Empfehlung im Zusammenhang mit Heartbleed-Vorfall
IT Center relativ wenig vom Heartbleed-Vorfall betroffen. Regelmäßige Passwortänderungen sind zu empfehlen.
Kontakt
Im April ist das Thema Informationssicherheit zweimal durch die deutsche und internationale Presse gegangen. Zunächst gab das Bundesamt für Sicherheit in der Informationstechnik bekannt, dass im Rahmen von Ermittlungen ca. 18 Millionen gestohlene E-Mail-Adressen und Passworte sichergestellt wurden. Ca. 130 Adressen betrafen möglicherweise IT-Systeme bzw. Nutzer an der RWTH Aachen University. Die betroffenen Personen wurden informiert. Wie, wo und wann der Diebstahl durchgeführt wurde ist nicht bekannt.
Einige Tage später wurde bekannt, dass eine Software, die in vielen IT-Systemen eingesetzt wird, um Daten auf dem Übertragungsweg zu verschlüsseln, seit fast zwei Jahren einen Fehler enthält. Durch Ausnutzen dieses Fehlers können Sicherheitsmaßnahmen unterlaufen werden, und unter bestimmten Umständen ist es möglich, sensible Informationen, wie z.B. Passworte, zu stehlen.
Die IT-Systeme im IT Center wurden teilweise noch am Tag des Bekanntwerdens analysiert und die fehlerhafte Software wurde durch eine Version ohne bekannte Fehler ersetzt. Die wichtigsten IT-Systeme im Bereich Identity Management, Campus Management, E-Mail waren nicht betroffen, weil die fehlerhafte Software nicht zum Einsatz kam oder aus dem Internet nicht erreichbar war.
Jedoch haben beide Vorfälle gezeigt, wie anfällig IT-Systeme bei aller Sorgfalt sein können und dass ein Missbrauch von gestohlenen Passworten erschwert werden kann, wenn sie regelmäßig durch neue ersetzt werden.
Aus diesem Grund empfehlen wir generell, Passworte regelmäßig zu ändern, wenn dadurch sensible Informationen oder Systeme zugänglich gemacht werden.
Bitte benutzen Sie für wichtige Systeme keine Passworte, die Sie auch bei eher unbedeutenden Systemen nutzen. Nutzen Sie für den WLAN-Zugang immer andere Passworte als für wichtige Systeme.
Wenn Sie Fragen zum Ändern des Passwortes haben, wenden Sie sich an das IT-ServiceDesk des IT Centers.
Weitere Informationen zu Heartbleed finden Sie unter eingefügtem Link sowie in unserer Meldung vom 11. April 2014 und bei allen Nachrichtenmagazinen.