Grundschutz

Inhalt

1. Überblick

In diesem Dokument wird beschrieben, welche Programme auf den Rechnern der Hochschule Fulda mindestens installiert sein sollten und wie diese Programme konfiguriert werden müssen, damit eine gewisse “Basissicherheit” vorhanden ist. Da auch die beste Sicherheitsmaßnahme keinen Schutz bietet, wenn die Benutzer und Benutzerinnen den Schutz umgehen oder die Maßnahmen nicht ernst nehmen, gibt es auch einige Hinweise zur Verhaltensweise der Benutzer und Benutzerinnen.

In den Einstellungshinweisen ab Kapitel 2 bedeutet “Start > … > …”, dass Sie mit dem Eintrag Start in der Menüzeile (im Allgemeinen am linken unteren Rand des Bildschirms) beginnen und dann mit einem Eintrag des Menüs, einem Karteikartenreiter oder einem anderen Element weitermachen, das die entsprechende Beschriftung aufweist.

2. Notwendige und hilfreiche Programme

(technischer Schutz)

Damit Sie mit dem Rechner überhaupt arbeiten können, benötigt er ein Betriebssystem. Das Betriebssystem muss immer auf dem aktuellen Stand sein, damit alle bekannten Sicherheitslöcher" gestopft" werden. Falls das Betriebssystem ein “Automatisches Update” zur Verfügung stellt, sollte diese Eigenschaft aktiviert werden, da die Sicherheitslöcher dann so schnell wie möglich geschlossen werden. Die aktuellen Windows-Betriebssysteme von Microsoft bieten diese Funktion. Bei Windows 10 können Sie die automatische Aktualisierung des Systems eigentlich nicht verhindern, sodass Sie nichts machen müssen. Falls Sie trotzdem manuell eine Suche nach Updates starten wollen, klicken Sie bei Windows 10 mit der rechten Maustaste auf “Start” und danach auf “Einstellungen”. Klicken Sie dann auf “Updates und Sicherheit” und anschließend auf “Nach Updates suchen”, um eine Suche nach aktuellen Versionen zu starten.

Der Zugriff auf den Rechner aus dem Internet bzw. von Programmen des Rechners auf das Internet sollte überwacht und gesteuert werden. Diese Aufgabe übernimmt eine Firewall. Obwohl alle Rechner der Hochschule Fulda durch eine zentrale Firewall geschützt werden, sollte trotzdem auf jedem Rechner eine lokale Firewall eingerichtet werden, um auch einen Schutz vor Rechnern innerhalb des Hochschulnetzes (Intranet) zu gewährleisten, die vielleicht schlecht gepflegt werden und deshalb mit Schad-Software (Viren, Würmern, Trojanern, usw.) verseucht sind. Außerdem kann die lokale Firewall unter Umständen verhindern, dass sich Schad-Software von einem verseuchten Rechner auf andere Rechner der Hochschule ausbreitet. Unter Windows können Sie beispielsweise die Windows-Firewall verwenden, die standardmäßig in den neueren Windows-Betriebssystemen enthalten ist. Klicken Sie mit der linken Maustaste auf “Start” und wählen Sie dann “Windows-Sicherheit” (am Ende der Programmliste), wenn Sie Windows 10 benutzen. Dort sollte für “Firewall & Netzwerkschutz” der Satz “Keine Aktion erforderlich.” stehen. Falls Aktionen erforderlich sein sollten, klicken Sie auf “Firewall & Netzwerkschutz” und dann nacheinander auf “Domänennetzwerk”, “Privates Netzwerk” und “Öffentliches Netzwerk” und schalten dort den Schalter “Windows Defender Firewall” auf “Ein”. Auf portablen Rechnern (Notebooks) muss unbedingt eine Firewall eingerichtet werden!

Jeder Rechner muss vor Schad-Software (Viren, Würmern, Trojanern, usw.) durch ein Antiviren-Programm geschützt werden. Die Hochschule Fulda benutzt hierfür das Programm Sophos Intercept, das auf allen Hochschulrechnern eingesetzt werden muss. Überprüfen Sie alle formatierten Anhänge (Word, Excel, PDF, …) von E-Mails auf Schad-Software, bevor Sie die Anhänge mit den entsprechenden Programmen öffnen. Weitere Hinweise (auch für private Rechner) finden Sie auf der Seite Virenschutz (Sophos) des Rechenzentrums.

Natürlich wollen Sie Ihren Rechner nicht nur schützen sondern auch nutzen. Die erforderlichen Sicherheitseinstellungen für Ihr E-Mail-Programm können Sie dem separaten Dokument E-Mail und die Einstellungen für Ihren Web-Browser dem Dokument Web-Browser entnehmen, da die Anzahl der verschiedenen Produkte den Rahmen dieses Dokuments sprengen würde. Sie können diese Dokumente auch über die Navigationsleiste öffnen. Die Sicherheitseinstellungen für Ihre anderen Programme sollten Sie in der Hilfe des Programms oder im Internet recherchieren.

Denken Sie daran, alle Programme automatisch oder zumindest regelmäßig zu aktualisieren, damit Sie Schad-Software und Hackern die Arbeit so schwer wie möglich machen.

3. Passwörter und Zwei-Faktor-Authentisierungen

Wählen Sie ein gutes Passwort und halten Sie es geheim. Im Dokument Passwörter wird beschrieben, wie Sie ein gutes Passwort bilden und wie Sie es ändern können. Beachten Sie bitte unbedingt die folgenden Hinweise.

Geben Sie Ihr Passwort niemals an andere Personen weiter, da Sie ggf. dafür verantwortlich gemacht werden, wenn Ihr Benutzerkonto (Account) von anderen Personen missbraucht wird.
Schreiben Sie Ihr Passwort nicht auf oder bewahren Sie es zumindest weit weg von Ihrem Computer und ohne erkennbaren Bezug zu Ihrem Benutzerkonto auf (niemals im selben Raum).
Speichern Sie Ihre Passwörter niemals in Dateien oder Programmen, um sich die Arbeit “zu erleichtern”, da sie sonst von Schad-Software gelesen und missbraucht werden können.
Ändern Sie sofort Ihr Passwort, wenn es in fremde Hände geraten ist oder Sie den Verdacht haben, dass es unautorisierten Personen bekannt geworden ist.
Benutzen Sie verschiedene Passwörter für verschiedene Rechner oder Tätigkeiten.
Verwenden Sie Ihren Benutzernamen und Ihr Passwort niemals für Preisausschreiben oder Ähnliches.
Verwenden Sie niemals ein Passwort auf irgendeiner Internet-Seite, das Ihrem eigenen Passwort ähnelt oder sogar entspricht, da Sie damit einem potenziellen “Hacker” eine Einbruchsmöglichkeit in Ihren Rechner bieten, wenn diese Angaben im Klartext gespeichert werden.
Wenn Sie Ihr Passwort vergessen haben sollten, können Sie sich im Rechenzentrum ein neues Passwort aushändigen lassen. Die Überprüfung Ihrer Identität kann vor Ort mithilfe eines Lichtbildausweises oder über eine Videokonferenz erfolgen.
Schützen Sie das Hochfahren Ihres Rechners (den sogenannten Boot-Vorgang) durch ein Passwort (das sogenannte “BIOS-Passwort”, siehe Abschnitte “Funktionen” und “Sicherheit” in der deutschen Erklärung zum BIOS oder besser erklärt im Abschnitt “Configuration” in der englischen Erklärung zum BIOS), wenn Sie auf dem Rechner personenbezogene oder andere sensitive Daten speichern. Dieser Schutz muss auch dann wirksam sein, wenn ein Eindringling den Rechner mit einer eigenen CDROM, DVD, einem Memory Stick oder etwas Ähnlichem starten will. Falls der Rechner nicht über einen derartigen BIOS-Kennwortschutz verfügt, dürfen personenbezogene Daten nur verschlüsselt auf der Festplatte gespeichert werden.

