Wichtige Sicherheitsempfehlungen

Zum Schutz der Daten auf den Servern des ITSC und den verbundenen Rechnern beachten Sie bitte die nachfolgenden Informationen zu SPAM-Filtern gegen unerwünschte Mails, Firewalls und FTP-Protokollen, Zertifikaten zur Verschlüsselung von Informationen sowie der Sicherheit Ihrer Kennwörter.

 

Die FHWS nimmt das Thema "Informationssicherheit" u.a. mit den Schutzzielen Vertraulichkeit, Verfügbarkeit und Integrität sehr ernst. Hier finden Sie weitere Informationen zur Beauftragten für Informationssicherheit und die Informationssicherheitsleitlinie.

Bedingt durch die Firewall kann es nötig sein, folgende Einstellungen in der Software vorzunehmen: Beim Download (FTP) von manchen Servern können Probleme auftreten, wenn im Browser die folgenden Parameter nicht eingestellt sind:

http: proxy.fh-sw.de 8080
ftp: proxy.fh-sw.de 8080

Diese finden Sie beim Internet Explorer unter:
Ansicht bzw. Extras - Internetoptionen - Verbindung (Lan Einstellungen ...) - Proxyserver / Erweitert...

Bei Netscape finden Sie diese unter:
Bearbeiten - Einstellungen - Erweitert - Proxies - Manuelle Proxy-Konfiguration anzeigen
 
Bei Filetransfer-Programmen, z.B. WS-FTP muss "Passiv Mode" bzw. "PASV Transfer Mode" eingestellt sein! Die Einstellung wird z.B. unter Menü: Options / Session Options... oder Advanced... vorgenommen.

Alle E-Mails, die aus dem Internet, also von extern, an die Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt (xxxx@fhws.de) geschickt werden, durchlaufen zuvor einen sogenannten "Spam-Checker", den die Universität Würzburg betreibt.

Der Spam-Checker bewertet nach heuristischen Verfahren die Wahrscheinlichkeit, nach der eine Mail als Spam-Mail einzuordnen ist, und fügt in den Header der Mail unter anderem eine Zeile folgenden Formats ein:

X-Spam-Level: ******

Je mehr Sterne angegeben sind, um so größer ist die Wahrscheinlichkeit, dass es sich um eine Spam-Mail handelt.
Erfahrungswert: Mehr als 5 Sterne deuten fast immer auf Spam-Mails hin.

Viele Mailprogramme ermöglichen durch Definition von Filterregeln, die Zeile "X-Spam-Level : ...." auszuwerten, und spamverdächtige Mails in ein extra Verzeichnis (Folder) zu verschieben oder auch sofort zu löschen.

Beschreibungen zur Einrichtung von Spam-Filtern in Mailprogrammen, wie z.B. Pine, Pegasus, Mozilla, Eudora und Outlook finden Sie auf dieser Webseite der Universität Würzburg.

Bei weiteren Fragen wenden Sie sich bitte an das Personal des Rechenzentrums.

Generell sollte Sie Ihr Kennwort in regelmäßigen Abständen ändern (auch im privaten Gebrauch). Vielfältige Möglichkeiten (z. B. Scannen von Lexika, Wörterbüchern etc.) und IT-Werkzeuge ermöglichen es Personen unter Zuhilfenahme automatisierter Mechanismen weitreichende Angriffe auf Benutzerkonten und deren Kennwörter auszuüben. „Einfache“ Kennwörter halten derartigen Angriffen nur sehr begrenzt bis gar nicht stand.

Dies ist insbesondere im Zusammenhang mit der bei uns an der FHWS implementierten Single-Sign-On-Authentifizierung wichtig, da Sie mit Ihrem User und einem zentralen Kennwort auf alle Ihnen zur Verfügung stehenden IT-Systeme (z. B. Mailsystem, Zeiterfassungssystem, E-Learning, WLAN u. a.) zugreifen können. Ein sogenannter Identitätsdiebstahl kann somit weitreichende Konsequenzen haben.

Über die Häufigkeit und Komplexität von Kennwortänderungen gibt es vielfältige Meinungen und sind auch immer unter dem Gesichtspunkt der Praktikabilität zu sehen. So führen z. B. zu komplexe Kennwörter dazu, dass diese organisatorisch leicht zugänglich (im schlimmsten Fall unter der Tastatur) aufbewahrt werden. 

Generell sollten Sie bitte mit Ihrem Kennwort genauso sensibel und verantwortungsbewusst verfahren wie mit der PIN Ihrer EC-Karte. Bei Verdacht eines Verlusts der Kennwortintegrität sollte dieses umgehend geändert werden. Denken Sie bitte dabei die Änderung des Kennworts (z. B. bei Postfächern, WLAN-Zugängen etc.) auch an Smartphones, Laptops oder sonstigen Endgeräten zu vollziehen

Tipps für sichere Kennwörter

• Eine Zeile eines (Lieblings-)Gedichtes, Liedstrophe oder Zitates.
  Jeweils der erste Buchstaben ergänzt um Sonderzeichen und/oder Zahlen.

