Anmeldung von einem unbekannten Gerät - Was ist zu tun?: Unterschied zwischen den Versionen

Seit dem 21. August 2024 verschickt das Loginsystem Benachrichtigungen, wenn Sie sich zum ersten Mail auf einem Gerät anmelden. In dieser Seite finden Sie Antworten zu den folgenden Fragen:

• Warum bekomme ich diese E-Mails?
• Wann bekomme ich diese E-Mails?
• Wie kann ich sicher sein, dass diese E-Mail echt ist?
• Wie kann ich beurteilen, ob ein Login von mir selbst der Auslöser war?
• Ich vermute, jemand anderes hat sich mit meinen Logindaten angemeldet. Was tue ich nun?
• Warum sollte sich jemand unter meinem Namen anmelden wollen?
• Warum bekomme ich diese E-Mails, obwohl ich immer das gleiche Gerät verwende?
• Kann ich diese Benachrichtigungen abstellen?

Warum bekomme ich diese E-Mails? Um einen Passwortdiebstahl stoppen zu können!

Durch die Benachrichtigungen sollen Sie in die Lage versetzt werden einen Diebstahl Ihrer Logindaten erkennen und stoppen zu können. Vor der Einführung dieser Benachrichtigungen konnte nur ein regelmäßiger Blick in die Seite 'Mein Account' Ihnen verraten, dass sich jemand in Ihrem Namen in den IT-Systeme der Universität bewegt.

Durch die aktive Benachrichtigung wird die Chance erhöht einen erfolgreichen Angriff auf Ihr Login schnell zu bemerken und bei entsprechendem Handeln sofort zu kontern. Im besten Fall sehen Sie diese E-Mail sofort, folgen den Hinweisen darin, und sperren so die Angreifer gleich wieder aus, bevor diese Schaden anrichten oder Sie selbst aus Ihrem Konto aussperren können.

Wann bekomme ich diese E-Mails? Beim ersten Login auf jedem Gerät

Grundsätzlich werden die Benachrichtigungen nur dann verschickt, wenn mit Ihren Logindaten ein Login durchgeführt und dabei das richtige Passwort und ggf. auch die 2-Faktor-Authentifizierung verwendet wurde. Fehlerhafte Logins führen erst zu einer Benachrichtigung, wenn dadurch eine temporäre Sperrung ihres Logins ausgelöst wurde.

Die Benachrichtigungen sollen seltene Ereignisse sein, damit sie - wenn sie auftreten - zu etwas besonderem werden und Beachtung finden. Würde das Loginsystem bei jedem Login eine Benachrichtigung verschicken, dann würden diese E-Mails vermutlich schnell ignoriert. Es soll daher nur dann eine Benachrichtigung geschickt werden, wenn Sie sich auf einem Gerät zum ersten Mal anmelden. Spätere Anmeldungen lösen keine Benachrichtigungen mehr aus.

Was ist mit 'Gerät' gemeint?

Der Begriff des 'Geräts' ist dabei aus technischen Gründen nicht ganz einfach zu definieren, aber vereinfacht kann man sagen, ein 'Gerät' ist ein bestimmter Webbrowser (z. B. Safari oder Chrome) auf einem bestimmten Computer (also Ihrem Laptop oder Smartphone). Wenn Sie sich auf dem gleichen Computer mit zwei unterschiedlichen Webbrowsern anmelden, so sind dies aus Sicht des Loginsystems zwei unterschiedliche Geräte. Auch wenn Sie sich in der Meine Uni App anmelden, so wird dies als Anmeldung auf einem 'neuen' Gerät gewertet.

Wie das technisch genau funktioniert - Stichwort 'Cookies' - wird in einem späteren Abschnitt beschrieben.

Wie kann ich sicher sein, dass diese E-Mail echt ist?

