei aus technischen Gründen nicht ganz einfach zu definieren, aber vereinfacht kann man sagen, ein 'Gerät' ist ein bestimmter Webbrowser (z. B. Safari oder Chrome) auf einem bestimmten Computer (also Ihrem Laptop oder Smartphone). Wenn Sie sich auf dem gleichen Computer mit zwei unterschiedlichen Webbrowsern anmelden, so sind dies aus Sicht des Loginsystems zwei unterschiedliche Geräte. Auch wenn Sie sich in der Meine Uni App anmelden, so wird dies als Anmeldung auf einem 'neuen' Gerät gewertet.
Ich verwende meinen Computer schon lange! Warum ist er dann ein neues Gerät?
Aus Sicht des Loginssystems zunächst einmal jedes Gerät neu, welches das Loginsystem zuvor noch nicht als bekanntes Gerät markieren konnte. Daher erhalten Sie auch dann so einen Sicherheitshinweis, wenn Sie einen Computer schon lange verwenden. Was die genauen technischen Hintergründe sind - Stichwort 'Cookies' - wird in einem späteren Abschnitt beschrieben.
Auf meinem Computer melden sich auch andere Person an. Führt das zu Problemen?
Wenn Sie sich Ihren Rechner teilen und mehrere Personen sich drauf anmelden, so stellt dies kein Problem dar. Die Kennzeichnung eines Geräts als bekanntes Gerät bezieht sich jeweils auf konkrete Nutzer*innen. Wenn Sie also einer Kommilitonin gestatten auf Ihrem Rechner schnell einmal ihren eKVV Stundenplan einzusehen, so wird sie eine Benachrichtigung über ein Login auf einem neuen Gerät erhalten, für Sie ändert sich hingegen nichts.
Wie kann ich prüfen, ob diese E-Mails echt sind?
Nahezu jede*r erhält mehr oder weniger häufig gefälschte E-Mails, die dazu verleiten sollen die eigenen Logindaten auf einer fremden Webseite einzugeben, wo sie dann gestohlen werden. Das nennt sich Phishing und dazu finden Sie in folgenden Absätzen noch weitere Informationen. Wenn Sie sich die Frage stellen, ob eine E-Mail mit einer Sicherheitswarnung wirklich von den IT-Systemen der Universität geschickt wurde, dann zeigt dies schon mal, dass Sie für diese Gefahr sensibilisiert sind!
Leider lässt sich fast alles an einer E-Mail fälschen, daher ist es nicht völlig sicher die folgenden Merkmale zu prüfen:
- Betreff: Die vom System verschickten E-Mails haben heute (August 2024) diesen Betreff:
Sicherheitshinweis: Ein neues Gerät hat sich auf Ihrem Universitätskonto angemeldet
Wir nennen hier bewusst nicht den weiteren Inhalt der E-Mail damit Personen, die versuchen unsere E-Mails nachzuahmen, nicht direkt eine Vorlage haben.
- Absendeadresse: Die Absendeadresse endet auf @ekvv.uni-bielefeld.de
- Links: In der E-Mail werden nur Links geschickt, die auf uni-bielefeld.de enden. Aber Achtung: Es ist einfach sehr ähnlich aussehende Links zu gestalten, oder durch Tricks in der Formatierung scheinbar eine uni-bielefeld.de Adresse anzubieten, während tatsächlich eine ganz andere Adresse dahinter liegt
Wenn Sie ganz sicher gehen wollen, dann rufen Sie direkt diese Seite auf:
https://login.uni-bielefeld.de/idp/fremdlogin
Auf dieser Seite werden Ihnen die Schritte gezeigt, die Sie durchlaufen sollten, um einen fremden Zugriff wieder abzustellen.
Wie kann ich beurteilen, ob ein Login von mir selbst der Auslöser war?
