Dieser Moodle-Kurs beinhaltet Informationen und Videos zu den wichtigen Themen der Informationssicherheit, unter anderem:

• Sichere Passwörter
• Passwort-Manager
• Phishing E-Mails
• verdächtige Links erkennen

Am Ende des Kurses kann das gelernte Wissen in einem Quiz überprüft werden.
Dauer: ca. 30 min

Zum Moodle Kurs

Der Begriff Phishing wird vom englischen "fishing", also "angeln" abgeleitet. Angreifer:innen versuchen über gefälschte Websites, E-Mails oder auch SMS, vertrauliche Daten von Nutzer:innen zu stehlen. Das können beispielsweise Passwörter, Konto- und Kreditkarteninformationen sein, welche die Angreifer:innen dann für ihre Zwecke nutzen können.
Oftmals besteht auch das Ziel darin, die Nutzer:innen dazu zu verleiten, speziellen Dateien im Anhang einer E-Mail zu öffnen und somit Schadsoftware auf dem Gerät des Opfers zu installieren.

Nicht immer sind Phishing E-Mails leicht zu erkennen. Angreifer:innen nutzen Techniken des Social Engineering, um ihre Opfer zu verunsichern und zu ködern. Dabei verwenden sie häufig frei zugängliche Informationen und erwecken einen vertrauenswürdigen Eindruck.

Folgende Hinweise können auf eine Phishing E-Mail hindeuten:

Gefälschte Absenderadresse

• Ist die E-Mail-Adresse des Absenders korrekt?
• Kann der Absender den Versand bestätigen?

Abfrage vertraulicher Daten

• Oft wird in Phishing E-Mails dazu aufgefordert Zugangsdaten preiszugeben.

Sprachliche Ungenauigkeiten

• Achte darauf, ob der Text Rechtschreibfehler enthält.

Links zu gefälschten Webseiten

• Prüfe Links in E-Mails genau, indem du zuerst mit der Maus darüber hoverst

Dringlichkeit

• Signalisiert die E-Mail Dringlichkeit oder akuten Handlungsbedarf?

Anhänge

• Öffne niemals Dateien im Anhang einer verdächtigen E-Mail

Wenn Sie Phishing E-Mails erhalten oder sich unsicher sind, ob es sich um eine Phishing E-Mail handelt, können Sie diese jederzeit an security(at)hof-university.de weiterleiten. Weitere Informationen zum Thema Phishing erhalten Sie auf der Seite des BSI.

• mindestens 12 Zeichen lang
• keine Namen, Wörter oder persönlichen Daten verwenden
• Buchstaben, Zahlen und Sonderzeichen kombinieren
• Mit niemandem teilen
• Nicht aufschreiben
• Passwort nicht mehrmals verwenden
• Passwortmanager verwenden
• Passwortgenerator verwenden

Auf der Liste der am häufigsten genutzten Passwörter befinden sich jedes Jahr aufs Neue "123456" oder "password" sehr weit oben. Angreifer:innen können einfache Passwörter wie diese mit ihren Werkzeugen innerhalb weniger Sekunden herausfinden und haben dann Zugriff auf den Account. Es ist deshalb wichtig komplexe Passwörter und bei verschiedenen Nutzerkonten, auch verschiedene Passwörter zu verwenden. Durch die Verwendung verschiedener, zufälliger Passwörter verhindern Sie, dass Angreifer:innen im Falle einer Veröffentlichung, direkt auf alle Ihre Accounts Zugriff erhalten.

Da es schwierig ist, sich alle Passwörter zu merken, werden Passwörter häufig aufgeschrieben und beispielsweise an den Monitor geklebt oder in einer Excel-Tabelle gespeichert. Davon sollte jedoch abgesehen werden, da somit Dritte Zugriff auf die Passwörter erhalten können! Stattdessen empfehlen wir die Nutzung eines Passwortmanagers (z.B. KeePassXC).

An der Hochschule Hof gelten die folgenden Passwortrichtlinien:

Das Passwort:

• muss aus mindestens 12 Zeichen bestehen
• enthält drei der vier folgenden Kategorien:
  • Großschreibung: A-Z
  • Kleinschreibung: a-z
  • Zahlen: 0-9
  • Sonderzeichen: + < > - _ * ! # % = . , ( ) : ; `
• darf nicht identisch zu den letzten 10 verwendeten Passwörtern sein
• darf keine sich wiederholenden oder aufeinanderfolgenden Zeichen (z.B. aaaaaa, 1234abcd) enthalten
• darf nicht kontextspezifische Wörter, wie z.B. der Name des Dienstes, Benutzername, Vorname, Nachname und Ableitungen davon enthalten

Wenn Sie Ihr Passwort vergessen haben, können Sie dieses über das Selfservice-Portal zurücksetzen. Voraussetung dafür ist, dass Sie die dafür benötigten Sicherheitsabfragen eingerichtet haben. Sollten Sie Ihr Passwort mehrfach falsch eingegeben haben und Ihr Account (zeitweise) gesperrt sein, können Sie Ihr Passwort ebenfalls über das Selfservice-Portal zurücksetzen.

Aus Bequemlichkeit werden Meldungen zu neuen Updates häufig einfach weggeklickt oder auf später verschoben. Doch dadurch könnten Angreifer:innen leichtes Spiel haben.

Durch Updates werden oft nicht nur neue Funktionen zu Software hinzugefügt oder Fehler behoben, sondern auch kritische Sicherheitslücken beseitigt. Werden regelmäßig Updates auf allen Geräten installiert, besteht eine wesentlich geringere Gefahr, dass Schadsoftware auf diese gelangt.

Weitere Informationen und Hinweise zum Thema Updates finden Sie auf der Seite des BSI.