Behandlung von Sicherheitsvorfällen

Wenn ein Sicherheitsvorfall eintrittt, muss insbesondere sicherstellt werden, dass

  • die jeweils zuständigen Stellen über den Sicherheitsvorfall informiert werden
  • die jeweils Verantwortlichen sich um die Behebung oder Minimierung des Schadens kümmern
  • ein Sicherheitsvorfall nicht durch falsche Reaktionen zu einem größeren Problem wird.

Verhaltensregeln bei einem Sicherheitsvorfall

Allgemeine Verhaltensregeln bei einem Sicherheitsvorfall

Folgende allgemein gültige Verhaltensregeln können für alle Arten von sicherheitsrelevanten Unregelmäßigkeiten festgehalten werden:

  • Alle Beteiligten sollten Ruhe bewahren und keine übereilten Maßnahmen ergreifen.
  • Unregelmäßigkeiten sollten gemäß dem unten aufgeführten Meldeplan unverzüglich an die entsprechenden Stellen gemeldet werden.
  • Gegenmaßnahmen dürfen erst nach Aufforderung durch Berechtigte ergriffen werden.
  • Alle Begleitumstände sind durch die Betroffenen ungeschönt, offen und transparent zu erläutern, um damit zur Schadensminderung beizutragen.
  • Es sollte eine erste auf den persönlichen Erfahrungen beruhende Einschätzung der möglichen Schadenshöhe, der Folgeschäden, der potentiell intern und extern Betroffenen und möglicher Konsequenzen abgegeben werden.
  • Informationen über den Sicherheitsvorfall dürfen nicht unautorisiert an Dritte weitergegeben werden.

Verhaltensregeln bei spezifischen Vorfällen

Phishing / Phishing-Wellen

Bei Phishing-Wellen treffen eine Vielzahl meist ähnlicher E-Mails mit gefälschten Absendern, häufig vermeintlich aus der eigenen Institution, ein, deren Inhalt die Empfänger dazu bewegen soll, Zugangskennung und Passwort preiszugeben. Diese E-Mails wurden durch die „SPAM-Abwehr“ nicht als Phishing erkannt.

Hinweise auf Phishing-Mails kommen zunächst meist auf dem Kreis der Beschäftigten, von denen einzelne vermeintliche Phishing-Mails erhalten haben und dies dem IT-Support melden.

Diese E-Mails sind sofort darauf hin zu analysieren, ob es sich um Phishing-Mails handeln könnte. Sofern dann Indizien bestehen, dass tatsächlich Phishing-Mails bei der Universität eingetroffen sind und noch eintreffen, ist zu analysieren, wie viele E-Mails dieser Art bereits in Postfächern abgelegt wurden. Gleichzeitig ist die Phishing-Mail inhaltlich auf ihr Gefahrenpotential hin zu bewerten (Sprache, was soll preisgegeben werden, …).

Sofern eine nicht unerhebliche Anzahl von Phishing-Mails mit dem Gefahrenpotential der Preisgabe von Authentifizierungsinformationen vorhanden ist, müssen unverzüglich alle Beschäftigten davor gewarnt werden. Eine Mitarbeiterin oder ein Mitarbeiter der Abteilung Serversysteme schickt deshalb eine Warnmeldung an alle Beschäftigten (vgrp.bedienstete.rz(at)uni-bamberg.dealle(at)vhb.deit@lifbi.de). Gleichzeitig wird auf der WWW-Seite des IT-Service eine News geschaltet, die vor der Phishing-Mail warnt. Je nach Umfang der Attacke sind auch alle Studierenden unter vgrp.stud.rz(at)uni-bamberg.de anschreibbar.

Sofern Links in Phishing-Mails zu Servern führen, über die Kontoinformationen erfasst werden sollen, sperrt die Abteilung Netz-Service diese Links bzw. Netzbereiche für den Zugriff aus dem universitären Datennetz. Domaininhaber und Hostinganbieter werden über den Missbrauch benachrichtigt. Die Sperrung bleibt solange bestehen, bis der Domaininhaber oder der Hostinganbieter über die Sperrung/Löschung der betroffenen Server informiert.

Der SPAM-Abwehr Dienstleister, derzeit RZ der Universität Würzburg, wird über die Phishing-Mails anhand von Beispielen informiert, damit die SPAM-Abwehr diese zukünftig erkennt.

