Vorsicht vor E-Mails

So allgemein gesprochen, ist die Überschrift vielleicht eine Übertreibung. Wenn man aber betrachtet, wie gut gemacht Phishing-Mails mittlerweile daherkommen, ist man gut beraten, tatsächlich Vorsicht beim E-Mail-Lesen walten zu lassen.

Was sind eigentlich Phishing-Mails?

"Phishing" ist ein Neologismus, der an das englische "fishing" (= fischen) angelehnt ist. Mit diesen Mails wird versucht, aus den Tiefen des Internets Zugangsdaten wie Kennungen und Passworte "abzufischen". Oft werden Mails versandt, die denen großerInternetdienstleister wie Ebay oder Amazon nachempfunden sind. Je nachdem, woher die Daten der Adressaten kommen, oft auch mit korrekten Namens- oder Adressinformationen versehen. In der Mail wird der Empfänger in der Regel in der ein oder anderen Form aufgefordert, seine Kennung und sein Passwort einzugeben. Da die Webseite, auf der dies geschehen soll, gefälscht ist, gelangt der Versender der Phishing-Mails damit in den Besitz dieser Zugangsdaten.

Wie kann man Phishing-Mails erkennen?

Es gibt leider keine eindeutigen Kriterien, aber eine ganze Menge von Hinweisen, ob eine Mail gefälscht ist. Um sie zu erkennen, ist eines besonders wichtig: Schauen Sie ganz genau hin!

Hier ein paar Beispiele, bei denen man misstrauisch werden sollte:
- Spricht Sie jemand mit "Du" an, der Sie sonst siezt? (Oder   auch umgekehrt)
- Sind die Sprachmuster ungewöhnlich für den vermeintlichen   Absender?
- Werden Sie aufgefordert, irgendwo Ihre Kennung und Ihr Passwort einzugeben?
- Schreibt Ihnen ein E-Mail-Dienst, bei dem Sie keine Kennung haben?
- Schreibt Ihnen Ihre Bank (oder eine fremde Bank) mit einem Link zum Einloggen?

Und noch eine wichtige Anregung: Schauen Sie sich die Links in einer E-Mail genau an. Bei den  gängigen Mail-Programmen wird der tatsächlich hinterlegte Link angezeigt, wenn Sie mit dem Mauszeiger kurz über dem Link stehen bleiben. ebay.com.tl ist z.B. nicht das gleiche wie ebay.com, rover.ebay.com gehört jedoch tatsächlich zu Ebay.

Warum verschickt das HIZ keine Virenwarnungen?

Kurze Antwort: Es sind einfach zu viele.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) verschickt pro Monat mehrere Tausend Warnungen vor Viren und ähnlichen Bedrohungen. Dazu kommen noch Warnungen vom DFN-Verein und von etlichen Herstellern von Antiviren-Programmen.Daraus eine relevante Auswahl zu treffen,  übersteigt schlicht unsere Möglichkeiten.
Würden wir nur gelegentliche "Highlights" versenden, so könnte dies Benutzer in einer falschen  Sicherheit wiegen ("Das HIZ hat nix gesagt, dann ist auch nix...").
Aus diesem Grund versenden wir Warnungen nur dann, wenn ein konkreter, direkter Angriff auf die IT-Infrastruktur der saarländischen Hochschulen im Gange ist.

Sind meine Daten kompromittiert?

