Sichere E-Mail

E-Mails: wichtigstes Einfallstor bei Cyberangriffen

In letzter Zeit werden Universitäten und öffentliche Einrichtungen immer häufiger Zielscheibe von Cyberangriffen. Laut der Hochschulrektorenkonferenz vom Januar 2023 waren 24 Hochschulen in Deutschland von (teils) partiell erfolgreichen Angriffen betroffen. Bei 20 davon war das Einfallstor E-Mail. Inzwischen sind weitere erfolgreiche Angriffe gegen Hochschulen hinzugekommen (zuletzt GWDG Göttingen sowie Hochschule Hannover).

Wie sicher ist Ihre E-Mail?

Angriffe per E-Mail sind immer schwieriger zu erkennen.

Es ist wichtig zu beachten, dass prinzipiell alle Inhalte inkl. Absender und Betreff einer E-Mail gefälscht sein können (mit Ausnahme von Teilen der Header-Informationen). Insbesondere die Absenderadresse und der Anzeigename des Senders können vorgetäuscht werden.

Durch Datenlecks oder Abgreifen von Informationen aus sozialen Medien können mit den abgeflossenen Daten täuschend echte Phishing-Mails erstellt werden, welche z.B. auf alten Mail-Verläufen oder aktuellen Projekten aufbauen.

Die einzige (praktische) Möglichkeit einen Mail-Absender eindeutig zu verifizieren besteht darin, Mails kryptographisch zu signieren, sodass der Empfänger diese Signatur prüfen kann. Durch Prüfung des E-Mail Headers ist dies ebenfalls möglich, jedoch zu umständlich für das tägliche Arbeiten.

Signierte E-Mail erkennen Sie an einem Siegel-Symbol (Outlook) oder „Digitale Signatur“ (Thunderbird, Apple Mail).

Empfehlungen für den sicheren Umgang mit E-Mails

Mails nur im Text-Format anzeigen lassen

Mail-Programme zeigen Mails oft standardmäßig in HTML an. Dies hat den Nachteil, dass z.B. bei Links die Link-Adresse durch einen Linktext verschleiert werden kann. Im Falle einer Phishing-Mail kann so z.B. ein schädlicher Link versteckt sein.

Wir empfehlen daher, eingehende Mails nur im Text-Format anzeigen zu lassen, um mögliche versteckte Inhalte / schädliche Links in Phishing-Mails auf einem Blick erkennen zu können. Dies kann entweder standardmäßig eingestellt werden (empfohlen) oder für verdächtige Mails zum Überprüfen eingeschaltet werden. Nachfolgend die Konfigurationsbeispiele für die gängigsten Mail-Programme.

Outlook

Bitte folgen Sie den Anweisungen von Microsoft Support Artikel

Thunderbird

Im Menu auf Extras -> Ansicht -> Nachrichteninhalt -> Reiner Text auswählen

Mails kryptographisch signieren

Wir empfehlen generell alle Mails kryptographisch zu signieren, die notwendigen Zertifikatsinformationen zum Austausch verschlüsselter Mails werden dadurch nebenbei verteilt.

Absender, Betreff und Inhalt einer Mail sind frei wählbar und können nicht zur Verifikation des Absenders verwendet werden. Zögern Sie nicht die Telefonnummer eines Mailkontakts -außerhalb der Mail- nachzuschlagen und den vermeintlichen Absender telefonisch zur Verifikation zu kontaktieren, falls Signaturen nicht zur Verfügung stehen.

Für das kryptographische Signieren von Mails wird ein Nutzerzertifikat benötigt. Für weitere Informationen zu Nutzerzertifikat bzw. Signaturen kontaktieren Sie bitte Ihr IT-Sicherheitsbeauftragten zentrale Dienste unter: it-sicherheit(at)uni-hildesheim.de

Header Informationen anzeigen (wo kommt Mail tatsächlich her)

In den Header-Informationen von Mails sind viele Informationen enthalten. Eine detaillierte Erklärung der einzelnen Bestandteile würde an dieser Stelle zu weit führen. Es lohnt sich jedoch, die Header-Informationen von Mails detaillierter als standardmäßig üblich anzeigen zu lassen, um Phishing-Mails zu erkennen.

