Sicherheitsgrundregeln für Arbeitsplatzrechner

Jedermann, der mit einem ans Hochschulnetz angeschlossenen Rechner arbeitet und sich damit verpflichtet, die Benutzungsordnung für Informationssysteme einzuhalten, ist nicht nur passiver Teilnehmer und Dienstenutzer, er/sie beeinflusst (wissentlich oder unwissentlich) unvermeidlich andere Rechner und den gesamten Netzverkehr. Um Schaden von sich und anderen abzuwenden, muss er/sie sich dabei, wie im Straßenverkehr, an bestimmte Regeln halten.

Spätestens aus den Angriffen der letzten Zeit ist für jedermann deutlich geworden, dass schlecht konfigurierte Rechner eine erhebliche Gefahr bzw. Beeinträchtigung nicht nur für sich selbst, sondern für alle anderen Teilnehmer im Netz darstellen. Die Analyse der Vorfälle zeigt klar, dass man den Schaden in Grenzen halten kann, wenn alle, die einen Rechner am Netz betreiben, einige wenige, einfache Regeln beachten.

Betriebssystem aktuell halten: Updates zeitnah einspielen

Neuinstallation, Erstinbetriebnahme

Sowohl bei der Inbetriebnahme eines vom Lieferanten vorkonfigurierten Rechners wie auch bei der Neuinstallation eines Betriebssystems (in der Regel von CD) wird man nicht die auf neuestem Stand aktualisierte (upgedatete) Version vorfinden. Deshalb müssen sofort die neuesten Updates eingespielt werden.

Problem:
Unmittelbar nach Anschluss ans Netz ist der Rechner durch die Sicherheitslücken angreifbar, die mit den noch nicht installierten Updates geschlossen werden sollen.

Lösung:
Vor Anschluss des Rechners ans Netz sollten die aktuellen Patches und Servicespacks von CD installiert werden. Für Windows2000 und XP-Systeme bietet das ZKI eine Update-CD an. Wenden Sie sich an Herrn Schüler oder ihren DV-Organisator. Eine weitere Möglichkeit besteht darin, eine (persönlicher) Firewall auf dem Rechner zu konfigurieren.

Updates zeitnah einspielen

Aktuelle Warnungen und Informationen zu Sicherheitslücken aller Betriebssysteme und Anwendungen können Sie über die Mailingliste security erhalten. Diese Liste ist eine Weiterleitung der Mailingliste des DFN-CERT. In diese Liste kann sich jeder Mitarbeiter eintragen.

Anmelden kann man sich auf http://listserv.hs-magdeburg.de/cgi-bin/mailman/listinfo/security

Windows

Rechner sollen so konfiguriert sein, dass bei Verbindung mit dem Netz Updates automatisch erfolgen. Wenn das noch nicht der Fall ist, sollten unverzüglich Windows Updates (über Internet Explorer) solange durchgeführt werden, bis alle sicherheitskritischen Updates eingespielt sind. Dabei sollte die Konfiguration entsprechend der automatischen Voreinstellung so belassen werden, dass alle weiteren Updates automatisch erfolgen. Bei Windows Versionen, die das automatische Update nicht unterstützen, ist regelmäßig von Hand zu aktualisieren: auf jeden Fall unmittelbar nach dem Bekanntwerden von Sicherheitslücken, sonst mindestens wöchentlich. Wir empfehlen nachdrücklich, solche Betriebssystemversionen schnellstens durch aktuelle zu ersetzen. Die Konfiguration des automatischen updates muss vom Administrator eingerichtet werden. Auch dabei können ihnen die DV-Organisatoren der Bereiche helfen.

Aktuelle Informationen über aktuelle Windows-Sicherheitsprobleme, neue Viren und Lösungen erhalten Sie über die Mailingliste win-sec des ZKI. Die Liste dient momentan nur zur Information, nicht der Diskussion dieser Problematik. In diese Liste kann sich jeder Mitarbeiter eintragen.

Anmelden kann man sich auf http://listserv.hs-magdeburg.de/cgi-bin/mailman/listinfo/win-sec

Linux

Hier finden Sie sicherheitsrelevante Informationen der einzelnen Distributionen:

MacOS

Wenden Sie sich dazu an Herrn Teichert im ZKI.