Kürzlich ist wieder eine riesige Datensammlung von Nutzernamen und Passworten aufgetaucht, die  man im Darknet (der Schmuddelecke des Internet) erwerben konnte. Zusammengetragen werden  solche durch Hacking-Angriffe auf schlecht geschützte Internet-Dienstleister, zuletzt auch einer  Ahnenforschungs-Datenbank aus dem Umkreis der Mormonen.
Um zu überprüfen, ob die eigenen Daten schon im Umlauf sind, gibt es zwei als seriös geltende  Dienstleister, das Hasso-Plattner-Institut (HPI) und der Sicherheitsexperte Troy Hunt  mit seiner Webseite ';--have i been pwned?.
Beim HPI gibt man seine E-Mail-Adresse(n) ein und erhält dann in einer Antwort-Mail die Information, ob diese Adresse(n) in einer der im Umlauf befindlichen Datensammlungen enthalten ist. Den sog. Identity Leak Checker erreicht man unter der Adresse
  https://sec.hpi.de/ilc/search?lang=de
Ähnlich funktioniert auch die Webseite ';--have i been pwned?  Hier erhält man das Ergebnis aber direkt nach der Eingabe:
  https://haveibeenpwned.com
Hier geht aber noch mehr: auch verwendete Passworte kann man darauf überprüfen, ob sie in den Datensammlungen enthalten sind. Der hierbei verwendete Algorithmus wurde mehrfach überprüft und gilt als sicher: Nicht das eingegebene Passwort wird übertragen, sondern lediglich ein verschlüsselter String, der keinen Rückschluss auf das eingegebene Wort zulässt. Der Zugang erfolgt über folgende Adresse:
  https://haveibeenpwned.com
Wer dem nicht vertraut, kann sich auch die gesammelte Passwortdatei runterladen und durchsuchen. Eine Anleitung samt Python-Script kann man sich auf den Seiten der Zeitschrift c't ansehen: 
  https://haveibeenpwned.com/Passwords
Und was, wenn die eigenen Daten öffentlich sind?
Dann heißt es, Passworte ändern und zwar überall dort, wo man sich mit der "gehackten" E-Mail-Adresse angemeldet hat bzw. überall dort, wo man das nun öffentliche Passwort verwendet hat.
Dies zeigt auch, dass man Passworte nicht mehrfach an verschiedenen Quellen verwenden soll...

Nachtrag zum Upgrade von Windows 7 auf Version 10

Unsere Formulierungen zum vermeintlich kostenlosen Upgrade von Windows 7 auf die aktuelle Version 10 in der letzten HIZ-Info war ein wenig zu forsch... diese Variante gilt in erster Liniefür private Installationen zu Hause. Bei OEM-Lizenzen und erst Recht im Rahmen von Volumenlizenzen muss die Empfehlung leider heißen: Kostenpflichtiges Upgrade. Beide Lizenzprogramme haben Organisationen im Fokus, nicht einzelne Privatpersonen.
Auch wenn ein Upgrade ohne Lizenzkauf technisch funktioniert und Microsoft offensichtlich keine Schranken setzt – zumindest bis jetzt - wird das Ergebnis mit hoher Wahrscheinlichkeit einem Audit nicht standhalten. Es gibt bereits Hochschulen, die dieses unangenehme Verfahren durchlaufen durften. Im Ernstfall muss das Vorhandensein einer Windows 10 Vollversion für den betreffenden
Rechner nachweisbar sein. Dazu zählt neben dem Lizenzschlüssel und dem dazugehörigen Vertrag vor allem die Rechnung für den Kauf und - ganz wichtig - auch der Zahlungsnachweis.

Upgrade-Lizenzen können Sie über unser Software-Portal erwerben:
  https://unisb.asknet.de/cgi-bin/product/P10007805

Hinweis: Nutzer an der HTW haben das Problem aufgrund der anderen Vertragslage nicht. Hier
steht Windows 10 Edu Upgrade automatisch für alle Rechner der Einrichtung bereit.

Ubuntu - Aktualisieren Sie Ihre virtuellen Maschinen!

 Wir hatten schon in der letzten HIZ-Info darauf hingewiesen, dass im April dieses Jahres der Support für Ubuntu 14.04 LTS ausläuft.
Noch immer sind einige virtuelle Maschinen, die bei uns gehostet werden, auf diesem oder noch älterem Versionsstand. Wir behalten uns vor, diese aus Sicherheitsgründen ab dem 1. Juni abzuschalten.
Bitte sorgen Sie längstens bis April 2019 dafür, ihre im HIZ abgelegten virtuellen Systeme auf Ubuntu 16.04 oder direkt auf Ubuntu 18.04 LTS upzugraden. Dies ist in aller Regel sehr unkompliziert möglich:
 https://help.ubuntu.com/community/UpgradeNotes