Outlook

Bitte folgen Sie den Anweisungen von Microsoft Support Artikel

Sogo

Wählen Sie die entsprechende Mail aus. Oben Rechts auf die 3 Punkte gehen -> im Menu auf Nachrichten-Quelltext“ gehen.

Apple

Bitte folgen Sie den Anweisungen von Apple Support Artikel

Anhänge vermeiden – (automatisches) Öffnen & Ausführen unterbinden

Bitte vermeiden Sie, soweit wie möglich, das Versenden von Anhängen. In vielen Fällen ist es durch die Verwendung der AcademicCloud  nicht notwendig sich Dateien zuzusenden.

Das Öffnen & Ausführen von Anhängen stellt ein großes Sicherheitsproblem dar. Schadcode wird ausgeführt und verbreitet sich selbst über Dateianhänge.

Vermeidung der Ausführung schadhafter Programme

Bitte unbedingt ein Anti-Viren Programm installieren unabhängig von Betriebssystem (Apple Rechner und Linux Rechner sind genau wie Windows Rechner Ziele von Angriffen). Diese (automatisiert) täglich aktualisieren. Haben Sie ein Rechner von der Universität Hildesheim erhalten, können Sie sich bei unserem RZ Support Team (Telefon: 05121 – 883 92850) für weiterführende Information melden.

Bitte niemals (!) als Administrator Ihre täglichen Arbeiten verrichten. Haben Sie immer ein „Benutzerkonto“ auf Ihrem Rechner unter dem Sie arbeiten. Das administrative Konto nur für Installationen für Software verwenden. Bei Fragen sprechen Sie bitte Ihren IT-Sicherheitsbeauftragten zentrale Dienste an unter: it-sicherheit(at)uni-hildesheim.de

Umgang mit Verdächtigen E-Mails (Phishing & Co)

Durch "Phishing" (Password fishing) wird versucht an Zugangsdaten oder andere vertrauliche Daten zu kommen. Es werden Anhänge oder Links zu Webseiten in diesen E-MAils eingebunden. Es wird versucht Druck aufzubauen (z.B. kurze Fristen für Reaktion, Formulierungen mit Dringlichkeit…).

Öffnet man den Anhang oder den Link kommt man zu gefälschten Webseiten von UHI-Projekten/Instituten oder von bekannten Dienstleistern, die täuschend echt wirken können. Anhänge können ebenfalls schadhaften Code enthalten. Diese schadhaften Programme werden im Hintergrund installiert, so dass man als Benutzer nichts davon merkt. 

Erkennung von verdächtigen E-Mails (Phishing E-Mails)

Anbei einige Aktionen, welche schnell und unkompliziert durchgeführt werden können um E-Mails zu prüfen:

Werden Sie unter Druck (Zeitdruck, Ängste, Profit) gesetzt?

Ein wesentilcher Aspekt von Phishing E-Mails ist, dass Sie unter Druck gesetzt werden. Studien zeigen, dass Menschen unter Druck zu Aktionen verleidet werden können, welche Sie sonst niemals durchführen würden.

Beliebt ist daher zum Beispiel:

Zeitlicher Druck: Sie werden unter Zeitdruck gesetz, eine Aktion innerhalb XX Stunden durchzuführen, sonst gibt es eine negative Konsequenz.

Zum Beispiel: Ihr Konto läuft heute ab!.   | Sie erhalten an einem Freitag Mittag die E-Mail: Bitte um Bearbeitung vor Wochenende.  |  Bitte überweisen Sie heute noch an Konto: XX. Sonst droh Projekt XY zu scheitern. ODER angeblich von Ihrem Vorgesetzten: Meine Kreditkarte arbeitet gerade nicht, bitte überweisen Sie Geld XY. | usw.

 

Sorgen/Ängste: Es werden Ängste geschürt. Führen Sie eine Aktion nicht durch, werden bei Ihnen Ängste vor negativen Konsequenzen geweckt.

