CSIRT Beschreibung für WWU-CERT

1. Über dieses Dokument

Dieses Dokument enthält eine Beschreibung des WWU-CERT gemäß RFC 2350. Es stellt Informationen über das CERT bereit, wie es kontaktiert werden kann, und erläutert den Verantwortlichkeitsbereich sowie die bereitgestellten Dienste des WWU-CERT.

1.1 Letzte Änderung

Dies ist Version 1.0, veröffentlicht am 21.02.2019.

1.2 Verteilerliste für Benachrichtigungen

Neuigkeiten werden an die moderierte Mailingliste für IV-Sicherheitsbeauftragte der Universität Münster (WWU) iv-sicherheit@uni-muenster verschickt. Abonnementanfragen sollten mit dem Betreff "subscribe" an die Mailinglisten-Verwaltung über iv-sicherheit-request@uni-muenster gesendet werden. Die Mailinglisten-Verwaltung ist auch über die Webseite https://listserv.uni-muenster.de/mailman/listinfo/iv-sicherheit zu erreichen.

1.3 Orte, an denen dieses Dokument gefunden werden kann

Die aktuelle Version dieses Dokuments zur Beschreibung des CSIRT steht auf der Webseite des WWU-CERT zur Verfügung. Sie ist zu erreichen über:

• https://www.uni-muenster.de/ziv.cert/CSIRT-descr-de.pdf

Eine englische Version des Dokuments ist abrufbar über:

• https://www.uni-muenster.de/ziv.cert/CSIRT-descr-en.pdf

Bitte stellen Sie sicher, dass Sie die aktuelle Version des Dokuments nutzen.

1.4 Authentizität dieses Dokuments

Sowohl die englische, als auch die deutsche Version dieses Dokuments wurden mit dem PGP Schlüssel des WWU-CERT signiert. Der Fingerabdruck des Schlüssels kann auf der Webseite des WWU-CERT gefunden werden. Der öffentliche Schlüssel kann von den üblichen Schlüsselservern heruntergeladen werden, zum Beispiel dem SURFnet Schlüsselserver (https://pgp.surfnet.nl). Weitere Informationen können in Abschnitt 2.8 gefunden werden.

Die Signaturen der beiden Dokumente können ebenfalls über die Webseite eingesehen werden:

• https://www.uni-muenster.de/ziv.cert/CSIRT-descr-de.pdf.asc
• https://www.uni-muenster.de/ziv.cert/CSIRT-descr-en.pdf.asc

2. Kontaktinformation

2.1 Name des Teams

WWU-CERT: Computer Emergency Response Team der Westfälischen Wilhelms-Universität Münster.

2.2 Adresse

WWU-CERT
Westfälische Wilhelms-Universität, Zentrum für Informationsverarbeitung
Röntgenstr. 7-13
48149 Münster
Deutschland

2.3 Zeitzone

Europe/Berlin (GMT+0100, and GMT+0200 von April bis Oktober)

2.4 Telefonnummer

+49 251 83 31600 (fragen Sie nach WWU-CERT)

2.5 Faxnummer

+49 251 83 31552 (dies ist kein sicheres Fax)

2.6 Andere Telekommunikation

Keine vorhanden.

2.7 Elektronische Mail Adresse

cert@uni-muenster.de - Diese E-Mail-Adresse wird von den zuständigen Mitgliedern des WWU-CERT gelesen.

2.8 Öffentliche Schlüssel und andere Verschlüsselungs-Informationen

Das WWU-CERT hat einen PGP Schlüssel mit der KeyID 0xC01D356E und dem Fingerabdruck

• DAFE C355 08F3 CB67 2DF7 C3C2 76E4 1181 C01D 356E.

Der Schlüssel und seine Signaturen können auf den üblichen großen Schlüsselservern gefunden werden, z.B. https://pgp.surfnet.nl:

• https://pgp.surfnet.nl/pks/lookup?fingerprint=on&search=0xC01D356E

Dieser Schlüssel hat noch relativ wenige Unterschriften und es wird daran gearbeitet, die Anzahl der Verweise auf diesen Schlüssel im PGP "web of trust" zu erhöhen. In der Zwischenzeit hat der WWU-CERT Leiter Thorsten Küfer den Schlüssel signiert und kann auf Anfrage dessen Fingerabdruck, sowie den seines eigenen Schlüssels, telefonisch oder persönlich bestätigen. Die meisten anderen deutschen Universitäten haben mindestens einen Angehörigen, der Thorsten Küfer kennt und dessen Identität bestätigen kann.

Das WWU-CERT hat ein X.509 Zertifikat mit der KeyID 0x1CC0EF0BDB7C522BDE365E47 und dem Fingerabdruck

• F1D9 74CB 7594 B343 58F0 0C10 0EB8 5049 B6CB AAD6.

Das Zertifikat und die Signaturen können auf den Schlüsselservern des DFN-PKI gefunden werden:

• https://pki.pca.dfn.de/dfn-ca-global-g2/cgi-bin/pub/pki?cmd=viewCert;dataType=CERTIFICATE;key=8898822896682867721632112199;id=1;RA_ID=4930;

2.9 Mitglieder

Thorsten Küfer (Zentrum für Informationsverarbeitung) ist der Leiter des WWU-CERT.

Stellvertretende Leiter und andere Mitglieder können auf den Webseiten des WWU-CERT eingesehen werden, jeweils mit ihren Fachgebieten und Kontaktinformationen:

• https://www.uni-muenster.de/ziv/cert/teamlist.html

Management, Kooperation und Aufsicht erfolgen durch Dr. Raimund Vogl, CIO, Leiter des Zentrum für Informationsverarbeitung.