Diese Frage ist entscheidend für Ihr weiteres Vorgehen und meist am einfachsten über den Zeitpunkt zu beurteilen: In der zugeschickten E-Mail ist der Zeitpunkt dokumentiert, an dem das Login erfolgt ist. Erinnern Sie sich, zu diesem Zeitpunkt eine Anmeldung vorgenommen zu haben? Falls Sie sich nicht mehr genau erinnern, dann können Sie in der Seite 'Mein Account' ihren Loginverlauf der letzten Tage sehen.
Es gibt noch weitere Hinweise:
Betriebssystem und Webbrowser
Weitere Merkmale sind die in der E-Mail mitgeschickten Informationen zum verwendeten Betriebssystem und Webbrowser, mit dem das Login vorgenommen wurde. Zwar können Angreifer diese Angaben fälschen und an die von Ihnen normalerweise verwendeten Geräte anpassen, aber sie können trotzdem ein Hinweis auf fremde Zugriffe sein.
Allerdings gibt es auch Fälle, in denen diese Angaben irreführend sind:
- Der Chrome Webbrowser gibt seit der sogn. Reduzierung des User-Agents nicht mehr in jedem Fall zutreffende Angaben für das Betriebssystem aus. So wird zum Beispiel unter Android immer die Version 10 ausgegeben.
- Dann sind Beispiele bekannt, bei denen bestimmte, nicht von der Universität autorisierte Apps Logins in die IT-Systeme durchführen, und dabei ungewöhnliche Webbrowserbezeichnungen verwenden.
- Ein weiterer Grund für abweichende Angaben können anonymisierende Webbrowser Erweiterungen sein. Siehe dazu unten mehr.
In der Seite 'Mein Account' können Sie im Abschnitt 'Mein Gerät' sehen, welche Angaben das System für Ihr gerade verwendetes Gerät ausgibt. Damit können Sie auf einfache Weise vergleichen, ob die Angaben in der E-Mail zu einem Ihrer Geräte passen.
IP-Adresse
Eine weitere Angabe ist die sogn. IP-Adresse, die am Ende der E-Mail angegeben wird. Die IP-Adresse ist die Internetadresse des Computers, von dem aus das Login erfolgt ist. Sie kann nicht gefälscht werden, ist aber nicht ganz einfach zu interpretieren. Dazu haben wir am Ende der Seite einen eigenen Abschnitt.
Die IP-Adresse ist aber ggf. ein guter Ausgangspunkt für weitergehende Recherchen durch uns im Fall vermuteter Fremdzugriffe und kann dazu dienen ein Bild des potentiellen Schadens zu erhalten.
Bezeichnung des Rechners
Hier wird die zur IP-Adresse gehörende Bezeichnung des Computers angezeigt. In technischer Hinsicht wird dazu eine Anfrage an das sogn. Domain Name System (DNS) gestellt. Diese Bezeichnung kann unter Umständen auch etwas kryptisch sein, gerade bei automatisch vergebenen Rechnerbezeichnungen. Diese sind zum Beispiel bei der Verwendung eines WLANs üblich.
Diese Angabe kann Ihnen aber insbesondere dabei helfen zu entscheiden, ob das Login von einem Rechner im Netzwerk der Universität kam: In diesem Fall wird die Bezeichnung auf uni-bielefeld.de enden. Bei anderen Internetprovidern findet sich häufig im Namen auch ein Hinweis auf den Anbieter, der Ihnen einen Rückschluss erlauben kann, ob der Zugriff von Ihnen kam.
Es können Fälle auftreten, bei denen das Loginsystem den Rechnernamen nicht ermitteln kann, weil kein entsprechender DNS Name verfügbar war. Hier wird dann ein entsprechender Hinweis gezeigt.
Im Zweifelsfall: Link anklicken
Generell gilt: Wenn Sie nach einer Prüfung der E-Mail auch nur geringe Zweifel haben, dass das Login von Ihnen selbst durchgeführt wurde, so ist es das Sicherste den Link in der E-Mail zu klicken bzw. die Seite https://login.uni-bielefeld.de/idp/fremdlogin direkt aufzurufen und den Hinweisen im folgenden Abschnitt zu folgen. Im schlimmsten Fall haben sie danach ein neues Passwort. Aber auf jeden Fall das Risiko vermieden, dass jemand in Ihrem Namen und mit Zugriff auf Ihre oder die Ihnen anvertrauten Daten in den IT-Systemen der Universität unterwegs ist.