 

 

UNIX (AIX, HPUX, Irix, Solaris,...)

Wir gehen davon aus, dass für diese Rechner immer Systemadministratoren benannt sind, die sich bei Bedarf mit dem ZKI über die notwendigen Maßnahmen absprechen.

Virenscanner verwenden und aktuell halten

Immer dann, wenn Sie Dateien aus dem Internet auf den eigenen Rechner übertragen (download), können Sie sich Computerviren einfangen. Die lauern z.B. in ausführbaren Dateien. In der DOS-Welt wären dies Dateien vom Typ EXE (ausführbare Datei), COM (Befehls-Datei) oder BAT (Stapeldatei). Es können weitere Dateitypen von Windows ausgeführt werden.

In ihnen können Viren, Trojaner oder andere Gemeinheiten (Malware) enthalten sein. Hier einige Beispiele:

  • CMD (Windows-Stapelverarbeitung)
  • CHM (Hilfedatei)
  • EML (E-Mail)
  • LNK (LiNK, Windows-Verknüpfung)
  • PIF (Program-Information-File)
  • JS (Java-Script-Datei)
  • SCR (SCReensaver, Bildschirmschoner)
  • VBS (Visual-Basic-Script)
  • VXD (Virtual eXtended Driver, Treiberdatei)

und andere. 

Viele dieser gefährlichen Anhänge werden bei Maileingang auf Viren gescannt und blockiert. Mehr dazu finden Sie unter Kommunikation und Zusammenarbeit - E-Mail

In Microsoft-Office-Dateien können ebenfalls gefährliche Scripte bzw. Makros enthalten sein. Makroviren verbreiten sich oft mit Hilfe von Outlook weiter. Werden solche Dateien ausgeführt bzw. aufgerufen, können weitere Dateien angesteckt, verändert, gelöscht oder per Mail versendet werden.

Auch in Dateien von Webseiten (HTM oder HTML) oder in HTML-Mails können gefährliche Scripts enthalten sein. Bestimmte Viren können sich beim "Infizieren" im Bootsektor von Festplatten oder Disketten einnisten.

Um Windows- und MacOS-Rechner vor Viren zu schützen, müssen diese mit einem aktuellen Virenschutz versehen werden. Nach Installation oder Update des Betriebssystems sollte dies unverzüglich in Angriff genommen werden.

Das ZKI stellt fachbereichsübergreifend ausreichend Lizenzen des Virenschutzprogramms  Sophos zur Verfügung, deren Signaturen laufend aktualisiert werden. Informationen zu Zugangsmöglichkeiten erhalten Sie über den DV-Organisator bzw. -Verantwortlichen Ihres Bereiches. Sollte Ihnen der Ansprechpartner Ihres Bereiches nicht bekannt sein, wenden Sie sich an die Benutzerberatung  (Hausapparat 4954) des ZKI.

Bei Auftreten von Schadprogrammen bzw. Viren melden sie sich bitte sofort bei ihrem DV-Organisator!

Lesen Sie mehr und umfassende  Empfehlungen zum Schutz vor Computerviren aus dem Internet.

Sichere Passwörter verwenden

Wenn Sie den Mail-/POP-Server benutzen, so authentifizieren Sie sich durch Ihren Usernamen und Ihr Passwort. Jede Person mit einem Zugang zum Internet kann auf Ihre Mail oder Ihren Account zugreifen, wenn sie Ihr Passwort kennt. Ihr Passwort ist also der einzige Schutz Ihrer Mail oder Ihres Accounts!

Leider gibt es mittlerweile auch fertige Programme, die nichts anderes tun, als Passwörter zu erraten. Da Computer immer schneller werden, wachsen auch die Fähigkeiten dieser Programme. Somit sollten Sie sich einmal genauer mit Ihrem Passwort beschäftigen. Ein Passwort wie "geheim" ist genauso unsicher wie gar kein Passwort."Geheim" ist ebenso miserabel, "gEhEiM" kaum besser.