Der IT-Support berät Beschäftigte und Studierende, die Nutzerkennung und Passwort als Reaktion auf eine Phishing-Mail preisgegeben haben (sofortige Passwortänderung, Virenscan des PCs, …). Gegebenenfalls wird die Abteilung PC-Service informiert, um PCs der Betroffenen genauer zu untersuchen.

Krypto-Trojaner

Krypto-Trojaner (Ransomware) sind Schadprogramme, die den Zugriff auf Daten und damit deren Nutzung an einem Computersystem blockieren. Dazu werden die Daten häufig verschlüsselt. Für die Entschlüsselung wird sofort oder zu einem späteren Zeitpunkt ein Entgelt gefordert.

Krypto-Trojaner werden in der Regel über E-Mail-Anhänge von SPAM-Mails oder Sicherheitslücken in Browsern beim Besuch von WWW-Seiten verbreitet.

Bei Verdacht auf Befall eines Computersystems mit einem Krypto-Trojaner ist sofort der betroffene Rechner vom Datennetz zu trennen und die Abteilung PC-Service zu informieren.

Diese stellt den Umfang des Schadens fest (was ist verschlüsselt, wie viel ist verschlüsselt). Aufgrund des Konzepts, alle wichtigen Daten eines Clients am zentralen Fileserver abzulegen, ist zu klären, in wie weit diese Daten noch zugänglich sind. Daten, die am Fileserver bereits nur noch verschlüsselt vorliegen, können aus der letzten Datensicherung wiederhergestellt werden.

Die verschlüsselten Daten sind geeignet zu sichern. Anschließend wird der betroffene Rechner neu aufgesetzt, also mit einem neuen Image des IT-Service versehen. Sofern der verursachende Trojaner bereits bekannt und Entschlüsselungsmöglichkeiten vorhanden sind, werden die Daten wieder entschlüsselt.

Es wird in keinem Fall eine Zahlung an die „Erpresser“ geleistet. Die RZ-Leitung entscheidet, ob über das Justitiariat Anzeige zu erstatten ist.

Vor Krypto-Trojanern wird entsprechend der Vorgehensweise bei Phishing-Mails gewarnt.

Identitätsdiebstahl

Identitätsdiebstahl ist eine Form der missbräuchlichen Nutzung personenbezogener Daten durch Dritte. Im Zusammenhang mit den IT-Systemen der Universität wird dies in der Regel die missbräuchliche Nutzung von Zugangsdaten sein, um unter der Identität einer anderen Person beispielsweise einen betrügerischen Vorteil zu erreichen oder jemand in Misskredit zu bringen.

Sofern der IT-Service über einen Identitätsdiebstahl unterrichtet wird, greifen sinngemäß die Mechanismen aus dem Abschnitt Missbrauch von Zugangsdaten.

Falls unter Missbrauch einer anderen Identität in einem IT-System der Universität, wie beispielsweise WWW-Server, strafrechtlich relevante oder diskreditierende Inhalte abgelegt wurden, sind diese sofort zu blockieren. Im Zweifel ist beim Justitiariat eine Entscheidung herbeizuführen.

Je nach Sachlage ist das Justiziariat zu verständigen, um Anzeige zu erstatten.

Missbrauch von Zugangsdaten

Missbrauch von Mailkonten für Spam

Einzelne Besitzer von Mailkonten werden immer wieder Opfer von Phishing-Mails. Ein Indiz hierfür ist in der Regel, dass sich in einer E-Mail-Queue am Mailserver tausende von E-Mails befinden, die nicht ausgeliefert werden können. Eine solche Situation wird beispielsweise über die Überwachung durch PRTG signalisiert. In einem solchen Fall ist zunächst zu ermitteln, ob es sich bei den „Massenmails“ tatsächlich um SPAM-Mails handelt. Häufig ist dies schon anhand des E-Mail-Betreffs zu erkennen. Anschließend wird festgestellt, welche/r Absender diese E-Mails verursacht hat. Sofern Zweifel bestehen, ob es sich um SPAM-Mails handelt, ist Kontakt mit den Absendern zur Klärung aufzunehmen. Wenn es sich offensichtlich um SPAM-Mails handelt, werden die Absender sofort gesperrt. Falls eine private E-Mail-Adresse hinterlegt ist, sind die Absender unverzüglich von der Sperre zu benachrichtigen. Die Absender werden aufgefordert sich zu melden. In Abstimmung mit den Absendern wird das E-Mail-Passwort zurückgesetzt und die Absender gezwungen, ein neues Passwort zu vergeben.