Sollten Sie dazu Fragen oder Probleme haben, kontaktieren Sie
uns gerne unter
  vmware-admin(at)hiz-saarland.deoder telefonisch unter 0681 302-5555 

Das IT-Nutzerforum der htw saar

Das IT-Nutzerforum ist die Informationsplattform für IT-Nutzer und IT-Verantwortliche der htw saar. Es wurde 2011 initiiert.
Mitglieder des IT-Nutzerforums sind und werden Beschäftigte der htw saar durch die Teilnahme oder eine formlose Willensbekundung beim Moderator.
Das Ziel des IT-Nutzerforums ist es, den Informationsfluss und die Kommunikation zwischen IT-Dienstanbieter, -Nutzern und -Verantwortlichen zu professionalisieren, indem die IT-Prozesse für die Nutzer transparenter und beeinflussbar werden.
Wichtiger und regelmäßiger Bestandteil dafür sind die Berichte über geplante und zukünftige  Aktivitäten, die dem Bericht des Vertreters des HIZ und dem Vorsitzenden der IT-Strategiekommission entnommen werden können.
Der Bericht des HIZ adressiert in der Regel berufsalltägliche IT-Themen oder Projekte, die zeitnah eingeführt oder umgesetzt werden. Anforderungen oder Probleme können so unmittelbar im Dialog oder ggf. auch über die Funktionsträger und Stabsstellen kommuniziert werden.
Die IT-Strategiekommission ist ein beratendes Gremium des Präsidiums und adressiert vor allem die zukünftigen strategischen IT-Ziele der htw saar. Die IT-Strategiekommission wirkt aber auch aus und in die Fakultäten und Einrichtungen der htw saar und bildet darüber hinaus eine Brücke zum HIZ und dem HIZ-Beirat. Die top-aktuellen Informationen aus der IT-Strategiekommission und die daraufhin langfristig zu erwartenden Auswirkungen auf den Arbeitsalltag der Mitglieder des IT-Nutzerforums helfen den Mitgliedern des Forums frühzeitig, organisatorische und technologische Maßnahmen und Investitionen auf kommende Herausforderungen abzustimmen.
Darüber hinaus nutzen Projektmanager das Forum, um ihre Projekte und deren Fortschritte  vorzustellen, wie beispielsweise das Campus-Management-System SLCM und das Learning-Management-System Moodle. Feedback und Fragen der Teilnehmer dazu helfen oft,  Informationsbedarfe frühzeitig zu erkennen.
Andere Beiträge der Mitglieder dienen dazu, bewährte Methoden und neue Ideen vorzustellen und zu diskutieren oder einfach nur allgemein Erfahrungen auszutauschen oder zu erfragen, wie z.B. beim Thema DSGVO.
Auch nutzen neue Kolleg*innen gerne das Forum, um sich vorzustellen und hochschulweit Netzwerke zu knüpfen. Dies gelingt insbesondere deswegen, weil alle Fakultäten der htw saar im Rotationsverfahren als Gastgeber des IT-Nutzerforums tätig sind. Dies ist den Teilnehmern eine willkommene Gelegenheit, andere Standorte und Fakultäten kennenzulernen.
Das IT-Nutzerforum trifft sich in der Regel im Januar und im September.
(Gastbeitrag von Michael Sauer, Moderator des IT-Nutzerforums (michael.sauer@htwsaar.de))

Interesse an der Aufstellung hochwertiger Multifunktionsgeräte?

