Kategorien
Dienste des ZIM Sicherheit

Absicherung des VPN-Zugangs durch 2FA

1. Worum geht es?

Phishing-Aktivitäten und entwendete Passwörter sind in der IT alltägliche Erscheinungen geworden. Die Absicherung von IT-Diensten allein mit einem Passwort ist daher oft nicht mehr ausreichend, sondern muss um einen zusätzlichen Schritt erweitert werden. Dies wird als Zwei-Faktor-Authentifizierung (2FA) oder auch als Mehr-Faktor-Authentifizierung (MFA) bezeichnet.

Bei vielen Diensten, etwa beim Online Banking, ist 2FA bereits seit einiger Zeit als Stand der Technik anzusehen. An der BUW müssen wir diese Technologie nun auch zeitnah umsetzen.

In einem ersten Schritt wird ein 2FA-Verfahren für den Netzzugang zum Datennetz der BUW eingeführt: Wenn von außen, etwa beim mobilen Arbeiten oder im Home Office, auf interne IT-Dienste zugegriffen wird, erfolgt dies häufig über eine VPN-Verbindung (Virtual Private Network). Künftig kommt an dieser Stelle eine 2FA zum Einsatz.

Ergänzend zum üblichen Passwort wird dann zusätzlich ein Einmal-Passwort (OTP = one time password) benötigt. Die verwendeten OTPs sind in diesem Fall sechsstellige Zahlencodes, die mit einer App oder einem dedizierten Gerät erzeugt werden können.

2. Wer ist betroffen?

Von der verpflichtenden 2FA-Einführung sind Sie unmittelbar nur dann betroffen, falls Sie

  • die Ivanti-VPN-Lösung nutzen,
  • um von extern über VPN auf Netzwerklaufwerke eines ZIM-Fileservers zuzugreifen.

Zur Erläuterung: Aus verschiedenen Gründen bietet das ZIM derzeit mehrere VPN-Schnittstellen an. Falls Sie auf Ihrem Endgerät die Software “Ivanti Secure Access Client” verwenden, nutzen Sie die Invanti-Lösung (bis vor Kurzem “PulseSecure” genannt). Je nach Typ und Plattform Ihres Endgerätes sieht das Icon der Software ungefähr so aus:

Nicht betroffen sind Sie, falls Sie diese VPN-Lösungen nutzen:

  • AnyConnect; in der Regel von Studierenden und Mitarbeitenden genutzt
  • NCP oder Teilnehmende am VRNHO-Dienst (nutzen bereits 2FA); von Mitarbeitenden der Universitätsverwaltung verwendet

Perspektivisch sollten allerdings auch Mitarbeitende, die derzeit AnyConnect nutzen oder die nicht auf Netzwerklaufwerke eines ZIM-Fileservers zugreifen, auf die Ivanti-VPN-Lösung mit 2FA umsteigen. Künftig werden weitere IT-Dienste nur noch auf diesem Weg nutzbar sein.

3. Was muss ich tun?

Falls Sie betroffen sind, sollten Sie zeitnah die erforderlichen Schritte zur Umstellung auf 2FA vornehmen. Dazu müssen Sie selbst eine Funktionserweiterung Ihres ZIM-Accounts durch­führen und die Möglichkeit einrichten, OTPs zu erzeugen.

Bitte folgen Sie der ausführlichen Anleitung.

Diese Seite ist im Uni-Netz oder über eine übliche VPN-Verbindung erreichbar.

Zur Erzeugung der OTPs ist die Verwendung einer App auf einem Mobiltelefon empfehlenswert. Dies kann auf einem dienstlichen oder privaten Gerät erfolgen. Diese Option ist flexibel, bequem und hinreichend sicher.