Missbrauch von Zugangsdaten unabhängig von SPAM

Sofern der Verdacht besteht, dass Zugangsdaten anderen Personen als den berechtigten Inhabern bekannt sind, muss das betreffende Konto sofort gesperrt werden. Falls eine private E-Mail-Adresse hinterlegt ist, ist der Kontoinhaber unverzüglich von der Sperre zu benachrichtigen. Die Absender werden aufgefordert sich zu melden. In Abstimmung mit den Absendern wird das Passwort zurückgesetzt und die Absender gezwungen, ein neues Passwort zu vergeben.

Je nach Sachlage ist das Justitiariat zu verständigen, um Anzeige zu erstatten.

Urheberrechtsverletzung

Wenn der It-Service über Urheberrechtsverletzungen informiert wird, ist sofort das Justitiariat zu verständigen. Dieses entscheidet über die weitere Vorgehensweise. Im Fall einer Urheberrechtsverletzung dürfen die davon betroffenen Inhalte nicht mehr „öffentlich“ zugänglich sein. Das Justitiariat setzt sich mit den für die Inhalte Verantwortlichen in Verbindung.

Sofern eine Urheberrechtsverletzung von Dritten glaubhaft gemacht wird und vom Justitiariat kurzfristig keine Rückmeldung kommt, sperrt der IT-Service zur Abwehr von Schaden für die Universität die betreffenden Inhalte und benachrichtigt darüber unverzüglich das Justitiariat. Dieses entscheidet dann über die Dauer der Aufrechterhaltung der Sperre und setzt sich mit den für die Inhalte Verantwortlichen in Verbindung.

Beeinträchtigung der Verfügbarkeit von dienstlichen Daten

Todesfälle

Aktuell wird ein möglichst allgemein gültiger Prozess zur Vorgehensweise bei Todesfällen abgestimmt.

Der IT-Service erhält demnach von der Personalabteilung eine Mitteilung über einen Todesfall. Sofern der IT-Service anderweitig von einem Todesfall unterrichtet wird, ist in Abstimmung mit der Personalabteilung zu klären, ob dies zutrifft (Person vermisst, nicht auffindbar, ...).

Bis zur verabschiedeten Modellierung gilt folgende Vorgehensweise bei einem Todesfall:

Die BA-Nummer ist sofort zu sperren. Der beziehungsweise die Datenschutzbeauftragte ist darüber zu informieren.

PCs, Laptops und Smartphones sind dem PC-Service zu übergeben. Dieser entfernt, so möglich, die Datenträger und übergibt diese dem Datenschutzbeauftragten.

Der beziehungsweise die Datenschutzbeauftragte klärt die weitere Vorgehensweise mit potentiellen Erben, die Rechte an Daten haben könnten. Dazu gibt es derzeit folgende Vorgabe des Datenschutzbeauftragten:

„Für die Daten auf Smartphones und Datenträgern kommt dasselbe Verfahren wie bei den auf dem PC gespeicherten Daten in Betracht, also gemeinsame Sichtung und anschließend Löschung bzw. Überlassung der eindeutig privaten Daten/E-Mails an den Erben. Der Zugriff auf das Postfach des Verstorbenen dürfte nur mit einem fachkundigen IT-Mitarbeiter erfolgen können, damit eindeutig private Nachrichten nicht geöffnet werden, und die Geräte bzw. Datenträger nach der Löschung wieder in den dienstlichen Gebrauch zu übernehmen sein. Für den Fall, dass dienstliche Daten auch auf dienstlich genutzten privaten Smartphones gespeichert werden, wird in erster Linie – soweit möglich – die Datenlöschung und die Deaktivierung bestimmter Gerätefunktionen aus der Ferne immer wieder als zu ergreifende Maßnahmen genannt. Solche wären vorher in Hinblick auf Vorkehrungen zur Trennung von dienstlichen und privaten Daten auf den Geräten am besten auch etwa durch eine Dienstvereinbarung zu regeln.“

Details der Abwicklung dieser Vorgaben mit den Erben klärt die Personalabteilung und/oder der beziehungsweise die Datenschutzbeauftragte.

