Kategorie: Sicherheit

Sag Ade zu www

Beitragsautor Von Matthias Greiling
Veröffentlichungsdatum 29. Januar 2026
Keine Kommentare zu Sag Ade zu www

Manche Gewohnheiten sind überholt. Das Hinzufügen von www. vor Domain-Namen, die “im Internet” aufgerufen werden – also im “normalen” Browser – ist überholt.

Screenshot des Aufrufs der Seite www.uni-wuppertal.de in einem modernen Handy-Brower - das www. wird ausgeblent in der Adresszeile — Screenshot des Aufrufs der Seite www.uni-wuppertal.de in einem modernen Handy-Browser – das www. wird ausgeblendet in der Adresszeile – das vorhandene gültige Zertifikat mit einem Haken auf einem Wappen dargestellt.

Auch das Verhalten von Browsern hat sich grundsätzlich geändert: Es wird inzwischen zuerst “https://” vor einer eingetippten URL ergänzt – und nicht wie bislang “http://”. Ein transportverschlüsselter Aufruf mit https einer Domain ist der neue Standard. Um diesem genügen zu können, müssen sämtliche aufrufbaren Domains zertifiziert sein, um nicht als ungültig ausgewiesen zu werden und nicht zur Anzeige auf den Client-Geräten kommen.

Es gibt über 1.200 zu zertifizierende Domains im Bereich des vom ZIM betreuten TYPO3-Webservers. Diese können leider nur zum Teil automatisch erzeugt und auf dem richtigen Server abgelegt werden.

Für die deutliche Vereinfachung der Zertifizierung der TYPO3-Seiten, die über den zentralen Load-Balancer ausgegeben werden, wurde ein sogenanntes Wild-Card-Zertifikat eingeführt. Die Laufzeit von Zertifikaten wird in Zukunft immer geringer werden. So kündigen Apple und Google an, zukünftig nur noch Zertifikate zu akzeptieren, die jünger als 47 Tage sind. Die verbliebene Umstellungszeit nutzen wir, um die Struktur unserer Server und Domains anzupassen.

Dieses eine Wild-Card-Zertifikat auf dem Load-Balancer kann dann monatlich gewechselt werden und vermag sämtliche Domains mit einer Sub–Domain vor uni-wuppertal.de zertifiziert auszugeben. Allerdings scheitert das Verfahren bei der Ausgabe einer “Sub-Sub–Domain”. Eine solche wäre zum Beispiel die vor langer Zeit eingeführte “www.chemie.uni-wuppertal.de”.

Diese Sub-Sub–Domain gehört zu einem Pool von etwa 250 Domain-Namen, die jetzt umgezogen werden. Die Domain-Namen werden umgezogen auf einen Server, der automatisch Zertifikate für die “www”-Sub–Sub–Domains erzeugen kann und dann die Aufrufe an den Load-Balancer weiterleitet, der dann die aufgerufenen Inhalte mit der Adresse der Sub–Domain ausgibt.

Der Aufruf von Inhalten wird dabei automatisch umgeschrieben – beispielsweise von

www.chemie.uni-wuppertal.de/de/forschung
auf
chemie.uni-wuppertal.de/de/forschung

Wer auf der eigenen Visitenkarte die URL noch mit www. aufgedruckt hat, kann beruhigt sein: Alle Aufrufe mit www. werden automatisch auf die Adresse ohne www. weitergeleitet. Bereits veröffentlichte konkrete Links auf Unterseiten werden auch weiterhin funktionieren, wenn sie zuvor auch funktioniert haben. Dementsprechend werden Suchmaschinen-Antworten ebenfalls auf die ursprünglich indexierte Seite weiterleiten, auch wenn diese jetzt anders aufgerufen werden kann. Bei einer Neu-Indexierung wird die Domain ohne www. aufgenommen.

Die Hauptdomain www.uni-wuppertal.de – die ja eine einfache Sub–Domain ist – bleibt.

