# Wichtiger Hinweis: Aufforderung zur Passwortänderung

Im Zuge stetiger Verbesserung müssen Passwörter, die älter als fünf bis zehn Jahre sind, neu gesetzt werden. Die Betroffenen werden/wurden hierüber per E-Mail informiert.

Das RHRZ und der Informationssicherheitsbeauftragte bitten hierbei um Ihre aktive Mithilfe in der Umsetzung dieser wichtigen Maßnahme!

Aufgrund einer Angleichung bezüglich der Passwort-Sicherheit möchten wir Sie dazu anhalten, Ihr Passwort für Ihren RPTU-Account innerhalb der nächsten zwei Wochen neu zu setzen. Dieser Schritt dient dazu, die allgemeingültigen Vorgaben zum Stand der Technik umzusetzen, damit Ihr persönlicher RPTU-Account bestmöglich geschützt ist und Sie weiterhin einen sicheren Zugriff auf die Dienste der RPTU haben.

Um Ihr Passwort zu ändern, besuchen Sie bitte die entsprechende Internetseite des RHRZ unter https://accounts.rptu.de/password. Alternativ können Sie auch selbst über die RPTU-Webseite des Rechenzentrums RHRZ dorthin navigieren, anschließend zum Punkt "Account einrichten" und abschließend zum Reiter "Passwortänderung".

Sollte etwas nicht funktionieren oder sollten Sie Hilfe benötigen, schreiben Sie uns an: rz-support[at]rptu.de.

Wir möchten betonen, dass dies eine präventive Maßnahme ist und keine Anzeichen für einen Sicherheitsvorfall vorliegen. Dennoch sind auch wir daran gebunden, die Sicherheit der Accounts unserer Nutzer zu gewährleisten und dafür Sorge zu tragen, dass zeitgemäße Maßnahmen flächendeckend umgesetzt werden.

Vielen Dank für Ihr Verständnis und Ihr Zutun bei der Umsetzung wichtiger Sicherheitsmaßnahmen!

Denken Sie daran: SEC_RITY is not complete without U !

7. IT-Security Awareness Days Sommersemester 2024

Herzliche Einladung zur (Online-)Teilnahem an den 7. IT-Security Awareness Days ein, die im Sommersemester 2024 vom 6. Bis 17. Mai stattfinden.

Der Zugang ist ohne Registrierung möglich: https://tu-braunschweig.webex.com/tu-braunschweig/j.php?MTID=ma816b0752757a45684c07f26cd4f25cc. 
Das Programm entnehmen Sie bitte dem angehängten PDF oder unserer Webseite https://www.tu-braunschweig.de/ciso/it-sad/it-sad-sommersemester-2024
Freuen Sie sich auf 19 interessante Vorträge, davon zwei (erstmals) auf Englisch.

Geben Sie diese Einladung gerne an interessierte Personen oder Nutzergruppen weiter, Sie dürfen die Einladung natürlich auch innerhalb Ihrer Hochschule/Organisation frei weiterverbreiten.

Mit freundlichen Grüßen / Sincerely 

Dr. Christian Böttger
Chief Information Security Officer (CISO)
Technische Universität Braunschweig

Keine Cloud, keine Abolizenz

Mit Office 2024 und Office LTSC 2024 aktualisiert Microsoft sein Programmpaket. Unklar bleibt, wie lange es für Endanwender noch ein solches Office geben wird.

Zwei Office-Pakete mit klassischen Lizenzen bringt Microsoft in Bälde auf den Markt. Und das bedeutet explizit: Die Redmonder zwingen Nutzer nicht zur 365-Suite – lokale Installationen mit herkömmlichen Updates und ohne Abogebühren wird es für Word, Excel und PowerPoint auch in Zukunft geben.

Ein letztes klassisches Office?

Noch wenig Informationen gibt es zum für viele Anwender wichtigen Office 2024. Hierbei handelt es sich um den Nachfolger der bisherigen Pakete – allerdings sind zum Programmumfang noch keine Details bekannt, auch ein Erscheinungsdatum steht noch nicht fest. Erscheinen wird Office 2024 wie gehabt für Windows und macOS, der Preis soll gleich bleiben.

In der Ankündigung geht Microsoft allerdings näher auf Office LTSC 2024 ein. Mit dem Long-Term Servicing Channel verspricht der Anbieter wie bei den gleichnamigen Vorgängern einen langen Support für "Nischenszenarien". Was sind mit diesen gemeint? Die Entwickler verstehen hierunter Systeme, die über längeren Zeitraum keine Updates erhalten können, Geräte ohne Internetverbindung oder Embedded-Installationen wie im Medizinbereich.

