Intern
  • Außenansicht des Rechenzentrums
Rechenzentrum

IT-Sicherheitsvorfall Maßnahmen

Trotz aller Präventionsmaßnahmen zum Schutz vor Viren, Trojaner und Phishingmails können auch Sie Opfer von Cyberkriminellen im universitären Umfeld werden. Sei es, dass Ihr JMU-Account und Passwort gestohlen wurden, Ihre Zugangsdaten missbraucht oder Ihr Rechner mit einem Trojaner infiziert ist. Grundregel:

Zugangsdaten geklaut -> Passwort ändern
Ändern Sie das Passwort Ihres JMU-Accounts und allen anderen Accounts, die Sie auf Ihrem PC verwenden oder gespeichert haben. Bei einer (möglichen) Trojanerinfektion ändern Sie Ihr Passwort über einen anderen PC - nicht über den verdächtigen PC, da dieser bereits infiziert sein kann.

Trojaner -> Neuinstallation erforderlich
Trennen Sie den verdächtigen PC vom Netz (Netzwerkkabel ziehen, WLAN deaktivieren), sichern Sie Ihre Daten und installieren Sie den PC neu. Beschäftigte wenden sich an Ihren Netzverantwortlichen. Ändern Sie außerdem über einen anderen PC oder auf dem frisch installierten PC Ihr Passwort.

Für einige Szenarien beschreiben wir die detaillierte Abfolge der eingeleiteten Maßnahmen:

Sobald im Hochschulnetz ein trojaner-infizierter PC identifiziert wird, werden diese Maßnahmen eingeleitet:

  1. Das RZ deaktiviert das betroffene Benutzerkonto und setzt ein neues Passwort
  2. Das RZ informiert den zuständigen Netzverantwortlichen
  3. Der PC muss vom Hochschulnetz getrennt werden (Netzwerkkabel entfernen, WLAN deaktivieren)
  4. Die Mac-Adresse des PCs wird für den Zugang zum Hochschulnetz gesperrt (RZ, Netzverantwortliche)
  5. Der PC muss neu installiert werden, bevor er wieder mit dem Hochschulnetz per WLN, LAN oder VPN verbunden wird
     
  6. Benutzerkonto
    • Die neuen Zugangsdaten werden per Haupost an die Dienstadresse geschickt oder können persönlich im IT-Support abgeholt werden
    • Damit das Benutzerkonto wieder freigeschaltet wird, muss der Benutzer bestätigen, dass er sein Passwort ändert und die Änderung über einen PC, der nicht vom Trojaner infiziert ist, vorgenommen wird.
    • Liegt die Bestätigung dem IT-Support vor, wird das Benutzerkonto freigeschaltet 
  7. Zugang zum Hochschulnetz
    • Der PC darf erst wieder für das Hochschulnetz freigeschaltet werden, nachdem die Neuinstallation bestätigt wurde
    • Der PC wird wieder für den Netzzugang freigeschaltet (RZ, Netzverantwortliche)

Sobald ein Identitätsdiebstahl bekannt wird, bei dem ein JMU-Account und Passwort missbräuchlich genutzt werden z.B. zum Versenden von Spam-Massenmails, werden folgende Maßnahmen eingeleitet.

  1. Das RZ deaktiviert das Benutzerkonto und setzt ein neues Passwort
  2. Das RZ informiert den zuständigen Netz-/IT-Systemverantwortlichen
  3. Die neuen Zugangsdaten werden per Haupost an die Dienstadresse geschickt oder können persönlich im IT-Support abgeholt werden  - das Benutzerkonto bleibt aber gesperrt
  4. Sind die gestohlenen Zugangsdaten über einen verseuchten PC in Umlauf geraten, muss der PC neu installiert werden. Weitere Maßnahmen siehe "Infektion mit Trojaner"
  5. Ist dem Benutzer bewusst, dass er seine Zugangsdaten kürzlich auf einer Phishingseite eingegeben und damit preis gegeben hat, kann vorerst von einer PC Neuinstallation abgesehen werden. Der Benutzer sollte aber ein besonders Augenmerk auf weitere Auffälligkeiten haben, um doch einen möglichen Trojaner frühzeitig zu erkennen. Bei Auffälligkeiten muss der Netz/IT-Systemverantworlichen oder das Rechenzentrum informiert werden.
  6. Das Benutzerkonto wird vom Rechenzentrum erst wieder freigeschaltet, wenn sich der Netz-/IT-Systemverantwortliche beim IT-Support meldet