   Bsp.: „Schlagfertigkeit ist etwas, worauf man erst 24 Stunden später kommt."

            (Mark Twain) abgeleitetes Passwort -> „Sie,wme24Ssk.


• Es sollte idealerweise mindestens acht (besser zwölf) Zeichen lang sein.

• Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und
   Ziffern (?!%+…) bestehen.

• Keine Passwort auf das man aus der Person rückschließen könnte 
   (keine Familienname, Angehörige, Haustiere etc.).

• Idealerweise steht dies in keinem Wörterbuch (da elektronisch durchsuchbar).

• Es soll nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern 
   bestehen, also nicht „Kennwort“, „asdfgh“, „1234abcd“, „qwerzt“ und so weiter.

• Keine Umlaute (wegen Inkompatibilität von Programmen und Zugriff 
   im Ausland mit landestypischen Tastaturen).

• Passwort zu Beginn einer permanenten Nutzung (z. B. zum Semesterstart) ändern, 
   nicht vor
 einem längerem Urlaub oder einer längeren Abwesenheit.

Die Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt nimmt mit einer eigenen Zertifizierungsstelle (kurz FHWS-CA 3) an der neuen DFN-PKI Hierarchie  zur Ausstellung von Zertifikaten auf Basis des X.509 Standards teil. Der technische Betrieb der Zertifizierungsstelle (Certificate Authority, CA) ist an den DFN-Verein ausgelagert. Die Zertifizierungsstelle wird von der DFN-PCA auf dem Sicherheitsniveau GLOBAL betrieben.

Die Bearbeitung eines Zertifikatantrags und Identifizierung der Antragsteller erfolgt durch die Registrierungsstelle (Registration Authority, RA) des Rechenzentrums. Zertifikatanträge können nur von Angehörigen und Mitarbeitern der Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt angenommen werden.

Durch die FHWS-CA 3 können folgende X.509-Zertifikate ausgestellt werden:

  • Serverzertifikate
  • Benutzerzertifikate (vorerst nur für Bedienstete und Professoren der Hochschule für angewandte Wissenschaften))

 

 

Zertifikat ist dann nötig, wenn mit einem Browser sichere Verbindungen (https:// ...) z. Bsp. zu unserem Mailserver aufgebaut werden. Ohne Zertrifikat erscheinen Warnmeldungen, dass die Verbindung nicht vertrauenswürdig ist.

Das in der neuen Hierarchie verwendete Wurzelzertifikat der Deutsche Telekom Root CA 2 ist bereits in aktuellen Windowsversionen integriert. Anwendungen, welche die von Windows bereitgestellten Mechanismen zur Zertifikatsverwaltung nutzen, können somit direkt die Gültigkeit eines unter der neuen Hierarchie ausgestellten Zertifikats überprüfen. Dies betrifft z.B. den Windows Internet Explorer, Outlook und Outlook-Express. Weitere Produkte werden folgen. In Anwendungen mit einer eigenen Zertifikatsverwaltung bzw. alternativen Betriebssystemen muss das neue Wurzelzertifikat manuell eingespielt werden.
Um das neue Wurzelzertifikat zu importieren, genügt es bei Browsern (z.B. Firefox, Konqueror, ...) in der Regel der Reihe nach die unten aufgeführten Links im Browser zu öffnen und die Dialoge der Reihe nach abzuarbeiten. Für sonstige Anwendungen muss das jeweilige Zertifikat als Datei auf den Rechner heruntergeladen und über die jeweiligen Konfigurationsdialoge der jeweiligen Anwendung in diese importiert werden.

Beim Import des Wurzelzertifikats ist darauf zu achten, dass der beim Import angezeigte Fingerprint des Zertifikats korrekt ist! Nur bei einem passenden Fingerprint können Sie sicher sein, dass es sich um das korrekte Zertifikat handelt. Je nachdem, wem Sie bei der Überprüfung dieser Fingerprints vertrauen wollen, verlassen Sie sich auf die Angaben unten, sehen auf der Homepage des Ausstellers nach oder kontaktieren Sie den Aussteller direkt und erfragen den Fingerprint.

In den jeweiligen Dialogen müssen Sie angeben, dass Sie der neuen Zertifizierungsstelle vertrauen. Dazu ist es z.B. bei Mozilla Firefox notwendig, dieses Vertrauen durch explizites Setzen von Häckchen für die möglichen Einsatzgebiete zu bestätigen:

  • Dieser CA vertrauen, um Webseiten zu identifizieren.
  • Dieser CA vertrauen, um E-Mails zu identifizieren.
  • Dieser CA vertrauen, um Software-Entwickler zu identifizieren.