Der Zugriff auf einige Funktionen einiger Anwendungen (z. B. im Hochschul-Organisations-System für Studium und Lehre (“horstl”)) wird für einige Personen (z. B. Beschäftigte und Lehrbeauftragte) durch eine Zwei-Faktor-Authentisierung (oft auch “Zwei-Faktor-Authentifizierung” genannt) geschützt, sodass sich diese Personen neben dem Passwort durch einen zweiten Faktor rechtsgültig identifizieren müssen. Das System kann die Identität der Personen dann über die beiden Faktoren überprüfen (authentifizieren) und ihnen die Privilegien (Rechte) gewähren, die der nachgewiesenen Identität zustehen (Autorisierung). Die Web-Seite zur Zwei-Faktor-Authentifizierung des Rechenzentrums beschreibt, welche Verfahren unterstützt werden und wie sie ggf. eingerichtet werden können. Weitere Informationen zur Zwei-Faktor-Authentisierung finden Sie auch bei Wikipedia. Beachten Sie bitte unbedingt die folgenden Hinweise.

Geben Sie Ihren zweiten Faktor (Smartphone mit registrierter App oder Hardware-Token zur Erzeugung eines Einmal-Passworts) niemals an andere Personen weiter, da Sie ggf. dafür verantwortlich gemacht werden, wenn Ihr Benutzerkonto (Account) von anderen Personen missbraucht wird.
Falls Sie ein Hardware-Token benutzen, ist es verboten, den Hardware-Token zusammen mit dem Endgerät (z. B. Notebook) in derselben Tasche zu transportieren.
Der Verlust des zweiten Faktors oder ein Verdacht auf Missbrauch des zweiten Faktors muss unverzüglich dem oder der IT-Sicherheitsbeauftragten des Rechenzentrums gemeldet werden.

4. Persönliche Verhaltensweise

Geben Sie niemals persönliche Daten im Internet an, wenn es nicht unbedingt sein muss. Erfinden Sie ggf. Namen und Adressen, wenn Sie sich bei Web-Anbietern registrieren, in Foren diskutieren oder in Chat-Räumen unterhalten wollen. Beachten Sie bitte außerdem die folgenden Hinweise.

Ändern Sie niemals Ihr Passwort, die Konfiguration des Betriebssystems oder eines Programms auf Wunsch einer anderen (unbekannten) Person, die sich telefonisch bei Ihnen meldet. Laden Sie auch niemals auf Wunsch einer anderen Person Software aus dem Internet herunter, um sie dann zu installieren. Rufen Sie niemals bestimmte Web-Seiten auf und geben Sie auch niemals irgendwelche Kommandos ein, wenn Ihnen eine unbekannte Person dazu rät.
Geben Sie niemals sensible oder interne Informationen per Telefon weiter.
Kennzeichnen Sie portable Datenträger (CDROM, DVD, Memory-Stick, usw.) mit sensiblen Daten und verschließen Sie sie, wenn Sie den Raum verlassen.
Sorgen Sie für eine geeignete Entsorgung sensibler Dokumente und Datenträger, die zurzeit vertrauliche Daten enthalten oder in der Vergangenheit enthalten haben.
Benutzen Sie niemals CDROMs, DVDs usw. aus unbekannten Quellen (liegen einfach irgendwo öffentlich “herum”) auf einem Rechner der Hochschule, da durch die Autostart-Funktion automatisch Schad-Software auf dem Rechner installiert werden könnte.
Öffnen Sie niemals E-Mail-Anhänge, wenn Sie die E-Mail nicht erwartet haben und bevor Sie den Anhang auf Schad-Software untersucht haben. Denken Sie daran, dass der Absender gefälscht sein kann.
Leiten Sie niemals eine E-Mail nur deshalb weiter, weil es in der E-Mail verlangt wird. Tragen Sie nicht zur Verbreitung von Schad-Software oder Spam-E-Mail bei.
Verschicken Sie sensible Informationen nicht per E-Mail oder nur in verschlüsselter Form.
Schützen Sie Ihren Rechner durch einen passwort-geschützten Bildschirmschoner oder melden Sie sich ab, wenn Sie den Raum verlassen.
Sorgen Sie dafür, dass auf Ihrem Rechner immer die aktuelle Antiviren- und Anti-Spy-Software installiert ist und benutzen Sie eine aktuelle Firewall.
Deaktivieren oder entfernen Sie auf keinen Fall die Antiviren-Software oder die Firewall ohne Erlaubnis des Rechenzentrums.
Niemand darf Software herunterladen oder benutzen, die die Umgehung von Schutzmechanismen ermöglicht. Ausnahme: Systemadministratoren und Systemadministratorinnen zur Überprüfung und Wahrung der Sicherheit der Systeme.
Niemand darf an seinen Arbeitsplatzrechner ohne Zustimmung des Rechenzentrums eigene Netzwerkzugänge anschließen.
Studierende haben keinen Anspruch auf Datensicherung und -wiederherstellung, sodass sie wichtige Daten ggf. selbst sichern müssen.
Achten Sie auf sicherheitsrelevante Vorfälle und melden Sie sie.

5. Maßnahmen bei Virenbefall

Falls Sie vermuten oder sogar wissen, dass Ihr Rechner von einem oder mehreren Schad-Programmen (Viren, Würmern, Trojanern, …) befallen ist, sollten Sie folgende Maßnahmen treffen.

Trennen Sie den infizierten Rechner so schnell wie möglich vom Hochschulnetz, um weitere Schäden durch Verbreitung der Schad-Software auf andere Systeme zu vermeiden. Das betroffene System sollte möglichst nicht vom Stromnetz getrennt und auch nicht heruntergefahren werden, damit ggf. später forensische Analysen durchgeführt werden können, um die Schad-Software und die verursachten Schäden zu untersuchen und damit Maßnahmen zur Eindämmung von Folgeschäden getroffen werden können.

Wenn der Rechner mit einem Netzwerkkabel mit dem Hochschulnetz verbunden ist, sollte das Kabel abgezogen werden. Das Kabel ist mit einem Häkchen versehen, das manchmal unter einer Plastikabdeckung versteckt ist und vor dem Abziehen heruntergedrückt werden muss.
Wenn der Rechner über das Funknetz (WLAN) mit dem Hochschulnetz verbunden ist, sollten Sie versuchen, das Netz über den WLAN-Schalter oder den berührungssensitiven Bildschirm (Touchscreen) auszuschalten. Falls die Schad-Software dies verhindert, sollten Sie versuchen, das Gerät auszuschalten, indem Sie den Ein-/Ausschaltknopf mehrere Sekunden herunterdrücken. Trennen Sie in diesem Fall das Gerät auch vom Stromnetz, falls es damit verbunden ist und entfernen Sie die Batterie, falls dies möglich ist.

Informieren Sie danach bitte sofort den Helpdesk des Rechenzentrums und die Person, die für die Administration des Rechners zuständig ist.