Nahezu jede*r erhält mehr oder weniger häufig gefälschte E-Mails, die dazu verleiten sollen die eigenen Logindaten auf einer fremden Webseite einzugeben, wo sie dann gestohlen werden. Das nennt sich Phishing und dazu finden Sie in folgenden Absätzen noch weitere Informationen. Wenn Sie sich die Frage stellen, ob eine E-Mail mit einer Sicherheitswarnung wirklich von den IT-Systemen der Universität geschickt wurde, dann zeigt dies schon mal, dass Sie für diese Gefahr sensibilisiert sind!

Leider lässt sich fast alles an einer E-Mail fälschen, daher ist es nicht völlig sicher die folgenden Merkmale zu prüfen:

• Betreff: Die vom System verschickten E-Mails haben heute (August 2024) diesen Betreff:

Sicherheitshinweis: Ein neues Gerät hat sich auf Ihrem Universitätskonto angemeldet

Wir nennen hier bewusst nicht den weiteren Inhalt der E-Mail damit Personen, die versuchen unsere E-Mails nachzuahmen, nicht direkt eine Vorlage haben.

• Absendeadresse: Die Absendeadresse endet auf @ekvv.uni-bielefeld.de
• Links: In der E-Mail werden nur Links geschickt, die auf uni-bielefeld.de enden. Aber Achtung: Es ist einfach sehr ähnlich aussehende Links zu gestalten, oder durch Tricks in der Formatierung scheinbar eine uni-bielefeld.de Adresse anzubieten, während tatsächlich eine ganz andere Adresse dahinter liegt

Wenn Sie ganz sicher gehen wollen, dann rufen Sie direkt diese Seite auf:

https://login.uni-bielefeld.de/idp/fremdlogin

Auf dieser Seite werden Ihnen die Schritte gezeigt, die Sie durchlaufen können um einen fremden Zugriff wieder abzustellen.

Wie kann ich beurteilen, ob ein Login von mir selbst der Auslöser war? Der Zeitpunkt ist wichtig

Diese Frage ist entscheidend für Ihr weiteres Vorgehen und meist am einfachsten über den Zeitpunkt zu beurteilen: In der zugeschickten E-Mail ist der Zeitpunkt dokumentiert, an dem das Login erfolgt ist. Erinnern Sie sich, zu diesem Zeitpunkt eine Anmeldung vorgenommen zu haben? Falls Sie sich nicht mehr genau erinnern, dann können Sie in der Seite 'Mein Account' ihren Loginverlauf der letzten Tage sehen.

Verdächtig sind auch Doppellogins im Loginverlauf, also Logins, die nahezu zeitgleich erfolgt sind. Wenn Sie bei einem dieser Logins eine Benachrichtigung über ein neues Login erhalten haben wäre dies ein typisches Zeichen für einen erfolgreichen Phishingangriff auf Sie, bei dem die Angreifer Ihr Login sofort für einen Zugriff auf Ihr Konto verwendet haben, und sie zusätzlich - um nicht aufzufallen - auf die eigentlich von Ihnen gesuchte Seite geleitet haben.

Es gibt noch weitere Hinweise:

Betriebssystem und Webbrowser

Weitere Merkmale sind die in der E-Mail mitgeschickten Informationen zum verwendeten Betriebssystem und Webbrowser, mit dem das Login vorgenommen wurde. Zwar können Angreifer diese Angaben fälschen und an die von Ihnen normalerweise verwendeten Geräte anpassen, aber sie können trotzdem ein Hinweis auf fremde Zugriffe sein.

Allerdings gibt es auch Fälle, in denen diese Angaben

IP-Adresse

Eine weitere Angabe ist die sogn. IP-Adresse, die am Ende der E-Mail gegeben ist. Die IP-Adresse ist die Internetadresse des Computers, von dem aus das Login erfolgt ist. Sie kann nicht gefälscht werden, ist aber nicht ganz einfach zu interpretieren. Dazu haben wir am Ende der Seite einen eigenen Abschnitt.

Allerdings ist die IP-Adresse ein Ausgangspunkt für weitergehende Recherchen im Fall vermuteter Fremdzugriffe und kann das dazu dienen ein Bild des potentiellen Schadens zu erhalten.