Die Umstellung erfolgt am Vormittag des 17.2.2026 bis etwa 11:00 Uhr. Sollten im Anschluss Seiten nicht erreichbar sein, zögern Sie nicht, dieses Verhalten an cms@uni-wuppertal.de mitzuteilen.

Sicherheit Tipps & Tricks

Sichere Passwörter, data leaks und breaches

Beitragsautor Von Alain Michel Keller
Veröffentlichungsdatum 16. August 2024

Die Sicherheit persönlicher Daten im Internet beginnt mit einem starken Passwort. Starke Passwörter zu erstellen und zu verwalten ist nicht schwierig. Tipps, wie das gelingt findet man auf der Website der Informationssicherheitsbeauftragen (ISB) der Bergischen Universität Wuppertal. Wer noch tiefer ins Thema einsteigen möchte, findet weiterführende Informationen und Empfehlungen zur Passwortsicherheit auf der Website des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Doch selbst das stärkste Passwort kann kompromittiert werden, wenn Datenlecks (engl. data breach oder leak) bei Online-Diensten auftreten oder man auf eine Phishingmail hereingefallen ist. Um auch solche Fälle zu erkennen, unternimmt das Zentrum für Informations- und Medienverarbeitung (ZIM) proaktive Schritte, um die Daten seiner Nutzer:innen zu schützen. Mithilfe des Security Monitoring des Deutschen Forschungsnetzwerks (DFN) erkennt das ZIM potentiell kompromittierte Accounts. Im Falle eines Sicherheitsrisikos werden die betroffenen Konten gesperrt, um Missbrauch vorzubeugen. Betroffene Nutzer:innen müssen dann ein neues Passwort festlegen.

Alle die selbst überprüfen möchten, ob private oder dienstliche Accountdaten von einem Datenleck betroffen sind, können dies ganz unkompliziert mit Hilfe des Leakcheckers have i been pwned herausfinden.

Schlagwörter Accountdaten, data breach, data leak, Leakchecker, Passwort, Passwörter, Passwortsicherheit

Dienste des ZIM Sicherheit

Absicherung des VPN-Zugangs durch 2FA

Beitragsautor Von Hans-Jörg Bauer
Veröffentlichungsdatum 19. März 2023

1. Worum geht es?

Phishing-Aktivitäten und entwendete Passwörter sind in der IT alltägliche Erscheinungen geworden. Die Absicherung von IT-Diensten allein mit einem Passwort ist daher oft nicht mehr ausreichend, sondern muss um einen zusätzlichen Schritt erweitert werden. Dies wird als Zwei-Faktor-Authentifizierung (2FA) oder auch als Mehr-Faktor-Authentifizierung (MFA) bezeichnet.

Bei vielen Diensten, etwa beim Online Banking, ist 2FA bereits seit einiger Zeit als Stand der Technik anzusehen. An der BUW müssen wir diese Technologie nun auch zeitnah umsetzen.

In einem ersten Schritt wird ein 2FA-Verfahren für den Netzzugang zum Datennetz der BUW eingeführt: Wenn von außen, etwa beim mobilen Arbeiten oder im Home Office, auf interne IT-Dienste zugegriffen wird, erfolgt dies häufig über eine VPN-Verbindung (Virtual Private Network). Künftig kommt an dieser Stelle eine 2FA zum Einsatz.

Ergänzend zum üblichen Passwort wird dann zusätzlich ein Einmal-Passwort (OTP = one time password) benötigt. Die verwendeten OTPs sind in diesem Fall sechsstellige Zahlencodes, die mit einer App oder einem dedizierten Gerät erzeugt werden können.

2. Wer ist betroffen?

Von der verpflichtenden 2FA-Einführung sind Sie unmittelbar nur dann betroffen, falls Sie

die Ivanti-VPN-Lösung nutzen,
um von extern über VPN auf Netzwerklaufwerke eines ZIM-Fileservers zuzugreifen.