Melden Sie den Vorfall auch an Ihren IT-Sicherheitsbeauftragten bzw. Ihre IT-Sicherheitsbeauftragte, der bzw. die Ihnen ggf. bei der Säuberung Ihres Rechners behilflich ist bzw. Ihnen mitteilt, wer Ihnen helfen kann, die Schad-Software von Ihrem Rechner zu entfernen. Abhängig von der Art der Infektion ist es unter Umständen notwendig, den Rechner neu zu installieren und die Daten von einer Datensicherung zurückzuspielen, da nur so sichergestellt werden kann, dass die Schad-Software vollständig entfernt worden ist.
Falls eine Neuinstallation nicht notwendig ist und Sie die Schad-Software selbst entfernen wollen, benötigen Sie eine sogenannte Rettungs-CD, die ein boot-fähiges Betriebssystem und eine Antiviren-Software enthält (z. B. Desinfec’t). Sie müssen die CD/DVD bzw. den Memory-Stick auf einem anderen Rechner erstellen und Ihren Rechner dann von diesem Medium starten, damit Sie eine “virenfreie” Umgebung haben. Anschließend können Sie Ihre Festplatte mit dem Antiviren-Programm untersuchen und die Schad-Software entfernen. Falls kein Virus gefunden wird, kann Ihr Rechner trotzdem mit Schad-Software verseucht sein, die das Antiviren-Programm nur nicht findet. Kontaktieren Sie in diesem Fall unbedingt das Rechenzentrum, bevor Sie Ihren Rechner wieder an das Hochschulnetz anschließen.
Damit Ihr Rechner nicht sofort erneut mit Schad-Software verseucht wird, sollten Sie unbedingt die Software Ihres Rechners aktualisieren und sofern noch nicht geschehen, ein Antiviren-Programm und eine lokale Firewall installieren. Hinweise hierzu finden Sie im Kapitel 2 dieses Dokuments.
Das Rechenzentrum und die lokalen Systemadministratoren und Systemadministratorinnen sind verpflichtet, den Betrieb und die Sicherheit des Hochschulnetzes zu gewährleisten und führen ggf. folgende Aktionen durch, wenn Gefahr im Verzug ist:

Falls es erforderlich ist, sperren sie die IP-Adresse an der nächstmöglichen Stelle.
Falls der befallene Rechner über das Funknetz (WLAN) im Hochschulnetz ist, sperren sie das Benutzerkonto und unterbrechen die Verbindung.
Sie benachrichtigen den Benutzer bzw. die Benutzerin oder den zuständigen Administrator bzw. die zuständige Administratorin über den Fehler.

6. Systemadministration

Systemadministratoren und Systemadministratorinnen haben eine besondere Verantwortung und sollten dafür sorgen, dass in ihrem Verantwortungsbereich die IT-Sicherheitsrichtlinie umgesetzt und eingehalten wird. Zusätzlich sollten sie folgende Hinweise beachten.

Die Benutzerkonten sollten so angelegt werden, dass nur gute Passwörter benutzt werden können und dass das Benutzerkonto gesperrt wird, falls ein Passwort mehrfach falsch eingegeben wird (wenn das System diese Möglichkeiten bietet).
Ändern Sie Standard-Passwörter von Telefonanlagen, Rechnern, Netzkomponenten usw. und sperren Sie ggf. Standard-Benutzer (Gast-Accounts), um die Systeme zu schützen.
Es sollten regelmäßige Datensicherungen durchgeführt werden und die Datensicherungsmedien sollten ggf. in feuer- und einbruchsicheren Schränken aufbewahrt werden, soweit es für den Datenbestand erforderlich ist. Falls personenbezogene oder andere sensible Daten extern gelagert werden, sollten sie verschlüsselt gespeichert werden.
Ändern oder sperren Sie die Rechnerzugangsberechtigung, wenn eine Person die Hochschule verlässt oder einen neuen Aufgabenbereich erhält. Die erforderlichen Daten müssen vom Student Service Center (SSC) für Studierende und von der Personalabteilung für Bedienstete an das Rechenzentrum gemeldet werden, das die Daten umgehend an alle Systemadministratoren und Systemadministratorinnen weiterleitet.
Falls ein Systemadministrator oder eine Systemadministratorin die Hochschule verlässt, müssen sofort alle System-Passwörter geändert werden und ggf. müssen die Passwort-Dateien bzw. -Datenbanken nach neuen Accounts mit Privilegien durchsucht werden, um die Sicherheit der Systeme zu gewährleisten. Unter UNIX-ähnlichen Betriebssystemen muss ggf. auch nach Programmen mit Privilegien (SUID- oder SGID-Bit gesetzt) gesucht werden, die nicht zum normalen Betriebssystem gehören.
Temporäre Benutzerkonten sollten deaktiviert werden, wenn das Projekt beendet wurde, für das sie eingerichtet worden sind.
Benutzer und Benutzerinnen dürfen ihr Benutzerkonto nicht telefonisch deaktivieren oder aktivieren lassen. Eine Deaktivierung oder Aktivierung kann nur schriftlich oder persönlich veranlasst werden. Soweit die Person nicht bekannt ist, muss die Identität vorher überprüft werden. Die Überprüfung kann vor Ort mithilfe eines Lichtbildausweises oder über eine Videokonferenz erfolgen. Bei schriftlichen Anträgen sollte auch geklärt werden, ob der Antrag tatsächlich von der Person gestellt worden ist.
Systemadministratoren und Systemadministratorinnen sollten Software herunterladen und benutzen, die die Überprüfung und Wahrung der Sicherheit der Systeme ermöglicht (z. B. Password Cracker zur Überprüfung von guten und schlechten Passwörtern, falls das System einen Zugriff auf die Passwörter zulässt).

7. Funknetze (WLAN) / Server

Für den Betrieb von Funknetzen (WLAN) und Server gelten die folgenden Bestimmungen.

Die Fachbereiche und zentralen Einrichtungen dürfen eigene Funknetze, die einen Zugang auf die allgemeine Rechnerinfrastruktur erlauben, nur mit Zustimmung des Rechenzentrums betreiben. Isolierte Funknetze für die Ausbildung dürfen nach Bedarf eingerichtet und betrieben werden.
Der Netzzugang zu produktiven Funknetzen darf nur über eine Benutzerauthentifizierung erfolgen. Ein Zugang über Hardware- oder IP-Adressen ist nicht erlaubt.
Der Datenverkehr in Funknetzen muss verschlüsselt sein. Passwörter dürfen auf keinen Fall im Klartext in einem Funknetz übertragen werden. Hinweise zur Einrichtung des WLANs finden Sie auf der Web-Seite WLAN (eduroam) des Rechenzentrums.
Die Zugangsdaten (IP-Adresse, Benutzerkonto, Zeit) zu produktiven Funknetzen müssen protokolliert werden.
Die Fachbereiche und zentralen Einrichtungen dürfen eigene Server, die mit dem Hochschulnetz verbunden sind, nur mit Zustimmung des Rechenzentrums betreiben. Isolierte Server in abgeschlossenen Labornetzen für die Ausbildung dürfen nach Bedarf eingerichtet und betrieben werden.
In Funknetzen dürfen keine Server betrieben werden.
Über externe Zugänge dürfen Server nur über eine gesicherte VPN-Verbindung verwaltet werden. Hinweise zur Einrichtung der VPN-Software finden Sie auf der Web-Seite VPN Zugang des Rechenzentrums.
Die VPN-Zugangs-Software, die Konfigurationsdatei für die VPN-Software sowie die Benutzerkennung und das Passwort für die Einwahl in das Funknetz der Hochschule Fulda dürfen nicht an andere Personen weitergegeben werden.

8. Datenverschlüsselung

Es gibt sehr viele Produkte, die die Verschlüsselung von Daten unterstützen. Wenn Sie sensitive Daten als Anlage einer E-Mail verschicken wollen, können Sie die Datei oder Dateien beispielsweise mit dem Programm 7-zip komprimieren und verschlüsseln. Das Passwort zum Entschlüsseln können Sie dem Empfänger dann z. B. telefonisch mitteilen. “7-zip” unterstützt auch die Verschlüsselung des Archiv-Verzeichnisses (header encryption), sodass eine unbefugte Person noch nicht einmal die Namen der Dateien im Archiv herausfinden kann.