Passwörter bestehen im allgemeinen aus 8 Zeichen. Werden längere Passwörter benutzt, werden sie zwar akzeptiert, aber meist sind nur die ersten 8 Zeichen signifikant. Somit wird meinpasswort zu meinpass.
Auch dieses Passwort ist schlecht!

Was Sie NICHT als Passwort VERWENDEN sollten:

  • Ihren eigenen Namen, Namen Ihrer Partner oder Freunde, natürlich auch der Ihrer Familienmitglieder wie z.B Ihrer Kinder.
  • Ihre Autokennzeichen
  • Ihr Geburtsdatum, ja generell eben alles, was mit Ihnen in Verbindung gebracht werden kann
  • Passwörter mit weniger als 6 Zeichen
  • Wörter, die man in einem Buch (egal, welche Sprache!) finden kann - denken Sie daran: Ein Passwort-Knacker könnte genau dieses Buch als Probierwörterliste verwenden.

Einige Verfahren, mit denen schwer zu erratende Passwörter "erzeugt" werden können:

  • Die Anfangsbuchstaben eines Satzes: "Ich finde Surfen im Internet nur langweilig." wird zu IfSiInl. Dazu verlangt das System aber, dass mindestens ein Zeichen kein Buchstabe ist. Also beispielsweise IfS8iInl.
  • Absichtlich falsch geschriebene Wörter: Anstatt "HighNoon" "HeiNuun6".

Wichtige Hinweise

Ändern Sie Ihr Passwort regelmäßig! Es ist ganz einfach, das Passwort zu ändern! :

  1. Loggen Sie sich bitte hier auf den ZKI-Webseiten mit Ihrem zentralen Account ein.
  2. Gehen Sie auf "Mein zentraler Account" – "Passwort ändern".
  3. Sie geben Ihr altes Passwort zur Kontrolle ein und dann 2x Ihr neues (um Vertipper zu vermeiden).

In der Regel als "Benutzer" arbeiten, nicht als Administrator

In Windowssystemen ab Windows NT und Win 2000, sowie in Unix/Linux-Systemen können lokal sowohl Administratoren als auch "gewöhnliche" Benutzer eingerichtet werden. Man braucht Administratorenrechte, um Konfigurationen einzurichten oder zu verändern. Beim normalen Arbeiten mit den Anwendungen (also -fast- immer) sollte man sich als Benutzer und keinesfalls als Administrator einloggen, um einem eventuell erfolgreichen Angreifer nicht die Möglichkeit zu geben, damit automatisch selbst Administratorenrechte zu übernehmen.

Diese Unterscheidung existiert bei früheren Windows-Systemen nicht. Das ist ein Grund dafür, warum diese unter Sicherheitsgesichtspunkten möglichst nicht mehr verwendet werden sollten.

Sicherheitskritische Anwendungsprogramme richtig konfigurieren und aktuell halten

Windows Office

Sicherheitsrelevante Patches sollen regelmäßig eingespielt werden. Diese Patches sind auf den Microsoft-Seiten als wichtig bzw. sicherheitskritisch gekennzeichnet. Dieser Vorgang ist derzeit nicht automatisierbar und deshalb manuell bei Bekanntwerden von Schwachstellen bzw. in regelmäßigen, etwa monatlichen Abständen vom Administrator durchzuführen. Dazu kann der Zugriff auf die Original-CDs erforderlich sein.

Browser-Einstellungen (z.B.: Internet Explorer)

Die Verwendung von Javascript, Java und ActiveX-Steuerelementen kann mit Sicherheitsrisiken verbunden sein, da hierdurch fremder Programmcode auf dem lokalen System zur Ausführung gebracht werden kann. Ebenso ist das Scripting ein Risiko und ggf. zu deaktivieren.

