Anmeldung von einem unbekannten Gerät - Was ist zu tun?: Unterschied zwischen den Versionen
| Zeile 48: | Zeile 48: | ||
Auf dieser Seite werden Ihnen die Schritte gezeigt, die Sie durchlaufen sollten, um einen fremden Zugriff wieder abzustellen. | Auf dieser Seite werden Ihnen die Schritte gezeigt, die Sie durchlaufen sollten, um einen fremden Zugriff wieder abzustellen. | ||
== Wie kann ich beurteilen, ob ein Login von mir selbst der Auslöser war? | == Wie kann ich beurteilen, ob ein Login von mir selbst der Auslöser war? == | ||
Diese Frage ist entscheidend für Ihr weiteres Vorgehen und meist '''am einfachsten über den Zeitpunkt''' zu beurteilen: In der zugeschickten E-Mail ist der Zeitpunkt dokumentiert, an dem das Login erfolgt ist. Erinnern Sie sich, zu diesem Zeitpunkt eine Anmeldung vorgenommen zu haben? Falls Sie sich nicht mehr genau erinnern, dann können Sie in der Seite '[[Mein Account]]' ihren Loginverlauf der letzten Tage sehen. | Diese Frage ist entscheidend für Ihr weiteres Vorgehen und meist '''am einfachsten über den Zeitpunkt''' zu beurteilen: In der zugeschickten E-Mail ist der Zeitpunkt dokumentiert, an dem das Login erfolgt ist. Erinnern Sie sich, zu diesem Zeitpunkt eine Anmeldung vorgenommen zu haben? Falls Sie sich nicht mehr genau erinnern, dann können Sie in der Seite '[[Mein Account]]' ihren Loginverlauf der letzten Tage sehen. | ||
Version vom 27. August 2024, 07:11 Uhr
Seit dem 21. August 2024 verschickt das Loginsystem Benachrichtigungen, wenn Sie sich zum ersten Mail auf einem Gerät anmelden. In dieser Seite finden Sie Antworten zu den folgenden Fragen:
- Warum bekomme ich diese E-Mails?
- Wann bekomme ich diese E-Mails?
- Wie kann ich prüfen, ob diese E-Mails echt sind?
- Wie kann ich beurteilen, ob ein Login von mir selbst der Auslöser war?
- Ich vermute, jemand anderes hat sich mit meinen Logindaten angemeldet. Was tue ich zuerst?
- Warum sollte sich jemand unter meinem Namen anmelden wollen?
- Warum bekomme ich diese E-Mails, obwohl ich immer das gleiche Gerät verwende?
- Kann ich diese Benachrichtigungen abstellen?
Warum bekomme ich diese E-Mails? Um einen Passwortdiebstahl stoppen zu können!
Durch die Benachrichtigungen sollen Sie in die Lage versetzt werden einen Diebstahl Ihrer Logindaten erkennen und stoppen zu können. Vor der Einführung dieser Benachrichtigungen konnte nur ein regelmäßiger Blick in die Seite 'Mein Account' Ihnen verraten, dass sich jemand in Ihrem Namen in den IT-Systeme der Universität bewegt.
Durch die aktive Benachrichtigung wird die Chance erhöht einen erfolgreichen Angriff auf Ihr Login schnell zu bemerken und bei entsprechendem Handeln sofort zu kontern. Im besten Fall sehen Sie diese E-Mail unmittelbar nach dem fremden Login, folgen den Hinweisen darin, und sperren so die Angreifer gleich wieder aus, bevor diese Schaden anrichten oder Sie selbst aus Ihrem Konto aussperren können.
Wann bekomme ich diese E-Mails? Beim ersten Login auf jedem Gerät
Grundsätzlich werden die Benachrichtigungen nur dann verschickt, wenn mit Ihren Logindaten ein Login durchgeführt und dabei das richtige Passwort verwendet wurde. Fehlerhafte Logins führen erst zu einer Benachrichtigung, wenn dadurch eine temporäre Sperrung ihres Logins ausgelöst wurde.
Die Benachrichtigungen sollen seltene Ereignisse sein, damit sie - wenn sie auftreten - zu etwas besonderem werden und Beachtung finden. Würde das Loginsystem bei jedem Login eine Benachrichtigung verschicken, dann würden diese E-Mails vermutlich schnell ignoriert. Es soll daher nur dann eine Benachrichtigung geschickt werden, wenn Sie sich auf einem Gerät zum ersten Mal anmelden. Spätere Anmeldungen lösen keine Benachrichtigungen mehr aus.
Was ist mit 'Gerät' gemeint?