Falls dies nicht möglich ist, kann ein dediziertes Gerät (OTP-Generator) zur Erzeugung der OTPs eingesetzt werden. Das Gerät ist durch die Bereiche und Einrichtungen zu beschaffen. Zur Einführung der 2FA können allerdings Mitarbeitende, die einen solchen OTP-Generator benötigen und deren budgetverantwortliche*r Vorgesetzte*r einverstanden ist, ein solches Gerät in der Geräteleihe des ZIM erhalten. (“ZIM-Sondergeräte / 2FA Authenticator”)

4. Wie geht es weiter?

  • Wenn Sie betroffen sind, sollten Sie Umstellung auf 2FA für das Ivanti-VPN durchführen.
  • Ab dem 19. April 2023 werden die zentralen File-Services des ZIM nur noch über 2FA-authentifizierte VPN-Verbindungen erreichbar sein.
  • Perspektivisch werden weitere Dienste nur über 2FA-VPN-Verbindungen nutzbar sein und weitere Zugriffsbeschränkungen für die anderen VPN-Lösungen wirksam werden. Der Umstieg auf die Ivanti-Lösung mit 2FA ist daher grundsätzlich für Mitarbeitende empfehlenswert (Ausnahme: Mitarbeitende der Universitätsverwaltung, die NCP oder VRNHO nutzen).

5. Weitere Fragen?

Im Falle von Rückfragen wenden Sie sich bitte an die Beratung des ZIM:

zimber@uni-wuppertal.de

Kategorien
Dienste des ZIM Lehren und Lernen Sicherheit Software

Von Ende zu Ende – Zoom verschlüsselt auf Wunsch!

Update 2022: Aktualisierte hinsichtlich Einschränkungen und Voraussetzungen.

Für die an der Bergischen Universität genutzten Video-Konferenzlösung Zoom ist es ab sofort möglich, Meetings Ende-zu-Ende (E2EE) zu verschlüsseln.

Benutzer*innen können dieses Feature in den persönlichen Einstellungen auf der Webseite von Zoom unter https://uni-wuppertal.zoom.us/profile/setting selber aktivieren.

Voraussetzungen

  • Der Host muss das Feature aktiviert haben, um ein E2EE Meeting starten zu können und
  • alle Teilnehmer benötigen mind. den Zoom Client in Version 5.4.0.

Einschränkungen

Aus technischen Gründen stehen folgende Funktionen in einem E2EE Meeting nicht zur Verfügung :

  • Beitritt vor Moderator
  • Livestreaming
  • Live-Transkription
  • Konferenzräume / Breakout Rooms
  • Umfragen
  • Zoom Apps
  • Meetingreaktionen*
  • Private Einzelchats*

*Hinweis: Ab Version 5.5.0 für Desktop, Mobile und Zoom Rooms werden diese Funktionen in E2EE-Meetings unterstützt. 

E2EE-Meetings sind auf 200 Teilnehmer begrenzt.

Wie aktiviere ich die Verschlüsselung?

Sie können die Verschlüsselung sehr einfach über die Kontoeinstellungen in Ihrem Zoom Profil aktivieren. Hier finden Sie den Eintrag „Durchgehend verschlüsselte Meetings“, den sie entsprechend einschalten und die „End-to-end encryption“ aktivieren. Bitte beachten Sie, dass diese Einstellungen für ihren persönlichen Meetingraum und für bereits geplante Meetings gegebenenfalls gesondert vorgenommen werden müssen.

Wie kann ich die Verschlüsselung überprüfen?

Wenn in einem Meeting E2EE verwendet, erscheint in der oberen linken Ecke des Bildschirms ein Logo mit einem grünen Schild und einem Vorhängeschloss in der Mitte. Zusätzlich können die Teilnehmer*innen sich den Sicherheitscode anzeigen lassen (Verify/Verifizieren), abgleichen und so überprüfen, ob ihre Clients den gleichen Code benutzen.

Wie funktioniert das?

Wir zitieren den offiziellen Zoom Blog, in dem es heisst:

In einem typischen Meeting generiert die Zoom-Cloud die Encryption Keys und verteilt sie mit Hilfe der Zoom-Apps an die Teilnehmer, sobald sie beitreten. Bei E2EE generiert der Gastgeber die Schlüssel und verteilt diese mithilfe von Public-Key-Kryptographie an die anderen Meeting-Teilnehmer. Die Server von Zoom werden zu „blinden“ Relays (Oblivious Relays) und haben keinerlei Zugriff auf die Schlüssel, die zum Entschlüsseln der Meeting-Inhalte erforderlich sind.

