In den letzten Monaten mussten Sie sich mit tiefgreifenden IT-Sicherheitsmaßnahmen auseinandersetzen. Die Einführung von Passkeys und App-Passwörtern für Nutzerkonten bzw. E-Mail-Apps haben Ihnen viel Aufwand verursacht und Ihre Geduld strapaziert. Die Maßnahmen dienen insbesondere der Abwehr von Phishing-Angriffen, die aktuell die größte Bedrohung für unsere Daten und Infrastruktur darstellen. Wir hatten zwar bisher keine großflächigen IT-Sicherheitsvorfälle durch Hacker. Es kommt aber leider immer wieder zu Identitätsdiebstählen und meldepflichtigen unberechtigten Zugriffen auf E-Mail-Konten.
Der Single-Sign-On über den Browser ist per Passkey bereits wirksam geschützt – ein Passkey lässt sich praktisch nicht durch Phishing stehlen. Der E-Mail-Server kann diesen Schutz technisch bisher jedoch nicht vollständig unterstützen und benötigt stattdessen weiterhin das bisherige Nutzerkennwort, um sich mit dem Postfach zu verbinden.
Genau hier bestand daher noch ein Restrisiko: Wurde dieses Kennwort z. B. durch Phishing gestohlen, kamen kriminelle Akteure zwar weiterhin nicht an der Passkey-Abfrage vorbei – sie konnten mit dem bekannten Passwort aber über denselben Weg wie ein E-Mail-Programm eine Verbindung zum Postfach herstellen und im Namen des Opfers E-Mails versenden oder abrufen. Diese Lücke schließen wir mit dem Abschluss der flächendeckenden Einführung des separaten App-Passworts für E-Mail-Clients.
Uns erreichen viele Rückmeldungen zur Verständlichkeit unserer Anleitungen. Die Sicherheitsmaßnahmen betreffen eine große Zahl von Betriebssystemen, Endgeräten, E-Mail-Programmen und Protokollen. Das macht die Bereitstellung von knappen und trotzdem allgemeingültigen Anleitungen schwierig. Ihre Rückmeldungen dazu sind wichtig und gern willkommen. Zudem müssen wir Lösungen entwickeln, die unsere digitale Souveränität erhalten und nicht den Umzug des Exchange-Systems in die Cloud erfordern.
Noch ein Wort zu Fristsetzungen: Da Bedrohungen für die Sicherheit immer am schwächsten Glied ansetzen, ist es in unser aller Interesse, eine möglichst breite Umsetzung der Maßnahmen zu erreichen. Wir versuchen, immer frühzeitig zu informieren und ausreichend lange Fristen zu setzen, die den Semesterverlauf möglichst wenig beeinträchtigen. Wir bedauern, dass dies für einige von Ihnen dennoch mit Unannehmlichkeiten verbunden war. Es braucht jedoch einen verbindlichen Zeitpunkt, ab dem eine Maßnahme für alle umgesetzt wird: Nicht als Selbstzweck, sondern um am Ende die Sicherheit unserer Universität flächendeckend zu verbessern.
Wir hoffen auf Ihr Verständnis und bedanken uns für den Beitrag, den Sie zur Sicherheit der Daten und IT-Systeme leisten.
Julia Christ, Informationssicherheitsbeauftragte der Universität Bamberg
Weitere Infos zur Informationssicherheit an der Universität Bamberg finden Sie hier.