Die Organisationsstruktur für IT-Sicherheit regelt die Leitlinie für Informationssicherheit der WWU. Das IV-Sicherheitsteam (CISO der WWU) bietet Ihnen auf diesen Seiten Hinweise und Tipps, damit Sie Ihren Computer, Laptop oder Ihr Smartphone gegen die Gefahren im Internet absichern können. Alles Wissenswerte zur IT-Sicherheit an der WWU ist darüber hinaus in unserem Empfehlungen für Admins und Anwender*innen zusammengefasst. Das Computer Emergency Response Teams (CERT) liefert schnelle Hilfe bei sicherheitsrelevanten Vorfällen bei der Nutzung von Computern und Kennungen der WWU.
In letzter Zeit wurden wieder vermehrt erpresserische Spam-E-Mails an viele Angehörige der WWU verschickt. Die Absender behaupten in der Regel, dass sie Zugriff auf das Endgerät oder das Konto einer Person erlangt haben und drohen nun, sensible Informationen über das Privatleben, beispielsweise Videoaufnahmen, zu veröffentlichen, wenn ein bestimmter Betrag nicht überwiesen wird. Diese Behauptungen, insbesondere auch die angebliche Kenntnis von Zugangsdaten, sind nur ein Vorwand, um den Empfänge zu verunsichern und zum Handeln zu drängen.
Die Stabsstelle IT-Sicherheit weist aus aktuellem Anlass erneut darauf hin, dass die Verwendung der Microsoft Outlook App für Android und iOS zum Abrufen der E-Mails aus dem WWU Exchange Konto unzulässig ist. Mit der Nutzung der App geben Sie u. a. Ihre Passwörter an Dritte weiter, wodurch Sie gegen die IT-Benutzungsordnung der WWU verstoßen. Deinstallieren Sie bitte die Outlook App für Android oder iOS, falls Sie sie auf Ihrem mobilen Gerät verwendet haben. Zusätzlich sollten Sie schnellstmöglich die Passwörter aller E-Mail-Konten ändern, die Sie über die App verknüpft haben.
In letzter Zeit wurden vermehrt gezielte Betrugsversuche/Scams per E-Mail an verschiedenen Bereichen der WWU beobachtet. Dabei werden beispielsweise Leiter von Instituten oder Forschungsbereichen als Absender vorgetäuscht und Unterstützung der Empfänger angefragt ("Are you available?"). Die Informationen zum Vortäuschen der Absender, sowie die E-Mail-Adressen der Empfänger stammen in der Regel von den öffentlichen Webseiten. Wird dabei auf die initiale Kontaktanfrage geantwortet, fordern die Kriminellen den Empfänger zum Kauf von Guthabenkarten, z.B. Paysafe-Karten, auf und versprechen, die entstandenen Kosten zu erstatten. Sobald die Codes zur Einlösung der Guthabenkarten allerdings an die Urheber weitergeleitet werden, ist das Geld in der Regel unwiederbringlich weg, da diese sofort eingelöst werden.
Wie man solche betrügerischen E-Mails erkennen kann:
Prüfen Sie immer sorgfältig den Absender! Auch wenn der angezeigte Name übereinstimmt, verbirgt sich bei solchen Betrugsversuchen häufig eine völlig andere, externe E-Mail-Adresse dahinter, z.B. von GMail.
In der Vergangenheit wurden die initialen E-Mails sehr kurz gehalten mit Anfragen wie "Are you available?", "Bist du verfügbar?" oder "Hast du kurz Zeit?".
Sollten Sie plötzlich zum Kauf von Guthabenkarten oder ähnlichem aufgefordert werden, meist unter dringenden Vorwänden wie Krankheit oder Meetings, sollten Sie skeptisch werden und beim vermeintlichen Absender beispielsweise per Telefon nachfragen.
Verschickt ein Gesprächspartner normalerweise nur digital signierte E-Mails kann eine fehlende digitale Signatur ein Zeichen für einen Betrugsversuch sein.
Um Ihre Mitarbeiter vor solchen Betrugsversuchen zu schützen, ist die konsequente Nutzung von digitalen Signaturen empfohlen. Weitere Informationen zur E-Mail-Sicherheit finden Sie hier.
Am 01.07.2021 wurde die mit PrintNightmare benannte Schwachstelle (CVE-2021-34527) öffentlich, welche praktisch in allen Versionen von Microsoft Windows vorhanden ist. Die Schwachstelle befindet sich im Druck-Dienst (Print Spooler) und ermöglicht unter bestimmten Umständen die Ausführung von Schadcode auf einem Ziel System über das Netzwerk (Remote Code Execution) sowie eine lokale Rechteausweitung (Local Privilege Escalation). Für die Ausnutzung aus der Ferne muss der Druck-Dienst erreichbar sein und der Angreifer benötigt einen gültigen Zugang zum System. Es wurden bereits mehrere Exploits für diese Schwachstelle veröffentlicht.
Microsoft hat mittlerweile Updates für viele Windows Versionen veröffentlicht (siehe Microsoft Security Advisory [en]), welche allerdings ersten Erkentnissen nach die Schwachstelle nur teilweise schließen (siehe BleepingComputer [en]) und in einigen Fällen zu Druck-Problemen führen.
Das WWU-CERT empfiehlt, die bereitgestellten Updates umgehend auf alle Windows Systeme zu installieren, um die Ausnutzung zu erschweren. Da das Update die Schwachstelle nicht vollständig schließt und die Informationen, in welchen Fällen eine Ausnutzung dennoch erfolgreich ist, immer noch nicht eindeutig sind, sollte mindestens auf Systemen mit mehreren Nutzern (z.B. Remote Desktop Servern) ein temporärer Workaroundgenutzt werden, um per ACL eine Ausnutzung zu unterbinden (siehe TRUESEC Blog [en]). Dieser Workaround verhindert allerdings auch, dass neue Drucker installiert werden können! Wenn auf bestimmten Servern der Druck-Dienst nicht notwendig ist, sollte dieser am besten generell deaktiviert werden.
Kritische Schwachstellen in Dell Treiber und Exim Mailserver
Es wurden mehrere Schwachstellen in einem von Dell Produkten genutzten Windows Treiber (dbutil_2_3.sys) gefunden, die eine Rechteausweitung eines lokalen Angreifer ermöglichen.
Der verwundbare Treiber wurde seit 2009 bei einer Vielzahl von Dell Computern vorinstalliert ausgeliefert und kann nachträglich auch durch die Nutzung von Dell Update Software oder Firmware Updates installiert worden sein. Dell empfiehlt die sofortige Entfernung des betroffenen Treibers (siehe Dell Security Advisory [en]).
In der Exim Mailserver Software wurden 21 teils kritische Schwachstellen gefunden. Zehn dieser Schwachstellen lassen sich aus der Ferne ausnutzen und ermöglichen einem Angreifer die Ausführung beliebiger Befehle (RCE). Die übrigen Schwachstellen lassen sich nur lokal ausnutzen, ermöglichen aber eine Rechteausweitung für Angreifer.
Betroffen für eine oder mehrere der Schwachstellen sind beinahe alle Versionen unter 4.94.2. Da teilweise Exim bei einigen Distributionen vorinstalliert ist, kann dies selbst ohne aktive Nutzung ein Sicherheitsproblem durch die lokalen Schwachstellen darstellen. Eine abgesicherte Version (Exim 4.94.2 [en]) steht bereits zur Verfügung und sollte, insbesondere bei extern erreichbaren Mailservern, umgehend installiert werden.
