|
|
|
|
|
|
|
|
Liebe Leserin, lieber Leser
Die Digitalisierung vereinfacht und beschleunigt unser Arbeitsleben in vielfältiger Hinsicht. Sie führt aber auch zu einer zunehmenden Vernetzung von Systemen und der technischen Komplexität. Damit steigen sowohl die Abhängigkeiten von diesen Umgebungen als auch deren Verletzlichkeit.
Zwei Neuerungen der Informatikdienste werden dieses Jahr entscheidende Beiträge für die Sicherung unserer Systeme leisten und damit die Digitalisierung der ETH Zürich massgeblich unterstützen. Zum einen führen wir für eine wachsende Anzahl Applikationen die Multifaktor-Authentisierung ein, und zum anderen werden wir die Rechner in unserem Netzwerk verstärkt darauf prüfen, wie aktuell ihre Betriebssysteme und Schutzsoftware sind.
Eine andere Art der Digitalisierung und deren Sicherung ist das Google Workspace-Angebot der ID (ehemals G-Suite). Viele ETH-Angehörige verwenden dieses Werkzeug schon seit längerem. Jetzt können unsere Nutzenden auch diese Kollaborationsplattform in sicherer Art und Weise nutzen wie auch schon Microsoft Teams oder Zoom. Die Wahl, welche dieser Plattformen für die einzelnen Gruppen die richtige ist, überlassen wir den Nutzenden.
Lesen Sie mehr zu diesen Themen im inside|out.
Herzlichst,
Dr. Rui Brandao
 |
|
|
|
|
|
|
|
|
|
|
|
| David Schärer, Stephen Sheridan und Anatoliy Holinger, von links, sind auf der Suche nach den Schwachstellen bevor andere sie finden. |
Kennen wir unsere kritischen IT-Schwachstellen? |
Schätzen wir das resultierende Risiko richtig ein? Wissen wir, welche Massnahme am effektivsten und effizientesten das Risiko reduziert? Das IT-SeC der ID möchte hierzu mit dem neuen Schwachstellenmanagement Service «System Health» Hilfestellungen anbieten. Der Service untersucht Endgeräte auf bekannte Schwachstellen und fehlerhafte Sicherheitskonfigurationen. Es beurteilt die Endgeräte bzgl. ihrer Gefährdung und bietet den Netzwerkzonen- und Systemverantwortlichen Informationen für den effizienten und effektiven Umgang mit den Schwachstellen an.
Schwachstellen begegnen uns überall: Zuhause, bei unseren Autos, bei anderen und natürlich in der Software auf unseren Computern. Schwachstellen auf Computern sind das Eintrittstor für Cyberkriminelle und Hobby-Hacker. Wer sie findet, kann sie ausnutzen und erheblichen Schaden anrichten. Ausgenutzt werden gerne neu bekannt gewordene Schwachstellen (Zero-Day-Exploits) für die es noch keine Patches gibt. Genauso beliebt und gleichermassen ausgenutzt, werden jedoch auch Schwachstellen die seit Wochen, Monaten oder gar Jahren bekannt sind aber nie behoben wurden. Nicht selten finden kombinierte Attacken statt. Durch eine Zero-Day-Schwachstelle verschaffen Angreifende sich Zugriff auf Systeme, um dann durch das Ausnutzen altbekannter, unbehobener Schwachstellen grossen Schaden anzurichten.
Einzelne Schwachstellen und Risiken lassen sich meist relativ einfach durch Patches (Bugfixes, Updates) wie auch durch die Umsetzung von Best-Practices und bestehenden Richtlinien beheben. Durch eine schier unüberblickbare Menge an Software, Schwachstellen, Massnahmen, Informationen sowie aufgrund verteilter Verantwortlichkeiten sind schwachstellenfreie Systeme in der Realität schwierig zu erreichen. Es ist eine Herausforderung das daraus resultierende Risiko richtig einzuschätzen und diejenigen Massnahmen zu identifizieren, welche am besten helfen, das Risiko zu reduzieren.
