IT-Security

Allgemein

Gibt es weiterführende Informationen zum Thema "IT-Security" ?

Der ZID bietet Kurse für den Bereich IT-Security an - mehr Informationen zu den Inhalten und Terminen erhalten Sie in der Kursdatenbank.

Was muss ich bei Passwörtern beachten?

Wissenwertes über Passwörter erfahren sie auf unserer Passwort-Seite.
Bitte beachten Sie auch die Passwort-Policy des ZID.

Warum bekomme ich so viel Spam?

Möglicherweise haben Sie den Spamfilter noch nicht aktiviert. Alles über die Features und Einstellungsmöglichkeiten des Spamfilters erfahren Sie auf der Spamfilter-Webseite.

Der Spamfilter der Universität Wien genießt – auch außerhalb der Universität  – allgemein hohe Anerkennung und dient vielen Installationen als Vorbild. Hält man sich jedoch vor Augen, dass etwa 75% (die Angaben schwanken je nach Quelle und Methodik) der weltweit versandten E-Mail Spam ist, wird klar, dass auch die besten Spamfilter gelegentlich unerwünschte Mail passieren lassen.

Heartbleed

Mein u:account-Passwort habe ich auch für Dienste anderer Betreiber benutzt. Was bedeutet das?

Bitte ändern Sie Ihr u:account-Passwort sofort und achten Sie stets darauf, dass es nur für vom ZID betriebene Services benutzt wird.

Ich habe ein separates Passwort für u:account-Services. Muss ich es jetzt dringend ändern?

Wir empfehlen, routinemäßig etwa einmal jährlich das u:account-Passwort zu ändern. Auch wenn nach derzeitigem Wissensstand für u:account-Passwörter keine akute Gefahr durch die Heartbleed-Lücke besteht, empfehlen wir, diese Gelegenheit zu einer Passwort-Änderung zu nutzen.

Wie kann ich mein Passwort ändern?

Bitte benutzen Sie die Webmaske zur Änderung des Passwortes.

Versendet der ZID E-Mail-Nachrichten über die heartbleed-Schwachstelle?

Vorsicht bei vermeintlich dringenden E-Mails zum heartbleed-Thema! Betrüger werden möglicherweise mit gefälschten Mails versuchen, an Ihr Passwort zu gelangen.

Der ZID bzw. das ACOnet-CERT benachrichtigt Administratoren von verwundbaren Servern im österreichischen Wissenschafts- und Bildungsnetz ACOnet, sofern diese noch die heartbleed-Schwachstelle aufweisen.

Wie kann ich gefälschte E-Mail-Nachrichten erkennen?

Der ZID fordert Sie niemals per E-Mail auf, Ihr Passwort zu versenden oder auf einer Webmaske einzugeben.

Wichtige Informationen wie Änderungen und Ausfälle werden stets auf der ZID-Webseite bzw. im Bereich Wartungsarbeiten bekanntgegeben.

Im Zweifelsfall sehen Sie bitte auf zid.univie.ac.at nach und/oder wenden Sie sich an Ihre/n EDV-Beauftragte/n oder den Helpdesk. Wenden Sie sich bitte nicht an den Kontakt, der in der zweifelhaften Nachricht angegeben ist - schließlich kann der ja ebenfalls gefälscht sein.

Welche Server sind betroffen?

Die Sicherheitslücke heartbleed trifft Internetservices, die bestimmte Versionen von OpenSSL, einer sehr verbreiteten Bibliothek für die verschlüsselte Datenübertragung, einsetzen. Welche Server (Web-, Mail-, Jabber-Server etc.) tatsächlich betroffen sind, lässt sich nur im Einzelfall testen.

Betrifft die Lücke nur Server oder ist auch mein PC, Laptop oder Smartphone gefährdet?

Prinzipiell können auch Server diese Lücke bei Endgeräten ausnutzen. Welche tatsächliche Gefährdung hierbei besteht, ist zur Zeit noch nicht klar.

Wieso heißt die Sicherheitslücke heartbleed?