Ich vermute, jemand anderes hat sich mit meinen Logindaten angemeldet. Was tue ich zuerst?
Nun heißt es vor allem schnell handeln! Eine Person mit Ihrem Login kann sie jederzeit aus Ihrem Zugang aussperren und es ist deutlich schwerer, einen Zugang in fremder Hand wieder zurück zu gewinnen, als die Angreifer gleich wieder auszusperren. Der Ausgangspunkt ist die schon mehrfach genannte Seite
https://login.uni-bielefeld.de/idp/fremdlogin
bzw. der erste Link in der E-Mail, der mit dieser Adresse beginnt, aber noch einen langen Parameter angehängt hat. Wenn Sie den Link in der E-Mail aufrufen, so wird die Markierung, die das Gerät der fremder Person nun als bekanntes Gerät kennzeichnet, ungültig gemacht.
Das Wichtigste ist aber das eigene Web-Passwort zu ändern und zwar auf dieser Seite:
https://login.uni-bielefeld.de/kv/password
Wenn Sie das erledigt haben, dann ist schon einmal ein wesentlicher Teil Ihrer IT-Konten an der Universität wieder sicher unter Ihrer Kontrolle.
Weitere Passworte ändern: E-Mail, SAP und noch mehr
Sie sollten dann auch das Passwort für Ihr E-Mailkonto ändern und für den Windows-, VPN- und WLAN Zugriff. Das tun Sie im PRISMA Portal:
https://prisma.uni-bielefeld.de/
Als Mitarbeitende sollte Sie auch das Passwort für Ihr SAP Konto ändern. Falls Sie das gestohlene Passwort auch in privat genutzten IT-Systemen verwendet haben, so sollten Sie es auch dort ändern.
2-Faktor-Authentifizierung aktivieren
Die 2-Faktor-Authentifizierung macht Ihr Login um einiges sicherer, da ein Angreifer nun nicht mehr nur Ihr Passwort braucht. Ist Ihr Zugang bereits einmal abhanden gekommen, so ist die Wahrscheinlichkeit hoch, dass Angreifer erneut versuchen werden sich Ihres Zugangs zu bemächtigen. Die 2-Faktor-Authentifizierung kann Sie gegen eine ganze Reihe von Angriffsmöglichkeiten auf Ihr Konto schützen und funktioniert ganz ähnlich, wie man es von anderen Internetdiensten gewohnt ist.
Fremde Geräte ausschließen
Durch die Passwortänderung sollten alle Geräte, die Zugriff auf Ihr Konto hatten, wieder ausgesperrt sein. Es schadet aber nicht einen Blick in diese Seite zu werfen, die alle Geräte auflistet, die wie die Meine Uni App Zugriff haben:
https://login.uni-bielefeld.de/idp/devices
Mögliche Schäden beurteilen
Nachdem Sie Ihre Logins in die IT-Systeme gesichert haben und damit nun wieder die einzige Person sind, die sich unter Ihrem Namen anmelden kann, sollten Sie etwas Zeit investieren und prüfen, ob mit Ihrem Zugang illegitime Aktivitäten durchgeführt wurden. Es hängt etwas davon, welchen Status Sie haben, wo Risiken zu sehen sind:
Loginhistorie
Sie sollten zuerst einen Blick in die Seite 'Mein Account' werden:
https://login.uni-bielefeld.de/kv/
Prüfen Sie dort, welche Aktivitäten Ihnen unbekannt vorkommen. Das kann Ihnen einen Hinweis darauf geben, wie lange und in welchem Umfang diese Zugriffe stattgefunden haben.
Das eigene E-Mailkonto
Hat jemand in Ihrem Namen E-Mails verschickt? Da sich E-Mails löschen lassen, ist diese Auswertung unter Umständen unvollständig.