Wenn Sie im täglichen Betrieb auf Ihrer Festplatte arbeiten, wollen Sie die Dateien nicht manuell ver- und entschlüsseln, zumal die Dateien dann für den Zeitraum der Bearbeitung unverschlüsselt auf der Festplatte gespeichert wären. Hierfür benötigen Sie ein Produkt, das die Daten automatisch und für Sie transparent (on-the-fly) ver- und entschlüsselt. Diese Produkte lassen sich in zwei Klassen einteilen:

Produkte, die Dateien oder alle Dateien in einem Dateiverzeichnis verschlüsseln. In diese Kategorie fällt beispielsweise das Produkt Encrypting File System (EFS), das eine Erweiterung des NTFS-Dateisystems von Microsoft ist und damit in jedem modernen Windows-Betriebssystem zur Verfügung steht. Da temporäre Dateien in der Windows-Welt häufig in anderen Verzeichnissen oder sogar in anderen Partitionen gespeichert werden, kann es passieren, dass die temporären Dateien nach der Bearbeitung unverschlüsselt zur Verfügung stehen (die temporäre Datei wird zwar gelöscht, aber ihr Inhalt wird nicht zerstört, sodass er später wiederhergestellt werden könnte).
Produkte, die eine verschlüsselte Partition in einer Datei anlegen (ein sogenannter Container) oder eine vollständige Partition der Festplatte verschlüsseln. Sie werden dann noch in Produkte unterschieden, die nur Daten-Partitionen verschlüsseln können und solche, die auch System-Partitionen verschlüsseln können. Falls ein Produkt sowohl Daten- als auch System-Partitionen verschlüsseln kann, kann die gesamte Festplatte verschlüsselt werden. In diese Gruppe gehören z. B. das kommerzielle Produkt SecurStar DriveCrypt sowie das freie Produkt VeraCrypt. Wikipedia stellt in dem Artikel “Comparison of disk encryption software” Eigenschaften, Verfügbarkeit, Aktualität usw. von vielen Festplattenverschlüsselungsprogrammen dar. Microsoft Windows bietet für einige Betriebssystemversionen das Programm BitLocker an.

Eine detaillierte Beschreibung zum Einsatz dieser Programme würde den Rahmen dieser Dokumentation sprengen. Weitere Informationen finden Sie z. B. bei Wikipedia 7-zip, Encrypting_File_System, VeraCrypt, BitLocker.

9. Aussonderung von Rechnern, Druckern und Datenträgern

Bei der Aussonderung von Rechnern und Datenträgern sollte man daran denken, dass die Daten physikalisch nicht zerstört bzw. überschrieben werden, wenn man die Dateien löscht, sodass sie später unter Umständen wiederhergestellt werden können. Beachten Sie deshalb unbedingt die folgenden Hinweise.

Sorgen Sie dafür, dass sensible Dokumente bzw. Datenträger (Festplatte, CDROM, DVD, Memory-Stick, usw.) mit personenbezogenen oder anderen sensiblen Daten nicht wiederherstellbar zerstört werden (z. B. mithilfe eines Schredders, soweit dies möglich ist), bevor sie ausgesondert werden.
Sorgen Sie dafür, dass Festplatten ggf. vollständig magnetisiert oder so zerstört werden, dass sie nicht wiederhergestellt werden können, wenn sie personenbezogene oder andere sensible Daten enthalten haben.
Denken Sie daran, dass (Netzwerk)-Drucker häufig mit Festplatten ausgestattet sind, auf denen Dateien vor dem Ausdruck zwischengespeichert werden und vergessen Sie deshalb nicht, die Daten auf diesen Festplatten ebenfalls zu zerstören, bevor der Drucker ausgesondert wird.
Viele Geräte speichern Konfigurationen in Flash-Speichern. Denken Sie daran, die Konfigurationen zu löschen, bevor Sie das Gerät aussondern, da die Kenntnis der Konfiguration unter Umständen einen Angriff auf die IT-Infrastruktur erleichtert.
Denken Sie daran, dass unter Umständen auch Multi-Funktionsgeräte, Scanner, Fax-Geräte usw. mit Festplatten oder Flash-Speichern ausgestattet sind, auf denen Daten zwischengespeichert werden. Löschen Sie diese Daten, bevor Sie das Gerät aussondern.

10. Weitere Hinweise

Moderne Kopierer sind im Allgemeinen mit Festplatten ausgestattet, auf denen die Kopien vor dem Ausdruck zwischengespeichert werden. Vergessen Sie nicht die Daten auf den Festplatten zu vernichten, bevor der Kopierer ausgesondert wird. Falls auf dem Kopierer auch personenbezogene oder andere sensible Daten kopiert werden sollen, sollte der Kopierer unbedingt in einem verschlossenen Raum aufgestellt werden und nicht an das Hochschulnetz angeschlossen werden. Die Daten der Festplatte können gelesen werden, wenn ein Rechner mit dem Kopierer verbunden werden kann und das Administrator-Passwort bekannt ist (für viele Kopierer steht das Standard-Passwort zusammen mit der Bedienungsanleitung im Internet). Einige Kopierer können mit einem Modul zum sicheren Löschen der Festplatte ausgestattet werden.

Passwortschutz

Inhalt

1. Überblick

Schützen Sie Ihr Benutzerkonto (Account) mit einem guten Passwort, das Sie sich einfach merken können und das eine fremde Person oder ein Programm nur sehr schwer oder gar nicht (in vertretbarer Zeit) raten kann. Programme, die Passwörter “knacken” wollen (Password Cracker) arbeiten im Allgemeinen mit Wörterbüchern, sodass jedes Passwort, das man in einem Wörterbuch finden kann, ein schlechtes Passwort ist. “peter”, “pEter”, “pEter84” oder ähnliche Passwörter hat ein Programm in kürzester Zeit gefunden. Da die Rechenleistung immer größer wird, können Programme auch versuchen, alle möglichen Passwörter zu erzeugen und zu testen. Heutige Arbeitsplatzrechner (Mai 2008) können ca. 100.000.000 Passwörter pro Sekunde erzeugen und testen. Wenn Ihr Passwort nur aus fünf Kleinbuchstaben (z. B. “peter”) besteht, muss das Programm nur alle Passwörter aus 26 Buchstaben mit den Längen eins, zwei, drei, vier und fünf erzeugen, um mit Sicherheit auch Ihr Passwort zu erhalten. In diesem Fall müssten also höchstens “26 + 262 + 263 + 264 + 265 = 12.356.630” Passwörter erzeugt und verglichen werden. Das Programm hätte Ihr Passwort mit der sogenannten Brut-Force-Methode auf heutigen Arbeitsplatzrechnern in etwa 0,12 Sekunden gefunden. Wenn Sie ein ähnlich einfaches Passwort mit einer Länge von acht Zeichen gewählt hätten, müsste das Programm etwa 2,17 * 1011 Passwörter erzeugen und wäre damit bis zu 36 Minuten beschäftigt.

Falls Ihr Passwort Klein- und Großbuchstaben, Ziffern und Sonderzeichen (z. B. aus den folgenden zehn Sonderzeichen “,;.:-_!%/#”) enthält, hätten Sie bereits einen Zeichenvorrat von 26 + 26 + 10 + 10 = 72 Zeichen. Bei einem Passwort der Länge acht müsste das Programm bei einem Brut-Force-Angriff bereits etwa 7,3 * 1014 Passwörter erzeugen und vergleichen, wozu es etwa 84 Tage benötigen würde. In der Regel würde das Programm Ihr Passwort wesentlich schneller finden. Wenn Sie Pech haben, befindet sich Ihr Passwort am Anfang der erzeugten Passwortliste und wird bereits nach wenigen Sekunden gefunden. Im Mittel wird ein Passwort von diesen Programmen in der halben Zeit (also etwa 42 Tagen) gefunden. Aus diesem Grund benutzen heutige Programme im Allgemeinen sogenannte Wörterbuch-Attacken anstelle von Brut-Force-Attacken, da sie damit bei vielen Passwörtern schneller zum Ziel kommen. Weitere Informationen finden Sie bei Wikipedia.

In der Realität müsste das Programm Zugriff auf die Tabelle mit den verschlüsselten Passwörtern haben, da es die erzeugten Passwörter sonst nicht mit den realen Passwörtern vergleichen könnte.