2.10 Weitere Informationen

Allgemeine Informationen über das WWU-CERT und Verweise auf empfohlene Quellen zu verschiedenen Sicherheitsthemen können auf den Webseiten des WWU-CERT gefunden werden:

• https://www.uni-muenster.de/ziv/cert/index.html

2.11 Kontaktmöglichkeiten

Der Kontakt per E-Mail an cert@uni-muenster.de ist die bevorzugte Kontaktmöglichkeit. E-Mails an diese Adresse erreichen direkt die verantwortliche Person oder werden an eine geeignete Vertretung weitergeleitet. In dringenden Fällen fügen Sie bitte "dringend"/"urgent" in den Titel der E-Mail ein.

Wenn der Kontakt per E-Mail nicht möglich (oder aus Sicherheitsgründen nicht ratsam) ist, kann das WWU-CERT auch telefonisch während der normalen Bürozeiten erreicht werden. Telefonische Nachrichten werden nicht so häufig wie E-Mails abgehört.

Im Allgemeinen sind die Betriebszeiten des WWU-CERT auf die normalen Bürozeiten (07:00-17:00 Uhr, Montags bis Freitags, Feiertage ausgenommen) beschränkt.

Wenn möglich, sollten Meldungen in der in Abschnitt 6 beschriebenen Form eingereicht werden.

3. Charta

3.1 Leitbild

Aufgabe des WWU-CERT ist die Unterstützung der Mitglieder der Westfälischen Wilhelms-Universität Münster (WWU), einerseits bei der Umsetzung von proaktiven Maßnahmen, um das Risiko von IT Sicherheitsvorfällen zu reduzieren, und andererseits bei der Reaktion auf auftretende Vorfälle, um diese schnell und effizient zu klären.

Das WWU-CERT ist zuständig für die Bearbeitung von sicherheitsrelevanten Vorfällen im Zusammenhang mit der Nutzung von Rechnern und Kennungen in bzw. an der Universität Münster (WWU).

Ziel ist es, die Reputation der Universität Münster (WWU) vor fahrlässiger oder illegaler Nutzung der IP-Adressen und Ressourcen der Universität zu schützen. Dazu gehören u.a. folgende Aufgaben:

1. Ansprechpartner für alle sicherheitsrelevanten Fragen.
2. Möglichst schnelle und effiziente Hilfe als Reaktion auf eintretende Sicherheitsvorfälle (z.B. bei Hacker-Angriffen, kritischen Sicherheitslücken, Computerviren und -Würmern, Spam-Versand etc.).
3. Sperrung von Rechnern bzw. Kennungen bei akuten Vorfällen.
4. Aufbereitung von Informationen und Durchführung von Untersuchungen, soweit dies der Vorbeugung dient oder für die Überprüfung von Hinweisen notwendig ist.
5. Prüfung und ggfs. Reaktion auf Urheberrechtsverletzungen.
6. Bearbeitung von staatsanwaltlichen und polizeilichen Anfragen.
7. Betrieb und Überwachung von Intrusion Detection und Intrusion Prevention Systemen (IDS/IPS).
8. Entgegennahme und Dokumentation aller sicherheitsrelevanten Vorfälle, die zusätzlich an externe Stellen (z.B. das DFN-CERT) zu berichten sind.
9. Kooperation mit dem CERT des Deutschen Forschungsnetzwerks (DFN-CERT) sowie nationalen und internationalen Interessengruppen und allen an der Universität Münster (WWU) für IT-Sicherheit Verantwortlichen.
10. Mitarbeit bei der Konzeption sicherheitsrelevanter Regelungen.

3.2 Verantwortlichkeitsbereich

Der Verantwortlichkeitsbereich des WWU-CERT umfasst die Gemeinschaft der Universität Münster (WWU), wie sie im Geltungsbereich der "Informationssicherheitsleitlinie der Westfälischen Wilhelms-Universität Münster" definiert wurde. Diese Leitlinie kann hier abgerufen werden:

• https://www.uni-muenster.de/imperia/md/content/ziv/pdf/sicherheit/isl-wwu.pdf

Allerdings ist zu beachten, dass trotz der obigen Definition der Service des WWU-CERT nur für Systeme vor Ort bereitgestellt wird.

Das WWU-CERT betreut die folgenden öffentlichen IP Adressbereiche:

• 128.176.0.0/17
• 128.176.128.0/17
• 185.151.152.0/22
• 193.175.4.0/24
• 193.175.250.0/24
• 212.201.112.0/22
• 212.201.144.0/21
• 2001:638:500::0/48
• 2001:4cf0::0/29

3.3 Förderung und/oder Zugehörigkeit

Das WWU-CERT wurde am 14.01.2000 eingerichtet und wird gefördert durch das Zentrum für Informationsverarbeitung (ZIV) der Universität Münster (WWU) (https://www.uni-muenster.de/ZIV). Darüber hinaus steht es in enger Verbindung mit dem Deutschen Forschungsnetzwerk (DFN) (https://www.dfn.de), dem CERT-Verbund (https://cert-verbund.de) und nach Bedarf verschiedenen CSIRTs deutscher Universitäten.

Die Geschäftsstelle des WWU-CERT ist beim Zentrum für Informationsverarbeitung (ZIV) eingerichtet.

3.4 Ermächtigung

Das WWU-CERT arbeitet unter der Schirmherrschaft und mit Autorität des Zentrums für Informationsverarbeitung (ZIV) der Universität Münster (WWU). Weitere Informationen zum Mandat und zur Autorität des Zentrum für Informationsverarbeitung (ZIV) können der "Informationssicherheitsleitlinie der Westfälischen Wilhelms-Universität Münster" entnommen werden. Diese ist hier zu finden:

• https://www.uni-muenster.de/imperia/md/content/ziv/pdf/sicherheit/isl-wwu.pdf

Das WWU-CERT erwartet, mit Systemadministratoren und Benutzern der Universität Münster (WWU) kooperativ zusammenzuarbeiten und soweit möglich autoritäre Beziehungen zu vermeiden. Sollten allerdings die Umstände es erfordern und rechtfertigen, wird das WWU-CERT das ZIV auffordern, ihre Autorität nach Bedarf, direkt oder indirekt auszuüben.