Für User mit Exchange Mailbox (Outlook):
Prüfen Sie in Outlook Ihre Regeln. Löschen Sie unbekannte Regeln, die nicht von Ihnen stammen. Oftmals hinterlässt der Hacker nämlich eine Regel, die z.B. alle eingehenden Mails löscht.

Haben Sie Ihre Zugangsdaten auf einer Phishingseite eingegeben oder über eine Phishingmail versendet, sind diese Maßnahmen erforderlich:

  1. Setzen Sie schnellstmöglich für Ihren JMU-Account ein neues Passwort. Das geklaute Passwort dürfen Sie künftig nie mehr für den JMU-Account verwenden.
  2. Von einer Neuinstallation des PCs kann vorerst abgesehen werden. Es kann aber nicht garantiert werden, dass keine Schadsoftware auf den PC eingeschleust wurde.
  3. Daher sollten Sie ein besonders Augenmerk auf weitere Auffälligkeiten haben, um doch einen möglichen Trojaner frühzeitig zu erkennen. Bei Auffälligkeiten informieren Sie den Netz-/IT-Systemverantworlichen oder das Rechenzentrum.

Für User mit Exchange Mailbox (Outlook):
Prüfen Sie in Outlook Ihre Regeln. Löschen Sie unbekannte Regeln, die nicht von Ihnen stammen. Oftmals hinterlässt der Hacker nämlich eine Regel, die z.B. alle eingehenden Mails löscht.

Wer einen Link in einer Phishngmail anklickt, läuft Gefahr, dass sein PC mit Schadsoftware infiziert wird oder seine Daten ausgespäht werden. Leider läßt sich nicht voraussagen, welche kriminellen Absichten hinter der Phishingmail stecken. Die Passwortänderung und Neuinstallation des PCs sind die wirksamsten Maßnahmen.

Greifen die Betrüger über den Link "lediglich" Zugangsdaten ab genügen folgende Maßnahmen:

  1. Setzen Sie schnellstmöglich für Ihren JMU-Account ein neues Passwort. Das geklaute Passwort dürfen Sie künftig nie mehr für den JMU-Account verwenden.
  2. Von einer Neuinstallation des PCs kann vorerst abgesehen werden. Es kann aber nicht garantiert werden, dass keine Schadsoftware auf den PC eingeschleust wurde.
  3. Daher sollten Sie ein besonders Augenmerk auf weitere Auffälligkeiten haben, um doch einen möglichen Trojaner frühzeitig zu erkennen. Bei Auffälligkeiten informieren Sie den Netz-/IT-Systemverantworlichen oder das Rechenzentrum.

Eine Passwortänderung genügt nicht, wenn über den Link Schadsoftware installiert wird. Weiter Maßnahmen siehe "Infektion mit Trojaner". Im Zweifelsfall wenden Sie sich direkt an den IT-Support des Rechenezntrums, um das weiter Vorgehen zu klären.

Die Gefahr, dass über einen geöffneten E-Mailanhang Schadsoftware auf dem PC installiert wird, ist relativ hoch.

Die Anhänge können sich als vermeintliche Rechnung, Mahnung, Bewerbung etc. tarnen und in unterschiedlichsten Formaten daherkommen. Nicht nur exe oder zip Anhänge sind gefährlich, auch alle anderen wie zB. doc, docx, xls, xlsx oder html können infiziert sein oder Schadsoftware nachladen.

Daher sollte der PC neu installiert werden. Weiter Maßnahmen siehe "Infektion mit Trojaner".