2. Gute Passwörter

Ein gutes Passwort erfüllt die folgenden Anforderungen:

Es enthält mindestens einen Groß- und einen Kleinbuchstaben, mindestens eine Ziffer und mindestens ein Sonderzeichen.
Es ist mindestens zwölf (besser 14) Zeichen lang.
Es kommt ohne Berücksichtigung von Ziffern und Sonderzeichen sowie Groß-/Kleinschreibung in keinem Wörterbuch vor (auch nicht in fremdsprachigen Wörterbüchern).
Wenn Sie das Passwort ändern, ändern Sie mindestens drei Zeichen.

Halten Sie Ihr Passwort geheim! Ein Passwort, das Sie anderen Personen verraten oder aufschreiben und in der Nähe Ihres Rechners aufheben, ist kein gutes Passwort!

Sie können sich komplizierte Passwörter durch Merksätze merken, z. B. könnte der Merksatz “Mein neues Passwort ist jetzt 12 Zeichen lang” das gute Passwort “M#nP%ij12Z;l” liefern (Anfangsbuchstaben der Wörter und Sonderzeichen nach Großbuchstaben). Nehmen Sie keine bekannten Literaturzitate als Merksätze, da die auch den Cracker-Programmen bekannt sind.

3. Passwort ändern

Unter UNIX-Betriebssystemen (Solaris, Linux, Cygwin) wird das Passwort in einem Kommandozeilen-Fenster mit dem Kommando passwd geändert. Zuerst müssen Sie Ihr altes Passwort eingeben, um sich zu authentifizieren und dann das neue Passwort. Nachdem Sie das neue Passwort noch einmal zur Bestätigung eingegeben haben, um Tippfehler auszuschließen, wird das Passwort vom System geändert. Sie erhalten kein Echo für die eingegebenen Zeichen, sodass Sie nichts sehen, wenn Sie Ihr Passwort tippen. Das System erkennt Ihr Passwort trotzdem. UNIX verhindert auf diese Weise, dass ein anderer Benutzer bzw. eine andere Benutzerin die Länge Ihres Passworts ausspähen kann, um es einfacher brechen zu können.

Unter Microsoft Windows 10 müssen Sie in den Einstellungen den Punkt Konten auswählen. Dort können Sie dann Anmeldeoptionen anklicken. Im Feld “Kennwort” klicken Sie dann auf “Ändern”. Geben Sie jetzt Ihr altes Kennwort zur Authentifizierung und zweimal das neue Kennwort ein, um Tippfehler auszuschließen. Lassen Sie das Feld für den Kennworthinweis leer, da der Hinweis für alle Benutzer/innen des Rechners sichtbar ist und ihnen damit ermöglichen würde, das Passwort zu erraten. Die “Einstellungen” finden Sie, indem Sie mit der rechten Maustaste auf Start (unten links in der Menüzeile) und dann auf “Einstellungen” klicken.

Falls die Benutzeranmeldung über den Novell Client für Windows erfolgt (im Allgemeinen Windows-Rechner in den Rechnerräumen), drücken Sie einmal gleichzeitig die Tasten “”. Das Fenster “Novell Client für Windows” wird geöffnet. Wählen Sie “Passwort ändern” aus. Klicken Sie jetzt einmal auf den Namen des Servers vor Ihrem Benutzernamen und geben Sie dann Ihr altes Passwort zur Authentifizierung und zweimal das neue Passwort ein, um Tippfehler auszuschließen. Es dauert einige Sekunden, bevor das neue Passwort auf allen Rechnern benutzt werden kann.

Falls die Benutzeranmeldung auf einem Windows Server erfolgt (im Allgemeinen Windows-Rechner in den Rechnerräumen), drücken Sie einmal gleichzeitig die Tasten “”. Das Fenster “Windows Sicherheit” wird geöffnet. Wählen Sie “Kennwort ändern…” aus und geben Sie dann Ihr altes Passwort zur Authentifizierung und zweimal das neue Passwort ein, um Tippfehler auszuschließen. Es dauert einige Sekunden, bevor das neue Passwort auf allen Rechnern benutzt werden kann.

E Mail

Inhalt

1. Überblick
2. Spam-E-Mail
3. Mozilla 4. Microsoft
5. Novell GroupWise 2018 WebAccess Client

1. Überblick

In diesem Dokument werden sicherheitsrelevante Einstellungen für verschiedene E-Mail-Programme vorgestellt. Die E-Mail-Programme, die auf Rechnern der Hochschule Fulda eingesetzt werden, müssen entsprechend konfiguriert werden. Falls auf einem Rechner der Hochschule Fulda ein E-Mail-Programm eingesetzt wird, das in diesem Dokument nicht enthalten ist, müssen die entsprechenden Einstellungen in dem Programm in analoger Weise vorgenommen werden und der Name des Programms muss dem bzw. der IT-Sicherheitsbeauftragten der Hochschule mitgeteilt werden.

Eine E-Mail sollte immer nur als normaler Text versendet werden, da im HTML-Code Schadensfunktionen enthalten sein können, die den Rechner kompromittieren. Klicken Sie nie auf HTML- oder Office-Dokumente in Anhängen, wenn die E-Mail nicht von einer vertrauenswürdigen Quelle stammt. Falls Sie einen formatierten Text versenden wollen, sollten Sie ihn als Anlage senden und in Ihrer E-Mail explizit auf diese Anlage hinweisen.

Denken Sie daran, dass Absenderadressen von E-Mails gefälscht sein können und dass Malware-E-Mails immer ausgeklügelter werden. Malware-E-Mails werden heute bereits sehr oft in gutem Deutsch oder Englisch verschickt und haben eine Absenderadresse, die dem Empfänger bekannt ist. Inzwischen gibt es noch raffiniertere Fälschungen, die auf E-Mails antworten, die man dem vorgetäuschten Absender tatsächlich einmal geschickt hat. Dies wird dadurch möglich, dass E-Mails von infizierten Rechnern gelesen und zumindest teilweise an Kriminelle übertragen werden, sodass sie die Informationen zu Absender, Empfänger, Betreff und ggf. sogar die Nachricht selbst kennen und für ihre Malware-E-Mail benutzen können. Auf diese Weise können dann die Bekannten des ersten Opfers angegriffen werden, da die Malware-E-Mail als Antwort auf eine eigene E-Mail sehr glaubwürdig ist.

Klicken Sie möglichst nie auf Links in E-Mails, da sich hinter dem angezeigten und vertrauenswürdigen Text unter Umständen eine ganz andere Adresse verbirgt (statt “https://…/download/bericht.pdf” zum Beispiel “https://…/download/malware.exe”). Es wird inzwischen auch versucht, Schad-Software zum Beispiel als verschlüsseltes ZIP-Archiv zu verschicken, für das das Passwort zum Entschlüsseln in der E-Mail mitgeteilt wird. Auf diese Weise kann ein Anti-Virenprogramm die Schad-Software im Anhang der E-Mail nicht erkennen, während der Empfänger das Archiv öffnen und die Schad-Software ausführen kann (eventuell kann das Anti-Virenprogramm die Ausführung der Schad-Software jetzt noch verhindern).

Prüfen Sie Links in E-Mails sehr genau, bevor Sie darauf klicken (in der Regel wird die Adresse in der unteren Statuszeile des E-Mail-Clients angezeigt, wenn Sie mit dem Mauszeiger auf den Link gehen), wenn das Klicken auf den Link unbedingt sein muss. Prüfen Sie den Dateityp eines Anhangs und klicken Sie nie auf ausführbare Dateien (.exe, .bat, .com, .msi, …). Verbieten Sie Makros in Office-Dokumenten (Office_Makros_deaktivieren.pdf) und erlauben Sie sie auf keinen Fall, wenn ein als Anhang empfangenes Office-Dokument es fordert. Fragen Sie telefonisch beim Absender der E-Mail nach, ob er Ihnen die Nachricht mit den Anhängen geschickt hat, wenn Sie sich unsicher sind, bevor Sie einen Anhang benutzen oder auf einen Link klicken.