Eine perfidere und schwerer zu bereinigende Auswirkung eines Angriffs auf Ihr E-Mailkonto kann die Einrichtung von automatischen Weiterleitungen sein, durch die Angreifer auch nach der Änderung Ihres Passworts weiterhin Ihre E-Mails mitlesen können. Sie sollten hier die Einstellungen Ihres E-Mailkontos über den Webmailer prüfen:
https://mail.uni-bielefeld.de/
Prüfungen für Studierende: eKVV
Für Studierende ist es insbesondere wichtig sicherzustellen, dass Klausur- und Prüfungsanmeldungen noch passen. Zumindest falls Sie in einem Fach studieren, bei dem solche Anmeldungen über das eKVV durchgeführt werden. Generell sollten Sie Ihren eKVV Stundenplan einmal prüfen.
Prüfungen für Mitarbeitende
Für Mitarbeitende lässt sich nicht so einfach eine vollständige Auflistung aller potentiellen Schäden aufstellen, die Angreifer mit Ihrem Login verursacht haben könnten. Dies hängt es sehr von Ihren Aufgabenbereichen ab, daher ist diese Liste nur beispielhaft zu verstehen:
- Lehrende: Prüfen Sie, ob im eKVV Leistungen in Veranstaltungen gemeldet wurden, die Sie sich nicht erklären können, oder Benotungen im E-Prüfungssystem
- SAP: Wenn Sie weitergehende Berechtigungen in SAP haben sollten Sie die damit möglichen Vorgänge genauer prüfen
Warum sollte sich jemand unter meinem Namen anmelden wollen?
Diebstähle von Logindaten kommen immer wieder vor, insbesondere durch Phishing. In dieser Seite der Informationssicherheit der Universität finden Sie weitergehende Beschreibungen dazu. Die Gründe sind zahlreich und hier nicht abschließend zu nennen. Die genannten Beispiele sind aber alle bereits an der Universität vorgekommen:
- Spamversand: Der Besitz von E-Mailkonten ist für die Versender von Spam- und Phishingmails sehr wertvoll. Er ist um so wertvoller, je besser die Reputation einer E-Maildomäne wie @uni-bielefeld.de ist. Solche Angreifer interessieren sich normalerweise wenig für ihre persönlichen Daten, es geht darum möglichst viele unerwünschte E-Mails in die Welt senden zu können, bevor sie gestoppt werden. Diese Art von Angreifer gelangt oft durch Phishing an Ihre Logindaten.
- Stalking: Jemand aus Ihrem unmittelbarem Umfeld versucht Sie zu überwachen bzw. an Informationen über Sie zu gelangen. In diesem Szenario kann es sein, dass diese Person umfangreiche Manipulationen an Ihren Geräten vornehmen konnte und auch nach einer erfolgten Passwortänderung möglicherweise auf diese Weise wieder Zugriff auf Ihre Konten bekommt. Die 2-Faktor-Authentifizierung kann hier einen besseren Schutz bieten und Sie sollten in den kommenden Tagen Ihre Loginhistorie im Blick behalten.
- Nicht autorisierte Änderungen in den IT-Systemen: Wenn Sie kritische Berechtigungen in IT-Systemen haben, zum Beispiel als Prüfungsamt, können Sie aus diesem Grund zum Ziel von Angriffen auf Ihr Login werden. Hier geht es Angreifern darum, mit Ihren Berechtigungen Änderungen zu ihren Gunsten in den IT-Systemen durchzuführen. Hier gab es in der Vergangenheit Fälle, bei denen es sich um interne Täter handelte, die eine hohe kriminelle Energie gezeigt haben.
- Verantwortung für Manipulationen auf andere schieben: Jemand möchte illegitime Manipulationen in den IT-Systemen durchführen, aber im Fall einer Entdeckung nicht dafür zur Verantwortung gezogen werden können. In diesem Szenario würden Sie zunächst als verantwortliche Person eingestuft, da Ihr Login verwendet wurde.
