Schutz vor Betrügerischen E-Mails

Bei betrügerischen E-Mails, sei es Phishing oder Spam, ist die Wachsamkeit eines jeden Einzelnen gefragt. Anhaltspunkte für die Erkennung solcher E-Mails finden Sie im Bereich Phishing und E-Mail-Sicherheit sowie in der Checkliste: Betrügerische E-Mails erkennen.

Sollten Sie eine verdächtige E-Mail mit Bezug zur Universität Münster  (z. B. von einer @uni-muenster.de/@wwu.de E-Mail-Adresse bzw. einer zum Verwechseln ähnlichen E-Mail-Adresse oder mit inhaltlichem Bezug zur Universität Münster) erhalten, wenden Sie sich bitte an spam@uni-muenster.de und leiten Sie die entsprechende E-Mail möglichst vollständig als Anhang weiter. Antworten Sie nicht auf solche E-Mails und öffnen Sie weder Anhänge noch Links!

  • Allgemeine Empfehlungen

    Um die Sicherheit Ihrer E-Mails und persönlichen Informationen zu erhalten, aber auch, um Ihre Endgeräte vor Schadsoftware zu schützen, sollten Sie die folgenden Empfehlungen sowohl im dienstlichen wie auch privaten Umfeld einhalten:

    • Das Abrufen/Versenden von E-Mails sollte nur auf vertrauenswürdigen Geräten, die mit grundlegenden Sicherheitsmaßnahmen (aktuelle Softwareausstattung und Antiviren-Programm) ausgestattet sind, erfolgen.
    • Achten Sie darauf, dass die Verbindung zum E-Mail-Server verschlüsselt ist. Bei Webmail (z. B. OWA oder Permail) sollte die Adresse mit "https" beginnen, bei lokalen E-Mail-Anwendungen sollte immer die SSL-/TLS-Verschlüsselung in den Einstellungen aktiviert werden.
    • Öffnen Sie keine unbekannten oder unerwarteten Dateianhänge. Sollte die E-Mail von einer bekannten Person stammen, erkundigen Sie sich vor dem Öffnen, am besten über einem anderen Weg, ob die E-Mail tatsächlich von dieser Person verschickt wurde.
    • Seien Sie bei Links in E-Mails besonders vorsichtig. Selbst bei bekannten Absender*innen sollten Sie Links genau untersuchen (mit der Maus über den Link fahren und die URL überprüfen), bevor Sie sie anklicken. Bei unbekannten Absender*innen oder möglichen betrügerischen Nachrichten sollten Sie absolut keine Links anklicken.
    • Antworten Sie keinesfalls auf mögliche Spam- oder Phishing-Nachrichten. Am besten löschen Sie solche E-Mails sofort. Sollten Sie Bedenken haben, dass es sich doch um eine legitime E-Mail handeln könnte, erkundigen Sie sich bei dem/der vermeintlichen Absender*in auf anderem Weg.

  • Empfehlungen für dienstliche E-Mails

    Für dienstliche E-Mails müssen einige weitere Hinweise beachtet werden:

    • Für dienstliche Belange muss immer das von der Universität Münster zur Verfügung gestellte E-Mail-Postfach genutzt werden.
    • Die automatisierte Weiterleitung von dienstlichen E-Mails an externe E-Mail-Postfächer ist unzulässig.
    • Nach Möglichkeit sollten alle dienstlichen E-Mails, insbesondere E-Mail-Rundschreiben an viele Empfänger*innen, digital signiert sein.
    • Sollten Sie (streng) vertrauliche Informationen, wie z. B. Passwörter verschicken, müssen Sie die E-Mail zusätzlich (Ende-zu-Ende) verschlüsseln. Die Transportverschlüsselung SSL/TLS verschlüsselt die Daten nur bis zum E-Mail-Server.
    • Vom Ende-zu-Ende-Verschlüsseln aller Nachrichten wird abgeraten, da dies auch den Zugriff auf die E-Mails in Vertretungs- oder Nachfolgesituationen verhindert.
    • Stellen Sie sicher, dass Sie die zentrale Spam- und Viren-Filterung für Ihr E-Mail-Postfach aktivieren, um die Zustellung unerwünschter oder gefährlicher E-Mails zu reduzieren. Dies kann im IT-Portal unter dem Punkt "E-Mail" --> "Schutz vor Spam und Viren" eingestellt werden.
    • Die Verwendung der App "Microsoft Outlook" für Android und iOS ist nicht zulässig zum Abrufen der E-Mails von den Mail-Servern der Universität Münster. Mit der Nutzung der App geben Sie u. a. Ihre Passwörter an Dritte weiter, wodurch Sie gegen die IT-Benutzungsordnung der Universität Münster verstoßen. Die App verwendet zwar das Microsoft Outlook Logo, stammt aber ursprünglich von der Firma Acompli und speichert Anmeldedaten auf fremden Servern außerhalb des DSGVO Bereichs (siehe Heise). Hier finden Sie Anleitungen dazu, wie Sie Ihr Exchange-Postfach alternativ mit iOS oder Android Mail abrufen können. Über die Outlook Web App können Sie auch direkt über den Browser Ihres (mobilen) Geräts auf Ihre E-Mails zugreifen.
      Das originale Microsoft Outlook Programm (aus dem Office-Paket) unter Windows oder macOS ist hiervon nicht betroffen.

