IT-Security Newsletter

Warum IT-Sicherheit?

Jeder nutzt sie tagtäglich – sei es im Büro, im Homeoffice oder unterwegs auf dem Smartphone: digitale Dienste und Prozesse. In einer zunehmend digitalisierten und vernetzten Welt ist das Arbeiten ohne sie für die meisten undenkbar geworden. Diese Entwicklung erleichtert zwar Abläufe, bringt jedoch zugleich neue Risiken mit sich, die leider allzu oft unterschätzt werden. Bereits scheinbar harmlose Handlungen wie das Öffnen von E-Mails, das Klicken auf Links oder das Verwenden schwacher Passwörter können Angreifern Zugang zu digitalen Informationen und Systemen ermöglichen. Diese Informationen und Systeme bilden das Rückgrat nahezu aller Geschäftsprozesse – von Verwaltung über Kommunikation bis hin zu Forschung und Lehre. Selbst eine kleine Fahrlässigkeit kann den Betrieb der Universität bereits erheblich beeinträchtigen oder gar komplett verhindern, was eine effektive IT-Sicherheit unerlässlich macht.

Ziele der IT-Sicherheit

Die IT-Sicherheit hat die Aufgabe, Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und IT-Systemen dauerhaft sicherzustellen. Sie umfasst alle technischen, organisatorischen und personellen Maßnahmen mit dem Ziel, Informationen und IT-Systeme vor unbefugtem Zugriff, Manipulation und Ausfall zu schützen. Dies ist notwendig, um zu gewährleisten, dass digitale Dienste und Geschäftsprozesse zuverlässig und vertrauenswürdig funktionieren.

Welche Bedrohungen lauern?

Cyberkriminelle verfolgen meist klare Ziele: finanzieller Gewinn, Spionage oder Sabotage. Sie stehlen oder modifizieren sensible Informationen wie z. B. Forschungsdaten, persönliche Informationen oder Zugangsdaten, um sie für eigene Zwecke zu verwenden, zu verkaufen oder Lösegeldforderungen zu stellen. Andere möchten einfach nur den Ruf einer Institution schädigen oder Arbeitsprozesse behindern, sei es aus politischen, wirtschaftlichen oder ideologischen Motiven. Was alle Angriffe verbindet, ist die Suche nach Schwachstellen, meist begünstigt durch Unachtsamkeit im Alltag.

Was kann ich tun, um mich und die Universität Würzburg zu schützen?

IT-Sicherheit ist längst nicht mehr als ein Thema zu verstehen, welches ausschließlich IT-Abteilungen und Experten betrifft, sondern eher als eine persönliche Verantwortung, die jeder Einzelne durch umsichtiges Verhalten im Alltag mitträgt.

Nutzen Sie starke und für verschiedene Dienste unterschiedliche Passwörter, prüfen Sie kritisch und sorgsam E-Mails und Links, bevor Sie diese öffnen, und halten Sie Software sowie Betriebssysteme stets aktuell. Diese und weitere Maßnahmen können Sie aus den 11 goldenen Regeln zur Erhöhung der IT-Sicherheit auf der Website der JMU nachlesen.

Die wohl wichtigste und effektivste Maßnahme ist Aufmerksamkeit und bewusstes Handeln. Viele Angriffe gelingen nicht aufgrund technischer Schwächen, sondern durch unachtsame und uninformierte Nutzung.

Veröffentlicht: 28.07.2025

Warum (sichere) Passwörter?

Trotz fortschreitender Verwendung zusätzlicher Sicherheitsverfahren wie der Multifaktor-Authentifizierung (MFA) oder FIDO-Standards, bilden Passwörter nach wie vor häufig die erste und leider noch all zu oft die einzige Sicherheitsmaßnahme gegen unbefugten Zugriff auf Systeme und Daten. Ähnlich wie ein normaler Schlüssel den Zugang zu einem Raum oder Tresor sichert, schützt ein Passwort den Zugriff auf digitale Ressourcen. Nur wer den entsprechenden Schlüssel besitzt bzw. das Passwort kennt, kann auf die geschützten Inhalte zugreifen. Wie bei einem Schlüssel ist es somit auch bei Passwörtern von höchster Bedeutung, dass diese nicht in die falschen Hände geraten.