Der Begriff des 'Geräts' ist dabei aus technischen Gründen nicht ganz einfach zu definieren, aber vereinfacht kann man sagen, ein 'Gerät' ist ein bestimmter Webbrowser (z. B. Safari oder Chrome) auf einem bestimmten Computer (also Ihrem Laptop oder Smartphone). Wenn Sie sich auf dem gleichen Computer mit zwei unterschiedlichen Webbrowsern anmelden, so sind dies aus Sicht des Loginsystems zwei unterschiedliche Geräte. Auch wenn Sie sich in der Meine Uni App anmelden, so wird dies als Anmeldung auf einem 'neuen' Gerät gewertet.
Ich verwende meinen Computer schon lange! Warum ist er dann ein neues Gerät?
Aus Sicht des Loginssystems zunächst einmal jedes Gerät neu, welches das Loginsystem zuvor noch nicht als bekanntes Gerät markieren konnte. Daher erhalten Sie auch dann so einen Sicherheitshinweis, wenn Sie einen Computer schon lange verwenden. Was die genauen technischen Hintergründe sind - Stichwort 'Cookies' - wird in einem späteren Abschnitt beschrieben.
Auf meinem Computer melden sich auch andere Person an. Führt das zu Problemen?
Wenn Sie sich Ihren Rechner teilen und mehrere Personen sich anmelden, so stellt dies kein Problem dar. Die Kennzeichnung eines Geräts als bekanntes Gerät bezieht sich jeweils auf konkrete Personen. Wenn Sie also einer Kommilitonin gestatten auf Ihrem Rechner schnell einmal ihren eKVV Stundenplan einzusehen, so wird sie eine Benachrichtigung über ein Login auf einem neuen Gerät erhalten, für Sie ändert sich hingegen nichts.
Wie kann ich prüfen sein, ob diese E-Mails echt sind?
Nahezu jede*r erhält mehr oder weniger häufig gefälschte E-Mails, die dazu verleiten sollen die eigenen Logindaten auf einer fremden Webseite einzugeben, wo sie dann gestohlen werden. Das nennt sich Phishing und dazu finden Sie in folgenden Absätzen noch weitere Informationen. Wenn Sie sich die Frage stellen, ob eine E-Mail mit einer Sicherheitswarnung wirklich von den IT-Systemen der Universität geschickt wurde, dann zeigt dies schon mal, dass Sie für diese Gefahr sensibilisiert sind!
Leider lässt sich fast alles an einer E-Mail fälschen, daher ist es nicht völlig sicher die folgenden Merkmale zu prüfen:
- Betreff: Die vom System verschickten E-Mails haben heute (August 2024) diesen Betreff:
Sicherheitshinweis: Ein neues Gerät hat sich auf Ihrem Universitätskonto angemeldet
Wir nennen hier bewusst nicht den weiteren Inhalt der E-Mail damit Personen, die versuchen unsere E-Mails nachzuahmen, nicht direkt eine Vorlage haben.
- Absendeadresse: Die Absendeadresse endet auf @ekvv.uni-bielefeld.de
- Links: In der E-Mail werden nur Links geschickt, die auf uni-bielefeld.de enden. Aber Achtung: Es ist einfach sehr ähnlich aussehende Links zu gestalten, oder durch Tricks in der Formatierung scheinbar eine uni-bielefeld.de Adresse anzubieten, während tatsächlich eine ganz andere Adresse dahinter liegt
Wenn Sie ganz sicher gehen wollen, dann rufen Sie direkt diese Seite auf:
https://login.uni-bielefeld.de/idp/fremdlogin
Auf dieser Seite werden Ihnen die Schritte gezeigt, die Sie durchlaufen sollten, um einen fremden Zugriff wieder abzustellen.
Wie kann ich beurteilen, ob ein Login von mir selbst der Auslöser war?
Diese Frage ist entscheidend für Ihr weiteres Vorgehen und meist am einfachsten über den Zeitpunkt zu beurteilen: In der zugeschickten E-Mail ist der Zeitpunkt dokumentiert, an dem das Login erfolgt ist. Erinnern Sie sich, zu diesem Zeitpunkt eine Anmeldung vorgenommen zu haben? Falls Sie sich nicht mehr genau erinnern, dann können Sie in der Seite 'Mein Account' ihren Loginverlauf der letzten Tage sehen.
