Uni.IT-Newsletter Nr. 22

07/2026

In eigener Sache

Ein Gastbeitrag von unserer Informationssicherheitsbeauftragten Julia Christ

In den letzten Monaten mussten Sie sich mit tiefgreifenden IT-Sicherheitsmaßnahmen auseinandersetzen. Die Einführung von Passkeys und App-Passwörtern für Nutzerkonten bzw. E-Mail-Apps haben Ihnen viel Aufwand verursacht und Ihre Geduld strapaziert. Die Maßnahmen dienen insbesondere der Abwehr von Phishing-Angriffen, die aktuell die größte Bedrohung für unsere Daten und Infrastruktur darstellen. Wir hatten zwar bisher keine großflächigen IT-Sicherheitsvorfälle durch Hacker. Es kommt aber leider immer wieder zu Identitätsdiebstählen und meldepflichtigen unberechtigten Zugriffen auf E-Mail-Konten. 

Der Single-Sign-On über den Browser ist per Passkey bereits wirksam geschützt – ein Passkey lässt sich praktisch nicht durch Phishing stehlen. Der E-Mail-Server kann diesen Schutz technisch bisher jedoch nicht vollständig unterstützen und benötigt stattdessen weiterhin das bisherige Nutzerkennwort, um sich mit dem Postfach zu verbinden.

Genau hier bestand daher noch ein Restrisiko: Wurde dieses Kennwort z. B. durch Phishing gestohlen, kamen kriminelle Akteure zwar weiterhin nicht an der Passkey-Abfrage vorbei – sie konnten mit dem bekannten Passwort aber über denselben Weg wie ein E-Mail-Programm eine Verbindung zum Postfach herstellen und im Namen des Opfers E-Mails versenden oder abrufen. Diese Lücke schließen wir mit dem Abschluss der flächendeckenden Einführung des separaten App-Passworts für E-Mail-Clients.

Uns erreichen viele Rückmeldungen zur Verständlichkeit unserer Anleitungen. Die Sicherheitsmaßnahmen betreffen eine große Zahl von Betriebssystemen, Endgeräten, E-Mail-Programmen und Protokollen. Das macht die Bereitstellung von knappen und trotzdem allgemeingültigen Anleitungen schwierig. Ihre Rückmeldungen dazu sind wichtig und gern willkommen. Zudem müssen wir Lösungen entwickeln, die unsere digitale Souveränität erhalten und nicht den Umzug des Exchange-Systems in die Cloud erfordern.

Noch ein Wort zu Fristsetzungen: Da Bedrohungen für die Sicherheit immer am schwächsten Glied ansetzen, ist es in unser aller Interesse, eine möglichst breite Umsetzung der Maßnahmen zu erreichen. Wir versuchen, immer frühzeitig zu informieren und ausreichend lange Fristen zu setzen, die den Semesterverlauf möglichst wenig beeinträchtigen. Wir bedauern, dass dies für einige von Ihnen dennoch mit Unannehmlichkeiten verbunden war. Es braucht jedoch einen verbindlichen Zeitpunkt, ab dem eine Maßnahme für alle umgesetzt wird: Nicht als Selbstzweck, sondern um am Ende die Sicherheit unserer Universität flächendeckend zu verbessern.

Wir hoffen auf Ihr Verständnis und bedanken uns für den Beitrag, den Sie zur Sicherheit der Daten und IT-Systeme leisten. 

Julia Christ, Informationssicherheitsbeauftragte der Universität Bamberg

Weitere Infos zur Informationssicherheit an der Universität Bamberg finden Sie hier.

Obacht! Vorsicht geboten.

ClickFix-Angriffe: Gefälschte CAPTCHAS als Schadsoftware-Falle

ClickFix-Angriffskampagnen als Varianten des Social Engineering liegen unter böswilligen Akteuren im Trend und nehmen zunehmend das Hochschulumfeld ins Visier. Statt eine technische Schwachstelle auszunutzen, bringen Kriminelle ihre Opfer durch psychologische Manipulationstechniken dazu, den entscheidenden Befehl zur Infektion des eigenen Systems selbst auszuführen. Bekannt ist die Methode auch unter dem Namen Fake-CAPTCHA, weil sie häufig über eine gefälschte CAPTCHA-Prüfung eingeleitet wird.

Wie funktioniert der Angriff?

