NACH OBEN

IT-Sicherheitsvorfall/IT-Notfall | A-Z | Kontakt/Beratung

Erste Hilfe bei Sicherheitsvorfällen

Sie befürchten einen Sicherheitsvorfall, haben ein ungewöhnliches Verhalten bei einem IT-System beobachtet oder möchten einen sicherheitsrelevanten Vorfall melden? Diese Seite dient Ihnen zur Orientierung, welche ersten Maßnahmen Sie im Fall von sicherheitsrelevanten Ereignissen vorrangig durchführen müssen.

Bei Sicherheitsvorfällen ist rasches Handeln erforderlich, um weitere Schäden zu vermeiden.  In der Regel sind Sicherheitsvorfälle auch melde- und dokumentationspflichtig.

Beziehen Sie immer auch Ihre vorgesetzte Person ein.

Beziehen Sie immer auch Ihren IT-Support ein:

  • Beschäftigte der Universitätsverwaltung und der Bereiche, die einen Supportvertrag mit IT.SERVICES abgeschlossen haben, sollten ihre Ansprechpersonen bei IT.SERVICES kontaktieren, z.B. via Helpdesk.
  • Beschäftigte der anderen Bereiche sollten ihre dezentrale IT-Administration kontaktieren.
  • Beschäftigte ohne professionellen IT-Support und Studierende müssen relevante Support-Aufgaben selbst übernehmen.

Informieren Sie immer auch das ISB-/RUB-Cert-Team (Mail-Kontakt) über Sicherheitsvorfälle .

 Unter sicherheitsrelevante Ereignisse fallen vor allem die unten aufgeführten Ereignisse und Verdachtsfälle. Darüber hinaus möchten wir Sie bitten und auffordern, weitere, nicht aufgeführte Gegebenheiten und Ereignisse mit Bezug zur IT- und Informationssicherheit an folgende Stellen zu melden:

  • Bei ungewöhnlichem IT-Systemverhalten kontaktieren Sie ihren IT-Support.
  • Bei Störungen an zentralen IT-Systemen und Diensten kontaktieren Sie das Helpdesk von IT.SERVICES.
  • Technische Mängel, IT-Schwachstellen und sicherheitsrelevante Vorfälle melden Sie an das RUB-Cert.
  • Organisatorische Mängel und allgemeine Probleme der Informationssicherheit melden Sie an die Stabsstelle für Informationssicherheit.

Phishing-Mails zielen darauf ab, Ihre Zugangsdaten zu erbeuten. Wenn Sie auf einer Phishing-Seite Ihr RUB-Passwort eingegeben haben, ist dieses kompromittiert.

Ändern Sie unverzüglich Ihr Passwort:

Vorsicht: Bereits der Besuch einer maliziösen Web-Seite kann zur Infektion Ihres Rechners führen. Es ist deshalb ratsam, das verwendete Gerät stillzulegen. Das verwendete Gerät muss anschließend überprüft werden. Bestätigt sich eine Infektion mit Schadcode, finden Sie weitere Hinweise im Abschnitt Verdacht auf Schadcode.

Nutzen Sie - wenn irgendwie möglich - für den Passwortwechsel vorübergehend ein anderes, sicheres Gerät.

Bitte denken Sie immer auch daran, Ihren IT-Support und das ISB-/RUB-Cert-Team (Mail-Kontakt) zu informieren, um notwendige, weiterführende Maßnahmen einzuleiten.

Accounts, die offenbar kompromittiert sind, werden zum Schutz vor Identitätsdiebstahl oder weiterer missbräuchlicher Nutzung vorübergehend gesperrt.  Typischer weise geschieht dies, wenn ein Betrüger Ihr Passwort entwendet hat und damit Spam-/Phishing-Mails über Ihren Account versendet.

Kontaktieren Sie ihren IT-Support:

  • Lassen Sie Ihren Rechner auf Malware-/Virenbefall überprüfen.
  • Die Überprüfung Ihres Rechners ist Voraussetzung zur Freischaltung Ihres Accounts.

Vorsicht: Bereits der Besuch einer maliziösen Web-Seite kann zur Infektion Ihres Rechners führen. Es ist deshalb ratsam, das verwendete Gerät stillzulegen. Das verwendete Gerät muss anschließend überprüft werden. Bestätigt sich eine Infektion mit Schadcode, finden Sie weitere Hinweise im Abschnitt Verdacht auf Schadcode.

Kontaktieren Sie das ISB-Team: Mit der Kompromittierung Ihres Passworts haben Unbefugte Zugriff auf Ihre Mailbox und RUB-Systeme erlangt. Eine Offenlegung personenbezogener Daten für Unbefugte ist so möglich. Die RUB ist verpflichtet, die Angelegenheit aus Datenschutz-Perspektive zu prüfen, intern zu dokumentieren und gegebenenfalls erforderliche Meldungen zu veranlassen (Mail-Kontakt).

Freischaltung Ihres Accounts: Nach Überprüfung Ihres Rechners und Klärung der Datenschutz-Relevanz können Sie Ihren Account im Servicecenter von IT.SERVICES freischalten lassen. Dazu müssen Sie auch ein neues Passwort setzen:

  • Setzen Sie ein starkes Passwort, das sich deutlich von Ihrem kompromittierten Passwort unterscheidet.
  • Falls Sie Ihr RUB-Passwort auch auf anderen IT-Systemen/Diensten nutzen, wechseln Sie das Passwort auch dort. Auf verschiedenen Systemen sollten Sie übrigens immer unterschiedliche Passwörter verwenden.

 

Beobachten Sie ungewöhnliches Systemverhalten, wie z.B. dass Sie ..

  •     .. Antworten oder Rückläufer (bounces) auf E-Mails erhalten, die Sie nicht bewusst abgesendet haben
  •     .. Meldungen von ihrem System erhalten, die auf Viren, Malware, Trojaner, etc. hinweisen
  •    .. Meldungen über fehlgeschlagene Updates oder Programme, die sie nicht kennen, erhalten
  •     .. ungewöhnliche Aktivitäten, wie fehlende oder veränderte Daten, feststellen oder unbekannte Programme finden
  •     .. ungewöhnlich lange Ladezeiten von Programmen oder andauernde Netzwerklast feststellen

ist eine Analyse Ihres Systems notwendig.

Auch sollten Sie Ihr System überprüfen lassen, wenn Sie vorher eine verdächtige Web-Seite besucht haben.  Dies gilt insbesondere für den Fall, dass Sie einem Link gefolgt sind, der Ihnen direkt per E-Mail oder indirekt über ein Dokument von einer unbekannten Person zugesendet wurde (per Phishing-/Spam-Mail).

In den genannten Fällen ist es ratsam, das verwendete Gerät stillzulegen und überprüfen zu lassen. Nutzen Sie vorübergehend ein anderes, sicheres Gerät.

Kontaktieren Sie ihren IT-Support:

  • Lassen Sie Ihren Rechner auf Malware-/Virenbefall überprüfen.
  • Ein mutmaßlich infiziertes Gerät darf nicht im Netz der RUB betrieben werden.