 

Anleitung zum Import des Wurzelzertifikat und der Zertifikate der DFN-PCA und FHWS-CA 3:

Hinweis: Nur nötig, wenn das Wurzelzertifikat der Deutsche Telekom Root CA 2 nicht bereits vom Hersteller des Browsers integriert ist. Bei MS Internet Explorter also nicht erforderlich, hingegen bei Morzilla Firefox (zur Zeit noch) notwendig. Die nachfolgenden Hardcopies wurden bei Import nach Firefox erzeugt.
Aufruf für Nutzer/innen vom Standort Schweinfurt Standort Würzburg.

Gehen Sie dazu auf die Punkte "CA-Zertifikate" und dann auf "Wurzelzertifikat". Im neuen Fenster sollten Sie zuerst die Fingerprints des zu importierenden Zertifikats mit denen unterhalb dieser Anleitung aufgeführten vergleichen, indem Sie auf die Schaltfläche "Ansicht" gehen. Stimmen diese überein, setzen Sie im vorherigen Fenster alle 3 Häkchen, um diesem Zertifikat zu vertrauen. Bestätigen Sie schließlich mit einem Klick auf die Schaltfläche "OK". 

Führen Sie diese Schritte noch zweimal aus, mit dem Unterschied, dass Sie nun anstelle des "Wurzelzertifikats" das "DFN-PCA Zertifikat" und schließlich das "FHWS-CA3 - Zertifikat" anwählen.Die Fingerprints der einzelnen Zertifikate lauten für das Wurzelzertifikat der Deutschen Telekom AG (Gültigkeit: 9.7.1999 - 10.7.2019)

  • MD5 Fingerprint = 74:01:4A:91:B1:08:C4:58:CE:47:CD:F0:DD:11:53:08
  • SHA1 Fingerprint = 85:A4:08:C0:9C:19:3E:5D:51:58:7D:CD:D6:13:30:FD:8C:DE:37:BF
  • für das Zertifikat der DFN-PKI (Gültigkeit: 19.12.2006 - 1.7.2019)
  • MD5 Fingerprint = CA:5A:00:CF:78:D1:4B:A7:E1:7F:DE:59:67:71:3A:BC
  • SHA1 Fingerprint = F0:28:8F:DA:C6:3A:F7:9A:31:9A:E9:72:F3:95:09:0E:A3:EF:E9:45
  • für das Zertifikat der FHWS-CA 3 (Gültigkeit: 11.01.2008 - 30.06.2019)
  • MD5 Fingerprint =
  • SHA1 Fingerprint = 17 2f 84 2c ad 0e ce 7c 4b 87 65 11 2b b5 ec a6 d0 d0 65 89

Diese sind zum Verschlüsseln von E-Mails nötig. Dabei wird ein Schlüsselpaar erzeugt, ein privater und ein öffentlicher Schlüssel. Wir empfehlen die Durchführung der Zertifizierung mit dem MS Internet Explorer.
Hintergrund:
Die Schlüssel werden immer lokal in einem Zertifikatsspeicher auf dem Rechner und in dem Browser abgelegt, mit dem die Zertifizierung durchgeführt wird. Verwendet man den MS Internet Explorer, dann werden die Schlüssel im MS-Zertifikatsspeicher abgelegt. Auf diesen Speicher kann dann beispielsweise MS Outlook bei der Verschlüsselung von Mails direkt zugreifen.

ACHTUNG: Benutzerzertifikate sind nur mit MS Internet Explorer möglich

Anleitung zur Beantragung und zum Import eines Benutzerzertifikats:

(Vorerst nur für Bedienstete und Professoren der FHWS, nicht für Studierende)

Gültigkeitsdauer: 3 Jahre

Da die Vorgehensweise etwas umfangreicher ist, verfahren Sie bitte nach unserer PDF-Anleitung.
Bei der Ausführung der einzelnen Schritte benötigen Sie wiederum folgende Links:
Aufruf für Nutzer/innen vom Standort Schweinfurt | Standort Würzburg.

Aus Vereinfachungsgründen wird hier die Verschlüsselung von E-Mails beschrieben, die mittels MS Outlook zwischen Partnern verschickt werden, die über die Zertifizierungsstelle FHWS-CA 3 ihr Zertifikat ausgestellt bekommen haben.

Voraussetzung also: Zertifikat über FHWS-CA 3, wie oben beschrieben und Verwendung der Mailsoftware MS Outlook am Exchange-Server der FHWS.

Hintergrundinformation: Verschlüsselungsmethodik
Der öffentliche Schlüssel aller Benutzer, die die Zertifizierung über FHWS-CA 3 durchgefühert haben, ist auf einem zentralen Server hinterlegt und wird von Outlook automatisch geladen, wenn an einen Partner eine verschlüsselte E-Mail verschickt werden soll.

  1. Outlook aufrufen
  2. Neue Mail
  3. Verschlüsselungsbutton aktivieren

Hier finden Sie eine Beschreibung, wie Sie verschlüsselte E-Mails an den erweiterten Benutzerkreis des DFN-PCA verschicken können, also an alle Partner, die sich über den DFN-Verein Zertifikate haben ausstellen lassen, und wie Sie den öffentlichen Schlüssel eines "fremden" Partners (außerhalb von DFN-PCA) beziehen können.