Die Sicherheitslücke nützt ein Protokollfeature namens "heartbeat" aus und führt dazu, dass Daten bildlich gesprochen "ausbluten". Daraus wurde das Kofferwort "heartbleed" gebildet.

In den Medien wird kolportiert, dass Passwörter und Kreditkarteninformationen gestohlen werden können. Stimmt das?

Eine strukturierte oder gezielte Abfrage von Informationen durch die heartbleed-Lücke ist nicht möglich. Angreifer können nicht auswählen, welche Informationen sie erhalten. Es kommt ganz auf den Zufall an, wessen Daten und welche Daten sie erhalten.

Tatsächlich erhalten Angreifer bei verwundbaren Servern Datenfragmente, die sich aus zuvor über den selben Server übertragenen Datenpaketen zusammensetzen. Darin können sich alle möglichen Informationen vom Wetterbericht bis zur eben erfolgten Kreditkartenbestellung im Onlineshop befinden.

In diesen Datenpaketen sind allerdings häufig Passwörter anzutreffen, die für weitere Zugriffe mit der Berechtigung des jeweiligen Anwenders/der jeweiligen Anwenderin genutzt werden können.

Sind Fälle bekannt, in denen die Sicherheitslücke zu kriminellen Zwecken tatsächlich ausgenutzt wurde?

Bisher sind dem ZID keine Fälle bekannt, in denen die heartbleed-Lücke zu kriminellen Zwecken oder für Spionage ausgenutzt wurde. Das Zeitfenster zwischen Bekanntwerden der Lücke und deren Schließung durch die Serverbetreiber war in der Regel sehr kurz.

Wurde die heartbleed-Lücke von der NSA eingeschleust?

Der für den Fehler verantwortliche Programmierer hat öffentlich Stellung bezogen und erklärt, dass ihm damit ein unbeabsichtigter Fehler unterlaufen ist. Es ist rundum plausibel und wurde von der Community auch als wahrscheinlich eingestuft, dass lediglich einem freiwilligen Mitarbeiter an OpenSSL eine zwar spektakuläre aber unbeabsichtigte Fehlleistung unterlaufen ist, die auch im Zuge der Qualitätskontrolle nicht bemerkt wurde.

Seit wann exisitert die Sicherheitslücke?

Der Programmierfehler ist in der OpenSSL-Bibliothek seit 2012 enthalten. Ob die betroffenen Versionen tatsächlich in Prodkutionsservern eingesetzt wurden bzw. ab wann, ist unterschiedlich. Im Extremfall kann ein Server aber über zwei Jahre diese Lücke gehabt haben.

Wussten die Geheimdienste davon?

Es gibt widersprüchliche Aussagen darüber, ob etwa die NSA von der Sicherheitslücke gewußt hat. Ob und in welchem Ausmaß diese Lücke allerdings genutzt wurde, ist wieder eine andere Frage. Sie eignet sich jedenfalls nicht gut zum gezielten Ausspähen von Daten, vor allem nicht bei großen Institutionen wie einer Universität. Mit einer Nutzung der heartbleed-Lücke ist stets die Gefahr einer Entdeckung verbunden; dies spricht tendenziell gegen einen großflächigen Einsatz dieses Werkzeugs durch Geheimdienste.

Wussten kriminelle Banden davon?

Kriminelle Banden arbeiten nach dem Wirtschaftlichkeistprinzip und verfügen daher nicht annähernd über die Ressourcen von Geheimdiensten. Man kann spekulieren, dass der Fehler früher gezielt gesucht und entdeckt worden wäre, wäre die Lücke in großem Stil bereits vorher kriminell ausgenutzt worden.

Was wusste die Forschung?

Es ist denkbar, dass Hinweise auf diese Lücke bereits im Datenmaterial z. B. aus automatischen Testscripts von ForscherInnen zu finden sind. Diese Hinweise wurden offenbar nicht weiter verfolgt, da sie sonst entsprechend den Usancen der Community veröffentlicht worden wären, wie dies nun im April 2014 geschehen ist.

KontaktFeedback