Zum Beispiel: Verifizieren Sie Ihre Daten bis morgen, sonst wird Ihr Konto gesperrt!   |  Füllen Sie bitte den Anhang bis heute aus, sonst kann der Bewerber keine Aufenthaltsgenehmigung erhalten! | usw.

 

Profitaussichten oder Neugier: Es wird versucht unsere Neugier und Aussicht auf positive Konsequenzen auszunutzen, damit wir auf ein Anhang klicken oder ein Link in der Mail.

Zum Beispiel: Die 50 ersten Antworten erhalten ein Preis! | Bisher unveröffentlichtes internes Video zu "Person XY". So habt Ihr "Person XY" noch nie gesehen!" | usw.

 

Ist die E-Mail legitim?

Ist Ihnen der Absender bekannt oder korrekt? Achten Sie genau auf die Schreibweise. Es wird versucht Buchstabendreher zu verwenden, die nicht sofort auffallen. Absenderadressen werden in Mailclients im Format "DisplayName (Anzeigename)"  "E-Mailadresse" angzeigt.

Im folgenden Beispiele von typischen Phishing E-Mails:

"Erika Mustermann" -> ohne sichtbare E-Mailadresse, nicht typisch für legitime E-Mails

"Max Mustermann" "mustermann@gmail.com"  -> fremde E-Maildomaine (Private E-Mail), dienstliche E-Mails sollten z.B. von "uni-hildesheim.de" kommen

"Erika Mustermann  mustermanne@uni-hildesheim.de"  "mustermanne@dzk389.com" -> im DisplayName wird E-Mailadresse mit eingefügt um vorzutäuschen, dass E-Mailabsender von @uni-hildesheim.de kommt - tatsächliche E-Mailabsender ist aber von "dzk389.com" (Beispiel)

"Max Mustermann" "mustermann@uni-hildesheirn.de"  -> Austausch von Buchstaben in Domainnamen - hier: "m" wurde durch "r+n" ausgtauscht ("rn" - sieht auf ersten Blick aus wie "m" )

Bitte daran denken, dass der Anzeigename und Absender gefälscht werden können. Der tatsächliche Absender ist teilweise nur in dem Header der E-Mail zu sehen (siehe Header Information anzeigen oder E-Mail kryptograpisch signieren).

 

Ist der Betreff bzw. das angesprochene Thema sinnvoll? Gibt es das angesprochene Thema wirklich bzw. ist dies der etablierte Prozess? Erkundigen Sie sich auf den offiziellen Webseiten der UHI oder des Dienstleisters bzw. in Ihrem Team.

IT Projekte werden zum Beispiel auf den Seiten des Rechenzentrums der UHI angekündigt. Es werden vorab immer Informations-Rundmails vom Rechenzentrum zu dem entsprechenden Thema gesendet. Erst am Stichtag, wird dann die Aufforderung zu einer Aktion kommen.

Bzw. Fragen Sie sich: trifft das Thema auf mich zu? Sind Sie wirklich im angesprochenen Projekt oder verwenden Sie tatsächlich den angesprochenen Dienst? Wenn nein, niemals (!) direkt auf die E-Mail Antworten.

 

Ist der Link oder Anhang in Ordnung?

Konfigurieren Sie Ihr E-Mail-Programm auf „Reiner Text“ für Mailinhalte. So sehen Sie die tatsächliche Adresse hinter einem Link. Erhalten Sie als die Aufforderung Daten für ein UHI-Projekt einzugeben, sollte der Link auch auf eine UHI Webseite zeigen.

Alternativ: wenn Sie Mailinhalte als HTML erhalten, wird Ihnen die tatsächliche Adresse hinter einem Link nicht sofort angezeigt. Sie können mit Ihrem Mauszeiger über den Link gehen (ACHUNG! Nicht anklicken). Sie sehen im linken unteren Rand in Ihrem Mailprogramm den tatsächlichen Link.

Haben Sie ein Anti-Virus Programm installiert, sollten bei Eingang der E-Mail Anhänge geprüft werden. Bei komprimierten Daten (z.Bsp. zip Anhänge), ist dies nicht immer erfolgreich. Bei verdächtigen E-Mails können Sie Ihr RZ Support ansprechen, damit der Anhang über ein weiteres AV-Programm geprüft wird.