Mitglieder der Universität Münster (WWU), die gegen die Handlungen des WWU-CERT Einspruch erheben möchten, sollten sich an den Leiter des ZIV wenden. Wenn dieser Rückgriff nicht zufriedenstellend ist, kann die Angelegenheit an den Chief Information Officer (CIO) (im Falle wahrgenommener Probleme mit der bestehenden Richtlinie) oder an die IV-Kommission der Universität Münster (WWU) (im Fall wahrgenommenen Fehler bei der Anwendung der bestehenden Richtlinie) verwiesen werden.

4. Richtlinien

4.1 Arten von Vorfällen und Unterstützungsleistungen

Das WWU-CERT ist berechtigt, alle Arten von Computersicherheitsvorfällen an der Universität Münster (WWU) zu behandeln.

Die Unterstützung durch das WWU-CERT variiert je nach Art und Schwere des Vorfalls oder Problems, der Art des Anfragenden, der Größe der betroffenen Benutzergemeinschaft und den Ressourcen des WWU-CERT zu diesem Zeitpunkt, dennoch erfolgt bei allen Fällen eine Rückmeldung innerhalb von zwei Arbeitstagen. Ressourcen werden nach folgenden Prioritäten zugewiesen, die in absteigender Reihenfolge aufgeführt sind:

• Bedrohungen für die körperliche Sicherheit von Menschen.
• Root- oder Systemlevel-Angriffe auf Systeme mit Verwaltungsinformationen oder auf Teile der Backbone-Netzwerkinfrastruktur.
• Root- oder Systemlevel-Angriffe auf Systeme, die große öffentliche Dienste für mehrere Benutzer oder bestimmte Zwecke bereitstellen.
• Kompromittierung von vertraulichen Dienstkonten oder Softwareinstallationen, insbesondere solche, die für MIS (Management-Informationssystem) Anwendungen verwendet werden, die vertrauliche Daten enthalten, oder die zur Administration von Systemen verwendet werden.
• Denial of Service-Angriffe auf einen der drei oben genannten Punkte.
• Alle oben genannten Vorfälle, die von der Universität Münster (WWU) ausgehen und fremde Systeme betreffen.
• Groß angelegte Angriffe jeglicher Art, z.B. Sniffing, Social Engineering oder Password Cracking Angriffe.
• Drohungen, Belästigungen und andere Straftaten, die individuelle Nutzerkennungen betreffen.
• Kompromittierung einzelner Nutzerkennung auf Mehrbenutzer-Systemen.
• Kompromittierung von Desktop-Systemen.
• Fälschung, Falschdarstellung und andere sicherheitsrelevanten Verstöße gegen örtliche Gesetze und Vorschriften, z.B. Urheberrechtsverletzungen, Fälschung von Nachrichten oder E-Mails, unerlaubte Nutzung von IRC Bots.
• Denial of Service-Angriffe auf einzelne Nutzerkennungen, z.B. durch Mailbombing.

Anderen Arten von Vorfällen, die oben nicht genannt wurden, wird eine Priorisierung anhand der erkennbaren Schwere und dem Ausmaß zugeordnet.

Die Reaktion auf Vorfälle unterscheidet sich zwischen Systemen im Intranet und im Einwahlbereich:

• Intranet Sobald das WWU-CERT den Hinweis auf einen Vorfall bei Mitarbeiter-Rechnern erhält, wird versucht den technisch Verantwortlichen telefonisch zu erreichen, um mit ihm die nötigen Maßnahmen und ggf. die Abschaltung des Rechners abzusprechen. Ist kein Verantwortlicher erreichbar, wird der Rechner netzseitig getrennt und der technisch Verantwortliche und die zuständige Informationsverarbeitungs-Versorgungseinheiten (IVV) werden per Email mit Informationen zum Vorfall und den zu ergreifenden Maßnahmen benachrichtigt.
• Einwahlbereich Bei Vorfällen im Einwahlbereich (VPN, WLAN, etc.) wird direkt eine evtl. bestehende Verbindung getrennt und eine Einwahl-Sperre gesetzt. Die Nutzerkennung als solche ist durch diese Sperre nicht in ihrer Benutzung eingeschränkt. Auch in diesem Fall wird eine Informations-Email verschickt mit genauen Hinweisen auf die Art des Vorfalls und die zur Freischaltung zu ergreifenden Maßnahmen.

Es wird darauf hingewiesen, dass das WWU-CERT keine direkte Unterstützung der Endnutzer bietet. Endnutzer sollten sich dafür an ihren zuständigen Systemadministrator der IVV (siehe https://www.uni-muenster.de/de/zentraledienstleister/ivven.html), die zentrale Netzwerkadministrator (NOC, https://www.uni-muenster.de/ZIV/Technik/Netz/NOC.html), die Nutzerberatung (ZIV, https://www.uni-muenster.de/ZIV/Hilfe/Ansprechpartner.html) oder den Leiter der jeweiligen Abteilung wenden. Das WWU-CERT unterstützt die Letzteren.

