Leitfaden für IT-Sicherheit am Arbeitsplatz

Dieser Leitfaden basiert auf der Checkliste "IT-Sicherheit am Arbeitsplatz" vom Bundesamt für Sicherheit in der Informationstechnik.

E-Mails kritisch prüfen

  • Bei E-Mails von externen Kontakten, aber ebenso so von Kollegen und Kolleginnen sowie der Führungsebene vorsichtig sein, da Urheber von Phishing-Mails seriöse Absender immer besser nachahmen.
  • Damit Sie nicht in die Falle tappen, sollten Sie sich Zeit für einen 3-Sekunden-Sicherheits-Check nehmen:
    • Ist der Absender bekannt?
    • Ist der Betreff sinnvoll?
    • Wird ein Anhang von diesem Absender erwartet?
    In Kombination liefern diese Fragen einen guten Anhaltspunkt, um zu entscheiden, ob die E-Mail als vertrauenswürdig einzustufen ist. In vielen Spam-Mails ist der Betreff bewusst vage formuliert, wie "Ihre Rechnung", "Mahnung" oder "Dringende Nachricht". Hier gilt es besonders kritisch zu hinterfragen, ob eine Nachricht vom jeweiligen Absender sinnig erscheint, insbesondere wenn Mail-Anhänge beigefügt sind. Erhalten Sie beispielsweise eine E-Mail mit dem Betreff „Rechnung“ von einem Online-Shop, bei dem Sie registriert sind, ohne dass Sie eine Bestellung erwarten, könnte dies ein Hinweis für eine Spam-Mail sein. Hinterfragen Sie jede E-Mail: Ergibt die Überprüfung der drei Checkpunkte Absender, Betreff, Anhang insgesamt kein stimmiges Bild, rät das BSI E-Mails noch vor dem Öffnen zu löschen. Im Zweifelsfall sollten Sie vor dem Öffnen persönlich beim Absender nachfragen, ob er eine E-Mail geschickt hat.
  • Um unerwünschte Mitleser auszuschalten, empfiehlt es sich, grundsätzlich E-Mails vor dem Versand zu verschlüsseln. Auf diese Weise kann nur der rechtmäßige Empfänger oder die Empfängerin die Nachricht lesen. Klären Sie mit Ihrer IT-Abteilung, wie Sie verschlüsselt kommunizieren können. Der IT-Service bietet hierzu ein Verschlüsselungsverfahren mittels "Nutzerzertifikat" an. Informationen hierzu finden Sie auf der Homepage des IT-Service.

Verantwortungsvoller Umgang mit Passwörtern

  • Melden Sie sich mit der Ihnen zugewiesenen Benutzerkennung an Geräten und Anwendungen an und melden Sie sich explizit wieder ab, nachdem Sie Ihre Arbeit beendet haben.
  • Notieren Sie Ihre Passwörter keinesfalls auf Zetteln oder Post-its am Monitor, auch nicht an vermeintlich diskreten Stellen wie unter der Tastatur oder dem Telefon.
  • Tragen Sie Sorge dafür, dass Sie bei der Eingabe Ihres Passworts nicht beobachtet werden.
  • Nutzen Sie für jedes Gerät und jede Anwendung jeweils verschiedene Passwörter und wechseln Sie diese in regelmäßigen Abständen.
  • Verwenden Sie die Kennwörter, die Sie am Arbeitsplatz verwenden, nicht im privaten Bereich erneut.
  • Verwenden Sie Ihre dienstliche E-Mail-Adresse nicht im privaten Bereich für u.a. soziale Medien.
  • Falls Sie Ihre Passwörter selbst festlegen können und diese nicht durch die IT-Abteilung vorgegeben werden, wählen Sie ein möglichst sicheres Passwort, das sich nicht leicht erraten lässt – also nicht Ihren Geburtstag oder den Namen Ihres Kindes, von Kollegen oder Ihres Haustiers.

Schutz sensibler Daten

  • Sperren Sie den Zugriff auf Ihr Gerät, sobald Sie Ihren Arbeitsplatz verlassen – auch wenn es sich nur um eine kurze Abwesenheit von wenigen Minuten handelt.
  • Schließen Sie keine Wechseldatenträger unbekannter Herkunft, wie beispielsweise als Werbegeschenk erhaltene USB-Sticks, an Ihren Arbeitsplatzrechner an. Es besteht die Gefahr einer Infektion mit Schadcode.
  • Setzen Sie keine private Hardware im Universitätsnetz ein und speichern Sie keine dienstlichen Daten auf privaten Datenträgern.
  • Nutzen Sie nur die offiziell von der Universität freigegebene Software auf Ihren Arbeitsgeräten.
  • Geben Sie auf USB-Sticks mit Arbeitsdokumenten acht und schützen Sie diese ggf. ebenfalls mit einem Passwort.

Sichere Internetnutzung

  • Beschränken Sie die private Internetnutzung am Arbeitsplatz auf ein Minimum. Auf diese Weise können Sie die Gefahr einer Schadsoftware-Infektion Ihres Systems oder womöglich sogar des gesamten Universitätsnetzwerks reduzieren.
  • Konfigurieren Sie Ihren Browser so, dass Pop-up-Meldungen unterdrückt werden. Wenn Sie unsicher sind wie, fragen Sie beim IT-Support des IT-Service nach.
  • Achten Sie auf Hinweise bezüglich ungültiger und/oder abgelaufener Sicherheitszertifikate von Web-Diensten. Fragen Sie im Zweifel beim IT-Support des IT-Service nach.
  • Grundsätzlich sollten Sie mit Ihren persönlichen Daten in sozialen Medien sparsam umgehen. Dies gilt umso mehr im beruflichen und betrieblichen Zusammenhang, da Internet-Betrüger auch hier nach Informationen suchen, die sie zum Beispiel für die Gestaltung von unechten E-Mails im Namen Ihrer Kollegen und Kolleginnen nutzen.

Die eigene Rolle ernst nehmen

Dass die Hauptverantwortung für die Sicherheit der IT an der Universität Bamberg bei den dafür verantwortlichen Stellen liegt, ist klar. Dennoch kann jedes Mitglied der Universität durch bedachtes und umsichtiges Handeln seinen Beitrag zum Schutz vor Sicherheitsvorfällen leisten. Beachten Sie die Leitfäden und Richtlinien des IT-Service zum Thema IT-Sicherheit wahr. Schließlich hilft Ihnen das nicht nur geschäftlich, sondern auch privat.

Sie haben noch Fragen?

IT-Support
Telefon: +49 951 863-1333
E-Mail: it-support(at)uni-bamberg.de