Seien Sie besonders vorsichtig, wenn Sie in einer E-Mail im Anhang Dateien mit den folgenden Dateinamenerweiterungen erhalten, da solche Dateien Schad-Software enthalten können.

Datei	Dateinamenerweiterung
Makrofähige Microsoft Word Dokumente oder Vorlagen bis Word 2003	.doc, .dot
Makrofähige Microsoft Word Dokumente oder Vorlagen ab Word 2007	.docm, .dotm
Makrofähige Microsoft Excel Arbeitsmappen, Erweiterungsmodule (Add-In) oder Vorlagen bis Excel 2003	.xls, .xla, .xlt
Makrofähige Microsoft Excel Arbeitsmappen, Binärarbeitsmappen, Erweiterungsmodule (Add-In) oder Vorlagen ab Excel 2007	.xlsm, .xlsb, .xlam, .xltm
Makrofähige Microsoft PowerPoint Präsentationen, Erweiterungsmodule (Add-In) oder Vorlagen bis PowerPoint 2003	.ppt, .ppa, .pot
Makrofähige Microsoft PowerPoint Präsentationen, Bildschirmpräsentationen, Folien, Erweiterungsmodule (Add-In) oder Vorlagen ab PowerPoint 2007	.pptm, .ppsm, .sldm, .ppam, .potm
Ausführbare Programme	.com, .exe, .msc, .msi, .mst, .scr
Ausführbare Skriptdateien	.bat, .cmd, .js, .jse, .ps1, .vba, .vbe, .vbs, .ws, .wsf, .wsh
Verknüpfungen	.lnk
Control Panel Programme, Windows Jobs, ActiveX-Steuerelemente, Registry-Einträge, Systemgerätetreiber, Microsoft Compiled/Compressed HTML Hilfe-Dateien, Microsoft HTML-Anwendungen, Programminformationsdateien, Shell Command Files	.cpl, .job, .ocx, .reg, .sys, .chm, .hta, .pif, .scf
(verschlüsselte) Archive (insbesondere, wenn Ihnen das Passwort zum Öffnen des Archivs in der E-Mail mitgeteilt wird)	.zip, .jar, .cab, .gz, .7z, .tgz

Sie sollten Windows so konfigurieren, dass Dateinamenerweiterungen auch im Dateimanager (Windows-Explorer) angezeigt werden (standardmäßig werden sie nicht angezeigt). Klicken Sie mit der rechten Maustaste auf das Windows-Symbol in der linken unteren Ecke des Bildschirms, wählen Sie den Eintrag Suchen aus, geben Sie im Suchfeld den Wert Explorer-Optionen ein und klicken Sie dann auf den Eintrag Explorer-Optionen Systemsteuerung. Wählen Sie im neuen Fenster den Reiter Ansicht und entfernen Sie den Haken vor dem Eintrag Erweiterungen bei bekannten Dateitypen ausblenden. Klicken Sie dann auf Übernehmen und danach auf OK.

Einige E-Mail-Programme erlauben, automatische Bestätigungen für den Empfang der E-Mail anzufordern. Diese Eigenschaft kann für Spam-E-Mail missbraucht werden, da der Absender der E-Mail dann weiß, dass die Adresse noch benutzt wird und für Spam-E-Mail ideal geeignet ist. Sie sollten diesen Mechanismus deshalb abschalten. Falls Sie Bestätigungen für den Empfang einer Nachricht zulassen wollen, sollten Sie auf jeden Fall einstellen, dass Sie gefragt werden, bevor die Bestätigung versendet wird.

Speichern Sie niemals Passwörter in Programmen oder Dateien, weil Sie zu bequem sind, das Passwort jedes Mal wieder einzugeben. Da Schad-Software die im Klartext abgelegten Passwörter finden und sammeln kann, laden Sie alle potenziellen “Hacker” geradezu ein, Ihre Benutzerkennung zu missbrauchen. Die Sicherheit wird erhöht, wenn Sie alle Passwörter mit einem Master-Passwort verschlüsseln. Die verschlüsselten Passwörter können allerdings ebenfalls gesammelt und ggf. auf leistungsfähigen Rechnern durch Ausprobieren “geknackt” werden.

In Cookies werden Sitzungsprotokolle gespeichert, die für E-Mail nicht erforderlich sind. Aus diesem Grund sollte dieser Dienst für Mail- & News-Gruppen abgeschaltet werden. Cookies können auch missbraucht werden, um ein Profil des Benutzers bzw. der Benutzerin zu erstellen, das dann für gezielte Spam-E-Mails benutzt werden kann.

Da eine E-Mail nur normalen Text enthalten soll, sollten aus Sicherheitsgründen JavaScript und Plugins für E-Mails abgeschaltet werden. Falls Sie aktive Elemente benötigen, sollten Sie sie als Anlage in einer Datei senden und auf die Anlage explizit hinweisen.

Öffnen Sie niemals den Anhang einer E-Mail, bevor Sie ihn auf Viren, Würmer, Trojaner, … untersucht haben.

In den Einstellungshinweisen ab Kapitel 3 bedeutet “Bearbeiten > … > …”, dass Sie im entsprechenden Eintrag der Menüzeile am oberen Rand des Programmfensters beginnen (z. B. “Bearbeiten” oder “Extras”) und dann mit einem Eintrag des Menüs, einem Karteikartenreiter oder einem anderen Element weitermachen, das die entsprechende Beschriftung aufweist.

2. Spam-E-Mail

Einen guten Überblick über diese Thematik finden Sie beispielsweise bei Wikipedia. In der Hochschule Fulda werden Spam-E-Mails von einem Spam-Filter durch das Schlüsselwort “” im Subject:- bzw. Betreff:-Feld gekennzeichnet. In sehr seltenen Fällen kann es vorkommen, dass eine normale E-Mail als Spam klassifiziert wird. Bei Spam-E-Mail sollten Sie folgendes beachten:

Erlauben Sie keine (automatischen) Bestätigungen, damit sich Ihre E-Mail-Adresse nicht als aktive E-Mail-Adresse beim Absender “meldet” und Sie danach noch mehr Spam-E-Mail erhalten.
Löschen Sie die E-Mail, ohne sie zu lesen oder zu beantworten.
Klicken Sie auf keine Anhänge von Spam-E-Mail.
Klicken Sie auf keinen Fall auf irgendwelche Web-Adressen in der Spam-E-Mail, über die Sie angeblich in Zukunft solche E-Mails vermeiden können, da Sie dadurch nur eine aktive E-Mail-Adresse “anmelden” und demnächst noch mehr Spam-E-Mail erhalten.
Benutzen Sie Ihre E-Mail-Adresse niemals für Preisausschreiben oder Ähnliches, da Sie damit unter Umständen Spam-E-Mails veranlassen. Richten Sie sich für solche Dinge eine kostenfreie E-Mail-Adresse bei irgendeinem Provider ein, die Sie anschließend wieder löschen können.
Tarnen Sie Ihre E-Mail-Adresse auf Ihren Web-Seiten, damit sie von Suchprogrammen nicht gefunden wird und dann Spam-Adresslisten hinzugefügt werden kann.

3. Mozilla

3.1. Thunderbird 91.x

Thunderbird will große Anhänge auf einem Cloud-Storage-Server im Internet speichern und in der E-Mail nur noch die Adresse der Datei angeben. Damit können zwar problemlos sehr große Dateien per E-Mail verschickt werden, aber man hat keinen Einfluss darauf, was mit der Datei auf dem Server passiert (Dauer der Speicherung, Datenschutz, usw.).