Das WWU-CERT ist sich bewusst, dass die Kenntnisse der Systemadministratoren an der Universität Münster (WWU) sehr unterschiedlich sind, und obwohl das WWU-CERT sich bemüht, Informationen und Unterstützung auf einer für jede Person geeigneten Ebene zu präsentieren, kann es keine Systemadministratoren ad-hoc schulen oder Wartungen an ihren Systemen für sie durchführen. In der Regel liefert das WWU-CERT allerdings Hinweise auf die Informationen, die zur Umsetzung geeigneter Maßnahmen erforderlich sind. Systemadministratoren sollen sich primär an den IV-Sicherheitsbeauftragten (IV-SB) des Bereichs wenden (siehe https://www.uni-muenster.de/IV-Sicherheit/intern/sicherheitsbeauftragte.html).

Das WWU-CERT verpflichtet sich dazu, die IV-Sicherheitsbeauftragten (IV-SB) und Systemadministratoren der Universität Münster (WWU) über potentielle Schwachstellen zu informieren. Soweit möglich werden diese Informationen über die Mailingliste iv-sicherheit@uni-muenster.de verteilt, idealer Weise bevor diese Schwachstellen aktiv ausgenutzt werden.

4.2 Kooperation, Interaktion und Offenlegung von Informationen

Zwar gibt es rechtliche und ethische Beschränkungen für den Informationsfluss vom WWU-CERT, von denen einige auch in der "Benutzungsordnung des Zentrums für Informationsverarbeitung und der IV-Versorgungseinheiten der Westfälischen Wilhelms-Universität Münster" (https://www.uni-muenster.de/imperia/md/content/wwu/ab_uni/ab2010/ausgabe25/beitrag_03.pdf) beschrieben sind und die alle respektiert werden, aber das WWU-CERT sieht sich dem Kooperationsgeist, der das Internet begründet, verpflichtet und möchte dazu beitragen. Aus diesem Grund wird das WWU-CERT Informationen frei austauschen, wenn dies dabei hilft, Sicherheitsvorfälle zu klären oder zu verhindern, wobei selbstverständlich geeignete Maßnahmen zum Schutz der Identitäten von Mitgliedern der Universität Münster (WWU) und anderer beteiligten Personen ergriffen werden. Beim Austausch wird insbesondere das Traffic Light Protocol (TLP) zum Schutz von Informationen genutzt (siehe Abschnitt 4.3).

In den folgenden Abschnitten bezieht sich "betroffene Parteien" auf die rechtmäßigen Eigentümer, Betreiber und Benutzer relevanter Systeme. Dazu zählen nicht unberechtigte Benutzer, einschließlich sonst autorisierter Benutzer, die ein System unberechtigt nutzen. Diese Eindringlinge fallen nicht unter die Vertraulichkeitsbestimmungen des WWU-CERT, können allerdings möglicherweise dennoch durch gesetzliche Bestimmungen geschützt sein, welche selbstverständlich respektiert werden, sofern sie bestehen.

Informationen, die zur Veröffentlichung in Betracht gezogen werden, werden in folgende Kategorien eingeteilt:

• Vertrauliche Benutzerinformationen sind Informationen über bestimmte Benutzer oder in bestimmten Fällen bestimmte Anwendungen, die aus rechtlichen, vertraglichen und / oder ethischen Gründen als vertraulich zu betrachten sind.

  Vertrauliche Benutzerinformationen werden nicht in identifizierbarer Form außerhalb des WWU-CERT veröffentlicht, es sei denn, eine der nachstehenden Situationen liegt vor. Wenn die Identität des Benutzers verschleiert ist, können die Informationen frei verteilt werden (z.B. um Änderungen eines Eindringlings an einer .cshrc-Datei zu zeigen oder um einen bestimmten Social-Engineering-Angriff zu demonstrieren).

• Eindringlingsinformationen sind ähnlich zu bewerten wie vertrauliche Benutzerinformationen, betreffen jedoch Eindringlinge.

  Während Eindringlingsinformationen und insbesondere Informationen zu deren Identifizierung nicht der Öffentlichkeit zugänglich gemacht werden (es sei denn, dies wird zu einer öffentlichen Angelegenheit, beispielsweise weil strafrechtliche Anklagen erhoben wurden), werden sie mit IV-Sicherheitsbeauftragten (IV-SB), Systemadministratoren und CSIRTs, die einen Vorfall verfolgen, frei ausgetauscht.

• Vertrauliche Standortinformationen sind technische Informationen über bestimmte Systeme oder Standorte.

  Solche Informationen werden nicht ohne Erlaubnis der verantwortlichen Abteilung verteilt, sofern keine der nachstehnden Situationen zutrifft.

• Schwachstelleninformationen sind technische Informationen zu Schwachstellen oder Attacken, einschließlich relevanter Fehlerbehebungen oder Workarounds.

  Schwachstelleninformationen werden frei veröffentlicht, jedoch wird alles unternommen, um den jeweiligen Anbieter oder Hersteller zu informieren, bevor die Öffentlichkeit informiert wird.

• Zu bloßstellenden Informationen zählen die Aussage, dass ein Vorfall aufgetreten ist, sowie Informationen zu Ausmaß oder Schweregrad. Bloßstellende Informationen können einen Abteilung oder einen bestimmten Benutzer oder eine Benutzergruppe betreffen.

  Bloßstellende Informationen werden nicht ohne die Erlaubnis der Abteilung oder der betreffenden Benutzer veröffentlicht, es sei denn, dies wird nachstehend beschrieben.

• Statistische Informationen sind bloßstellende Informationen, bei denen die identifizierbaren Informationen entfernt wurden.

  Statistische Informationen werden nach freiem Ermessen des WWU-CERT veröffentlicht.

• Kontaktinformationen beschreiben, wie Systemadministratoren und CSIRTs kontaktiert werden können.

  Kontaktinformationen werden frei weitergegeben, ausgenommen die Kontaktperson oder eine andere Entität haben gebeten, diese Informationen nicht zu verteilen oder das WWU-CERT hat Grund zu Annahme, dass die Verbreitung nicht erwünscht wäre.