Wie unterscheidet sich E2EE von der erweiterten GCM-Verschlüsselung von Zoom?

Zoom-Meetings und -Webinare verwenden standardmäßig AES-256-Bit-GCM-Verschlüsselung für die Übertragung von Audio- und Videoinhalten sowie gemeinsam genutzten Apps (z. B. Bildschirmfreigabe, Whiteboarding) zwischen Apps, Clients und Connectors. In einem Meeting ohne E2EE-Aktivierung werden Audio- und Videoinhalte, die zwischen den Zoom-Apps der Teilnehmer fließen, erst entschlüsselt, wenn sie die Geräte der Empfänger erreichen. Die Encryption Keys für jedes Meeting werden jedoch von den Zoom-Servern generiert und verwaltet. Bei einem Meeting mit aktivierter E2EE-Funktion hat niemand außer den einzelnen Teilnehmern – auch nicht die Server von Zoom – Zugriff auf die Encryption Keys.

Quelle: https://blog.zoom.us/de/zoom-rolling-out-end-to-end-encryption-offering/

Kategorien
Sicherheit Tipps & Tricks

Signierte E-Mails der ZIM Benutzerberatung

Ob Sie tatsächlich von der ZIM Benutzerberatung eine E-Mail erhalten haben, erkennen Sie ab sofort an der elektronischen Signatur (S/MIME).
Sollten Sie eine unsignierte E-Mail von der Adresse zimber@uni-wuppertal.de erhalten, stammt diese nicht von der Benutzerberatung des Zentrums für Informations- und Medienverarbeitung!

Kategorien
Sicherheit Tipps & Tricks

Keine Angst vorm Passwort-Wechsel

Das ZIM-Passwort ist so praktisch, weil es auf vielen Plattformen der Bergischen Universität Wuppertal gültig ist. Wenn es geändert wird, muss es nicht an jeder Stelle geändert werden – oder doch?

Moderne Browser bieten einen Passwort-Speicher an, den Sie auch nachträglich manipulieren können – zum Beispiel um ein neues Passwort zu hinterlegen.

Sie erreichen im Firefox diese Einstellung durch die Eingabe von about:logins

Dort können Sie die einzelnen Einträge ändern – ohne jede Seite angesurft zu haben.

Noch bequemer geht es in iOS in den Einstellungen – Passwörter

Screenshot iOS Einstellungen / Passwörter

Dort können Sie auf einen Rutsch das Passwort für alle aufgeführten Seiten ändern. Für die Websites mit Login – beachten Sie, dass Sie auch für das WLAN und den Mail-Account das neue Passwort verwenden – also jeweils 1x eingeben müssen.

Sehr bequem – aber eher von ihr abzuraten – ist die Option, die Passwörter bei Google zu hinterlegen.

Sollten Sie einen Passwort-Manager (empfehlenswert) benutzen, wie Enpass – können Sie die Passworte auch bearbeiten, ohne die Seiten aufgerufen zu haben.

Ein neues sicheres Passwort würfeln Sie sich am Besten selbst. Danach tragen Sie die Passwort-Änderung für jeden Ihrer Accounts (auch der Funktionsaccounts) über diese Maske ein.

Kategorien
Sicherheit

Wie schützt man sich gegen Phishing und anderes Ungemach?

Die Grundregel vorweg: Keine Bank, kein Rechenzentrum, kein Kreditkarteninstitut und kein anderer seriöser Anbieter fordert Sie per E-Mail auf, vertrauliche Zugangsdaten preiszugeben – auch nicht um der Sicherheit willen.