- Industriespionage: An der Universität wird Forschung betrieben, und einige dieser Forschungsbereiche arbeiten in Feldern, in denen Industriespionage ein lohendes Geschäft ist. Hier hat man es möglicherweise mit sogn. APTs zu tun, Advanced Persistent Threats, also leistungsfähigen, immer wieder erneut angreifenden Akteuren, die sich von einem Misserfolg nicht abschrecken lassen. Besteht ein entsprechender Verdacht, so müssen unbedingt weitergehende Untersuchungen angestellt werden.
Warum bekomme ich diese E-Mails, obwohl ich immer das gleiche Gerät verwende?
Wie erkennt das Loginsystem, ob Sie sich schon mal auf Ihrem Laptop angemeldet hatten? Es gibt hier keine für uns nutzbare 'Kennnummer' etc., mit der sich Geräte wie Laptops oder Smartphones eindeutig identifizieren lassen. Das ist auch gut so, sonst würden sich Unternehmen, die im Internet Profile von Webseitenbesucher*innen anlegen, sofort darauf stürzen.
Das Loginsystem hat hier nur den Weg ein sogn. Cookie in Ihrem Webbrowser zu platzieren, und dadurch Ihr Gerät als bekanntes Gerät zu markieren. Das Cookie bezieht sich dabei auf Sie bzw. Ihr Login. Falls Sie Ihr Gerät mit anderen Nutzer*innen teilen, so wird für jede Person ein eigenes Cookie gesetzt. In dieser Meldung zur Einführung der Benachrichtigungen haben wir im Detail beschrieben, wie diese Cookies genau aussehen und warum nur das Loginsystem in der Lage ist zu erkennen, zu welcher Person so ein Cookie gehört.
Das Loginsystem wird Ihnen also immer dann eine Benachrichtigung über ein Login von einem neuen Gerät schicken, wenn es kein Cookie vorfindet. Ein Logout durch Sie führt dabei nicht dazu, dass dieses Cookie gelöscht wird. Aber u. a. in diesen Fällen kann es zu mehr Benachrichtigungen führen, als eigentlich gewollt:
Nutzung von Inkognito / privatem Modus
Die meisten Webbrowser bieten heute einen Nutzungsmodus an, in dem keine Daten dauerhaft gespeichert werden. Die Bezeichnungen sind dabei unterschiedlich, so spricht man bei Firefox vom privaten Modus oder bei Chrome von Inkognito Modus. Mit der Beendigung dieses Modus werden insbesondere Cookies gelöscht.
Wenn Sie Ihren Webbrowser in dieser Weise für Zugriffe auf die IT-Systeme der Universität verwenden, dann werden Sie jedes Mal eine Benachrichtigung erhalten.
Webbrowsereinstellungen, die alle Cookies löschen
Einige Webbrowser bieten die Option, beim Beenden alle Cookies zu löschen, ganz unabhängig von der Art der Cookies. Wenn Sie so eine Option nutzen, dass hat dies den gleichen Effekt wie die Verwendung eines privaten Modus: Durch das dann fehlende Cookie erhalten Sie beim nächsten Login wieder eine Benachrichtigung.
Zumindest bei Firefox kann man aber Ausnahmen festlegen, hier sollten Sie einstellen, dass Cookies von der Adresse des Loginsystems - login.uni-bielefeld.de - erhalten bleiben.