Eine typische ClickFix-Kampagne verläuft in mehreren Schritten:

  1. Erstkontakt: Der Angriff erfolgt in verschiedenen abgewandelten Varianten, z. B. über eine Betrugs-E-Mail oder Nachrichten in Teams oder Messengerdiensten, über die das Opfer per Linkklick auf eine präparierte Webseite geleitet wird.
  2. Fake-Meldung: Die Webseite zeigt ein Pop-up, das wie eine echte Sicherheits- oder Systemmeldung aussieht – z. B. eine harmlos wirkende CAPTCHA-Abfrage, eine Verifizierungsaufforderung wie „Ich bin kein Roboter“ oder Hinweise wie „Viren gefunden“, „Probleme bereinigen“, „Something went wrong while displaying this webpage“. Statt einer echten Prüfung wird beim Klick darauf jedoch unbemerkt ein schädlicher Befehl in die Zwischenablage kopiert.
  3. Manipulation: Anschließend werden die Nutzenden von der Webseite angewiesen, eine Reihe von scheinbar einfachen Aktionen durchzuführen, wie z. B.:
    • Drücken von Windows-Taste + X gefolgt von I (öffnet ein Windows-Terminal)
    • Drücken von Windows-Taste + R (öffnet den Ausführen-Dialog)
    • Drücken von Strg + V (fügt einen kopierten Befehlscode ein) oder direktes Kopieren eines Codes in ein neues Fenster
    • Ausführen des kopierten und eingefügten Befehls mit der Enter-Taste
  4. Infektion: Wer diese Anleitung befolgt, startet ungewollt eine mehrstufige Angriffskette, die zu einer Infektion mit Schadsoftware führt oder Zugriff auf Dienste gewährt.

Indem die Nutzenden auf diese Weise selbst ihren Rechner mit Schadsoftware infizieren, werden effektiv zahlreiche klassische Schutzmechanismen umgangen. Am Ende stehen häufig der Diebstahl von Zugangsdaten oder Sitzungscookies, die dauerhafte Kontrolle über das System oder die Verschlüsselung von Daten.

Verhaltensempfehlungen und Reaktion

  • Überprüfen Sie die Absenderadresse von E-Mails und die URL von verlinkten Webseiten.
  • Hinterfragen Sie im Zweifelsfall Betreff und Inhalt von E-Mails – insbesondere von unerwarteten Nachrichten.
  • Kontaktieren Sie bei Zweifeln an scheinbar plausiblen Anliegen die Absenderin/den Absender auf einem anderen Kanal (z. B. bekannte Telefonnummer) und fragen Sie nach.
  • Lassen Sie sich nicht durch Zeitdruck oder Warnhinweise zu unüberlegtem Handeln verleiten.
  • Seien Sie grundsätzlich skeptisch, sobald eine Webseite Sie auffordert, außerhalb des Browsers aktiv zu werden, und führen Sie niemals unbekannte Tastenkombinationen oder Befehle aus, deren Zweck Sie nicht vollständig verstehen.
  • Reguläre CAPTCHA-Abfragen zur Verifizierung erfordern niemals das Öffnen von Terminalfenstern oder Systemdialogen oder das Ausführen von Code-Befehlen.

Haben Sie eine solche auffällige Anleitung bereits ausgeführt oder sind unsicher, ob Sie betroffen sind, trennen Sie das betroffene Gerät umgehend vom Netzwerk, informieren Sie unverzüglich den IT-Support und ändern Sie alle auf dem Gerät genutzten Passwörter über ein anderes, unbeteiligtes Gerät.

Sie sind unsicher bei einer E-Mail? Einfach als Anhang weiterleiten an den IT-Support – besser einmal zu viel gemeldet als verklickt!

News aus dem Chief Information Office

Stellenangebot: Studentische Hilfskraft im Chief Information Office

Du interessierst dich für Digitalisierung, IT-Projekte und den Einsatz von KI in der Hochschulverwaltung – und möchtest neben dem Studium dort mitgestalten, wo die strategischen IT-Entscheidungen der Universität entstehen? Dann werde Teil des Chief Information Office!

Deine Rolle bei uns

Zum nächstmöglichen Zeitpunkt sucht das CIO eine engagierte studentische Hilfskraft (m/w/d) zur Unterstützung der CIO-Referentin mit einer monatlichen Arbeitszeit von ca. 30-40 Stunden. Die Stelle ist befristet bis Ende 2027.