Krankheit

Durch Krankheit von Beschäftigten kann der Zugriff auf Daten, die von wichtigem dienstlichem Belang sind, nicht mehr möglich sein.

Hierbei kann noch zu unterscheiden sein, ob eine Person nicht mehr ansprechbar ist oder anderweitig wegen Krankheit keine Rückmeldung auf Anfragen von Vorgesetzten erfolgt. Zweifelsfälle klärt der beziehungsweise die Datenschutzbeauftragte.

Es ist des Weiteren zu unterscheiden, ob es sich um aufgabenbezogene oder persönliche Datendienste handelt.

Gemäß dem Konzept des Rechenzentrums, den Zugang zu Daten, die mit der Aufgabenerfüllung von Bediensteten zusammenhängen, sogenannte aufgabenbezogene Datendienste, über die persönliche Mitgliedschaft in Sicherheitsgruppen zu regeln, gibt es immer eine Person, die eine solche Sicherheitsgruppe verwaltet. Sofern für eine erkrankte Person, als Mitglied einer Sicherheitsgruppe, der Zugriff auf Daten möglich war, kann über die Verwaltung der Sicherheitsgruppe jederzeit weiteren Personen dieser Zugriff gewährt werden. Dies können Verwalter über das IAM-Portal selbständig vornehmen.

Das Rechenzentrum gewährt ohne Zustimmung des beziehungsweise der Datenschutzbeauftragten keinen Zugriff auf persönliche Datendienste durch Dritte. Wenn die Annahme besteht, dass wichtige dienstliche Daten im Rahmen persönlicher Datendienste abgelegt sind, ist von der oder dem Vorgesetzten, der beziehungsweise die Datenschutzbeauftragte zu informieren. Der beziehungsweise die Datenschutzbeauftragte entscheidet über die weitere Vorgehensweise. Nach Genehmigung des beziehungsweise der Datenschutzbeauftragten wird Vorgesetzten Zugang zu persönlichen Datendiensten auf geeignete Weise, je nach Datendienst, gewährt.

Streitigkeiten

Es ist zu unterscheiden, ob es sich um aufgabenbezogene oder persönliche Datendienste handelt.

Über die Verwaltung von aufgabenbezogenen Datendiensten haben Verwaltende einer Sicherheitsgruppe immer die Möglichkeit den Zugriff zu regeln. Bei Streitigkeiten über die Berechtigung zum Zugang zu solchen Datendiensten ist die den Streitenden vorgesetzte Stelle einzuschalten. Gegebenenfalls ist der beziehungsweise die Datenschutzbeauftragte einzubeziehen. Sofern weder eine den Streitenden vorgesetzte Stelle noch der beziehungsweise die Datenschutzbeauftragte anderes verfügen, geht der IT-Service davon aus, dass die Verwaltenden von Sicherheitsgruppen den Zugriff auf aufgabenbezogene Datendienste festlegen. Sofern bei aufgabenbezogenen Datendiensten Mitglieder einer Sicherheitsgruppe den Zugriff auf Daten für die verwaltenden Personen verhindern wollen, wenden Sie sich an die nächste vorgesetzte Stelle oder an den beziehungsweise die Datenschutzbeauftragte.

Der IT-Service gewährt ohne Zustimmung des beziehungsweise der Datenschutzbeauftragten keinen Zugriff auf persönliche Datendienste durch Dritte. Wenn die Annahme besteht, dass wichtige dienstliche Daten im Rahmen persönlicher Datendienste abgelegt sind und die daran berechtigte Person diese auch Anweisung nicht für die Erledigung der dienstlichen Aufgaben einer Organisationseinheit zur Verfügung stellt, ist von der oder dem Vorgesetzten, der beziehungsweise die Datenschutzbeauftragte zu informieren. Der beziehungsweise die Datenschutzbeauftragte entscheidet über die weitere Vorgehensweise. Nach Genehmigung des beziehungsweise der Datenschutzbeauftragten wird Vorgesetzten Zugang zu persönlichen Datendiensten gewährt.