Sie können mit der rechten Maustaste in die “Titelzeile” (der Hintergrund am oberen Rand neben dem “Tab”) klicken und “Menüleiste” auswählen, um die “alte” Darstellung zu erhalten, in der Sie dann in der Menüleiste auf “Extras > Einstellungen” klicken. Alternativ können Sie in der rechten oberen Ecke auf das Icon mit den drei waagerechten Linien und dann auf “Einstellungen” klicken. Die folgenden Auswahlhinweise setzen ein geöffnetes Einstellungsfenster voraus. Es sollten folgende Einstellungen vorgenommen werden:

Auf der linken Seite “Allgemein” auswählen.

Auf der rechten Seite am Ende des Abschnitts “Lesen & Ansicht” bei “Den Umgang mit Empfangsbestätigungen (MDN) in Thunderbird festlegen” auf “Empfangsbestätigungen…” klicken und dann “Nie eine Empfangsbestätigung senden” auswählen.
Auf der rechten Seite im Abschnitt “Thunderbird-Updates” sollte bei “Thunderbird erlauben” der Eintrag “Updates automatisch zu installieren (empfohlen: erhöhte Sicherheit)” ausgewählt sein oder ausgewählt werden.

Auf der linken Seite “Verfassen” auswählen.

Auf der rechten Seite im Abschnitt “HTML-Optionen” bei “Verhalten beim Senden von HTML-Nachrichten:” auf “Sendeoptionen…” klicken und dann im Abschnitt “Textformat” die Aktion “Nachrichten falls möglich als Reintext senden” auswählen. Für “Beim Senden von Nachrichten im HTML-Format an Empfänger, die laut Liste HTML nicht empfangen können oder wollen:” den Eintrag “Nachrichten in reinen Text konvertieren” auswählen.
Auf der rechten Seite sollte im Abschnitt “Anhänge” der Haken vor “Hochladen für Dateien größer als xx MB anbieten” entfernt werden.

Auf der linken Seite “Datenschutz & Sicherheit” auswählen.

Auf der rechten Seite im Abschnitt “E-Mail-Inhalte” sollte der Haken vor “Externe Inhalte in Nachrichten erlauben” fehlen oder entfernt werden.
Auf der rechten Seite sollten im Abschnitt “Webinhalte” folgende Einstellungen vorgenommen werden.
- Die Haken vor “Besuchte Webseiten und Links merken” und vor “Cookies von Webseiten akzeptieren” sollten fehlen oder entfernt werden.
- Vor “Websites eine “Do Not Track”-Mitteilung senden, dass Ihre Online-Aktivitäten nicht verfolgt werden sollen” sollte ein Haken gesetzt sein oder gesetzt werden.
Auf der rechten Seite können im Abschnitt “Passwörter” alle gespeicherten “Passwörter” über “Gespeicherte Passwörter…” gelöscht werden. Es sollten nie Passwörter gespeichert werden.
Auf der rechten Seite sollten im Abschnitt “Datenerhebung durch Thunderbird und deren Verwendung” folgende Einstellungen vorgenommen werden.
- Der Haken vor “Thunderbird erlauben, Daten zu technischen Details und Interaktionen an Mozilla zu senden” sollte fehlen oder entfernt werden.
- Der Haken vor “Nicht gesendete Absturzberichte automatisch von Thunderbird senden lassen” sollte fehlen oder entfernt werden.
Auf der rechten Seite sollten im Abschnitt “Sicherheit” folgende Einstellungen vorgenommen werden.
- Vor “Nachrichten auf Betrugsversuche (Phishing) untersuchen.” sollte ein Haken gesetzt sein oder gesetzt werden.
- Vor “Antivirus-Software ermöglichen, eingehende Nachrichten unter Quarantäne zu stellen.” sollte ein Haken gesetzt sein oder gesetzt werden.
- Vor “Aktuelle Gültigkeit von Zertifikaten durch Abfrage bei OCSP-Server bestätigen lassen” muss ein Haken gesetzt sein oder gesetzt werden.

Klicken Sie wieder in der rechten oberen Ecke auf das Icon mit den drei waagerechten Linien und dann auf “Konten-Einstellungen” oder direkt auf “Kontoeinstellungen” rechts oben im Hauptfenster. Alternativ können Sie auch “Extras > Konten-Einstellungen” auswählen, wenn Sie die Menüleiste aktiviert haben.

Auf der linken Seite “Server-Einstellungen” auswählen.
- Im Abschnitt “Sicherheit und Authentifizierung” sollte unter “Verbindungssicherheit:” der Punkt “SSL/TLS” ausgewählt sein oder ausgewählt werden.
- Unter “Authentifizierungsmethode:” sollte der Punkt “Passwort, normal” ausgewählt sein oder ausgewählt werden.
Auf der linken Seite “Verfassen & Adressieren” auswählen.

Dort Haken vor “Nachrichten im HTML-Format verfassen” entfernen.
Auf der linken Seite “Postausgangs-Server (SMTP)” auswählen. Dann im rechten Fenster einmal auf den Mail-Server klicken und danach “Bearbeiten…” wählen.
- Unter “Verbindungssicherheit:” sollte der Punkt “STARTTLS” ausgewählt sein oder ausgewählt werden.
- Unter “Authentifizierungsmethode:” sollte der Punkt “Passwort, normal” ausgewählt sein oder ausgewählt werden.

4. Microsoft

4.1. Outlook 2010 bis 2013

Nachdem mit “Datei > Optionen” das Einstellungsfenster geöffnet worden ist, sollten folgende Einstellungen vorgenommen werden:

“E-Mail” auswählen.

Im Abschnitt “Nachrichten verfassen” in der Zeile “Nachricht in diesem Format verfassen:” den Eintrag “Nur-Text” auswählen.
Im Abschnitt “Verlauf” (weiter unten) sollte im Unterabschnitt “Für jede Nachricht, die die Anforderung einer Lesebestätigung enthält” die Zeile “Nie eine Lesebestätigung senden” ausgewählt sein oder ausgewählt werden.

“Personen” (“Kontakte” in Outlook 2010) auswählen.

Im Abschnitt “Onlinestatus und Fotos” sollte der Haken vor “Benutzerfotos anzeigen, wenn verfügbar (…)” und vor “Nur Namen im Kontaktepopup (…) anzeigen” (fehlt in Outlook 2010) fehlen oder entfernt werden.

“Erweitert” auswählen.

Im Abschnitt “Weitere” sollte der Haken vor “Die Analyse gesendeter E-Mails zulassen, um Personen, mit denen Sie häufig korrespondieren, …, zu identifizieren und diese Informationen auf den Share-Point-Standardserver hochladen” fehlen oder entfernt werden.

“Sicherheitscenter > Einstellungen für das Sicherheitscenter…” bzw.
“Trust Center > Einstellungen für das Trust Center…” auswählen.

Auf der linken Seite “E-Mail-Sicherheit” auswählen.
- Im Abschnitt “Als Nur-Text lesen” sollte vor “Standardnachrichten im Nur-Text-Format lesen” ein Haken gesetzt sein oder gesetzt werden.
- Im Abschnitt “Skript in Ordnern” darf vor “Skript in freigegebenen Ordnern zulassen” und vor “Skript in Öffentlichen Ordnern zulassen” kein Haken stehen.
Auf der linken Seite “Automatischer Download” auswählen.
- Vor “Bilder in HTML-Nachrichten oder RSS-Elementen nicht automatisch herunterladen” sollte ein Haken gesetzt sein oder gesetzt werden.
- Vor den vier Punkten “Download …” sollten Haken fehlen oder entfernt werden, da Absenderadressen gefälscht sein können.
- Vor “Warnhinweis anzeigen, bevor …” sollte ein Haken gesetzt sein oder gesetzt werden.