Es ist daher unerlässlich, Passwörter sicher zu verwahren und so zu wählen, dass sie nicht leicht erraten werden können. Denn v. a. schwache Passwörter sind besonders anfällig für die sogenannte Brute-Force-Methode, bei der automatisiert in kurzer Zeit eine Vielzahl von Kombinationen ausprobiert wird, um das Passwort zu erraten. Kompromittierte Passwörter dienen anschließend häufig als Einfallstor für weiterführende Cyberangriffe und stellen daher eine ernstzunehmende Sicherheitsbedrohung dar.

Was macht ein Passwort sicher?

Um zu verhindern, dass Passwörter leicht geknackt werden, sollten immer Passwörter mit einer möglichst hohen Komplexität gewählt werden. Für eine hohe Komplexität sollte eine Kombination aus verschiedenen Zeichenarten enthalten sein: Zahlen [0-9], Groß- und Kleinbuchstaben [A-Z; a-z] sowie Sonderzeichen [z. B. !, +, =, $, &, etc.]. Dabei sollte auf einfache Muster wie z. B. Namen, gebräuchliche Wörter oder Jahreszahlen verzichtet werden.

Zudem spielt die Länge des Passworts eine entscheidende Rolle für die Sicherheit. Längere Passwörter sind deutlich schwieriger zu erraten und erhöhen den Schutz erheblich. Jedes zusätzliche Zeichen verlängert die Zeit, die für ein erfolgreiches Erraten benötigt wird, um ein Vielfaches. Wir empfehlen, Passwörter mit einer Mindestlänge von 12 Zeichen zu verwenden – noch sicherer sind Passwörter mit 16 oder mehr Zeichen.

Nur die Kombination aus Komplexität und Länge gewährleistet eine hohe Sicherheit. Ein Passwort, das zwar lang, jedoch zu simpel ist, kann genauso wie ein komplexes, aber zu kurzes Passwort durch einen Brute-Force-Attacke schnell ermittelt werden.

Weiterhin sollte jedes Passwort unbedingt einzigartig sein. Die Verwendung unterschiedlicher Passwörter für verschiedene Dienste oder Konten reduziert den potenziellen Schaden erheblich, falls eines dieser Passwörter kompromittiert wird. Sie würden schließlich auch nicht denselben Schlüssel für all Ihre Türen und Tresore verwenden. Ein Verlust dieses Schlüssels hätte ebenfalls schwerwiegende Folgen.

Verwahrung von Zugangsdaten

Sich für jedes Ihrer Konten ein sicheres Passwort zu merken, stellt für die meisten eine echte Herausforderung dar. Um den Anforderungen an sichere Passwörter dennoch gerecht zu werden, sollten Sie Ihre Passwörter daher an einem sicheren Ort verwahren. In diesem Zusammenhang empfehlen wir die Verwendung eines Passwortmanagers (auch „Passwortsafe“).

Ein Passwortmanager ist ein Tool, durch das Sie Ihre Zugangsdaten sicher und effizient verwalten können. Ihre Zugangsdaten werden im Passwortmanager mit einer starken Verschlüsselung geschützt, sodass nur jene Zugriff haben, die das Master-Passwort kennen. Auf diese Weise können Sie für jeden Dienst ein individuelles und sicheres Passwort verwenden, ohne sich all Ihre Passwörter merken zu müssen. Sie müssen lediglich das Master-Passwort des Passwortmanagers im Gedächtnis behalten. Selbstverständlich gelten für das Master-Passwort mindestens die gleichen Anforderungen an Sicherheit wie für alle anderen Passwörter. Bitte beachten Sie zudem, dass auch wenn einige Browser ähnliche Funktionalitäten bieten, diese nicht den Sicherheitsstandard eines dedizierten Passwortmanagers erreichen.

Informieren Sie sich hier, welcher Passwortmanager für Ihre Ansprüche am besten geeignet ist.