Diebstahl oder Verlust von mobilen Geräten oder Datenträgern

Der Vorfall ist unverzüglich im IT-Service zu melden. Der IT-Service meldet die Seriennummer an den Hersteller, so dass bei einer zukünftigen Inanspruchnahme des Hersteller-Supports das Gerät als gestohlen erkannt werden kann. Bei Diebstahl ist in Absprache mit dem Justitiariat darüber hinaus Anzeige zu erstatten. Passworte zu Zugangsdaten, die auf den Geräten oder Systemen genutzt wurden, sind sofort zu ändern. Bei einem an das Exchange-System angebundenen Smartphone besteht u.U. die Möglichkeit, das Gerät aus der Ferne zurückzusetzen.

Bei Verlust von Systemen oder Datenträgern, auf denen vertrauliche Daten ohne weitere Sicherungsmechanismen (wie Festplattenverschlüsselung) gespeichert waren, ist mit dem jeweiligen Vorgesetzten das weitere Vorgehen abzusprechen. Es sind weitere Stellen zu informieren bzw. hinzuziehen (vgl. Abschnitt: Meldeplan und Zuständigkeiten). Bei Verlust von personenbezogenen Daten ist der Datenschutzbeauftragte oder die Datenschutzaufsichtsbehörde zu informieren. Falls die Offenlegung der Daten ein hohes Schadenspotential für das Ansehen der Universität oder in Bezug auf finanzielle Konsequenzen hat, ist die Universitätsleitung zu informieren. 

Auftreten von Schadprogrammen

Verhaltensregeln für Nutzer

Virenschutzprogramme müssen eingesetzt werden und immer aktiviert bleiben. Bei einem Befall mit Schadprogrammen oder dem Verdacht darauf ist unverzüglich das Rechenzentrum zu informieren.

Dienstliche Daten sind grundsätzlich auf den vom Rechenzentrum bereitgestellten Netzlaufwerken abzulegen oder dorthin zu sichern. Die Netzlaufwerke werden von Virenschutzprogrammen überwacht. Bei einem nicht ohne Datenverlust behebbaren Schaden an einem Endgerät stehen die Dateien weiterhin auf dem Netzlaufwerk zur Verfügung.

Neben der Entdeckung und Meldung von Schadprogrammen durch das Virenschutzprogramm können folgende Anzeichen auf eine Infektion mit Schadprogrammen hinweisen:

  • Häufige Abstürze von Programmen
  • Unerklärliches Systemverhalten
  • Unerklärliche Fehlermeldungen 
  • Nutzung unbekannter Dienste
  • Unerwartete Netz-Zugriffe
  • Unerklärliche Veränderungen von Datei-Inhalten
  • Ständige Verringerung des freien Speicherplatzes, ohne dass etwas gespeichert wurde
  • Versand von E-Mails ohne Aktion des Benutzers
  • Nicht auffindbare Dateien
  • Kein Zugriff auf einzelne Laufwerke oder Datenträger
  • Probleme beim Starten des PCs
  • Unerklärliche Veränderungen von Icons
  • Probleme beim Verändern oder Abspeichern von Dateien

Verhaltensregeln für die Systembetreiber und Vorgehen bei einer erkannten Infektion

Zuallererst muss ein betroffenes System vom Datennetz genommen oder ausgeschaltet werden. Bei Verdacht auf weitere von dem Schadprogramm betroffene Systeme werden die jeweiligen Betreiber informiert. Das System wird danach von Mitarbeitern des Rechenzentrums untersucht. Trotz der Empfehlung zur Speicherung der Daten auf Netzlaufwerken wird versucht, die lokalen Daten zu sichern. Danach wird das System mithilfe von Virenschutzprogrammen oder speziellen Werkzeugen zur Entfernung von Schadprogrammen bereinigt. Sollte dies nicht gelingen oder einen unverhältnismäßig großen Aufwand darstellen, wird das System in Absprache mit dem Nutzer neu aufgesetzt. In begründeten Fällen kann ein externer Dienstleister hinzugezogen werden.

Abschließend wird erwogen, ob die Infektion eine grundlegende, weiterhin bestehende Ursache hatte. Falls dies der Fall ist, werden Maßnahmen ergriffen, um die Ursache zukünftig auszuschließen.