Zur Erläuterung: Aus verschiedenen Gründen bietet das ZIM derzeit mehrere VPN-Schnittstellen an. Falls Sie auf Ihrem Endgerät die Software “Ivanti Secure Access Client” verwenden, nutzen Sie die Invanti-Lösung (bis vor Kurzem “PulseSecure” genannt). Je nach Typ und Plattform Ihres Endgerätes sieht das Icon der Software ungefähr so aus:

Nicht betroffen sind Sie, falls Sie diese VPN-Lösungen nutzen:

AnyConnect; in der Regel von Studierenden und Mitarbeitenden genutzt
NCP oder Teilnehmende am VRNHO-Dienst (nutzen bereits 2FA); von Mitarbeitenden der Universitätsverwaltung verwendet

Perspektivisch sollten allerdings auch Mitarbeitende, die derzeit AnyConnect nutzen oder die nicht auf Netzwerklaufwerke eines ZIM-Fileservers zugreifen, auf die Ivanti-VPN-Lösung mit 2FA umsteigen. Künftig werden weitere IT-Dienste nur noch auf diesem Weg nutzbar sein.

3. Was muss ich tun?

Falls Sie betroffen sind, sollten Sie zeitnah die erforderlichen Schritte zur Umstellung auf 2FA vornehmen. Dazu müssen Sie selbst eine Funktionserweiterung Ihres ZIM-Accounts durchführen und die Möglichkeit einrichten, OTPs zu erzeugen.

Bitte folgen Sie der ausführlichen Anleitung.

Diese Seite ist im Uni-Netz oder über eine übliche VPN-Verbindung erreichbar.

Zur Erzeugung der OTPs ist die Verwendung einer App auf einem Mobiltelefon empfehlenswert. Dies kann auf einem dienstlichen oder privaten Gerät erfolgen. Diese Option ist flexibel, bequem und hinreichend sicher.

Falls dies nicht möglich ist, kann ein dediziertes Gerät (OTP-Generator) zur Erzeugung der OTPs eingesetzt werden. Das Gerät ist durch die Bereiche und Einrichtungen zu beschaffen. Zur Einführung der 2FA können allerdings Mitarbeitende, die einen solchen OTP-Generator benötigen und deren budgetverantwortliche*r Vorgesetzte*r einverstanden ist, ein solches Gerät in der Geräteleihe des ZIM erhalten. (“ZIM-Sondergeräte / 2FA Authenticator”)

4. Wie geht es weiter?

Wenn Sie betroffen sind, sollten Sie Umstellung auf 2FA für das Ivanti-VPN durchführen.
Ab dem 19. April 2023 werden die zentralen File-Services des ZIM nur noch über 2FA-authentifizierte VPN-Verbindungen erreichbar sein.
Perspektivisch werden weitere Dienste nur über 2FA-VPN-Verbindungen nutzbar sein und weitere Zugriffsbeschränkungen für die anderen VPN-Lösungen wirksam werden. Der Umstieg auf die Ivanti-Lösung mit 2FA ist daher grundsätzlich für Mitarbeitende empfehlenswert (Ausnahme: Mitarbeitende der Universitätsverwaltung, die NCP oder VRNHO nutzen).

5. Weitere Fragen?

Im Falle von Rückfragen wenden Sie sich bitte an die Beratung des ZIM:

zimber@uni-wuppertal.de

Dienste des ZIM Lehren und Lernen Sicherheit Software

Von Ende zu Ende – Zoom verschlüsselt auf Wunsch!

Beitragsautor Von Christian Nölle
Veröffentlichungsdatum 1. Dezember 2022

Update 2022: Aktualisierte hinsichtlich Einschränkungen und Voraussetzungen.

Für die an der Bergischen Universität genutzten Video-Konferenzlösung Zoom ist es ab sofort möglich, Meetings Ende-zu-Ende (E2EE) zu verschlüsseln.

Benutzer*innen können dieses Feature in den persönlichen Einstellungen auf der Webseite von Zoom unter https://uni-wuppertal.zoom.us/profile/setting selber aktivieren.

Voraussetzungen

Der Host muss das Feature aktiviert haben, um ein E2EE Meeting starten zu können und
alle Teilnehmer benötigen mind. den Zoom Client in Version 5.4.0.