Haben Sie auf eine Phishingmail geantwortet ohne dass Sie Ihr Passwort preisgegeben hat, empfehlen wir folgende Maßnahmen:

  1. Setzen Sie schnellstmöglich für Ihren JMU-Account ein neues Passwort. Das geklaute Passwort dürfen Sie künftig nie mehr für den JMU-Account verwenden.
  2. Sie sollte ein besonders Augenmerk auf weitere Auffälligkeiten haben, um doch einen möglichen Trojaner frühzeitig zu erkennen. Bei Auffälligkeiten informieren Sie Ihren Netz/IT-Systemverantworlichen oder das Rechenzentrum.

Sobald bekannt wird, dass die Zugangsdaten eines JMU-Accounts inklusive Passwort über einen Datenleak öffentlich zugänglich sind, sind folgende Maßnahmen erforderlich:

  1. Der Benutzer muss für seinen JMU-Account in neues Passwort sezten. Das geklaute Passwort darf dabei nie mehr für den JMU-Account verwendet werden.

Hat das Rechenzentrum Kenntnis darüber, dass universitäre Identitäten und Passwörter öffentlich im Netz stehen, informieren wir die Benutzer darüber.

Sie können das Rechenzentrum über IT-sicherheitsrelevante Vorfälle über  Meldung IT-Sicherheitsvorfall informieren.

Erläuterungen

1. Benutzerkonto deaktivieren
Das Rechenzentrum sperrt das Benutzerkonto und setzt ein neues Passwort - es ist kein JMU Login, kein E-Mailempfang und -versand mehr möglich. Wenn der betroffene Benutzer weitere Benutzerkonten hat, werden auch diese gesperrt und neue Passwörter gesetzt. Für Mitarbeiter und Gäste versendet das Rechenzentrum das Datenblatt mit dem neuen Passwort an die Dienstadresse - der JMU-Account bleibt aber gesperrt. Für Studierende: wir müssen abwarten, bis sich der Benutzer bei uns meldet, da wir keine weitere Kontaktmöglichkeit haben.

2. Netzverantwortlichen informieren
Das Rechenzentrum informiert den zuständigen Netzverantwortlichen, mit der Bitte, den betroffenen Benutzer wiederum zu informieren (entfällt bei studentischen Accounts). Der Benutzer muss für IT-Sicherheitsmaßnahmen sensibilisiert werden und auf die 11 Golden Regeln hingewiesen werden.

3. Neue Passwort setzen
Sobald der Benutzer wieder freigeschaltet ist, muss er ein persönliches Passwort über das User-Portal setzen. Das geklaute Passwort darf für den JMU-Account nie mehr verwendet werden.

4. Webmailer: Identität prüfen
Der Benutzer muss im Webmailer prüfen, ob eine gefälschte Identität eingetragen wurde. Das ist notwendig, auch wenn das GroupWise Mailsystem genutzt wird: Anmelden am Webmailer - Zahnradsymbol "Einstellungen" (rechts oben) - Benutzereinstellungen - Webmail - Persönliche Angaben - prüfen Sie, ob gefälschte Identitäten angelegt wurden und wenn ja, löschen Sie diese.

4. Rechner vom Hochschulnetz trennen
Netzwerkstecker entfernen und/oder WLAN deaktivieren

5. Endgerät im Hochschulnetz sperren
LAN: der Netz-/IT-Systemverantwortliche oder das Rechenezntrum sperren die MAC Adresse in der KomponentenDB
WLAN: das Rechenezntrum sperrt die MAC Adresse am WLAN Access Controller

6. PC Neuinstallation
Dienstliche PC können z.B. über ein Image neu installiert werden.
Für die Neuinstallation von private PCs können wir keine Unterstützung anbieten. Im Notfall muss der Benutzer sich an kommerzielle Anbieter wenden.

7. Bestätigung der PC Neuinstallation
Bei dienstlichem PCs bestätigt der Netz-/IT-Systemverantwortliche die Neuinstallation.
Bei private PCs bestätigt der Benutzer die Neuinstalltion.