  • E-Mail-Signatur und -Verschlüsselung mit digitalen IDs

    Der Versand von E-Mails verhält sich ähnlich wie die klassische Postzustellung einer Postkarte. E-Mails sind von sich aus nicht verschlüsselt oder signiert, sodass jeder, der Zugriff auf Teile des Transportwegs hat, den Inhalt der E-Mail lesen oder verändern kann. Jeder mit etwas Fachwissen kann einen Blick auf die Postkarte werfen, sie also mitlesen, auf der Postkarte herum malen, sie also verändern, und Postkarten unter falschem Namen absenden, sie also fälschen.

    An der Universität Münster werden Digitale IDs, auch Nutzerzertifikate genannt, genutzt, um E-Mails zu signieren, wodurch ein*e Universitäts-interne*r Absender*in als legitim erkannt werden kann. Im Grunde kann man sich das digitale Signieren einer E-Mail so vorstellen, dass man eine Postkarte in einen Briefumschlag verpackt und diesen versiegelt. Da nur der*die Besitzer*in des Siegelstempels dieses setzen kann, kann jeder, der das Siegel erkennt, die Herkunft bestätigen. Außerdem weiß der*die Empfänger*in, solange das Siegel intakt ist, dass keine Manipulationen an der Postkarte vorgenommen wurden. Darüber hinaus können E-Mails mit digitalen IDs Ende-zu-Ende verschlüsselt werden, sodass keiner während der Zustellung mitlesen kann. Hierzu benötigt der*die Empfänger*in eine eigene digitale ID. Detailliertere Informationen zur Funktion finden Sie z. B. beim BSI.

    Es wird angestrebt, alle offiziellen E-Mails der Universität Münster und nach Möglichkeit auch alle anderen dienstlichen E-Mails digital zu signieren. Zu diesem Zweck können Angehörige der Universität Münster kostenlos digitale IDs im IT-Portal beantragen.

    Jede aktuelle E-Mail-Anwendung bietet die Möglichkeit, Ihre Unterhaltungen automatisch zu signieren, sobald eine digitale ID zur Verfügung steht, oder bei Bedarf auch zu verschlüsseln. Signaturen empfangener E-Mails werden ebenfalls automatisch geprüft und bei Erfolg ein Siegel angezeigt. Weitere Informationen zur Beantragung und Nutzung von digitalen IDs finden Sie auf den Webseiten der CA.

    Digitale ID beantragen
    Digitale ID einrichten

  • Spezielle Empfehlungen für Microsoft Outlook

    Unterbinden Sie das automatische Nachladen von externen Medien, wie z. B. eingebetteten Grafiken, da diese Schadcode enthalten können oder die Kriminellen über das Lesen der E-Mail informieren können:
    Datei --> Optionen --> Trust Center --> Einstellungen für das Trust Center --> Automatischer Download --> setzen Sie einen Haken bei „Bilder in Standard-HTML-Nachrichten oder RSS-Elementen nicht automatisch herunterladen“.

    Spezielle Empfehlungen für Microsoft Outlook
    © Universität Münster

    Stellen Sie das Nur-Text-Format in Ihrem E-Mail-Postfach ein:
    Outlook --> Datei --> Optionen --> Trust Center --> Einstellungen für das Trust-Center --> E-Mail Sicherheit, wählen Sie: "Als nur Text-E-Mails lesen" und setzen Sie jeweils einen Haken bei „Standartnachrichten im Nur-Text-Format lesen“ und bei „Digital signierte Nachrichten im Nur-Text-Format lesen"

    © Universität Münster