Im Zweifelsfall: Link anklicken

Generell gilt: Wenn Sie nach einer Prüfung der E-Mail auch nur geringe Zweifel haben, dass das Login von Ihnen selbst durchgeführt wurde, so ist es das Sicherste den Link in der E-Mail zu klicken und den Hinweisen im folgenden Abschnitt zu folgen. Im schlimmsten Fall haben sie danach ein neues Passwort. Aber das Risiko vermieden, dass jemand in Ihrem Namen und mit Zugriff auf Ihre Daten in den IT-Systemen unterwegs ist.

Ich vermute, jemand anderes hat sich mit meinen Logindaten angemeldet. Was tue ich nun?

Warum sollte sich jemand unter meinem Namen anmelden wollen?

Diebstähle von Logindaten kommen immer wieder vor, insbesondere durch Phishing. In dieser Seite der Informationssicherheit der Universität finden Sie weitergehende Beschreibungen dazu.

Warum bekomme ich diese E-Mails, obwohl ich immer das gleiche Gerät verwende? Cookies

Wie erkennt das Loginsystem, ob Sie sich schon mal auf Ihrem Laptop angemeldet hatten? Es gibt hier keine für uns nutzbare 'Kennnummer' etc., mit der sich Geräte wie Laptops oder Smartphones eindeutig identifizieren lassen. Das ist auch gut so, sonst würden sich Unternehmen, die im Internet Profile von Webseitenbesucher*innen anlegen, sofort darauf stürzen.

Software, die Anonymität im Internet gewährleisten soll

Falls Sie in Ihrem Webbrowser oder Ihrem Betriebssystem Software installiert haben, die Anonymität bei der Nutzung des Internets verspricht, so kann auch dadurch eine zu häufige Benachrichtigung bei neuen Logins verusacht werden. Und zwar aus diesen Gründen:

• Einige dieser Produkte löschen regelmäßig alle Cookies, auch harmlose, wie sie durch unser Loginsystem gesetzt werden
• Zusätzlich versuchen manche Produkte die Eigenschaften des Webbrowsers zu manipulieren, zum Beispiel die Version, mit der sich ein Webbrowser bezeichnet. Dies kann dazu führen, dass unser Loginsystem vermutet, dass das Cookie gestohlen wurde und auf einem fremden Rechner gelandet ist

Weitere Punkte

Wie kann ich eine IP-Adresse überprüfen

Um herauszufinden, ob eine bestimmte IP-Adresse zu Ihrem Computer gehört, können Sie folgende Schritte unternehmen:

• Sie können Ihre eigene IP-Adresse überprüfen, indem Sie auf Websites wie whatismyip.com gehen. Diese Seite zeigt Ihnen die öffentliche IP-Adresse Ihres aktuellen Internetanschlusses an. ACHTUNG: Die Universität hat keine Beziehung zu diesem Dienst

• Interne IP-Adresse: Wenn Sie herausfinden möchten, welche interne IP-Adresse Ihr Computer im Netzwerk hat, können Sie dies in den Netzwerkeinstellungen Ihres Betriebssystems tun:
  • Windows: Öffnen Sie die Eingabeaufforderung (cmd) und geben Sie „ipconfig“ ein. Suchen Sie nach der IPv4-Adresse.
  • macOS: Gehen Sie zu „Systemeinstellungen“ > „Netzwerk“. Wählen Sie Ihre aktive Verbindung aus und sehen Sie die IP-Adresse.

Vergleichen Sie die IP-Adresse, die Sie erhalten haben, mit der, die Sie in den vorherigen Schritten ermittelt haben. Wenn sie übereinstimmen, gehört die IP-Adresse zu Ihrem Computer.

Gerade wenn Sie mobile unterwegs sind, sowohl in einem WLAN wie auch mit dem Smartphone, wird sich ihre IP-Adresse aber u. U. schnell ändern und es ist dann nicht mehr möglich nachzuvollziehen, ob eine IP-Adresse früher einmal Ihrem Rechner zugeordnet war.