Potentielle Empfänger von Informationen vom WWU-CERT können in folgende Kategorien eingeteilt werden:

• Aufgrund ihrer Verantwortlichkeiten und der daraus resultierenden Vertraulichkeitserwartungen haben Organisationsleitungen der Universität Münster (WWU) das Recht, alle Informationen, die erforderlich zur Aufklärung von Computersicherheitsvorfällen in ihrem Verwantwortlichkeitsbereich sind, zu erhalten.

• Mitglieder der Rechtsabteilung der Universität Münster (WWU) haben das Recht, alle Informationen zu einem Computersicherheitsvorfall zu erhalten, der ihnen zur Klärung vorgelegt wurde oder der in Zusammenhang zu einem anderen bearbeiteten Vorfall steht.

• IV-Sicherheitsbeauftragte (IV-SB) und Systemadministratoren der Universität Münster (WWU) werden aufgrund ihrer Verantwortlichkeit auch mit vertraulichen Informationen betraut. Wenn diese Personen jedoch nicht auch Mitglieder des WWU-CERT sind, erhalten sie nur die Informationen, die sie zur Unterstützung einer Untersuchung oder zur Sicherung ihrer eigenen Systeme haben müssen.

• Nutzer der Universität Münster (WWU) haben ein Anrecht auf Informationen, die die Sicherheit ihrer eigenen Kennungen betreffen, auch wenn dies "Eindringlingsinformationen" oder "Bloßstellende Informationen" über einen anderen Benutzer umfasst. Wenn zum Beispiel Kennung aaaa übernommen wird und der Eindringling Kennung bbbb angreift, hat der Benutzer bbbb das Recht zu wissen, dass aaaa gehackt wurde und wie der Angriff auf die bbbb-Kennung ausgeführt wurde. Benutzer bbbb hat außerdem das Recht, weitere Informationen über aaaa einzuholen, die es bbbb ermöglichen, den Angriff zu untersuchen. Wenn bbbb beispielsweise von jemandem angegriffen wird, der aus der Ferne mit aaaa verbunden ist, sollte bbbb die Herkunft der Verbindungen zu aaaa mitgeteilt werden, obwohl diese Informationen normalerweise als privat für aaaa betrachtet werden. Nutzer der Universität Münster (WWU) haben das Recht, benachrichtigt zu werden, wenn ihre Kennung als gefährdet eingestuft wird.

• Die Gemeinschaft der Universität Münster (WWU) erhält keine sensiblen Informationen, es sei denn, die betroffenen Parteien haben der Verbreitung der Informationen zugestimmt. Statistische Informationen können den allgemeinen Mitglieder der WWU zur Verfügung gestellt werden. Es besteht keine Verpflichtung des WWU-CERT, Vorfälle an die Gemeinschaft zu melden. In der Regel informiert das WWU-CERT alle betroffenen Parteien über die Art und Weise, in der sie betroffen waren oder die betroffene Abteilung wird dazu ermutigt, die Betroffenen zu unterrichten.

• Die breite Öffentlichkeit erhält keine sensiblen Informationen. Das WWU-CERT kommuniziert in der Regel nicht mit der Öffentlichkeit, sondern nur mit der Gemeinschaft der Universität Münster (WWU). Das WWU-CERT ist sich bewusst, dass in der Gemeinschaft der WWU veröffentlichte Informationen im Grunde genommen in der Öffentlichkeit verbreitet werden, sodass die entsprechenden Informationen vor der Veröffentlichung aufbereitet werden.

• Die Computersicherheitsgemeinschaft wird genauso behandelt wie die allgemeine Öffentlichkeit. Mitglieder des WWU-CERT können an Diskussionen innerhalb der Computersicherheitsgemeinschaft teilnehmen, wie Newsgroups, Mailinglisten und Konferenzen, sie behandeln solche Foren jedoch so, als wären sie die Öffentlichkeit. Technische Probleme (einschließlich Schwachstellen) können zwar detailliert erörtert werden, jedoch werden alle Beispiele aus der WWU-CERT-Erfahrung anonymisiert, um die Identifizierung der betroffenen Parteien zu vermeiden.

• Die Presse wird auch als Teil der Öffentlichkeit betrachtet. Das WWU-CERT wird nicht direkt mit der Presse in Bezug auf Computersicherheitsvorfälle in Kontakt treten, es sei denn, es wird auf Informationen hingewiesen, die bereits der Öffentlichkeit zugänglich gemacht wurden. Bei Bedarf werden Informationen an die Abteilung zur Öffentlichkeitsarbeit der Universität Münster (WWU) und an die Kundenbeziehungs-Abteilung des ZIV weitergeleitet. Alle vorfallbsezogenen Fragen werden nur von diesen beiden Stellen entgegengenommen. Die obigen Ausführungen haben keinen Einfluss auf die Möglichkeit von Mitgliedern des WWU-CERT, Interviews zu allgemeinen Themen der Computersicherheit zu geben. In der Tat werden sie dazu ermutigt, dies zum Wohle der Gemeinschaft zu tun.

• Anderen Abteilungen und CSIRTs, wenn sie Partner bei der Untersuchung eines Computersicherheitsvorfalls sind, wird in einigen Fällen vertrauliche Informationen anvertraut. Dies geschieht nur, wenn die Vertrauenswürdigkeit überprüft werden kann und die übermittelten Informationen auf die Informationen beschränkt sind, die zur Lösung des Vorfalls hilfreich sein können. Ein solcher Informationsaustausch findet am wahrscheinlichsten mit Abteilungen statt, die dem WWU-CERT bekannt sind (beispielsweise mit CERTs oder CSIRTs anderer bekannten Universitäten).