Der Internet-Explorer arbeitet mit einem so genannten Zonenkonzept, das jeden WWW-Server einer von vier Zonen zuordnet:

  • In die "Zone Internet" sind alle Server eingeordnet, die den drei anderen Zonen nicht zuzuordnen sind. Bei Privat-PCs sind das meistens alle.
  • In die "Zone lokales Intranet" kommen sowohl die Server eines lokalen Intranets als auch lokale Dateien.
  • Die "Zone vertrauenswürdige Sites" ist erst mal leer. Hier können Sie Server eintragen, denen Sie vertrauen, und die deshalb ein wenig mehr auf Ihrem Rechner unternehmen dürfen als andere. Das sind zum Beispiel Server der Online-Shops bei denen Sie häufig einkaufen. Bei denen könnten Sie hinsichtlich aktiver Inhalte eine Ausnahme machen und auch Cookies zulassen.
  • Auch die "Zone eingeschränkte Sites" ist zunächst leer. Sie können diese Zone mit Servern füllen, denen Sie misstrauen. Weil Sie grundsätzlich keinem WWW-Server trauen, den Sie nicht kennen, ist die vierte Zone für Privat-Surfer ohne Bedeutung.


Für die einzelnen Zonen können Sie die "Sicherheitseinstellungen" im gleichnamigen Fenster individuell festlegen. Dieses Fenster öffnet sich, nachdem Sie im Fenster "Extras" - "Interneteinstellungen" - "Sicherheit" auf die Auswahlfläche "Stufe anpassen" geklickt haben.

Eine bekannt gewordene Sicherheitslücke ermöglicht das Fälschen von Dateiendungen beim Download. Das heißt, der Nutzer kann durch Anklicken eines offensichtlich harmlosen Links im IE ein Programm auf dem eigenen Arbeitsplatzrechner mit lokalen Nutzerrechten starten.

Nähere Hinweise und einen umfangreichen Überblick zu Sicherheitseinstellungen unterschiedlicher Browser finden Sie unter www.heise.de/security/dienste/browsercheck.

Das ZKI empfiehlt, aus Sicherheitsgründen den Internet Explorer nicht zu verwenden.

Mailprogramme

Inwieweit sich durch Verwendung eines speziellen Mailclients Sicherheitsrisiken ergeben, hängt wesentlich von dem konkreten Produkt (Outlook, Outlook-Express, Netscape-Mail, Eudora, etc...) ab. Die Abhängigkeit von z.B. Outlook mit dem Internet-Explorer (zur Darstellung eingebetteter HTML-Seiten) erhöht ggf. das Sicherheitsrisiko, hier sind die Einstellungen entsprechend restriktiv zu wählen.

Das ZKI empfiehlt deshalb, Outlook nicht zu verwenden.

Andere Anwendungsprogramme

Eine regelmäßige Aktualisierung aus Sicherheitsgründen ist für viele Anwendungsprogramme nicht notwendig. Über Ausnahmen informieren die Webseiten der Hersteller. Einschlägige Hinweise für die gängigsten Programme werden vom ZKI bereitgestellt.

Nicht benötigte Dienste deaktivieren

Windows

Auf den Arbeitsplatzrechnern und Servern sollten alle nicht benötigten Dienste (die Sicherheitslücken darstellen können) deaktiviert werden. Das wird von Nutzer zu Nutzer verschieden sein. Beraten Sie sich bitte mit ihrem DV-Organisator oder holen sich beim ZKI Rat.

Über Start-(Alle)Programme-Verwaltung-Dienste erreicht man die Übersicht über die (gestarteten) Dienste und kann sie ggf. deaktivieren.

Die Dienste, die unbedingt laufen müssen, können bei Windows-Systemen mit Hilfe der IP-Sec-Funktionalität abgesichert werde.

Hinweise dazu unter der URL:

Linux

Bei jeder Linuxinstallation sollten in jedem Fall nur die Dienste bzw. Softwarepakete installiert werden, die für die betreffende Umgebung benötigt werden. Diese Dienste sollten dann mit iptables abgesichert werden.

Arbeitsplatzrechner sollten außerhalb der Nutzungszeiten (nachts, am Wochenende, im Urlaub) generell ausgeschaltet werde.