Verdächtig sind auch Doppellogins im Loginverlauf, also Logins, die nahezu zeitgleich erfolgt sind. Wenn Sie bei einem dieser Logins eine Benachrichtigung über ein neues Login erhalten haben wäre dies ein typisches Zeichen für einen erfolgreichen Phishingangriff auf Sie, bei dem die Angreifer Ihr Login sofort für einen Zugriff auf Ihr Konto verwendet haben, und sie zusätzlich - um nicht aufzufallen - auf die eigentlich von Ihnen gesuchte Seite geleitet haben.
Es gibt aber noch weitere Hinweise:
Betriebssystem und Webbrowser
Weitere Merkmale sind die in der E-Mail mitgeschickten Informationen zum verwendeten Betriebssystem und Webbrowser, mit dem das Login vorgenommen wurde. Zwar können Angreifer diese Angaben fälschen und an die von Ihnen normalerweise verwendeten Geräte anpassen, aber sie können trotzdem ein Hinweis auf fremde Zugriffe sein.
Allerdings gibt es auch seltene Fälle, in denen diese Angaben irreführend sind: Uns sind hier Beispiele bekannt, bei denen bestimmte, nicht von der Universität autorisierte Apps Logins in die IT-Systeme durchführen, und dabei ungewöhnliche Webbrowserbezeichnungen verwenden. Ein anderer Grund für abweichende Angaben können Webbrowser Erweiterungen sein. Siehe dazu unten mehr.
IP-Adresse
Eine weitere Angabe ist die sogn. IP-Adresse, die am Ende der E-Mail angegeben wird. Die IP-Adresse ist die Internetadresse des Computers, von dem aus das Login erfolgt ist. Sie kann nicht gefälscht werden, ist aber nicht ganz einfach zu interpretieren. Dazu haben wir am Ende der Seite einen eigenen Abschnitt.
Die IP-Adresse ist aber ein guter Ausgangspunkt für weitergehende Recherchen durch uns im Fall vermuteter Fremdzugriffe und kann dazu dienen ein Bild des potentiellen Schadens zu erhalten.
Im Zweifelsfall: Link anklicken
Generell gilt: Wenn Sie nach einer Prüfung der E-Mail auch nur geringe Zweifel haben, dass das Login von Ihnen selbst durchgeführt wurde, so ist es das Sicherste den Link in der E-Mail zu klicken bzw. die Seite https://login.uni-bielefeld.de/idp/fremdlogin direkt aufzurufen und den Hinweisen im folgenden Abschnitt zu folgen. Im schlimmsten Fall haben sie danach ein neues Passwort. Aber das Risiko vermieden, dass jemand in Ihrem Namen und mit Zugriff auf Ihre Daten in den IT-Systemen der Universität unterwegs ist.
Ich vermute, jemand anderes hat sich mit meinen Logindaten angemeldet. Was tue ich zuerst?
Dann heißt es vor allem schnell handeln! Eine Person mit Ihrem Login kann sie jederzeit aus Ihrem Zugang aussperren und es ist deutlich schwerer, einen Zugang in fremder Hand wieder zurück zu gewinnen, als die Angreifer gleich wieder auszusperren. Der Ausgangspunkt ist die schon mehrfach genannte Seite
https://login.uni-bielefeld.de/idp/fremdlogin
bzw. der erste Link in der E-Mail, der mit dieser Adresse beginnt, aber noch einen langen Parameter angehängt hat. Wenn Sie den Link in der E-Mail aufrufen, so wird die Markierung, die das Gerät der fremder Person nun als bekanntes Gerät kennzeichnet, ungültig gemacht.
Das Wichtigste ist aber das eigene Web-Passwort zu ändern und zwar auf dieser Seite:
https://login.uni-bielefeld.de/kv/password
Wenn Sie das erledigt haben, dann ist schon einmal ein wesentlicher Teil Ihrer IT-Konten an der Universität wieder sicher unter Ihrer Kontrolle.
Weitere Passworte ändern: E-Mail, SAP und noch mehr
Sie sollten dann auch das Passwort für Ihr E-Mailkonto ändern und für den Windows-, VPN- und WLAN Zugriff. Das tun Sie im PRISMA Portal:
https://prisma.uni-bielefeld.de/
Als Mitarbeitende sollte Sie auch das Passwort für Ihr SAP Konto ändern. Falls Sie das gestohlene Passwort auch in privaten IT-Systemen verwendet haben, so sollten Sie es auch dort ändern.