 

Ist der Aufbau der E-Mail korrekt?

Rechtschreibefehler kommen immer seltener in Phishing E-Mails vor. Aber teilweise ist der angesprochene Dienst oder Thema sehr vage bzw. falsch. Zum Beispiel wurde in unserer Anti-Phishing Kampagne auf den Dienst „Campuscard“ verwiesen, obwohl es an der UHI nur die „Unicard“ gibt. Oder es wird von „Ihre Rechnung“, „Mahnung“ gesprochen, aber nicht die entsprechende Nummer angegeben, was ein legitimer Anbieter immer tun würde.

Teils fehlen korrekte Signaturen oder es gibt die angesprochenen Support-Teams oder Personen nicht an der Universität bzw. bei dem Dienstleister.

Niemals (!) direkt bei der angegebenen Webseite, Telefonnummer oder E-Mailadresse aus dieser E-Mail reagieren. Wenn Ihnen die korrekten Kontaktdaten nicht bekannt sind, nehmen Sie Google oder Bing und suchen Sie danach bzw. schauen Sie auf unseren UHI Seiten (z.B. LSF oder PWA über Personensuche).

Wen ansprechen bei verdächtigen Emails?

Wie bereits erwähnt, bitte niemals (!) auf die Kontaktdaten (Webseite, Telefonnummer, E-Mailadresse) aus der verdächtigen E-Mail reagieren. Es ist bekannt, dass zum Beispiel hinter den angegebenen Telefonnummern von Phishing E-Mails Call-Center stehen, welche von den Phishern beauftragt werden auf Anfragen zu antworten, damit die E-Mail legitim erscheint.

Daher bitte bei bereits bekannten Kontaktdaten erkundigen.

ODER: Prüfen Sie auf den UHI Webseiten nach Kontaktwebseiten zu RZ Support Teams oder per LSF oder PWA über die Personsuche nach einzelnen Personen.

ODER: suchen Sie per Google oder Bing nach den Kontaktdaten bzw. Webseiten.

Sind Sie sich unsicher, was getan werden kann, sprechen Sie bitte Ihren IT-Sicherheitsbeauftragten zentrale Dienste an unter: it-sicherheit(at)uni-hildesheim.de

Was tun, wenn man doch auf den Link geklickt hat?

Bitte haben Sie keine Scheu, wenn Sie gehackt worden. Wie bereits erwähnt, sind einige Phishing E-Mail täuschend echt aufgebaut, so dass selbst Profis Probleme haben diese zu erkennen. Je schneller Sie reagieren, desto geringer der Schaden. Sie schützen nicht nur sich, sondern auch andere Personen der Universität Hildesheim.

Vermuten Sie, dass Sie gehackt sind, bitte sofort bei Ihrem RZ Support Team melden oder bei Ihren IT-Sicherheitsbeauftragten zentrale Dienste an unter: it-sicherheit(at)uni-hildesheim.de

Wo kann man sich weiter informieren?

Interaktive Schulungsvideos der Universität Osnabrück

Für Studierende gibt es das Video unter: https://awareness.uni-osnabrueck.de/Studierende/

Für Mitarbeitende gibt es das Video unter: https://awareness.uni-osnabrueck.de/Mitarbeitende/ 

 

IT SAD (Security Awarness Days) – Videos zu verschiedenen Themen der IT-Sicherheit

Jedes Semester führen verschiedene Universitäten landesweit Online Workshops und Vorträge zu verschiedenen Aspekten der IT-Sicherheit für Endanwender und Administratoren durch.

Die Aufzeichnungen dieser Vorträge können Sie unter folgenden Link finden:

https://cloud.tu-braunschweig.de/s/pHRnE5ANMM8zrWi

Die Folien dieser Vorträge finden Sie unter folgendem Link:

https://cloud.tu-braunschweig.de/s/pR2c6j2gmH2krDA

 

Die 4 gängisten Irrtümer zu E-Mails von BSI:

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Sicherheitsirrtuemer/irrtuemer-e-mail-sicherheit.html