Software, die Anonymität im Internet gewährleisten soll
Falls Sie in Ihrem Webbrowser oder Ihrem Betriebssystem Software installiert haben, die Anonymität bei der Nutzung des Internets verspricht, so kann auch dadurch eine zu häufige Benachrichtigung bei neuen Logins verusacht werden. Und zwar aus diesen Gründen:
- Einige dieser Produkte löschen regelmäßig alle Cookies, auch harmlose, wie sie durch unser Loginsystem gesetzt werden
- Zusätzlich versuchen manche Produkte die Eigenschaften des Webbrowsers zu manipulieren, zum Beispiel die Version, mit der sich ein Webbrowser bezeichnet. Dies kann dazu führen, dass unser Loginsystem vermutet, dass das Cookie gestohlen wurde und auf einem fremden Rechner gelandet ist. Auch werden in diesem Fall in den E-Mails mit Sicherheitshinweisen sehr unterschiedliche und unplausible Angaben zu den verwendeten Betriebssystemen und Webbrowsern erscheinen
Externe Apps
Es gibt verschiedene externe Anbieter, die insbesondere Studierenden Apps anbieten, die die Organisation des Studiums erleichtern sollen. Hier ist zunächst zu sagen, dass dies keine von der Universität unterstützen Angebote sind. Offizielle Apps sind nur die Meine Uni App und die UniMaps App.
Die externen Apps fragen normalerweise nach Ihrem Login, damit Sie sich in Ihrem Namen an den IT-Systemen der Universität anmelden und Ihre Daten abfragen können. Das tun diese Apps auch ohne Ihr aktives Zutun, um immer aktuelle Daten zu haben. Je nachdem, wie diese Apps programmiert sind, kann dadurch jedes Mal eine Benachrichtigung ausgelöst werden.
Die Angaben zum Webbrowser und Betriebssystem, die Sie in der Benachrichtigungsmails finden, sind hier leider oft irreführend und geben keinen klaren Hinweis darauf, dass der Zugriff von einer App gemacht wurde.
Lange nicht mehr verwendete Geräte
Das Cookie, welches ein Gerät als bekanntes Gerät markiert, hat keine unbegrenzte Lebensdauer, es wird aber bei jedem Login wieder erneuert. Wenn Sie ein Gerät über einen langen Zeitraum nicht mehr verwendet haben, dann verfällt das Cookie irgendwann.
Was kann ich tun, um die Anzahl der Benachrichtigungen zu reduzieren
Dies hängt sehr davon ab, aus welchen Gründen die vom Loginsystem gesetzten Cookies immer wieder gelöscht werden. Je nachdem, welcher der zuvor genannten Gründe zutritt, muss unterschiedlich gehandelt werden. Falls es möglich ist, in der von Ihnen eingesetzten Software Ausnahmen für bestimmte Webseiten einzurichten, so sollten Sie hier eine Ausnahme für die Internetdomäne login.uni-bielefeld.de einstellen, damit die vom Loginsystem gesetzten Cookies verschont bleiben.
Kann ich diese Benachrichtigungen abstellen?
Aus Sicherheitsgründen lassen sich diese Benachrichtigungen nicht abstellen. Sie werden immer an die E-Mailadresse für sicherheitsrelevante Informationen verschickt.
An wen kann ich mich bei weiteren Fragen werden?
Falls Sie unsicher sind, wie Sie mit so einem Vorfall weiter umgehen sollen, wenden Sie sich gerne an den Support. Sie sollten uns hier gleich auch eine der E-Mails zur Verfügung stellen, die Sie vom System erhalten haben. Und uns die Erlaubnis geben, weitergehende Recherchen in Ihren Logindaten durchzuführen.
Weitere Punkte
Wie kann ich eine IP-Adresse überprüfen
In der Seite 'Mein Account' können Sie im Abschnitt 'Mein Gerät' sehen, mit welcher IP-Adresse Ihr gerade verwendetes Gerät auf das Loginsystem zugreift.
Gerade wenn Sie mobil unterwegs sind, sowohl in einem WLAN wie in einem Mobilfunknetz, wird sich ihre IP-Adresse aber u. U. schnell ändern und es ist dann nicht mehr möglich nachzuvollziehen, ob eine IP-Adresse früher einmal Ihrem Rechner zugeordnet war. Auch die Verwendung eines VPNs ändert ihre IP-Adresse.
Trotzdem kann ein Vergleich der IP-Adresse in einer Benachrichtigungsmails mit der aktuell in Mein Account gezeigten Adresse Hinweise geben, insbesondere wenn Sie schnell auf eine Benachrichtigung reagieren.