2-Faktor-Authentifizierung aktivieren
Die 2-Faktor-Authentifizierung macht Ihr Login um einiges sicherer, da ein Angreifer nun nicht mehr nur Ihr Passwort braucht. Wenn Ihr Zugang bereits einmal abhanden gekommen, ist die Wahrscheinlichkeit hoch, dass Angreifer erneut versuchen werden sich Ihres Zugangs zu bemächtigen. Die 2-Faktor-Authentifizierung kann Sie gegen eine ganze Reihe von Angriffsmöglichkeiten auf Ihr Konto schützen und funktioniert ganz ähnlich, wie man es von anderen Internetdiensten gewohnt ist.
Fremde Geräte ausschließen
Durch die Passwortänderung sollten alle Geräte, die Zugriff auf Ihr Konto hatten, wieder ausgesperrt sein. Es schadet aber nicht einen Blick in diese Seite zu werfen, die alle Geräte auflistet, die wie die Meine Uni App Zugriff haben:
https://login.uni-bielefeld.de/idp/devices
Mögliche Schäden beurteilen
Nachdem Sie Ihre Logins in die IT-Systeme gesichert haben und damit nun wieder die einzige Person sind, die sich unter Ihrem Namen anmelden kann, sollten Sie etwas Zeit investieren und prüfen, ob mit Ihrem Zugang illegitime Aktivitäten durchgeführt wurden. Es hängt etwas davon, welchen Status Sie haben, wo Risiken zu sehen sind:
Loginhistorie
Sie sollten zuerst einen Blick in die Seite 'Mein Account' werden:
https://login.uni-bielefeld.de/kv/
Prüfen Sie dort, welche Aktivitäten Ihnen unbekannt vorkommen. Das kann Ihnen einen Hinweis darauf geben, wie lange und in welchem Umfang diese Zugriffe stattgefunden haben.
Das eigene E-Mailkonto
Hat jemand in Ihrem Namen E-Mails verschickt? Da sich E-Mails löschen lassen, ist diese Auswertung unter Umständen unvollständig.
Eine perfidere und schwerer zu bereinigende Auswirkung eines Angriffs auf Ihr E-Mailkonto kann die Einrichtung von automatischen Weiterleitungen sein, durch die Angreifer auch nach der Änderung Ihres Passworts weiterhin Ihre E-Mails mitlesen können. Sie sollten hier die Einstellungen Ihres E-Mailkontos über den Webmailer prüfen:
https://mail.uni-bielefeld.de/
Prüfungen für Studierende: eKVV
Für Studierende ist es insbesondere wichtig sicherzustellen, dass Klausur- und Prüfungsanmeldungen noch passen. Zumindest falls Sie in einem Fach studieren, bei dem solche Anmeldungen über das eKVV durchgeführt werden. Generell sollten Sie Ihren eKVV Stundenplan einmal prüfen.
Prüfungen für Mitarbeitende
Für Mitarbeitende lässt sich nicht so einfach eine vollständige Auflistung aller potentiellen Schäden aufstellen, die Angreifer mit Ihrem Login verursacht haben könnten. Dies hängt es sehr von Ihrem Aufgabenbereiche ab:
- Lehrende: Prüfen Sie, ob im eKVV Leistungen in Veranstaltungen gemeldet wurden, die Sie sich nicht erklären können, oder Benotungen im E-Prüfungssystem
- SAP: Wenn Sie weitergehende Berechtigungen in SAP haben sollten Sie die damit möglichen Vorgänge genauer prüfen
Warum sollte sich jemand unter meinem Namen anmelden wollen?
Diebstähle von Logindaten kommen immer wieder vor, insbesondere durch Phishing. In dieser Seite der Informationssicherheit der Universität finden Sie weitergehende Beschreibungen dazu. Die Gründe sind zahlreich und hier nicht abschließend zu nennen. Die genannten Beispiele sind aber alle bereits an der Universität vorgekommen:
- Spamversand: Der Besitz von E-Mailkonten ist für die Versender von Spam- und Phishingmails sehr wertvoll. Es ist um so wertvoller, je größer die Reputation einer E-Maildomäne wie @uni-bielefeld.de ist. Solche Angreifer interessieren sich normalerweise wenig für ihre persönlichen Daten, es geht darum möglichst viele unerwünschte E-Mails in die Welt senden zu können, bevor sie gestoppt werden. Diese Art von Angreifer gelangt oft durch Phishing an Ihre Logindaten.
- Stalking: Jemand aus Ihrem unmittelbarem Umfeld versucht Sie zu überwachen bzw. an Informationen über Sie zu gelangen. In diesem Szenario kann es sein, dass diese Person umfangreiche Manipulationen an Ihren Geräten vornehmen konnte und auch nach einer erfolgten Passwortänderung möglicherweise auf diese Weise wieder Zugriff auf Ihre Konten bekommt. Die 2-Faktor-Authentifizierung kann hier einen besseren Schutz bieten und Sie sollten in den kommenden Tagen Ihre Loginhistorie im Blick behalten.