Wie Windows 11 LTSC, das ebenfalls dieses Jahr erscheint, wird Office LTSC 2024 fünf Jahre Support erhalten und in den Varianten Professional Plus, Standard und Embedded angeboten. Die Preise hebt Microsoft um 10 Prozent gegenüber den jeweiligen Vorgängerlizenzen an – doch auch hier gibt es noch keine Angaben zum Funktionsumfang. Nur dass der Publisher nicht mehr in Office enthalten sein wird, war bereits zuvor bekannt.

Schließlich legt sich Microsoft fest, dass es auch nach 2024 weiteren Office-Releases geben wird – erwähnt aber ausschließlich die LTSC-Variante. Ob es sich beim kommenden Paket für Endanwender also um das letzte reguläre Office handeln wird, bleibt offen. In der Ankündigung verspricht Microsoft ferner, dass es in den kommenden Monaten neue Informationen zu den lokalen Versionen von Visio und Project geben wird.

Von Microsoft bevorzugt: 365

Besonders wichtig ist Microsoft zudem, was im neuen Office 2024 alles nicht enthalten sein wird. Im Gegensatz zur 365-Suite müssen Nutzer auf die Funktionen zur Zusammenarbeit mit anderen Anwendern verzichten, können nicht auf den KI-Schreibassistenten Copilot zurückgreifen und sind nicht durch die Cloud-Security der Redmonder geschützt. Ferner ist auch die MS-Teams-App nicht mit an Bord.

Entsprechend legt die Ankündigung regulären Nutzern nahe, auf Microsoft 365 zu wechseln. Nur wer auf solche "Nischenszenarien" angewiesen sei, solle weiter auf das klassische Office setzen – doch würde man auch diese Kunden künftig unterstützen.

Gefunden auf https://www.heise.de/news/Microsoft-Office-2024-kommt-9659402.html 

Wie Microsoft einen Daten-GAU vertuscht

Microsoft hat Angriffe mutmaßlich chinesischer Hacker bekämpft. Die als Storm-0558 bezeichneten Angreifer hatten es auf die Daten von Kunden der Microsoft-Cloud-Dienste abgesehen. Damit könnte diese Geschichte enden, aber sie beginnt gerade erst. Verblüffend ist zunächst, dass bislang weder das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch andere europäische Fachbehörden eine Einschätzung der Relevanz und Bedeutung des Vorfalls äußerten oder Hinweise gaben, wer womöglich betroffen sein könnte. Das laute Schweigen hat jetzt die Fachzeitschrift „c’t“ mit einem Blick hinter die Kulissen beendet.

Hintergrund - Was ist passiert?

Es lässt sich knapp zusammenfassen: Mit einem erbeuteten Schlüssel konnten Angreifer beliebig und wochenlang auf alle Daten in Microsofts Cloud-Diensten wie etwa Outlook, Office 365, Onedrive oder Teams zugreifen. Dieser Schlüssel ist das Kronjuwel eines Cloud-Anbieters, und Microsoft hat sich nicht nur den Schlüssel stehlen lassen, sondern dieser war zudem unzureichend aufbewahrt, wie sich jetzt herausstellt.

Es kommt aber noch schlimmer: Der gestohlene Schlüssel stammt aus dem Endkundenbereich, hätte sich also gar nicht für das Öffnen von Enterprise-Anwendungen eignen dürfen. Ausspioniert von den Hackern wurden in erster Linie Regierungen und Behörden. Mittlerweile ist der Schlüssel gesperrt, aber man weiß nicht, was die Hacker in der Microsoft-Cloud gelesen oder manipuliert haben. Vielleicht haben sie dort Hintertüren platziert. Das ist ungeklärt. Microsoft hält sich bedeckt, die betroffenen Regierungen auch, der GAU wird allerorten geradezu vertuscht: Gehen Sie weiter, es gibt hier nichts zu sehen.

Gefunden auf Wie Microsoft einen Daten-GAU vertuscht: Chinesische Hacker in der Cloud (faz.net)

------------------------

In Ergänzung dazu folgende Meldung

Microsoft-KI-Forscher legen versehentlich 38 Terabyte vertraulicher Daten offen

Microsoft teilte am Montag mit, dass es Schritte unternommen hat, um einen eklatanten Sicherheitsfehler zu beheben, der zur Offenlegung von 38 Terabyte privater Daten führte.

