Vorgehen bei einem Sicherheitsvorfall

  1. Rechner so schnell wie möglich vom Netzwerk trennen. Nicht remote und nicht als Administrator einloggen!
  2. Benachrichtigungen
    1. Meldung an IV-Sicherheitsbeauftragten vor Ort (siehe Liste der IV-Sicherheitsbeauftragten)
    2. Falls das Problem nicht behoben werden kann oder die IVV nicht erreicht wird: Meldung an UniMS-CERT (siehe unten)
  3. Klärung der Ursache des Vorfalls.
  4. Änderung aller Passwörter der betroffenen Personen.
  5. Weitere möglicherweise infizierte Rechner identifizieren.
  6. Infizierte Rechner mit neuem Betriebssystem-Image versehen. Eine zuverlässige Bereinigung ist oftmals nicht möglich.
  7. Falls nötig, jetzt Daten wiederherstellen.
  8. Je nach Schwere des Vorfalls: Abschlussbesprechung. Was kann verbessert werden?

Meldung von IT-Sicherheitsvorfällen

Relevante Informationen

Bitte melden Sie einen möglichen Vorfall per E-Mail an cert@uni-muenster.de.

Zur Meldung von möglichem Phishing oder Spam mit Bezug zur Universität steht auch die separate Adresse spam@uni-muenster.de zur Verfügung.

Meldungen zu IT-Sicherheitsvorfällen sollten die folgenden Informationen enthalten, damit eine schnelle Bearbeitung möglich ist:

  • Datum und Zeitpunkt des Vorfalls (inklusive Zeitzone)
  • Quell-IPs und -Ports, sowie genutzte Protokolle (sofern zutreffend)
  • Ziel-IPs und -Ports, sowie genutzte Protokolle (sofern zutreffend)
  • Vorfallsbeschreibung und mögliche weitere Details

 

Vorzugsweise sollte die Meldung vorfallsbezogene Log-Dateien in einem üblichen Format enthalten, z.B. Syslog oder Common Event Format (CEF). Wenn verdächtige E-Mails, z.B. Spam oder Phishing, weitergeleitet werden, sollten diese als Anhang weitergeleitet werden, damit alle relevanten E-Mail-Header enthalten sind.

Wird eine entdeckte Schwachstelle gemeldet, sollten die üblichen Regeln für die verantwortungsvolle Offenlegung (responsible disclosure) beachtet werden:

  • Keine schädliche Ausnutzung der Schwachstelle
  • Ende-zu-Ende verschlüsselte Übertragung sensibler Daten
  • Keine Offenlegung der Schwachstelle an Dritte bis diese behoben wurde

Alle Meldungen werden vertraulich behandelt.

Leider können wir keine Belohnungen für gefundene und gemeldete Schwachstellen bieten.

E-Mail-Verschlüsselung

Wenn sensible Informationen per E-Mail verschickt werden, sollte Ihre E-Mail mit einer der folgenden Methoden (Ende-zu-Ende) verschlüsselt werden:

Telefonische Auskünfte

Telefonische Auskünfte können nur an berechtigte Personen innerhalb der Universität gegeben werden. Wenden Sie sich dazu bitte an den*die zuständige*n CERT-Mitarbeiter*in oder die Hotline (Tel. 31900). Bei Anfragen per Email verwenden Sie bitte Ihre Universitäts-E-Mailadresse und geben Sie, falls vorhanden, die UniMS-CERT-Fallnummer an. Im Allgemeinen sind die Betriebszeiten des UniMS-CERT auf die normalen Bürozeiten (Mo-Fr 10:00-17:00 Uhr, Feiertage ausgenommen) beschränkt.