Aktuelles
Wer im Internet surft, ist wahrscheinlich schon einmal den lästigen Abfragen begegnet, mit denen man beweisen soll, dass man ein Mensch und keine Maschine ist. Manchmal ist nur ein „I’m not a robot“ anzukreuzen, mal sind Bilder mit Ampeln, Fahrrädern, Katzen oder ähnlichem auszuwählen, mal Buchstaben oder Zahlen aus verschnörkelten oder verwischten Bildern abzutippen. Solche Elemente werden CAPTCHA (für „Completely Automated Public Turing test to tell Computers and Humans Apart”) genannt.
Aus Anlass eines Datenschutzvorfalls aus dem Juni 2024 durch Versendung fehlgeleiteter Anhänge mit sensiblen Daten hat uns der Landesbeauftragte für den Datenschutz Niedersachsen darum gebeten, die Beschäftigten der Universität im Hinblick auf die Vorgaben der EU-DSGVO im Umgang mit E-Mail-Anhängen erneut zu sensibilisieren:
Mit Zustimmung des Präsidiums ist am 10. Februar 2023 die neue Richtlinie des Datenschutzes in Kraft getreten. Sie können die neue Datenschutzrichtlinie der Georg-August-Universität Göttingen hier als PDF-Datei herunterladen und einsehen.
Alle Versionen des Zoom Clients vor 5.6.3 haben eine schwerwiegende Sicherheitslücke, die unter bestimmten Umständen die Ausführung von Schadcode auf Ihrem Rechner erlaubt, unabhängig vom verwendeten Betriebssystem. Daher:
Bitte updaten Sie ihren Zoom Client, bevor Sie ihn das nächste Mal benutzen!
Nutzen Sie bitte weder Google Forms noch Google Docs oder Google Drive für personenbezogene Daten!
Für Terminumfragen und Videokonferenzen stehen DFN-Terminplaner ("Foodle") und BigBlueButton sowie eingeschränkt Zoom zur Verfügung. Auch die DFN-Konferenzsoftware ("DFNConf") darf genutzt werden.
Bitte beachten Sie, dass eine Weiterleitung von dienstlichen E-Mails auf Gmail oder andere private Provider nicht gestattet ist.
Neue Täuschungsversuche von Cyberkriminellen mit CAPTCHAs
Neuerdings versuchen Cyberkriminelle, diese Methode zu missbrauchen, um Computer mit Schadsoftware zu infizieren. Sie blenden auf speziell präparierten Webseiten angebliche CAPTCHAs ein, die eine scheinbar neue Methode nutzen, um Menschen von Maschinen zu unterscheiden, nämlich die Eingabe einer bestimmten Folge von Tastenkombinationen: 1. Windows-Taste+R, 2. STRG-Taste+V, 3. Enter-Taste.
Wer kein*e IT-Expert*in ist und die Bedeutung dieser Tasten nicht kennt, wird solchen Anweisungen möglicherweise folgen und dabei die von den Kriminellen auf ihren Webseiten vorbereitete Schadsoftware ausführen.
Die angegebene drei Schritte sind keine zufällig vorgegebenen Tastenfolgen, sondern sehr gezielte: Windows-Taste+R in Schritt 1 öffnet zunächst ein Ausführen-Fenster, über das Programme geöffnet werden können. STRG-Taste+V fügt in Schritt 2 aus der Zwischenablage (dem für Kopieren und Einfügen genutzten Speicher, der vorher von der aufgerufenen Webseite gefüllt wurde) Text in das Ausführen-Fenster ein und mit der Verwendung der Enter-Taste in Schritt 3 wird schließlich das Programm, das im vorherigen Schritt eingegeben wurde geöffnet.
Damit wird dann aus dem Internet bösartige Software, Schadsoftware, nachgeladen und auf dem eigenen Rechner ausgeführt. Im schlimmsten Fall übernehmen die Angreifer den Rechner komplett und können alle Daten auslesen, den Rechner verschlüsseln oder als Sprungbrett für Angriffe auf andere Systeme im Netzwerk nutzen.
Fazit: Seien Sie misstrauisch, wenn im Internet überraschende oder ungewöhnliche Aufforderungen erscheinen und Sie zu Handlungen aufgefordert werden, die für Sie nicht verständlich oder nachvollziehbar sind! Wenn Sie unsicher sind, folgen Sie solchen Aufforderungen nicht. Fragen Sie jemanden, der sich besser mit der Problematik auskennt – im dienstlichen Umfeld z. B. Kolleg*innen, ihre lokalen IT-Administrator*innen oder den IT-Helpdesk Ihrer Einrichtung.
Bitte geben Sie diese Information auch an Personen in Ihrem Umfeld weiter.
Regelungen für den Umgang mit E-Mails
• E-Mail-Anhänge sollten „sprechende“, unmissverständliche Namen haben, damit eine Verwechslung von Anhängen ausgeschlossen bleibt.
• Alle Beschäftigten an der Universität Göttingen oder in deren Auftrag handelnde Personen sind verpflichtet, zu versendende Anhänge vor dem Absenden noch einmal direkt in der Mail zu öffnen („anzuklicken“) und die Richtigkeit zu überprüfen.
• Der Empfängerkreis ist abzugleichen mit dem gewünschten.
• Die Regelung, dass Absender von Massenmails in der Regel im Bcc.- und nicht im An- oder Cc.-Feld anzugeben sind, bleibt bestehen. Ausnahmen bei dienstlichem Erfordernis sind weiterhin möglich, sollten aber dokumentiert werden.
Die vorab genannten Regelungen können Sie sich gerne als PDF-Dokument herunterladen.
Für Fragen stehen wir gern zur Verfügung.
Florian Hallaschka
Stv. Datenschutzbeauftragter
Marcus Remmers
Datenschutzmanager
Neue Datenschutzrichtlinie der Georg-August-Universität Göttingen
Zoom
Google Forms und Co.
Umgang mit dienstlichen E-Mails