Wenn Sie von der ZIM Benutzerberatung eine E-Mail erhalten haben, können Sie die Echtheit der Mail mit der elektronischen Signatur (S/MIME) überprüfen. Wie das geht, das beschreiben wir in einem separaten Beitrag hier im Blog.

Was Sie beachten sollten!

  • Überprüfen Sie stets die Adressleiste in Ihrem Browser. Am besten tragen Sie die Adressen zu häufig besuchten Login-Seiten in die Favoritenliste Ihres Browsers ein.
  • Klicken Sie niemals auf Links in einer dubiosen E-Mail. Versuchen Sie im Zweifelsfall stattdessen, die im E-Mail-Text genannte Seite über die Startseite der betreffenden Organisation zu erreichen – also ohne den angegebenen Link in die Adresszeile des Browsers einzutippen.
  • Wenn Sie sich nicht sicher sind, ob eine E-Mail vielleicht berechtigter Weise nach vertraulichen Daten fragt, fragen Sie am besten telefonisch bei dem genannten Anbieter nach.
  • Geben Sie keinesfalls persönliche Daten wie Passwörter, PINs, Kreditkarten- oder Transaktionsnummern via E-Mail preis – egal, wie vertrauenserweckend die betreffende E-Mail erscheint.
  • Geben Sie persönliche Informationen nur in der gewohnten Weise etwa auf der Online-Banking-Website ein. Sobald Ihnen irgendetwas seltsam vorkommt, beenden Sie die Verbindung sofort und kontaktieren Sie den regulären Website-Betreiber.
  • Starten Sie niemals einen Download-Link direkt aus einer E-Mail heraus, auf deren Echtheit Sie sich nicht hundertprozentig verlassen können. Starten Sie, wenn möglich, einen Download stets direkt von der Anbieter-Website.
  • Öffnen Sie insbesondere niemals Dateien im Anhang einer verdächtigen E-Mail.
  • Beenden Sie jede Online-Session durch einen regulären Log-out – statt einfach nur das Browserfenster zu schließen.
  • Geben Sie niemals persönliche Daten auf Webseiten mit unverschlüsselter Verbindung ein. Ob eine Website verschlüsselt mit Ihrem Browser kommuniziert, erkennen Sie an der Abkürzung “https://” in der Adresszeile sowie an dem kleinen Vorhängeschloss- Symbol neben der Adresszeile des Browsers.
  • Achten Sie auf die Absenderadresse. Oft wird in Phishing-E-Mails ein bekannter Markenname als Absendername genutzt, aber die absendende Mailadresse ist abweichend davon. Beispiel: “DHL” wird als Absendernamen geführt, die Mailadresse lautet aber auf 123rt4134jkl@foo.bar
  • Achten Sie stets darauf, dass Ihre Antivirus-Software aktuell und die Firewall aktiv ist.

Wenn es doch passiert ist…

Die folgenden Maßnahmen gelten insbesondere, wenn Sie ausführbare Dateien gestartet oder aber Mailanhänge heruntergeladen und installiert haben:

  • Informieren Sie den zentralen IT-Support Ihrer Fakultät, die zentralen Windows Dienste des ZIM oder die Benutzerberatung des ZIM über die mögliche Infektion und lassen ihren Account sperren bzw. setzen sich von einem anderen Rechner aus ein neues Passwort!
  • Trennen Sie den betroffenen Rechner physisch vom Netz (Netzwerkkabel abziehen) und sichern Sie das Kabel gegen “wiedereinstecken”.
  • Informieren Sie Ihr Umfeld über die Infektion, denn Ihre Mailkontakte sind besonders gefährdet.
  • Ändern Sie alle auf dem betroffenen Systemen (zum Beispiel im Web-Browser) gespeicherten und eingegebenen Zugangsdaten. Verwenden Sie hierzu nicht das betroffene System!
  • Die Schadprogramme nehmen teilweise tiefgreifende (sicherheitsrelevante) Änderungen am infizierten System vor. Sollte Ihr Rechner mit Schadsoftware wie Emotet infiziert sein, dann empfiehlt sich, diesen Rechner neu aufzusetzen.