Anmeldung von einem unbekannten Gerät - Was ist zu tun?: Unterschied zwischen den Versionen

Seit dem 21. August 2024 verschickt das Loginsystem Benachrichtigungen, wenn Sie sich zum ersten Mail auf einem Gerät anmelden. In dieser Seite finden Sie Antworten zu den folgenden Fragen:

• Warum bekomme ich diese E-Mails?
• Wann bekomme ich diese E-Mails?
• Wie kann ich beurteilen, ob diese E-Mail wirklich von der Universität kam?
• Wie kann ich beurteilen, ob ein Login von mir selbst der Auslöser war?
• Ich vermute, jemand anderes hat sich mit meinen Logindaten angemeldet. Was tue ich nun?
• Warum sollte sich jemand unter meinem Namen anmelden wollen?
• Warum bekomme ich diese E-Mails, obwohl ich immer das gleiche Gerät verwende?
• Kann ich diese Benachrichtigungen abstellen?

Warum bekomme ich diese E-Mails? Um einen Passwortdiebstahl stoppen zu können!

Durch die Benachrichtigungen sollen Sie in die Lage versetzt werden einen Diebstahl Ihrer Logindaten erkennen und stoppen zu können. Vor der Einführung dieser Benachrichtigungen konnte nur ein regelmäßiger Blick in die Seite 'Mein Account' Ihnen verraten, dass sich jemand in Ihrem Namen in den IT-Systeme der Universität bewegt.

Durch die aktive Benachrichtigung wird die Chance erhöht einen erfolgreichen Angriff auf Ihr Login schnell zu bemerken und bei entsprechendem Handeln sofort zu kontern. Im besten Fall sehen Sie diese E-Mail sofort, folgen den Hinweisen darin, und sperren so die Angreifer gleich wieder aus, bevor diese Schaden anrichten oder Sie selbst aus Ihrem Konto aussperren können.

Wann bekomme ich diese E-Mails? Beim ersten Login auf jedem Gerät

Grundsätzlich werden die Benachrichtigungen nur dann verschickt, wenn mit Ihren Logindaten ein Login durchgeführt und dabei das richtige Passwort und ggf. auch die 2-Faktor-Authentifizierung verwendet wurde. Fehlerhafte Logins führen erst zu einer Benachrichtigung, wenn dadurch eine temporäre Sperrung ihres Logins ausgelöst wurde.

Die Benachrichtigungen sollen seltene Ereignisse sein, damit sie - wenn sie auftreten - zu etwas besonderem werden und Beachtung finden. Würde das Loginsystem bei jedem Login eine Benachrichtigung verschicken, dann würden diese E-Mails vermutlich schnell ignoriert. Es soll daher nur dann eine Benachrichtigung geschickt werden, wenn Sie sich auf einem Gerät zum ersten Mal anmelden. Spätere Anmeldungen lösen keine Benachrichtigungen mehr aus.

Was ist mit 'Gerät' gemeint?

Der Begriff des 'Geräts' ist dabei aus technischen Gründen nicht ganz einfach zu definieren, aber vereinfacht kann man sagen, ein 'Gerät' ist ein bestimmter Webbrowser (z. B. Safari oder Chrome) auf einem bestimmten Computer (also Ihrem Laptop oder Smartphone). Wenn Sie sich auf dem gleichen Computer mit zwei unterschiedlichen Webbrowser anmelden, so sind dies aus Sicht des Loginsystems zwei unterschiedliche Geräte. Auch wenn Sie sich in der Meine Uni App anmelden zählt

Wie das technisch genau funktioniert - Stichwort 'Cookies' - wird in einem späteren Abschnitt beschrieben.

Wie kann ich beurteilen, ob diese E-Mail wirklich von der Universität kam?

Nahezu jede*r erhält mehr oder weniger häufig gefälschte E-Mails, die dazu verleiten sollen die eigenen Logindaten auf einer fremden Webseite einzugeben, wo sie dann gestohlen werden. Das nennt sich Phishing und dazu finden Sie in folgenden Absätzen noch weitere Informationen. Wenn Sie sich die Frage stellen, ob eine E-Mail mit einer Sicherheitswarnung wirklich von den IT-Systemen der Universität geschickt wurde, dann zeigt dies schon mal, dass Sie für diese Gefahr sensibilisiert sind!

Leider lässt sich fast alles an einer E-Mail fälschen, daher ist es nicht völlig sicher die folgenden Merkmale zu prüfen:

• Betreff: Die vom System verschickten E-Mails haben heute (August 2024) diesen Betreff:

Sicherheitshinweis: Ein neues Gerät hat sich auf Ihrem Universitätskonto angemeldet

Wir nennen hier bewusst nicht den weiteren Inhalt der E-Mail um Personen, die versuchen unsere E-Mails nachzuahmen, nicht direkt eine Vorlage zu liefern.