Einschränkungen

Aus technischen Gründen stehen folgende Funktionen in einem E2EE Meeting nicht zur Verfügung :

Beitritt vor Moderator
Livestreaming
Live-Transkription
Konferenzräume / Breakout Rooms
Umfragen
Zoom Apps
Meetingreaktionen*
Private Einzelchats*

*Hinweis: Ab Version 5.5.0 für Desktop, Mobile und Zoom Rooms werden diese Funktionen in E2EE-Meetings unterstützt.

E2EE-Meetings sind auf 200 Teilnehmer begrenzt.

Wie aktiviere ich die Verschlüsselung?

Sie können die Verschlüsselung sehr einfach über die Kontoeinstellungen in Ihrem Zoom Profil aktivieren. Hier finden Sie den Eintrag „Durchgehend verschlüsselte Meetings“, den sie entsprechend einschalten und die „End-to-end encryption“ aktivieren. Bitte beachten Sie, dass diese Einstellungen für ihren persönlichen Meetingraum und für bereits geplante Meetings gegebenenfalls gesondert vorgenommen werden müssen.

Wie kann ich die Verschlüsselung überprüfen?

Wenn in einem Meeting E2EE verwendet, erscheint in der oberen linken Ecke des Bildschirms ein Logo mit einem grünen Schild und einem Vorhängeschloss in der Mitte. Zusätzlich können die Teilnehmer*innen sich den Sicherheitscode anzeigen lassen (Verify/Verifizieren), abgleichen und so überprüfen, ob ihre Clients den gleichen Code benutzen.

Wie funktioniert das?

Wir zitieren den offiziellen Zoom Blog, in dem es heisst:

In einem typischen Meeting generiert die Zoom-Cloud die Encryption Keys und verteilt sie mit Hilfe der Zoom-Apps an die Teilnehmer, sobald sie beitreten. Bei E2EE generiert der Gastgeber die Schlüssel und verteilt diese mithilfe von Public-Key-Kryptographie an die anderen Meeting-Teilnehmer. Die Server von Zoom werden zu „blinden“ Relays (Oblivious Relays) und haben keinerlei Zugriff auf die Schlüssel, die zum Entschlüsseln der Meeting-Inhalte erforderlich sind.

Wie unterscheidet sich E2EE von der erweiterten GCM-Verschlüsselung von Zoom?

Zoom-Meetings und -Webinare verwenden standardmäßig AES-256-Bit-GCM-Verschlüsselung für die Übertragung von Audio- und Videoinhalten sowie gemeinsam genutzten Apps (z. B. Bildschirmfreigabe, Whiteboarding) zwischen Apps, Clients und Connectors. In einem Meeting ohne E2EE-Aktivierung werden Audio- und Videoinhalte, die zwischen den Zoom-Apps der Teilnehmer fließen, erst entschlüsselt, wenn sie die Geräte der Empfänger erreichen. Die Encryption Keys für jedes Meeting werden jedoch von den Zoom-Servern generiert und verwaltet. Bei einem Meeting mit aktivierter E2EE-Funktion hat niemand außer den einzelnen Teilnehmern – auch nicht die Server von Zoom – Zugriff auf die Encryption Keys.

Quelle: https://blog.zoom.us/de/zoom-rolling-out-end-to-end-encryption-offering/

Schlagwörter e2ee, security, verschlüsselung, Videokonferenz, Webkonferenz, Zoom

Sicherheit Tipps & Tricks

Signierte E-Mails der ZIM Benutzerberatung

Beitragsautor Von Christian Nölle
Veröffentlichungsdatum 29. September 2022

Ob Sie tatsächlich von der ZIM Benutzerberatung eine E-Mail erhalten haben, erkennen Sie ab sofort an der elektronischen Signatur (S/MIME).
Sollten Sie eine unsignierte E-Mail von der Adresse zimber@uni-wuppertal.de erhalten, stammt diese nicht von der Benutzerberatung des Zentrums für Informations- und Medienverarbeitung!

Schlagwörter Benutzerberatung, E-Mail, OS X, Outlook, S/MIME, Signatur, Thunderbird, Unterschrift