  Für die Behebung eines Sicherheitsvorfalls werden ansonsten halbprivate, aber relativ harmlose Benutzerinformationen, wie die Herkunft von Verbindungen zu Benutzerkonten, nicht als hochsensibel eingestuft und können ohne übermäßige Vorsichtsmaßnahmen an einen fremde Stelle übermittelt werden. "Eindringlingsinformationen" werden frei an andere Systemadministratoren und CSIRTs übermittelt. "Bloßstellende Informationen" können übertragen werden, wenn hinreichende Sicherheit dafür besteht, dass sie vertraulich bleiben und sie notwendig für die Lösung eines Vorfalls sind.

• Anbieter werden in den meisten Fällen wie andere CSIRTs betrachtet. Das WWU-CERT möchte die Anbieter aller Arten von Netzwerkgeräten, Computergeräten, Software und Diensten zur Verbesserung der Sicherheit ihrer Produkte ermutigen. Zu diesem Zweck wird eine in einem solchen Produkt entdeckte Sicherheitsanfälligkeit zusammen mit allen technischen Details, die zur Identifizierung und Behebung des Problems erforderlich sind, an den Hersteller gemeldet. Identifizierenden Details werden dem Anbieter nicht ohne die Erlaubnis der betroffenen Parteien mitgeteilt.
• Strafverfolgungsbehörden erhalten vom WWU-CERT uneingeschränkte Mitarbeit, einschließlich aller Informationen, die zur Durchführung einer Untersuchung erforderlich sind, gemäß der "Benutzungsordnung des Zentrums für Informationsverarbeitung und der IV-Versorgungseinheiten der Westfälischen Wilhelms-Universität Münster". In diesen Fällen wird die Rechtsabteilung der Universität Münster (WWU) beteiligt.

4.3 Kommunikation und Authentifizierung

In Anbetracht der Arten von Informationen, mit denen sich das WWU-CERT befasst, werden Telefone als ausreichend sicher angesehen, um auch unverschlüsselt verwendet zu werden. Unverschlüsselte E-Mails werden nicht als besonders sicher angesehen, reichen jedoch für die Übertragung von Daten mit geringer Sicherheitseinstufung aus. Werden hochsensible Daten per E-Mail gesendet müssen PGP oder S/MIME zur Verschlüsselung genutzt werden. Dateiübertragungen über das Netzwerk werden für diese Zwecke wie E-Mails behandelt: sensible Daten sollten für die Übertragung verschlüsselt werden.

Wenn es erforderlich ist, Vertrauen aufzubauen, z.B. bevor man sich auf Informationen, die dem WWU-CERT übermittelt werden, verlässt oder bevor vertrauliche Informationen offengelegt werden, wird die Identität und die Vertrauenswürdigkeit der anderen Partei in einem angemessenen Maß ermittelt. Innerhalb der Universität Münster (WWU) und bei bekannten CERTs oder CSIRTs genügen Empfehlungen von vertrauenswürdigen Personen, um jemanden zu identifizieren. Andernfalls werden geeignete Methoden verwendet, z.B. eine Suche nach FIRST-Mitgliedern, die Verwendung von WHOIS und anderen Internetregistrierungsinformationen, so wie ein telefonischer Rückruf oder ein signierter E-Mail-Austausch, um sicherzustellen, dass die Partei kein Betrüger ist. Eingehende E-Mails, deren Daten als vertrauenswürdig eingestuft werden müssen, werden beim Absender persönlich oder mittels digitaler Signaturen geprüft (PGP und S/MIME werden unterstützt).

Alle E-Mails mit offiziellen Aussagen des Teams oder der Teammitglieder müssen mittle X.509 oder PGP signiert werden. E-Mails mit sensiblen Informationen müssen mittles X.509 oder PGP verschlüsselt und signiert werden.

Das WWU-CERT unterstützt das Traffic Light Protocol (TLP) (https://www.first.org/tlp/) zum Austausch von Informationen.

4.4 Reaktionszeit

In der Regel erfolgt eine erste Antwort zeitnah noch am selben Tag. Falls dies nicht möglich ist, wird diese am nächsten Werktag verschickt.

Die Kontaktinformationen, Arbeitszeiten und Notfall-Protokolle können in Abschnitt 2 gefunden werden.

5. Dienste

5.1 Reaktion auf Sicherheitsvorfälle (Incident Response)

Das WWU-CERT unterstützt IV-Sicherheitsbeauftragte (IV-SB) und Systemadministratoren beim Umgang mit technischen und organisatorischen Aspekten von Vorfällen. Insbesondere bietet es Unterstützung oder Beratung in Bezug auf die folgenden grundlegenden Schritte der Vorfallsbearbeitung (gemäß DFN-CERT, https://www.dfn-cert.de/informationen/grundlegende-schritt-zur-vorfallsbearbeitung.html):

5.1.1 Vorbereitung

Zur Vorbereitung gehört seitens der Organisationseinheiten das Zusammenstellen von Kontakt-Listen mit Ansprechpartnern, Dokumentationen zu betreuten Systemen und idealer Weise die Erstellung von Notfallplänen für verschiedene Szenarien. Ausführlichere Informationen sind in Abschnitt 5.2 zu finden.

5.1.2 Entdeckung

Die Entdeckung eines Sicherheitsvorfalls ist der erste Schritt in dessen Behandlung. Oftmals ist es nicht einfach zu entscheiden, ob ein Vorfall vorliegt oder nicht. Um dies zu entscheiden, sollte man systematisch vorgehen und sich an Checklisten für Vorfälle orientieren (siehe DFN-CERT).