Falls der Verdacht besteht, dass ein Angreifer über das Schadprogramm Zugang zu dem System erhalte hat, ist das Neuaufsetzen des Systems der Wiederherstellung vorzuziehen. Darüber hinaus müssen in diesem Fall alle auf dem System verwendeten Zugangsdaten wie Passwörter oder gespeicherte Zertifikate usw. neu gesetzt bzw. erstellt werden.

Verlust der Systemintegrität bei Serversystemen

Bei einem Verlust der Integrität eines Serversystems ist folgendermaßen vorzugehen:

  • Herunterfahren des Systems,
  • Hochfahren des Systems, so dass nur Zugriff von der Konsole aus möglich ist (z. B. Single-User-Modus),
  • Anfertigung einer Komplettdatensicherung (Dies ist beispielsweise hilfreich, wenn bei der nachfolgenden Untersuchung Daten oder Spuren zerstört werden.),
  • Überprüfung der ausführbaren Dateien auf sichtbare Veränderungen, z. B. Erstellungsdatum und Dateigröße (Da diese von einem Angreifer auch wieder auf ihre Ursprungswerte zurückgesetzt werden können, sollte die Integrität der Dateien mit Prüfsummenverfahren wie Tripwire überprüft werden.),
  • Löschen der ausführbaren Dateien und Wiedereinspielen der Original-Dateien von schreibgeschützten Datenträgern (keine Programme aus der Datensicherung wiedereinspielen),
  • Überprüfen und ggf. Wiedereinspielen der Systemverzeichnisse und -dateien und ihrer Attribute (z. B. /etc/inetd.conf, /etc/hosts.equiv, cron- und at-jobs, etc.),
  • Überprüfung der Attribute aller Benutzerverzeichnisse und -dateien z. B. mit Prüfsummenverfahren wie Tripwire und gegebenenfalls Zurücksetzen auf Minimal-Einstellungen (nur Rechte für den Eigentümer, keine root-Dateien in Benutzerbereichen, .rhost- und .forward-Dateien, auch gesperrte Accounts),
  • Änderung von Passwörtern, die auf dem System verwendet wurden,
  • Benachrichtigung der Benutzer mit der Bitte, ihre Bereiche auf Unregelmäßigkeiten zu prüfen.

Verlust der Datenbankintegrität

Der Datenbankadministrator sollte genau nach dem Wiederherstellungskonzept vorgehen, das unter anderem folgende Schritte vorsehen sollte, die je nach Fehlerursache durchzuführen sind.

Information

  • Umgehende Benachrichtigung aller betroffenen Benutzer mit der Bitte, keine weiteren Datenbankzugriffe durchzuführen und auf neue Anweisungen zu warten.
  • Turnusmäßige Information der betroffenen Benutzer über den aktuellen Stand der Fehlerbehebung.

Sicherung des aktuellen Zustands

  • Herunterfahren des Datenbanksystems.
  • Hochfahren des Datenbanksystems im Exklusiv-Modus (falls dies vom Datenbanksystem unterstützt wird).
  • Sichern aller Dateien, die Aufschluss über die Art und Ursache des aufgetretenen Problems geben könnten (z. B. ob tatsächlich ein Angriff erfolgt ist und auf welche Weise der Angreifer eindringen konnte), d. h. insbesondere Sichern aller relevanten Protokolldateien.

Analyse und Interpretation

  • Überprüfung und Interpretation der Protokolldateien nach Auffälligkeiten (in Zusammenarbeit mit dem Revisor und/oder dem IT-Sicherheitsbeauftragten).
  • Überprüfung der Zugriffsrechte auf Systemtabellen.
  • Überprüfung der Datenbank-Software auf sichtbare Veränderungen, z. B. Erstellungsdatum und Größe der entsprechenden Dateien. (Da diese von einem Angreifer auch wieder auf ihre Ursprungswerte zurückgesetzt werden können, sollte ein Prüfsummenverfahren eingesetzt werden.)

