Die Organisationsstruktur für IT-Sicherheit regelt die Leitlinie für Informationssicherheit der WWU. Das IV-Sicherheitsteam (CISO der WWU) bietet Ihnen auf diesen Seiten Hinweise und Tipps, damit Sie Ihren Computer, Laptop oder Ihr Smartphone gegen die Gefahren im Internet absichern können. Alles Wissenswerte zur IT-Sicherheit an der WWU ist darüber hinaus in unserem Empfehlungen für Admins und Anwender*innen zusammengefasst. Das Computer Emergency Response Teams (CERT) liefert schnelle Hilfe bei sicherheitsrelevanten Vorfällen bei der Nutzung von Computern und Kennungen der WWU.
In letzter Zeit wurden vermehrt gezielte Betrugsversuche/Scams per E-Mail an verschiedenen Bereichen der WWU beobachtet. Dabei werden beispielsweise Leiter von Instituten oder Forschungsbereichen als Absender vorgetäuscht und Unterstützung der Empfänger angefragt ("Are you available?"). Die Informationen zum Vortäuschen der Absender, sowie die E-Mail-Adressen der Empfänger stammen in der Regel von den öffentlichen Webseiten. Wird dabei auf die initiale Kontaktanfrage geantwortet, fordern die Kriminellen den Empfänger zum Kauf von Guthabenkarten, z.B. Paysafe-Karten, auf und versprechen, die entstandenen Kosten zu erstatten. Sobald die Codes zur Einlösung der Guthabenkarten allerdings an die Urheber weitergeleitet werden, ist das Geld in der Regel unwiederbringlich weg, da diese sofort eingelöst werden.
Kürzlich wurde die kritische Schwachstelle "Log4Shell" (CVE-2021-44228) in der Java-Bibliothek "log4j" bekannt, die in vielen Java-basierten Anwendungen verwendet wird. Alle Betreiber von Diensten müssen überprüfen, ob die Bibliothek im Einsatz ist. Falls dies der Fall ist und der Dienst potentiell angreifbar ist, muss umgehend ein Update eingespielt oder ein Workaround benutzt werden.
In letzter Zeit wurden wieder vermehrt erpresserische Spam-E-Mails an viele Angehörige der WWU verschickt. Die Absender behaupten in der Regel, dass sie Zugriff auf das Endgerät oder das Konto einer Person erlangt haben und drohen nun, sensible Informationen über das Privatleben, beispielsweise Videoaufnahmen, zu veröffentlichen, wenn ein bestimmter Betrag nicht überwiesen wird. Diese Behauptungen, insbesondere auch die angebliche Kenntnis von Zugangsdaten, sind nur ein Vorwand, um den Empfänge zu verunsichern und zum Handeln zu drängen.
Die Stabsstelle IT-Sicherheit weist aus aktuellem Anlass erneut darauf hin, dass die Verwendung der Microsoft Outlook App für Android und iOS zum Abrufen der E-Mails aus dem WWU Exchange Konto unzulässig ist. Mit der Nutzung der App geben Sie u. a. Ihre Passwörter an Dritte weiter, wodurch Sie gegen die IT-Benutzungsordnung der WWU verstoßen. Deinstallieren Sie bitte die Outlook App für Android oder iOS, falls Sie sie auf Ihrem mobilen Gerät verwendet haben. Zusätzlich sollten Sie schnellstmöglich die Passwörter aller E-Mail-Konten ändern, die Sie über die App verknüpft haben.
Am 01.07.2021 wurde die mit PrintNightmare benannte Schwachstelle (CVE-2021-34527) öffentlich, welche praktisch in allen Versionen von Microsoft Windows vorhanden ist. Die Schwachstelle befindet sich im Druck-Dienst (Print Spooler) und ermöglicht unter bestimmten Umständen die Ausführung von Schadcode auf einem Ziel System über das Netzwerk (Remote Code Execution) sowie eine lokale Rechteausweitung (Local Privilege Escalation). Für die Ausnutzung aus der Ferne muss der Druck-Dienst erreichbar sein und der Angreifer benötigt einen gültigen Zugang zum System. Es wurden bereits mehrere Exploits für diese Schwachstelle veröffentlicht.
Microsoft hat mittlerweile Updates für viele Windows Versionen veröffentlicht (siehe Microsoft Security Advisory [en]), welche allerdings ersten Erkentnissen nach die Schwachstelle nur teilweise schließen (siehe BleepingComputer [en]) und in einigen Fällen zu Druck-Problemen führen.
Das WWU-CERT empfiehlt, die bereitgestellten Updates umgehend auf alle Windows Systeme zu installieren, um die Ausnutzung zu erschweren. Da das Update die Schwachstelle nicht vollständig schließt und die Informationen, in welchen Fällen eine Ausnutzung dennoch erfolgreich ist, immer noch nicht eindeutig sind, sollte mindestens auf Systemen mit mehreren Nutzern (z.B. Remote Desktop Servern) ein temporärer Workaroundgenutzt werden, um per ACL eine Ausnutzung zu unterbinden (siehe TRUESEC Blog [en]). Dieser Workaround verhindert allerdings auch, dass neue Drucker installiert werden können! Wenn auf bestimmten Servern der Druck-Dienst nicht notwendig ist, sollte dieser am besten generell deaktiviert werden.