Veröffentlicht: 04.11.2025

Was ist Multi-Faktor-Authentifizierung?

Passwörter galten lange als etablierter Standard zur Zugriffssicherung, erweisen sich jedoch angesichts steigender Rechenkapazitäten sowie moderner Angriffsmethoden, wie etwa Phishing, als alleiniger Schutz vor heutigen Sicherheitsbedrohungen zunehmend als unzureichend.

Um zu verhindern, dass ein kompromittiertes Passwort Unbefugten unmittelbar Zugriff auf Systeme und Daten ermöglicht, erfordern immer mehr Dienste neben dem Passwort mindestens eine weitere, unabhängige Authentifizierungsebene, beispielsweise eine Freigabe über eine Authenticator-App. In dieser Konstellation spricht man von einer Zwei-Faktor-Authentifizierung (2FA), wobei das Passwort den ersten Faktor und die Authenticator-App den zweiten Faktor bildet. Werden zwei oder mehr Faktoren vorausgesetzt, spricht man allgemein von einer Multi-Faktor-Authentifizierung (MFA). Wesentlich dabei ist, dass die eingesetzten Faktoren voneinander unabhängig sind und unterschiedlichen Kategorien angehören.

Kategorien von Authentifizierungsfaktoren

Die bei der Multi-Faktor-Authentifizierung eingesetzten Faktoren lassen sich grundsätzlich in drei Kategorien einteilen: Wissen, Besitz und Inhärenz.

Ein Wissensfaktor („Something you know“) basiert auf Informationen, die nicht allgemein bekannt und idealerweise nur dem Nutzer bekannt sind, wie etwa ein Passwort, ein Muster oder eine PIN. Die gebotene Sicherheit hängt dabei maßgeblich von der Geheimhaltung und Komplexität der verwendeten Information ab (siehe Newsletter: Sichere Passwörter und Passwortmanager). In der Praxis sind diese Faktoren jedoch besonders anfällig für Angriffe wie betrügerische Manipulation („Social Engineering“) oder Brute-Force-Attacken.

Ein Besitzfaktor („Something you have“) erfordert den Besitz bzw. Zugriff auf ein physisches oder digitales Authentifizierungsmittel, wie beispielsweise ein Smartphone oder ein Hardware-Token. Dabei kommen häufig sogenannte Einmalpasswörter (eng. „One-Time Password“ – OTP) zum Einsatz, bei denen es sich um zufällig generierte Zahlencodes oder alphanumerische Schlüssel handelt, die nur für einen einzigen Login oder eine Transaktion gültig sind. Diese werden meist unverschlüsselt per SMS oder E-Mail an den Nutzer zugesandt. Eine sicherere Variante der Einmalpasswörter sind zeitbasierte Einmalpasswörter (eng. „Time-based One-Time Password“ – TOTP), bei denen die Generierung lokal beim Nutzer auf dem Endgerät (mittels Authenticator-App oder Hardware-Token) geschieht, wodurch eine Übertragung entfällt. Ebenfalls kann mit einer Authenticator-App ein Login oder eine Transaktion direkt mit einer Push-Benachrichtigung mittels Bestätigung oder eines numerischen Abgleichs ("Number Matching") freigegeben werden. Die höchste Sicherheit bieten Hardware-Tokens, wobei moderne Modelle (z. B. YubiKey) veraltete OTP-Varianten ablösen. Dank aktueller Standards (z. B. FIDO2) ermöglichen sie durch kryptografische Verfahren eine sichere, zum Teil passwortlose Authentifizierung. Für zusätzliche Sicherheit sind Hardware-Tokens und Authenticator-Apps häufig ergänzend noch mit einem weiteren Faktor, wie z. B. PIN, Passwort oder Fingerabdruck-Scan, abgesichert.

Der Inhärenzfaktor („Something you are“) stützt sich auf eindeutige persönliche Merkmale eines Nutzers, die etwa durch Fingerabdruckscans, Gesichtserkennung oder den Abgleich anderer biometrischer Eigenschaften verifiziert werden. Diese persönlichen Merkmale sind grundsätzlich nicht übertragbar sowie besonders schwierig zu fälschen und bieten daher ein sehr hohes Maß an Sicherheit und Benutzerfreundlichkeit.