Situationsabhängige Reaktion

  • Löschen der Datenbank-Software und Wiedereinspielen der Original-Dateien von schreibgeschützten Datenträgern. Programme aus existierenden Datensicherungen sollten nur dann wiedereingespielt werden, wenn hinreichend sicher ist, dass die wiedereingespielte Software den Fehler nicht bereits enthält.
  • Zurücksetzen der Passwörter.
  • Zurücksetzen der Zugriffsrechte auf Systemtabellen.
  • Benachrichtigung der Benutzer mit der Bitte, ihre Bereiche auf Unregelmäßigkeiten zu prüfen.

Falls Daten gelöscht oder unerwünscht geändert wurden, werden diese aus den Datensicherungen wieder eingespielt.

Verlust der Netzintegrität

Falls sich das Netz in nicht vorgesehener Weise verhält (z. B. Server sind nicht verfügbar, Zugriff auf Netzressourcen ist nicht möglich, Netzperformance bricht dauerhaft ein), kann ein Verlust der Netzintegrität vorliegen. Dieser kann durch missbräuchliche Nutzung des Netzes verursacht worden sein, z. B. durch Veränderungen der Konfigurationen der aktiven Netzkomponenten oder deren Beschädigung.

Dann sollten die Benutzer folgende Punkte beachten:

  • Sicherung der Arbeitsergebnisse und ggf. Beendigung aktiver Programme.
  • Der Administrator muss (ggf. über eine Meldung an den IT-Support) von den Benutzern benachrichtigt werden. Dabei ist sicherzustellen, dass der Administrator durch den Benachrichtigungsprozess in seiner Arbeit nicht wesentlich behindert wird.

Der Netzadministrator sollte folgende Schritte durchführen:

  • Eingrenzen des fehlerhaften Verhaltens auf ein Netzsegment bzw. eine Netzkomponente,
  • Überprüfen der Konfigurationen der dort vorhandenen aktiven Netzkomponenten (darunter fällt auch die Kontrolle der Passwörter),
  • Sichern aller Dateien, die Aufschluss über die Art und Ursache des aufgetretenen Problems geben könnten (z. B. ob tatsächlich ein Angriff erfolgt ist und auf welche Weise der Angreifer eindringen konnte), d. h. insbesondere Sichern aller relevanten Protokolldateien,
  • ggf. Wiedereinspielen der Original-Konfigurationsdaten,
  • ggf. Überprüfung der eingesetzten Hardware (Verkabelung, Steckverbindungen, aktive Netzkomponenten usw.) auf Defekte und
  • Benachrichtigung der Benutzer mit der Bitte, ihre Arbeitsbereiche auf Unregelmäßigkeiten zu prüfen.

Meldeplan und Zuständigkeiten

Die erste Meldung eines Vorfalls kann direkt an die zuständigen Systembetreiber oder über den IT-Support erfolgen.

Die Tragweite eines Vorfalls hängt ab von der Schutzbedarfskategorie, in der sich die betroffene Anwendung oder das betroffene IT-System befindet, und von dem Schadensszenario. Beispielsweise muss das Dezernat Z/KOM unbedingt hinzugezogen werden, wenn ein Ansehensverlust in der Öffentlichkeit droht. Die folgende RACI-Matrix listet auf, welcher Bereich in welcher Rolle bei einem Sicherheitsvorfall beteiligt wird.

Insbesondere wird dabei noch unterschieden zwischen Responsible und Accountable. Der Accountable trägt die übergeordnete Verantwortung für die Erledigung der Maßnahmen. Der Responsible ist dagegen verantwortlich für die konkrete Durchführung der Maßnahmen.

Es wird kein sequentiell fester Prozessablauf gewählt, weil bei einem Sicherheitsvorfall u. U. mehrere Stellen zu beteiligen sind und weil eine rasche Vorfallsbehandlung erfordert, dass unterschiedliche Stellen parallel die in ihrem Zuständigkeitsbereich angesiedelten Maßnahmen umsetzen. Dabei muss beachtet werden, dass der Responsible über alle Schritte informiert wird.

Technische Umsetzung

Die Meldewege, die sich aus der RACI-Matrix ergeben, sind im Ticketsystem abgebildet. Jeder Sicherheitsvorfall wird als entsprechendes Ticket erfasst und mit der Schadenskategorie und dem Schadensszenario versehen. Das Ticketsystem stellt sicher, dass Informationen gemäß der RACI-Matrix an die Zuständigen verteilt werden.

Sie haben noch Fragen?