Vorgehen bei einem Sicherheitsvorfall

  1. Rechner so schnell wie möglich vom Netzwerk trennen. Nicht remote und nicht als Administrator einloggen!
  2. Benachrichtigungen
    1. Meldung an IV-Sicherheitsbeauftragten vor Ort (siehe Liste der IV-Sicherheitsbeauftragten)
    2. Falls das Problem nicht behoben werden kann oder die IVV nicht erreicht wird: Meldung an WWU-CERT (siehe unten)
    3. Ist von einem größeren Vorfall auszugehen, der Auswirkungen auf die gesamte WWU haben kann, Meldung mit dem Wort "Alarm" im Betreff an IVV-Admin-Mailingliste.
  3. Klärung der Ursache des Vorfalls.
  4. Änderung aller Passwörter der betroffenen Personen.
  5. Weitere möglicherweise infizierte Rechner identifizieren.
  6. Infizierte Rechner mit neuem Betriebssystem-Image versehen. Eine zuverlässige Bereinigung ist oftmals nicht möglich.
  7. Falls nötig, jetzt Daten wiederherstellen.
  8. Je nach Schwere des Vorfalls: Abschlussbesprechung. Was kann verbessert werden?

  • Meldung von IT-Sicherheitsvorfällen

    Relevante Informationen

    Bitte melden Sie einen möglichen Vorfall per E-Mail an cert@uni-muenster.de.

    Zur Meldung von möglichem Phishing oder Spam mit Bezug zur WWU steht auch die separate Adresse spam@uni-muenster.de zur Verfügung.

    Meldungen zu IT-Sicherheitsvorfällen sollten die folgenden Informationen enthalten, damit eine schnelle Bearbeitung möglich ist:

    • Datum und Zeitpunkt des Vorfalls (inklusive Zeitzone)
    • Quell-IPs und -Ports, sowie genutzte Protokolle (sofern zutreffend)
    • Ziel-IPs und -Ports, sowie genutzte Protokolle (sofern zutreffend)
    • Vorfallsbeschreibung und mögliche weitere Details

     

    Vorzugsweise sollte die Meldung vorfallsbezogene Log-Dateien in einem üblichen Format enthalten, z.B. Syslog oder Common Event Format (CEF). Wenn verdächtige E-Mails, z.B. Spam oder Phishing, weitergeleitet werden, sollten diese als Anhang weitergeleitet werden, damit alle relevanten E-Mail-Header enthalten sind.

    Wird eine entdeckte Schwachstelle gemeldet, sollten die üblichen Regeln für die verantwortungsvolle Offenlegung (responsible disclosure) beachtet werden:

    • Keine schädliche Ausnutzung der Schwachstelle
    • Ende-zu-Ende verschlüsselte Übertragung sensibler Daten
    • Keine Offenlegung der Schwachstelle an Dritte bis diese behoben wurde

    Alle Meldungen werden vertraulich behandelt.

    E-Mail-Verschlüsselung

    Wenn sensible Informationen per E-Mail verschickt werden, sollte Ihre E-Mail mit einer der folgenden Methoden (Ende-zu-Ende) verschlüsselt werden:

    Telefonische Auskünfte

    Telefonische Auskünfte können nur an berechtigte Personen innerhalb der Universität gegeben werden. Wenden Sie sich dazu bitte an den*die zuständige*n CERT-Mitarbeiter*in oder die Hotline (Tel. 31900). Bei Anfragen per Email verwenden Sie bitte Ihre Universitäts-E-Mailadresse und geben Sie, falls vorhanden, die WWU-CERT-Fallnummer an. Im Allgemeinen sind die Betriebszeiten des WWU-CERT auf die normalen Bürozeiten (Mo-Fr 10:00-17:00 Uhr, Feiertage ausgenommen) beschränkt.