Einsatz und Anwendung von Multi-Faktor-Authentifizierung

Durch den Einsatz von MFA werden Angreifern zusätzliche Hürden geschaffen, da ein erfolgreicher Angriff das gleichzeitige Überwinden von zwei oder mehr unterschiedlichen Faktoren voraussetzt. Dies bietet einen deutlich erhöhten Schutz vor Angreifern, da ein kompromittierter Faktor, wie ein offengelegtes Passwort, nicht unmittelbar zu unbefugtem Zugriff führt.

Ebenso ist zu berücksichtigen, dass nicht alle Authentifizierungsfaktoren das gleiche Maß an Sicherheit bieten. Wählen Sie daher Ihre Faktoren so, dass jeder Faktor für sich bereits ein angemessenes Maß an Schutz bietet. Vermeiden Sie schwache Faktoren wie unsichere Passwörter sowie per SMS/E-Mail versandte OTPs und setzen Sie stattdessen (zusätzlich zu einem sicheren Passwort) auf sicherere Verfahren wie Authenticator-Apps und Hardware-Tokens.

Der Einsatz von MFA setzt abhängig von den gewählten Faktoren gewisse Hardware (Smartphone oder Hardware-Token) bzw. Software (Authenticator-App) voraus. Der Verlust dieser Hardware und damit des Faktors kann im schlimmsten Fall den eigenen Zugriff auf Dienste oder Konten blockieren. Daher sollte ein sicherer Prozess zur Wiederherstellung bzw. Neueinrichtung des Faktors eingerichtet werden. Dies könnte zum einen ein Backup des Faktors bzw. des zugrundeliegenden Faktor-Secrets oder auch die Einrichtung eines weiteren (alternativen) Faktors sein, der anstelle des verloren gegangenen verwendet werden kann. Zum anderen bieten einige Dienste bei der Einrichtung von MFA die Möglichkeit Backup- oder Recovery-Codes zu generieren, die im Falle eines Verlustes einmalig für die Wiederherstellung verwendet werden können. Wichtig dabei ist, dass Faktor-Backups sowie Recovery-Codes unbedingt zuverlässig und sicher – am besten in einem Passwort-Manager – gespeichert werden.

MFA im Kontext einer umfassenden Sicherheitsstrategie

Trotz der erheblichen Sicherheitssteigerung durch den Einsatz von MFA ist zu beachten, dass auch MFA keinen absoluten Schutz gegen alle Angriffsvektoren bietet. Die eingesetzten Authentifizierungsfaktoren sind individuell betrachtet nicht unfehlbar und können je nach Ausprägung unter bestimmten Umständen verloren gehen, gestohlen, abgefangen, gefälscht oder anderweitig umgangen werden. Die Kombination mehrerer voneinander unabhängiger Faktoren im Rahmen der Multi-Faktor-Authentifizierung schafft zusätzliche und deutlich höhere Hürden für Angreifer und reduziert damit das Risiko erfolgreicher Angriffe erheblich. Ein vollständiger Schutz kann jedoch durch MFA allein grundsätzlich nicht gewährleistet werden, weshalb MFA stets als Teil einer mehrschichtigen und umfassenden Sicherheitsstrategie betrachtet werden sollte. Der Einsatz von MFA ersetzt daher nicht die Notwendigkeit eines verantwortungsvollen und sicherheitsbewussten Umgangs mit digitalen Systemen.

Die IT-Sicherheitslandschaft durchläuft einen kontinuierlichen Wandel und bringt ständig neue Angriffsmethoden und -möglichkeiten hervor, die wiederum fortlaufend angepasste und weiterentwickelte Schutzmaßnahmen erfordern. Mit der Einführung der Multi-Faktor-Authentifizierung geht die JMU gemeinsam mit ihren Nutzerinnen und Nutzern einen wichtigen Schritt zur weiteren Stärkung der Informationssicherheit.

Veröffentlicht: 19.03.2026