Deine Aufgaben

  • Unterstützung bei der Koordination und Begleitung universitärer Digitalisierungsvorhaben
  • Recherche und Aufbereitung von KI-Anwendungsfällen für Verwaltung, Studium und Lehre
  • Prototyping von Anwendungen mittels KI-gestützter Entwicklung („Vibe-Coding")
  • Entwicklung von Proof of Concepts, um Werkzeuge und Digitalisierungsideen praktisch auf ihren Nutzen für die Universität zu prüfen
  • Unterstützung der internen Digitalisierungskommunikation (Newsletter, Intranet-Seiten, Veranstaltungen)

Das bringst du mit

  • Interesse an KI-Werkzeugen und Offenheit, neue Technologien praktisch auszuprobieren
  • Idealerweise Erfahrung mit Web-, Skript- oder KI-gestützter Entwicklung (z. B. HTML/JavaScript, CSS, Python)
  • Fortgeschrittenes Studium, vorzugsweise der Angewandten Informatik oder eines verwandten Fachs
  • Strukturierte, zuverlässige und eigenständige Arbeitsweise sowie gute Kommunikationsfähigkeit

Das bieten wir dir

  • Einblicke in die strategische IT-Steuerung und die Digitalisierungsvorhaben der gesamten Universität
  • Raum, mit KI und modernen Entwicklungsansätzen zu experimentieren und eigene Ideen einzubringen
  • Flexible Arbeitszeiten, die sich gut mit deinem Studium vereinbaren lassen
  • Ein kollegiales und unterstützendes Umfeld direkt an der Schnittstelle von IT, Verwaltung und Fakultäten

Vielfalt & Chancengleichheit

Schwerbehinderte Bewerberinnen und Bewerber (m/w/d) werden bei im Wesentlichen gleicher Eignung und Qualifikation bevorzugt eingestellt. Die Otto-Friedrich-Universität Bamberg fördert die berufliche Gleichstellung von Frauen. Frauen werden ausdrücklich aufgefordert, sich zu bewerben.

So bewirbst du dich

Sende deine aussagekräftigen Unterlagen (Anschreiben, Lebenslauf und Zeugnisse) elektronisch als eine PDF-Datei bis spätestens 31.07.2026 an: ref.cio(at)uni-bamberg.de

Fragen zur Stelle?

Wenn du Fragen hast, wende dich direkt an die CIO-Referentin (E-Mail: ref.cio(at)uni-bamberg.de, Telefon: +49 951 863-1308).

News aus dem IT-Service

eduVPN: einheitlicher VPN-Zugang zum Datennetz

Um die internen Datendienste der Universität auch außerhalb des Campus nutzen zu können, ist eine VPN-Verbindung in das Datennetz der Universität erforderlich. Dafür standen bisher verschiedene Technologien und Programme zur Verfügung, die nun einheitlich durch eduVPN ersetzt werden.

Die Umstellung auf eduVPN erfolgt in den kommenden Wochen automatisch. Über die jeweils erforderlichen Maßnahmen informiert der IT-Service rechtzeitig.

Bei Rechnern, die vom IT-Service zentral verwaltet werden, stellt der IT-Service sicher, dass diese jederzeit über die aktuellen Funktionen sowie über die erforderlichen Sicherheitseinstellungen und den notwendigen Angriffsschutz verfügen. Damit diese Einstellungen auch außerhalb der Universität wirksam bleiben, startet eduVPN künftig bei jeder Anmeldung automatisch und verbindet den Rechner mit dem Datennetz der Universität.

News aus der Haushaltsabteilung

Beschaffungsanträge jetzt digital: der neue Webshop

Beschaffungsanträge können an der Universität Bamberg ab sofort auf digitalem Wege gestellt werden. Dafür steht ein Webshop-System zur Verfügung, das der Hochschulübergreifende IT-Service HITS „IT-Beschaffung" des Digitalverbunds Bayern über die Universität Würzburg für die bayerischen Universitäten und Hochschulen bereitstellt.

In diesem System sind die Beschaffungsanforderungen, -wege und -prozesse der Universität Bamberg abgebildet. Durch die Digitalisierung der einzelnen Prozessschritte konnten die Beschaffungswege spürbar vereinheitlicht, vereinfacht und beschleunigt werden.

Beschaffungsanträge, die auf herkömmlichem Wege eingehen, werden zunächst weiterhin bearbeitet. Ab dem 01.10.2026 nimmt die Universität Beschaffungsanträge jedoch ausschließlich über den Webshop entgegen.

Detaillierte Informationen – von der Antragstellung über die Auftragsverfolgung bis zur Beauftragung – stehen auf den Seiten der Haushaltsabteilung bereit. Ergänzend findet am 22.07.2026 eine Onlinepräsentation des Webshops statt.

Online-Präsentation des Webshops

Termin: 22.07.2026 10:00 bis 11:00 Uhr
Ort: https://uni-bamberg.zoom-x.de/j/67543762062 (Zoom)

Hinweis

Dieser Newsletter wurde mit freundlicher Unterstützung von generativen Technologien erstellt.

Kontakt und Archiv

Bei Fragen zum Uni.IT-Newsletter wenden Sie sich bitte an die CIO-Referentin.

Hier geht es zu allen Ausgaben des Uni.IT-Newsletters: Hauptseite Uni.IT-Newsletter