Seit dem Spätsommer 2013 sind auf dem Saarbrücker Campus der Universität des Saarlandes knapp achtzig Multifunktionsgerät zum Drucken, Kopieren und Scannen aufgestellt, die von der Firma Regler im Rahmen einer Dienstleistungskonzession betrieben werden. Die Authentifizierung an den Geräten sowie die Bezahlung der Ausdrucke erfolgt über die UdS-Karte. Die Geräte werden zum größten Teil, aber nicht ausschließlich, von Studierenden genutzt.
Zurzeit wird unter Federführung des HIZ die Ausschreibung eines Nachfolgevertrags vorbereitet, der neben der UdS auch die htw saar einschließt. Dabei möchten wir auch prüfen, ob bei Einrichtungen und Institutionen mit hohem Druckaufkommen Interesse an der Aufstellung solcher Geräte für ihre geschlossenen Benutzergruppen besteht. Für solche Gruppen kann die Abrechnung über Kostenstellen statt über Chipkarte erfolgen.
Wenn Ihre Einrichtung mittelfristig Bedarf an einem hochwertigen Multifunktionsgerät zum Drucken, Kopieren und Scannen mit einem geschätzten Druckvolumen von mindestens 35.000 Seiten pro Jahr hat und Interesse an dem Betriebskonzept als Alternative zu Leasing oder Kauf mit Wartungsvertrag besteht, können Sie das dem Leiter dieses Projekts, Herrn Bamberger (kornelius.bamberger@hiz-saarland.de) mitteilen - am besten mit Angabe der Einrichtung, der potentiellen Nutzergruppen sowie des geschätzten jährlichen Druckvolumens an Schwarzweiß- bzw. Farbseiten.

Campus-Management-System: Einführung SAP SLCM

Im Projekt zur Einführung von SAP SLCM als hochschulübergreifendes Campus-Management-System gehen die Arbeiten weiter voran, doch bleibt die Umsetzung der Implementierungsplanung – vergleichbar zu den CMS-Projekten an anderen Hochschulen – weiterhin außerordentlich zeitkritisch. Als erster Schritt zur Produktivsetzung von SAP SLCM an den projektbeteiligten Hochschulen UdS, htw saar, HBKsaar und HfM Saar steht die Studierendenverwaltung an der UdS an. Hierzu läuft derzeit die Testphase, in der die Fachabteilungen der Hochschulen die realisierte SAP SLCM-Lösung schrittweise testen und die Lösung hierüber angepasst wird.
Das Prüfungsmanagement befindet sich derzeit in der Realisierungsphase, in der die Lösung entwickelt und für die spätere Testphase vorbereitet wird. Parallel hierzu finden die Vorbereitungen zur  vollständigen Abbildung des Studienangebots i.S. der Modulstrukturen laut Studien- und Prüfungsordnungen statt; die zugrundeliegende Basisabbildung des Studienangebots ist für die UdS weitgehend abgeschlossen. Die vollständige Studiengangsabbildung ist Voraussetzung dafür, um das Prüfungsmanagement in SAP SLCM produktiv zu setzen.
Das fachliche Teilprojekt Bewerbung/Zulassung wird die Konzeptionsphase demnächst abschließen können, wenn einige technische Herausforderungen der SAP SLCM-Standardlösung in Zusammenarbeit mit SAP erfolgreich abgearbeitet werden konnten.
Bitte melden Sie sich, falls Sie Fragen zum Projekt haben. Als Ansprechpersonen in den Hochschulen stehen die CMS-Projektkoordinator*innen und auch die CMS-Projektleitung gerne zur Verfügung:
  https://www.uni-saarland.de/cms