• Absendeadresse: Die Absendeadresse endet auf @ekvv.uni-bielefeld.de
• Links: In der E-Mail werden nur Links geschickt, die auf uni-bielefeld.de enden. Aber Achtung: Es ist einfach sehr ähnlich aussehende Links zu gestalten, oder durch Tricks in der Formatierung scheinbar eine uni-bielefeld.de Adresse anzubieten, während tatsächlich eine ganz andere Adresse dahinter liegt

Wenn Sie ganz sicher gehen wollen, dann rufen Sie direkt diese Seite auf:

https://login.uni-bielefeld.de/idp/fremdlogin

Auf dieser Seite werden Ihnen die Schritte gezeigt, die Sie durchlaufen können um einen fremden Zugriff wieder abzustellen.

Wie kann ich beurteilen, ob ein Login von mir selbst der Auslöser war?

Diese Frage ist meist am einfachsten über den Zeitpunkt zu beurteilen: In der zugeschickten E-Mail ist der Zeitpunkt dokumentiert, an dem das Login erfolgt ist. Erinnern sich, zu diesem Zeitpunkt eine Anmeldung vorgenommen zu haben? Falls Sie sich nicht mehr genau erinnern, dann können Sie ggf. auch in der Seite 'Mein Account' ihren Loginverlauf der letzten Tage einmal prüfen.

Verdächtig sind auch Doppellogins, die nahezu zeitgleich erfolgt sind, und bei denen Sie eine Benachrichtigung über ein neues Login erhalten haben. Dies wäre ein typisches Zeichen für einen erfolgreichen Phishingangriff, bei dem die Angreifer Ihr Login sofort für einen Zugriff auf Ihr Konto verwendet haben, und Sie gleichzeitig - um nicht aufzufallen - auf die eigentlich von Ihnen gesuchte Seite geleitet haben.

Betriebssystem und Webbrowser

Weitere Merkmale sind die in der E-Mail geschickten Informationen zum verwendeten Betriebssystem und Webbrowser, mit dem das Login vorgenommen wurde. Zwar können Angreifer diese Angaben fälschen bzw. an die von Ihnen normalerweise verwendeten Geräte anpassen, aber sie können trotzdem ein Hinweis auf fremde Zugriffe sein.

IP-Adresse

Eine weitere Angabe ist die sogn. IP-Adresse, die am Ende der E-Mail gegeben ist. Die IP-Adresse ist die Internetadresse des Computers, von dem aus das Login erfolgt ist. Sie kann nicht gefälscht werden, ist aber nicht ganz einfach zu interpretieren: Zwar gibt es Dienste wie https://www.whatismyip.com/, die versuchen eine Zuordnung von IP-Adressen zu Regionen vorzunehmen, aber oft wird man hier nicht weit kommen.

Allerdings ist die IP-Adresse ein Ausgangspunkt für weitergehende Recherchen im Fall vermuteter Fremdzugriffe und kann das dazu dienen ein Bild des potentiellen Schadens zu erhalten.

Im Zweifelsfall: Link anklicken

Generell gilt: Wenn Sie nach einer Prüfung der E-Mail auch nur geringe Zweifel haben, dass das Login von Ihnen selbst durchgeführt wurde, so ist es das Sicherste den Link in der E-Mail zu klicken und den Hinweisen im folgenden Abschnitt zu folgen. Im schlimmsten Fall haben sie danach ein neues Passwort. Aber das Risiko vermieden, dass jemand in Ihrem Namen und mit Zugriff auf Ihre Daten in den IT-Systemen unterwegs ist.

Ich vermute, jemand anderes hat sich mit meinen Logindaten angemeldet. Was tue ich nun?

Warum sollte sich jemand unter meinem Namen anmelden wollen?

Diebstähle von Logindaten kommen immer wieder vor, insbesondere durch Phishing. In dieser Seite der Informationssicherheit der Universität finden Sie weitergehende Beschreibungen dazu.

Warum bekomme ich diese E-Mails, obwohl ich immer das gleiche Gerät verwende? Cookies

Wie erkennt das Loginsystem, ob Sie sich schon mal auf Ihrem Laptop angemeldet hatten? Es gibt hier keine für uns nutzbare 'Kennnummer' etc., mit der sich Geräte wie Laptops oder Smartphones eindeutig identifizieren lassen. Das ist auch gut so, sonst würden sich Unternehmen, die im Internet Profile von Webseitenbesucher*innen anlegen, sofort darauf stürzen.

Software, die Anonymität im Internet gewährleisten soll

Falls Sie in Ihrem Webbrowser oder Ihrem Betriebssystem Software installiert haben, die Anonymität bei der Nutzung des Internets verspricht, so kann auch dadurch eine zu häufige Benachrichtigung bei neuen Logins verusacht werden. Und zwar aus diesen Gründen:

• Einige dieser Produkte löschen regelmäßig alle Cookies, auch harmlose, wie sie durch unser Loginsystem gesetzt werden
• Zusätzlich versuchen manche Produkte die Eigenschaften des Webbrowsers zu manipulieren, zum Beispiel die Version, mit der sich ein Webbrowser bezeichnet. Dies kann dazu führen, dass unser Loginsystem vermutet, dass das Cookie gestohlen wurde und auf einem fremden Rechner gelandet ist