5.1.3 Analyse

Bei der Analyse geht es um die Aufklärung der näheren Umstände des Sicherheitsvorfalls, sowie um die Koordinierung des weiteren Vorgehens mit allen Beteiligten. Dazu gehören neben den Kollegen auch Vorgesetzte, Kunden sowie Betreuer und Benutzer der betroffenen Systeme und Anwendungen. Weitere Beteiligte sind ggfs. ihr Rechtsbeistand bzw. Ermittlungsbehörden (speziell, wenn juristische Schritte unternommen oder Anzeige erstattet werden soll), die Pressestelle, ISP(s), Hersteller (z.B. für Patches) und unter Umständen andere CSIRTs.

Zur Klärung des Ausmaßes des Vorfalls, sollten folgende Fragen erörtert werden:

• Wann und wo ist der Vorfall passiert?
• Was genau ist passiert?
• Wer ist beteiligt und wer ist der Angreifer?
• Wie ging er vor? Welche Schwachstelle wurde ausgenutzt?
• Welcher Schaden ist bisher entstanden? Welcher weitere Schaden droht?

5.1.4 Eindämmung

Bei der Eindämmung geht es darum, das System vor weiteren Schäden durch den Vorfall zu schützen und die Schwachstelle zu beseitigen.

Oft ist eine abschließende Lösung des Problems nicht sofort möglich. So ist z.B. das Einspielen von Patches während des Betriebs nicht gestattet (Service Level Agreements) oder man möchte laufende Jobs / Experimente nicht abbrechen. Dennoch gilt es, weiteren Schaden, speziell bei Dritten, zu verhindern (z.B. durch Würmer, Spam, DDoS-Angriffe, usw.). Manchmal ist Eindämmen sogar die einzige verbleibende Option, weil es keine "endgültige" Lösung gibt, z.B. während eines DDoS Angriffs.

Grundsätzlich steht hinter Eindämmungsmaßnahmen immer die Abwägung zwischen dem eigenen Schaden durch die Maßnahmen (z.B. durch Abschaltung von Diensten) und dem (potentiellen) Schaden anderer durch Untätigkeit. Einige Maßnahmen werden nur kurzfristig ergriffen, bis eine Wartung des Systems möglich ist.

5.1.5 Kontrolle gewinnen

Wiedererlangen der Kontrolle heißt in vielen Fällen: Neuinstallation. Speziell bei Befall durch Viren / Würmer oder bei Einbrüchen ins System ist dieser Schritt leider unvermeidlich. Die im vorigen Abschnitt beschriebene Eindämmung hat den Nachteil, dass die Ursache des Problems nicht entfernt wird. Das Entfernen von Hintertüren oder Würmern entfernt z.B. nicht die Schwachstelle, durch die der Einbruch ins System überhaupt erst möglich war. Auch kann man (besonders bei Kernel-Rootkits) nie ganz sicher sein, das sämtliche Hinterlassenschaften des Angreifers aus dem System entfernt wurden.

Neben der eigentlichen Neuinstallation sollte das Härten des Systems nicht vergessen werden. Dazu zählt nicht nur das Einspielen sämtlicher Sicherheitspatches, sondern auch die sichere Konfiguration der Dienste. Dabei darf Software von Fremdherstellern und auch selbstentwickelte Software nicht vergessen werden. Ganz besonders wichtig: Alle Passwörter sollten geändert werden, sowohl lokal als auch innerhalb der Domäne, falls der Angreifer Zugriff auf die Passwort-Datenbank (LDAP-Server, KDC, Domain-Controller) hatte. Waren schwache Passworte die mögliche Ursache, sollte die Passwort-Policy entsprechend angepasst werden. Ebenso gefährdet sind Schlüssel zur Signatur oder Verschlüsselung, also X.509-, PGP- und SSH -Schlüssel. Werden diese nicht ebenfalls geändert, hat der Angreifer weiterhin Zugriff auf VPNs, E-mail, Web-Anwendungen oder GRID-Systeme.

5.1.6 Nachbereitung

Wenn Notfallpläne angewendet werden, funktioniert selten alles so, wie es sich die Planer vorgestellt haben. Deshalb sollten sich nach dem Vorfall die Beteiligten zu einer Nachbereitung des Vorfalls zusammensetzen und besprechen:

• Was (welche Maßnahme) hat funktioniert?
• Was hat nicht funktioniert?
• Was hätte man besser machen können?
• Welche (Teil-)Pläne müssen geändert werden?
• Wo ist die Dokumentation lückenhaft oder wofür wurden Pläne vergessen?

Das Ergebnis der Nachbereitung sind aktualisierte Notfallpläne und Dokumentationen, so dass man das nächste Mal hoffentlich besser vorbereitet ist.

Zusätzlich sammelt das WWU-CERT Statistiken über Sicherheitsvorfälle, die innerhalb der Universität Münster (WWU) auftreten oder diese involvieren. Die Mitglieder der WWU werden benachrichtigt, wenn es die Umstände des Sicherheitsvorfalls erfordern.

Um die Unterstützung des WWU-CERT bei der Behandlung eines Sicherheitsvorfalls anzufragen, kann der Kontakt per E-Mail, wie in Abschnitt 2.11 beschrieben, aufgenommen werden. Es ist anzumerken, dass der Umfang der Unterstützung variieren kann (siehe Abschnitt 4.1).