Hier setzt der neue Service «System Health» des IT-SeCs der Informatikdienste an. «System Health» identifiziert und analysiert laufend vorhandene Schwachstellen sowie die Compliance von IT-Geräten im Eigentum der ETH Zürich. Mit Hilfe von Security-Informationen werden die grössten Risiken und die effizientesten und effektivsten Massnahmen pro Netzwerkzone oder gewünschter Organisationseinheit ausgewiesen. Individualisiert als Report oder direkt durch Zugriff auf ein interaktives Dashboard für Berechtigte.
Informieren Sie sich über den neuen Service und sprechen Sie mit dem IT-SeC. Mehr Informationen auf der System Health WIKI-Seite (Login).
Stephen Sheridan, Service Owner System Health, IT-Security Center (IT-SeC)
Marc Schleusener, Projektleiter System Health |
|
|
|
|
|
|
| Willkommen Miroslav Kobas |
| Die Sektion Customer Experience and Solutions (ID CxS) ist für den User-Support und das IT-Arbeitsplatzmanagement in Forschungsdepartementen, den zentralen administrativen Einheiten und bei ETH-nahen Einheiten zuständig. Herzlich willkommen Miroslav, als neuer CxS-Sektionsleiter bei den Informatikdiensten der ETH Zürich! |
|
|
|
|
|
|
|
|
|
|
| Potenzielle Angreifende ergaunern sich sensible Unternehmensdaten oder verschaffen sich Zugang zu Systemen: Auflösung im ID-Blog. |
Wer hat die Login-Daten gestohlen? |
Fast täglich lesen wir von Identitätsklau im Netz, von gehackten Zugangsdaten und von Cyberattacken. Die potenziellen Angreifenden ergaunern sich so sensible Unternehmensdaten oder verschaffen sich Zugang zu Systemen, um für die Entschlüsselung oder Freigabe der gekaperten Daten dann ein Lösegeld zu fordern.
Sie kommen gerade rechtzeitig – soeben wird gemeldet, dass vier Bösewichte versuchen, unerlaubterweise auf ETH-Konten zuzugreifen. Aber Cyberkriminelle tun dies nicht, wie auf dem Bild dargestellt, indem sie sich vor Ort begeben. Dies geschieht vor allem durch Phishing-Angriffe. Dabei wird der oder die Nutzende unter Vortäuschung falscher Tatsachen aufgefordert, einen Link oder eine Datei anzuklicken und dazu verleitet, den Usernamen und das Passwort auf einer täuschend echt aussehenden Website einzugeben, welche die Daten geradewegs an die Betrügenden weiterleitet. Solche Attacken sind heutzutage teilweise so raffiniert gemacht, dass selbst technisch versierte Personen darauf hereinfallen.
Alternativ könnten Cyberkriminelle auch Zugangsdaten im Darknet kaufen, eine Malware installieren, die Passwörter mitliest – oder sie könnten die Daten indirekt stehlen. Da viele Menschen die gleichen Passwörter für private, wie auch für geschäftliche Zwecke nutzen, funktioniert in einem solchen Szenario bei den betroffenen Personen das Login auch für die ETH-Konten.
Mit der Einführung von Multifaktor-Authentisierung erhöht die ETH Zürich die Sicherheit in den zentralen Web-Applikationen merklich. Der zweite Faktor macht es für Cyberkriminelle schwerer, an die gewünschten Daten heranzukommen. Dieser zweite Faktor wird durch eine sogenannte Authenticator App auf dem Smartphone erzeugt und muss dann auf dem Login-Schirm eingegeben werden. In regelmässigen Abständen werden die Nutzenden aufgefordert, diesen Schritt zu wiederholen.
Zurück zu unserem Fall: Suchen Sie im ID-Blog das passende Bild als Auflösung unseres Tatorts und teilen Sie uns das hinterlegte Lösungswort per E-Mail mit. Wir verlosen unter den richtigen Einsendenden drei YubiKeys, welche Sie ebenfalls als MFA-Lösung einsetzen können.