In “Start” auf den kleinen Pfeil nach unten rechts vom Icon für “Junk-E-Mail” (letztes Icon in Spalte “Löschen”) klicken. In dem sich öffnenden Fenster “Junk-E-Mail-Optionen…” auswählen. Im neuen Fenster den Reiter “Optionen” auswählen.

Dort ggf. auswählen, was mit Spam/Junk-E-Mail gemacht werden soll.
Vor “Hyperlinks und sonstige Funktionen in Phishingnachrichten deaktivieren (empfohlen)” sollte ein Haken gesetzt sein oder gesetzt werden (wird in Outlook 2013 nur schwach dargestellt, sodass kein Haken gesetzt werden konnte).
Vor “Bei verdächtigen Domänennamen in E-Mail-Adressen warnen (empfohlen)” sollte ein Haken gesetzt sein oder gesetzt werden (wird in Outlook 2013 nur schwach dargestellt, sodass kein Haken gesetzt werden konnte).

4.2. Outlook 2016, 2019 und 365

Office-2016-Produkte werden im Allgemeinen automatisch über Windows-Update aktualisiert. Bei Office 2019 und 365 muss das Update über ein Office-Programm angestoßen werden. Starten Sie zum Beispiel Outlook 2019 oder Outlook 365 und wählen Sie dann “Datei > Office-Konto” aus. Sie sollten auf der rechten Seite “Updates werden automatisch heruntergeladen und installiert” sehen. Wenn Sie auf “Updateoptionen” klicken, können Sie eine Überprüfung und ggf. Aktualisierung erzwingen, indem Sie auf " Jetzt aktualisieren" klicken.

Nachdem mit “Datei > Optionen” das Einstellungsfenster geöffnet worden ist, sollten folgende Einstellungen vorgenommen werden:

“Allgemein” auswählen (nur bei Office 2019 und Office 365 erforderlich).

Im Abschnitt “LinkedIn Funktionen” (am Ende auf der rechten Seite) sollte der Haken vor “LinkedIn-Funktionen in meinen Office-Anwendungen aktivieren” fehlen oder entfernt werden.

“E-Mail” auswählen.

Im Abschnitt “Nachrichten verfassen” in der Zeile “Nachricht in diesem Format verfassen:” den Eintrag “Nur-Text” auswählen.
Im Abschnitt “Verlauf” (weiter unten) sollte im Unterabschnitt “Für jede Nachricht, die die Anforderung einer Lesebestätigung enthält” die Zeile “Nie eine Lesebestätigung senden” ausgewählt sein oder ausgewählt werden.
Im Abschnitt “Nachrichtenformat” sollte für “Beim Senden von Nachrichten im Rich-Text-Format an Internetempfänger” der Wert “In Nur-Text-Format konvertieren” ausgewählt sein oder ausgewählt werden.

“Personen” auswählen.

Im Abschnitt “Onlinestatus und Fotos” sollte der Haken vor “Benutzerfotos anzeigen, wenn verfügbar (…)” und vor “Nur Namen im Kontaktepopup (…) anzeigen” fehlen oder entfernt werden.

“Erweitert” auswählen.

Im Abschnitt “Weitere” bzw. “Sonstige” sollte der Haken vor “Die Analyse gesendeter E-Mails zulassen, um Personen, mit denen Sie häufig korrespondieren, …, zu identifizieren und diese Informationen auf den Share-Point-Standardserver hochladen” fehlen oder entfernt werden.

“Trust Center” und dann rechts “Einstellungen für das Trust Center…” auswählen.

Auf der linken Seite “Datenschutzoptionen” auswählen.
- Outlook 2016:
  - Vor “Persönliche Informationen an Microsoft senden, um bei der Verbesserung von Office zu helfen” sollte der Haken fehlen oder entfernt werden.
  - Vor “Office-Verbindungen mit den Onlinediensten von Microsoft gestatten, …” sollte der Haken fehlen oder entfernt werden.
- Outlook 2019 und 365: Rechts “Datenschutzeinstellungen…” auswählen. Vor “Optionale verbundene Erfahrungen aktivieren” sollte der Haken fehlen oder entfernt werden.
Auf der linken Seite “E-Mail-Sicherheit” auswählen.
- Im Abschnitt “Als Nur-Text lesen” sollte vor “Standardnachrichten im Nur-Text-Format lesen” und vor “Digital signierte Nachrichten im Nur-Text-Format lesen” ein Haken gesetzt sein oder gesetzt werden.
- Im Abschnitt “Skript in Ordnern” darf vor “Skript in freigegebenen Ordnern zulassen” und vor “Skript in Öffentlichen Ordnern zulassen” kein Haken stehen.
Auf der linken Seite “Automatischer Download” auswählen.
- Vor “Bilder in Standard-HTML-E-Mails oder RSS-Elementen nicht automatisch herunterladen” sollte ein Haken gesetzt sein oder gesetzt werden.
- Vor den vier Punkten “Downloads …” sollten Haken fehlen oder entfernt werden, da Absenderadressen gefälscht sein können.
- Vor “Warnhinweis anzeigen, bevor …” sollte ein Haken gesetzt sein oder gesetzt werden.
- Vor “Bilder in verschlüsselten oder signierten HTML-E-Mails nicht herunterladen” sollte ein Haken gesetzt sein oder gesetzt werden.
Auf der linken Seite “Makroeinstellungen” auswählen.
- Es muss “Alle Makros ohne Benachrichtigung deaktivieren” ausgewählt sein oder ausgewählt werden.

Wählen Sie in der Titelzeile des Fensters “Start” aus.

Outlook 2016: Klicken Sie in der dritten Spalte auf den letzten Eintrag “Junk-E-Mail”.
Outlook 2019: Klicken Sie in der dritten Spalte auf das Icon für “Junk-E-Mail”.
Outlook 365: Klicken Sie am Ende der Titelzeile auf die drei Punkte (“Weitere Befehle”) und dann auf den Eintrag “Junk-E-Mail”.

Wählen Sie den Eintrag “Junk-E-Mail-Optionen…” und dann im neuen Fenster den Reiter “Optionen” aus.

Dort ggf. auswählen, was mit Spam/Junk-E-Mail gemacht werden soll.
Vor “Hyperlinks und sonstige Funktionen in Phishingnachrichten deaktivieren (empfohlen)” sollte ein Haken gesetzt sein oder gesetzt werden (wird unter Umständen nur schwach dargestellt, sodass kein Haken gesetzt werden kann).
Vor “Bei verdächtigen Domänennamen in E-Mail-Adressen warnen (empfohlen)” sollte ein Haken gesetzt sein oder gesetzt werden (wird unter Umständen nur schwach dargestellt, sodass kein Haken gesetzt werden kann).

5. Novell GroupWise 2018 WebAccess Client

Wählen Sie “Werkzeuge” in der Menüleiste und dann den Eintrag “Optionen…” aus. Es sollten folgende Einstellungen vorgenommen werden:

Führen Sie einen Doppelklick auf “Umgebung” aus.

Wählen Sie den Reiter “Layouts” aus.

Dort sollte als “Standardlayout & Schriftart beim Erstellen” und als “Standardlayout & Schriftart beim Lesen” ein Punkt vor “Einfacher Text” gesetzt sein oder gesetzt werden.
Wählen Sie den Reiter “Standardaktionen” aus.

In den Abschnitten “Externe HTML-Bilder:” und “HTML-Skripte:” sollte ein Punkt vor “Warnung immer anzeigen” gesetzt sein oder gesetzt werden.
Wählen Sie den Reiter “Gestaltung” aus.

Setzen Sie ggf. einen Haken vor “Blitzvorschau anzeigen”, wenn Sie die Nachricht sofort lesen wollen.

Führen Sie einen Doppelklick auf “Senden” aus und wählen Sie dann den Reiter “Mail” aus.

Im Abschnitt “Empfangsbestätigung” sollte in beiden Feldern der Wert “Keine” ausgewählt sein oder ausgewählt werden.

S/MIME