5.2 Proaktive Dienste

Das WWU-CERT koordiniert und stellt in Zusammenarbeit mit dem ZIV die folgenden Dienste, je nach verfügbaren Ressourcen, zur Verfügung:

• Informationsdienste

  • Bereitstellung der Liste der administrativen und technischen Sicherheitskontakte der Abteilungen. Zu finden unter: https://www.uni-muenster.de/IV-Sicherheit/ivsicherheitsbeauftragte.html
  • Verwaltung von Mailing-Listen, um Sicherheitskontakte über neue Informationen zu informieren, die für ihren Aufgabenbereich relevant sind. Diese Listen stehen nur IV-Sicherheitsbeauftragten (IV-SB) und Systemadministratoren der Universität Münster (WWU) zur Verfügung.
  • Bereitstellung eines Repository mit vom Hersteller zur Verfügung gestellten und anderen sicherheitsrelevanten Patches für verschiedene Betriebssysteme. Dieses Repository wird der Allgemeinheit dort zur Verfügung stehen, wo Lizenzbeschränkungen dies zulassen, und wird über allgemein verfügbare Kanäle wie Webseiten und / oder FTP bereitgestellt.
  • Bereitstellung eines Repository mit Sicherheitstools und Dokumentation für die Verwendung durch Systemadministratoren. Soweit möglich, werden vorkompilierte, einbaufertige Versionen geliefert. Diese werden wie oben beschrieben über Webseiten oder FTP bereitgestellt.
  • Weiterleitung von sicherheitsrelevanten Ausschnitten aus verschiedenen vorhandenen Quellen, z.B. großen Mailinglisten und Newsgroups. Die daraus resultierenden Ausschnitte werden je nach Dringlichkeit und Sensibilität auf der eingeschränkten Mailingliste oder auf der Webseite zur Verfügung gestellt.
  • Bereitstellung eines Services zur Malware-Analyse verdächtiger Dateien für Mitglieder der Universität Münster (WWU) unter folgender URL: https://www.uni-muenster.de/ZIV.CERT/vt/.

• Schulungen

  • Mitglieder des WWU-CERT geben regelmäßig Seminare zu Themen rund um die Computersicherheit. Diese Seminare stehen IV-Sicherheitsbeauftragten (IV-SB) und Systemadministratoren der Universität Münster (WWU) offen.

• Auditierung

  • Regelmäßige Durchführung von Schwachstellenscans bei gefährdeten Systemen. Bereitstellung eines Schwachstellenscans auf Anforderung für Systemadministratoren der Universität Münster (WWU), zu finden unter: https://www.uni-muenster.de/ZIV.CERT/scan/.
  • Durchführung von Sicherheitsbegehungen in Zusammenarbeit mit dem IV-Sicherheitsteam. Maschinen und Subnetze der Universität Münster (WWU) werden auditiert und mit einem Sicherheitsniveau versehen. Diese Informationen zur Sicherheitsstufe werden den Mitgliedern der Universität Münster (WWU) zur Verfügung gestellt, um die Einstellung entsprechender Zugriffsrechte zu erleichtern. Die Einzelheiten der Sicherheitsanalysen sind jedoch vertraulich und nur den betroffenen Parteien zugänglich.

• Archivierungsdienste

  • Bereitstellung eines zentralen Protokollierungsdienstes für Maschinen mit Remote-Protokollierung im Unix-Stil. Eingehende Protokolleinträge werden von einem automatisierten Protokollanalyseprogramm überwacht und Ereignisse oder Trends, die auf ein potenzielles Sicherheitsproblem hindeuten, werden den betroffenen Systemadministratoren gemeldet.
  • Aufzeichnungen über behandelte Sicherheitsvorfälle werden aufbewahrt. Während die Aufzeichnungen vertraulich bleiben, werden den Mitgliedern der Universität Münster (WWU) regelmäßig statistische Berichte über die Sicherheitsvorfälle zur Verfügung gestellt.

5.3 Reaktive Dienste

Darunter fällt das Monitoring von zentralen Sicherheitssystemen (z.B. Intrusion Prevention System (IPS), Antivirus-System) sowie die Unterstützung bei der forensischen Analyse von Sicherheitsvorfällen.

Detaillierte Beschreibungen über die angebotenen Dienste und Anleitungen zu deren Nutzung werden auf den Webseiten des WWU-CERT bereitgestellt (siehe Abschnitt 2.10).

6. Meldung von Sicherheitsvorfällen

Aktuell wurden noch keine eigenen Formulare für die Meldung von Sicherheitsvorfällen an das WWU-CERT entwickelt.

Meldungen zu Sicherheitsvorfällen sollten die folgenden Informationen enthalten:

• Datum und Zeitpunkt des Vorfalls (inklusive Zeitzone)
• Quell-IPs und -Ports, sowie genutzte Protokolle
• Ziel-IPs und -Ports, sowie genutzte Protokolle

Vorzugsweise sollte die Meldung eine Log-Datei in einem üblichen Format enthalten, z.B. Syslog oder Common Event Format (CEF).

7. Haftungsausschluss

Während bei der Erstellung von Informationen, Benachrichtigungen und Warnmeldungen jede Vorsichtsmaßnahme ergriffen wird, übernimmt das WWU-CERT keine Verantwortung für Fehler oder Auslassungen oder für Schäden, die durch die Verwendung der darin enthaltenen Informationen entstehen.

Dieses Dokument wird „so wie es ist“ zur Verfügung gestellt, ohne jegliche ausdrückliche oder stillschweigende Garantie, einschließlich, jedoch nicht beschränkt auf die implizierten Garantien der Marktgängigkeit, der Eignung für einen bestimmten Zweck oder der Nichtverletzung.

Die Verwendung dieses Dokuments erfolgt auf alleinige Gefahr des Benutzers. Alle Benutzer stimmen diesen Nutzungsbedingungen ausdrücklich zu.

Wenn Sie Fehler in diesem Dokument feststellen, schicken Sie bitte eine Nachricht per E-Mail an das WWU-CERT. Wir werden versuchen, solche Fehler so schnell wie möglich zu beseitigen.

8. Copyright

Copyright (C) The Internet Society (1998). All Rights Reserved.
Copyright (C) DFN-CERT Services GmbH. All Rights Reserved.
Copyright (C) Westfälische Wilhelms-Universität Münster (2019). All Rights Reserved.