Vortrag der MATLAB Co-Autorin Loren Shure

Bereits seit 2012 stehen an der Universität des Saarlandes Matlab/Simulink und diverse Toolboxen über einen Campusvertrag zur Verfügung. Neben den Bereichen Forschung und Lehre profitieren vor allem Studierende von den bereitgestellten Lizenzen, da die nicht kommerzielle Nutzung auf Privatrechnern ohne eine Mengenlimitierung möglich ist. An der HTW kommen die Produkte ebenfalls zum Einsatz, weshalb derzeit ein hochschulübergreifender Lizenzvertrag verhandelt wird.
Durch den intensiven Einsatz der Software und die damit verbundene breite Nutzerbasis haben wir von Mathworks das Angebot zu einem interessanten Vortrag bekommen. In diesem Jahr wird die langjährige Matlab-Entwicklerin Loren Shure eine Vortragsreihe in Deutschland anbieten. Am 17. Mai 2019 ist auch eine Veranstaltung in Saarbrücken geplant. Frau Shure arbeitet seit über 30 Jahren bei MathWorks und ist Co-Autorin mehrerer MathWorks-Produkte. Sie ergänzte MATLAB um einige Kernfunktionen und leistete wichtige Beiträge zum Design der MATLAB-Sprache.
Derzeit stehen folgende Vortragsthemen zur Auswahl:
- Advanced Programming Techniques in MATLAB (advanced)
- Programming with MATLAB (beginners)
- Productivity Tools with MATLAB
- What's new in MATLAB? Are you using MATLAB to its fullest potential?
- Demystifying Deep Learning: A practical approach in MATLAB
Ergänzende Infos zu diesen Stichpunkten finden Sie auf dieser Seite:
  www.hiz-saarland.de/fileadmin/user_upload/Loren_Shure_Topics.pdf
Ebenso einige Hinweise zu Frau Loren Shure:
  www.hiz-saarland.de/fileadmin/user_upload/Loren_Shure_Bio_and_Photo.pdf
Wenn aus Ihrer Einrichtung Interesse an einer Teilnahme besteht, schicken Sie bitte eine kurze Rückmeldung an software@hiz-saarland.de. Teilen Sie darin auch mit, welches der oben genannten Themengebiete Sie gern im Vortrag sehen würden. Nach derzeitiger Planung soll die Veranstaltung in KW20 (voraussichtlich am 17. Mai) an der HTW, Campus Goebenstraße, stattfinden. Die genauen Daten (Raum, Uhrzeit) lassen wir allen Interessenten noch zukommen.

Imagine Premium wurde Microsoft Azure Dev Tools for Teaching

Bisher stellte Microsoft über das Programm Imagine (früher unter den Bezeichnungen Dreamspark und MSDN-AA) diverse Software-Produkte aus dem Entwicklungsbereich unentgeltlich zur Verfügung. Da es sich um eine Bereitstellung und nicht um eine Lizenzierung handelt, ist der Einsatz nur in einem eng definierten Umfeld erlaubt.
An der HTW steht im Rahmen des Microsoft EES-Vertrages ein Imagine Premium zur Verfügung und wurde bisher auch genutzt. Einige Verträge auf Fachbereichsebene existieren auch an der UdS.
Seitens der Firma Microsoft wurde eine - leider unangekündigte - Umstellung von Imagine Premium auf Microsoft Azure Dev Tools for Teaching vorgenommen. Die Software wird nicht mehr über den bisherigen Dienstleister Kivuto verteilt. Somit laufen alle durch die Hochschulen implementierten Anmelde-, Download- und Kontrollroutinen ins Leere. Aktuell erfolgt die Verteilung über den Microsoft-eigenen Distributionskanal, der zwingend die Verwendung eines personenbezogenen Microsoft-Kontos vorsieht.
Da alle Hochschulen in Deutschland, die Imagin bisher genutzt haben, davon betroffen sind, wurde das Problem bereits über den ZKI-Arbeitskreis Softwarelizenzen an Microsoft adressiert. Von den  Ansprechpartnern bei Microsoft kam zwischenzeitlich die Rückmeldung, dass das Thema hausintern platziert wurde und man dort an einer "zufriedenstellenden Lösung“ arbeitet - wie immer die auch aussieht.

Spielend Git lernen

Git ist ein System zur Versionsverwaltung, das in vielen Open Source-Projekten zur Anwendung kommt - aber auch bei kommerziellen Entwicklern, wie z.B. Microsoft.
Ganz leicht ist der Einstieg in diese Software nicht, neben der Bedienung will auch das dahinter stehende Konzept verstanden werden. Wer sich nicht mit trockener Theorie auseinandersetzen will, kann das Ganze in spielerischer Form auf folgender Webseite erlernen:
https://learngitbranching.js.org/

Bei Fragen und Problemen

wenden Sie sich bitte an den
IT-Service-Desk