- Verantwortung für Manipulationen auf andere schieben: Jemand möchte illegitime Manipulationen in den IT-Systemen durchführen, aber im Fall einer Entdeckung nicht dafür zur Verantwortung gezogen werden können. In diesem Szenario würden Sie zunächst als verantwortliche Person eingestuft, da Ihr Login verwendet wurde.
- Industriespionage: An der Universität wird Forschung betrieben, und einige dieser Forschungsbereiche arbeiten in Feldern, in denen Industriespionage ein lohendes Geschäft ist. Hier hat man es möglicherweise mit sogn. APTs zu tun, Advanced Persistent Threats, also leistungsfähigen, immer wieder erneut angreifenden Akteuren, die sich von einem Misserfolg nicht abschrecken lassen. Besteht ein entsprechender Verdacht, so müssen unbedingt weitergehende Untersuchungen angestellt werden
Warum bekomme ich diese E-Mails, obwohl ich immer das gleiche Gerät verwende?
Wie erkennt das Loginsystem, ob Sie sich schon mal auf Ihrem Laptop angemeldet hatten? Es gibt hier keine für uns nutzbare 'Kennnummer' etc., mit der sich Geräte wie Laptops oder Smartphones eindeutig identifizieren lassen. Das ist auch gut so, sonst würden sich Unternehmen, die im Internet Profile von Webseitenbesucher*innen anlegen, sofort darauf stürzen.
Software, die Anonymität im Internet gewährleisten soll
Falls Sie in Ihrem Webbrowser oder Ihrem Betriebssystem Software installiert haben, die Anonymität bei der Nutzung des Internets verspricht, so kann auch dadurch eine zu häufige Benachrichtigung bei neuen Logins verusacht werden. Und zwar aus diesen Gründen:
- Einige dieser Produkte löschen regelmäßig alle Cookies, auch harmlose, wie sie durch unser Loginsystem gesetzt werden
- Zusätzlich versuchen manche Produkte die Eigenschaften des Webbrowsers zu manipulieren, zum Beispiel die Version, mit der sich ein Webbrowser bezeichnet. Dies kann dazu führen, dass unser Loginsystem vermutet, dass das Cookie gestohlen wurde und auf einem fremden Rechner gelandet ist. Auch werden in diesem Fall in den E-Mails mit Sicherheitshinweisen sehr unterschiedliche und unplausible Angaben zu den verwendeten Betriebssystemen und Webbrowsern erscheinen
Kann ich diese Benachrichtigungen abstellen?
Aus Sicherheitsgründen lassen sich diese Benachrichtigungen nicht abstellen. Sie werden immer an die E-Mailadresse für sicherheitsrelevante Informationen verschickt.
Weitere Punkte
Wie kann ich eine IP-Adresse überprüfen
Um herauszufinden, ob eine bestimmte IP-Adresse zu Ihrem Computer gehört, können Sie folgende Schritte unternehmen:
- Sie können Ihre eigene IP-Adresse überprüfen, indem Sie auf Websites wie whatismyip.com gehen. Diese Seite zeigt Ihnen die öffentliche IP-Adresse Ihres aktuellen Internetanschlusses an. ACHTUNG: Die Universität hat keine Beziehung zu diesem Dienst
- Interne IP-Adresse: Wenn Sie herausfinden möchten, welche interne IP-Adresse Ihr Computer im Netzwerk hat, können Sie dies in den Netzwerkeinstellungen Ihres Betriebssystems tun:
- Windows: Öffnen Sie die Eingabeaufforderung (cmd) und geben Sie „ipconfig“ ein. Suchen Sie nach der IPv4-Adresse.
- macOS: Gehen Sie zu „Systemeinstellungen“ > „Netzwerk“. Wählen Sie Ihre aktive Verbindung aus und sehen Sie die IP-Adresse.
Vergleichen Sie die IP-Adresse, die Sie erhalten haben, mit der, die Sie in den vorherigen Schritten ermittelt haben. Wenn sie übereinstimmen, gehört die IP-Adresse zu Ihrem Computer.
Gerade wenn Sie mobile unterwegs sind, sowohl in einem WLAN wie auch mit dem Smartphone, wird sich ihre IP-Adresse aber u. U. schnell ändern und es ist dann nicht mehr möglich nachzuvollziehen, ob eine IP-Adresse früher einmal Ihrem Rechner zugeordnet war.