Weitere Informationen unter https://rptu.de/informationssicherheit/sicherheitswarnungen 

Aktuelle Bedrohungen und wie Sie Ihre Organisation schützen

Der technologische Fortschritt läuft auf Hochtouren. Das Gefährliche: So wird auch Cyberkriminalität immer verbreiteter – und leichter zugänglich. Umso wichtiger ist es heute, auf potenzielle Angriffe vorbereitet zu sein. Die Innovationskraft der Cyberkriminellen kennt keine Grenzen und dasselbe gilt für ihre Taktiken: von neuartigen Angriffen basierend auf künstlicher Intelligenz, über digitale SupplyChain-Attacken und Ransomware-as-a-Service, bis hin zu Multi-Channel-Phishing. Wenn technische Sicherheitsmaßnahmen an diesen Trends scheitern, kommt es mehr denn je auf die Wachsamkeit der Mitarbeitenden und eine starke Sicherheitskultur an, um die Angriffe frühzeitig abwehren zu können. Die beste Methode, um Sicherheitsrisiken zu minimieren, ist deshalb stets über die neuesten Angriffsmaschen informiert zu sein. Erfahren Sie mehr über die acht größten Cybercrime-Trends 2023 – inklusive nützlicher Praxistipps, wie Organisationen ihre Informationssicherheit steigern können.

Dauerbrenner Phishing: weiterhin die bevorzugte Angriffsmethode

Cyberkriminelle werden auch 2023 auf die emotionale Manipulation ihrer Opfer setzen – mit dem Ziel, an vertrauliche Daten zu gelangen. Seit einigen Jahren spielen die Angreifenden immer gekonnter mit menschlichen Verhaltensmustern. Indem sie ein Gefühl von Vertrauen, Autorität, Knappheit oder Dringlichkeit bei ihren Opfern hervorrufen, verleiten sie sie dazu, auf schädliche Inhalte zu klicken und/oder sensible Daten preiszugeben. 

Hilfe bzw. Schulungen zum Thema "E-Mail & Phishing 2023" an der RPTU finden Sie auf unseren Seiten unter Schulungen "Internes Schulungsangebot".

Weitere Informationen zum Thema Cybercrime finden Sie in der Broschüre der Firma SoSafe unten im Download-Bereich.

Zur Verfügung gestellt von Cyber Security Awareness Trainings für Ihre Mitarbeitenden (sosafe-awareness.com)

Gravierende Sicherheitsvorfälle in der jüngsten Vergangenheit auch an mehreren Universitäten und Hochschulen haben zu teilweise extremen und längerfristigen Beeinträchtigungen des Studien- und Forschungsbetriebs geführt und deutlich gemacht, welch hohem Sicherheitsrisiko auch Universitäten und Hochschulen ausgesetzt sind. Dies zeigt eindrücklich, dass die Digitalisierung neben ihrer die Dienststelle unterstützenden Funktion gleichzeitig in der Organisation verankerte Strukturen und Sicherheitsvorkehrungen im Sinne eines Risikomanagements braucht.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt in seinem Lagebericht 2022 die äußerst kritische Bedrohungslage im Cyber-Raum weiterhin als „angespannt, dynamisch und vielfältig und damit so hoch wie nie“ ein und geht davon aus, dass dies dauerhaft so bleibt oder sogar weiterhin zunehmen wird.

Die letztliche Gesamtverantwortung für die Informationssicherheit und der Schutz der Organisation vor möglichen Gefahren liegt beim Präsidium. Gemäß der Empfehlung des BSI muss als Ausgangspunkt eine übergeordnete „Leitlinie zur Informationssicherheit“ erlassen werden.

Im Sinne stetiger Verbesserung ist die Aktualisierung der „Leitlinie zur Informationssicherheit 2023“ ein klares Statement und Zeichen des Präsidiums und liefert damit einen wertvollen und konstruktiven Beitrag zur Verankerung dieser wichtigen Daueraufgabe in das operative Geschäft der Technischen Universität.

Insbesondere die Miteinbeziehung Aller in den Prozess der Informationssicherheit, die breitere organisatorische Aufstellung durch konkretisierte Rollen- und Aufgabenbeschreibungen und damit die klare Verteilung von Zuständigkeiten für die Umsetzung sowie der wichtige Passus zur Gefahrintervention sind neue Punkte der aktualisierten „Leitlinie zur Informationssicherheit 2023“, die sowohl hier als Anlage beigefügt ist, aber auch als Download zu finden sein wird.

Informationssicherheit betrifft uns Alle in einem sehr breiten und facettenreichen Spektrum, daher ist es unerlässlich alle Beteiligte durch Verbreitung und Verteilung der „Leitlinie zur Informationssicherheit 2023“ darauf aufmerksam zu machen, um die Verantwortlichen bei der Umsetzung der Maßnahmen und der Einhaltung und Erreichung der genannten Sicherheitsziele bestmöglich zu unterstützen.

Bitte informieren Sie sich und ihre Organisation über die beigefügte „Leitlinie zur Informationssicherheit 2023“, die auch im Intranet auf den Seiten der Rechtsabteilung Dezernat 1 zu finden sein wird.

Denken Sie daran: SEC_RITY is not complete without U !