Sensibler Umgang mit E-Mails

  • Führen Sie grundsätzlich keine Software aus, die Ihnen als Mailanhang zugesandt wird (Kein Klick/Doppelklick auf Dateien, deren Herkunft oder Art unbekannt sind!).
  • Verwenden Sie Einstellungen in ihrem Mailprogramm, welche die automatische Ausführung von Mailanhängen unterbinden.
  • Misstrauen Sie Mails, die die Aufforderung enthalten, Software zu installieren.
  • Antworten Sie nicht auf Mails mit unerwünschtem oder zweifelhaftem Inhalt, auch nicht, um die Versendung dieser Mails abzubestellen.
  • Virenbefallene Mails täuschen in der Regel vertraute Absenderadressen vor. (Überlegen Sie, ob der "vertraute Absender" zu dem Thema und in der Form mit Ihnen reden würde.)
  • Unerwartete Dateianhänge sollten prinzipiell nicht geöffnet werden. Dies gilt auch, wenn diese von bekannten Absendern stammen, da Absenderadressen gefälscht sein können.
  • Misstrauen Sie unerwarteten Mails und insbesondere ihren Dateianhängen. 
  • Bei einer E-Mail ohne digitale Signatur sind Absender und Inhalte beliebig fälschbar. Daher kann diesen E-Mails nicht unbedingt getraut werden.
  • Versenden sie schützenswerte Daten nur verschlüsselt.
  • Versenden sie Vertrauliche Informationen und personenbezogene Daten (wenn erlaubt) nur mit digitaler Signatur (und verschlüsselt).
  • Keine Nachrichten in html-Format anzeigen.
  • E-Mail-Vorschau deaktivieren, wenn durch diese aktive Inhalte ausgeführt werden können.

Datensicherung

Die sorgfältige Anwendung der Goldenen Regeln verbessert die Sicherheit Ihres Systems und der darauf gespeicherten Daten. Ein absolut sicherer Schutz ist leider nicht möglich. Eine Sicherung Ihrer Daten ist deshalb unverzichtbar. Da Angriffe auf Ihren Computer grundsätzlich auch zu Veränderungen des Datenbestandes führen können, sollte die Datensicherung auch die Wiederherstellung Ihrer Daten auf einen weiter zurückliegenden Zeitpunkt erlauben. Das zentrale Archiv-/Backupsystem der Hochschule bietet Ihnen entsprechende Möglichkeiten. Server der einzelnen Bereiche, auf denen die Clients ihre Daten abgelegt haben, werden gesichert.

Organisatorische Konsequenzen

Mit diesen Regeln versucht das ZKI seinen Nutzern eine einfache Hilfestellung zu geben, um grobe Sicherheitslücken zu schließen, die bis jetzt für die weitaus größte Zahl aller erfolgreichen Angriffe verantwortlich sind. Diese Regeln beziehen sich auf den Betrieb von Arbeitsplatzrechnern und können schon deshalb nur mit Unterstützung der Nutzerinnen und Nutzer umgesetzt werden.

In den direkten Zuständigkeitsbereich des ZKI gehören alle die Maßnahmen, die auf zentralen Netzkomponenten und Servern zu ergreifen sind, um bestmögliche Sicherheit des Netzbetriebs zu erreichen.

Wie auf der Ebene der Fachbereiche und Zentralen Einrichtungen sichergestellt wird, dass zumindest für jeden am Netz betriebenen Rechner ein Administrator benannt ist, hängt stark von den lokal vorhandenen Möglichkeiten, Kenntnissen, Erfahrungen und Anforderungen ab. Es wäre anzustreben, dass in allen Organisationseinheiten klarere Zuständigkeiten und Aufgabenverteilungen im IuK-Bereich benannt werden und das Zusammenwirken von ZKI, Fachbereichen, Verwaltung und Anwendern unter funktionalen und Sicherheitsgesichtspunkten überprüft und in verbindliche organisatorische Formen gegossen wird.

Kontakt

Standort Magdeburg
Breitscheidstr. 2, Haus 5
39114 Magdeburg

Tel.:
Fax: (0391) 886 43 64
E-Mail: zki-md(at)hs-magdeburg.de

Standort Stendal
Osterburger Str. 25, Haus 2
39576 Stendal

Tel.: (03931) 2187 48 39
Fax: (03931) 2187 48 79
E-Mail: zki-sdl(at)hs-magdeburg.de

Service-Mailadressen und Öffnungszeiten

Hintergrund Bild