Anja Harder, Chief IT Security Officer Informatikdienste (CITSO), ID Head Office
Urs Spätig, Projektleiter MFA-SSO |
|
|
|
|
|
|
| Neu: Integrationsvorlehre beim IT Lehrlabor |
| Ab August 2022 wird die ETH Zürich als eine der ersten Organisationen in der Schweiz im IT Lehrlabor eine Integrationsvorlehre zur IT-Fachperson anbieten. |
|
|
|
|
|
|
|
|
|
|
| «Head in the cloud, feet on the ground»: das Cloud Service Center-Team mit Aires Marques, Apon Dunkl, Fabio Consani und Roger Schlumpf (von links) |
Google Workspace jetzt verfügbar |
Mit Google Workspace stellt die ID eine weitere Cloud-Kollaborationslösung zur Verfügung. Diese stellt insbesondere für Forschung und Lehre, wo «Google Cloud Platform» (GCP) mit seinen Computing-Lösungen stark verbreitet ist, eine willkommene Ergänzung dar. Das Cloud Service Center ist für die beiden Google Cloud-Dienste verantwortlich und stellt diese in sicherer, rechtlich unbedenklicher und kosten-effizienter Art und Weise den Angehörigen der ETH Zürich zur Verfügung.
Google Workspace (früher G-Suite) ist eine umfassende Enterprise Plattform für Kollaboration und Kommunikation. Sie besteht im Wesentlichen aus einem Cloud-Speicher (G-Drive) und bündelt die darauf aufsetzenden Cloud-Applikationen (Apps). Büroautomation-Tools und weitere Anwendungen erlauben es Teams über räumliche Distanz hinweg auf Daten, digitale Terminkalender und Projektpläne zuzugreifen und Aufgaben abzustimmen. Sharing-Funktionen sowie eine Echtzeit-Synchronisation ermöglichen das gemeinsame Bearbeiten eines Dokumentes. Google Workspace deckt eine Vielzahl an Möglichkeiten für die Zusammenarbeit mit ETH-Mitarbeitenden, Studierenden, anderen Universitäten und weiteren, externen Partnern ab.
Neben Workspace können ETH-Angehörige über GCP auch Computing Ressourcen beziehen. GCP bietet die Möglichkeit Cloud basierte Services wie Virtuelle Maschinen, Cluster Systeme, Datenspeicherung u.v.m. zu nutzen und offeriert Frameworks für die Datenanalyse, künstliche Intelligenz und maschinelles Lernen. Durch den Einsatz von GCP können aufwändige Investitionen und Aufbauarbeiten in die eigene Infrastruktur sowie deren Betrieb vermieden werden. Auch können die Ressourcen direkt verwaltet und neuste Technologien verwendet werden, ohne teure Anschaffungskosten oder lange Implementationszeiten, nur mit einem Workspace Account.
Haben Sie Fragen zu Google Workspace oder zur Google Cloud Platform? Das Cloud Service Center beantworten Ihnen diese gerne. Oder sind Sie interessiert mehr über die Cloud, Tools und das Cloud Service Center zu erfahren? Dann besuchen Sie unseren neuen CSC-Blog.
Fabio Consani, Leiter Cloud Service Center (ID CCR)
Urs Spätig, Projektleiter Cloud Service Center (ID CCR) |
|
|
|
|
|
|
| Pensionierung & Jubiläum Giorgio Broggi |
| Wir wünschen Giorgio Broggi zur Pensionierung alles Gute! Sein Jubiläums-Rückblick ist auch eine Zeitreise in die IT-Vergangenheit der ETH Zürich. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| Passwort selbstständig zurücksetzen |
Der Urlaub war richtig erholsam. Am Montagmorgen um 07:00 Uhr merkt man: «Wie war noch mal mein ETH-Passwort?»
Sie können Ihre Passwörter selbständig zurücksetzen, falls Sie die Authentifizierungsdaten hinterlegt haben. In der IT-Wissensdatenbank finden Sie mehr Informationen zum Hinterlegen der Authentifizierungsdaten und zu den ETH-Passwörtern. Dies auch mit Video-Anleitungen. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| Neu: Zusätzlich «Women only» |
| Zusätzlich zu den gemischten Gruppen gibt es neu auch das Angebot «IT-Schnupperlehre für Schülerinnen», welches rege genutzt wird. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| Kommunikationsdaten updaten |
| Bitte kontrollieren Sie Ihre persönlichen Kommunikationsdaten und Telefonnummern. Nur wenn die Nummern im richtigen Format gespeichert sind, können die Systeme der ETH-Stellen (Vermittler, Alarmzentrale/Notfallalarmierung, Softphone-Telefonbuch etc.) diese direkt anwählen. |
|
|
|
|
|
