piwik-script

Intern
    Rechenzentrum

    IT-Sicherheitsvorfall Maßnahmen

    Trotz aller Präventionsmaßnahmen zum Schutz vor Viren, Trojaner und Phishingmails können auch Sie Opfer von Cyberkriminellen im universitären Umfeld werden. Sei es, dass Ihr JMU-Account und Passwort gestohlen wurden, Ihre Zugangsdaten missbraucht oder Ihr Rechner mit einem Trojaner infiziert ist. Grundregel:

    Zugangsdaten geklaut -> Passwort ändern
    Ändern Sie das Passwort Ihres JMU-Accounts und allen anderen Accounts, die Sie auf Ihrem PC verwenden oder gespeichert haben. Bei einer (möglichen) Trojanerinfektion ändern Sie Ihr Passwort über einen anderen PC - nicht über den verdächtigen PC, da dieser bereits infiziert sein kann.

    Trojaner -> Neuinstallation erforderlich
    Trennen Sie den verdächtigen PC vom Netz (Netzwerkkabel ziehen, WLAN deaktivieren), sichern Sie Ihre Daten und installieren Sie den PC neu. Beschäftigte wenden sich an Ihren Netzverantwortlichen. Ändern Sie außerdem über einen anderen PC oder auf dem frisch installierten PC Ihr Passwort.

    Für einige Szenarien beschreiben wir die detaillierte Abfolge der eingeleiteten Maßnahmen:

    Sobald im Hochschulnetz ein trojaner-infizierter PC identifiziert wird, werden diese Maßnahmen eingeleitet:

    1. Das RZ deaktiviert das betroffene Benutzerkonto und setzt ein neues Passwort
    2. Das RZ informiert den zuständigen Netzverantwortlichen
    3. Der PC muss vom Hochschulnetz getrennt werden (Netzwerkkabel entfernen, WLAN deaktivieren)
    4. Die Mac-Adresse des PCs wird für den Zugang zum Hochschulnetz gesperrt (RZ, Netzverantwortliche)
    5. Der PC muss neu installiert werden, bevor er wieder mit dem Hochschulnetz per WLN, LAN oder VPN verbunden wird
       
    6. Benutzerkonto
      • Die neuen Zugangsdaten werden per Haupost an die Dienstadresse geschickt oder können persönlich im IT-Support abgeholt werden
      • Damit das Benutzerkonto wieder freigeschaltet wird, muss der Benutzer bestätigen, dass er sein Passwort ändert und die Änderung über einen PC, der nicht vom Trojaner infiziert ist, vorgenommen wird.
      • Liegt die Bestätigung dem IT-Support vor, wird das Benutzerkonto freigeschaltet 
    7. Zugang zum Hochschulnetz
      • Der PC darf erst wieder für das Hochschulnetz freigeschaltet werden, nachdem die Neuinstallation bestätigt wurde
      • Der PC wird wieder für den Netzzugang freigeschaltet (RZ, Netzverantwortliche)

    Sobald ein Identitätsdiebstahl bekannt wird, bei dem ein JMU-Account und Passwort missbräuchlich genutzt werden z.B. zum Versenden von Spam-Massenmails, werden folgende Maßnahmen eingeleitet.

    1. Das RZ deaktiviert das Benutzerkonto und setzt ein neues Passwort
    2. Das RZ informiert den zuständigen Netz-/IT-Systemverantwortlichen
    3. Die neuen Zugangsdaten werden per Haupost an die Dienstadresse geschickt oder können persönlich im IT-Support abgeholt werden  - das Benutzerkonto bleibt aber gesperrt
       
    4. Sind die gestohlenen Zugangsdaten über einen verseuchten PC in Umlauf geraten, muss der PC neu installiert werden. Weitere Maßnahmen siehe "Infektion mit Trojaner"
       
    5. Ist dem Benutzer bewusst, dass er seine Zugangsdaten kürzlich auf einer Phishingseite eingegeben und damit preis gegeben hat, kann vorerst von einer PC Neuinstallation abgesehen werden. Der Benutzer sollte aber ein besonders Augenmerk auf weitere Auffälligkeiten haben, um doch einen möglichen Trojaner frühzeitig zu erkennen. Bei Auffälligkeiten muss der Netz/IT-Systemverantworlichen oder das Rechenzentrum informiert werden.
       
    6. Das Benutzerkonto wird vom Rechenzentrum erst wieder freigeschaltet, wenn sich der Benutzer oder der Netz-/IT-Systemverantwortliche beim IT-Support meldet
    7. Der Benutzer muss im Webmailer prüfen, ob eine gefälschte Identität eingetragen wurde. Das ist notwendig, auch wenn das GroupWise Mailsystem genutzt wird

    Haben Sie Ihre Zugangsdaten auf einer Phishingseite eingegeben oder über eine Phishingmail versendet, sind diese Maßnahmen erforderlich:

    1. Setzen Sie schnellstmöglich für Ihren JMU-Account ein neues Passwort. Das geklaute Passwort dürfen Sie künftig nie mehr für den JMU-Account verwenden.
    2. Von einer Neuinstallation des PCs kann vorerst abgesehen werden. Es kann aber nicht garantiert werden, dass keine Schadsoftware auf den PC eingeschleust wurde.
    3. Daher sollten Sie ein besonders Augenmerk auf weitere Auffälligkeiten haben, um doch einen möglichen Trojaner frühzeitig zu erkennen. Bei Auffälligkeiten informieren Sie den Netz-/IT-Systemverantworlichen oder das Rechenzentrum.

    Wer einen Link in einer Phishngmail anklickt, läuft Gefahr, dass sein PC mit Schadsoftware infiziert wird oder seine Daten ausgespäht werden. Leider läßt sich nicht voraussagen, welche kriminellen Absichten hinter der Phishingmail stecken. Die Passwortänderung und Neuinstallation des PCs sind die wirksamsten Maßnahmen.

    Greifen die Betrüger über den Link "lediglich" Zugangsdaten ab genügen folgende Maßnahmen:

    1. Setzen Sie schnellstmöglich für Ihren JMU-Account ein neues Passwort. Das geklaute Passwort dürfen Sie künftig nie mehr für den JMU-Account verwenden.
    2. Von einer Neuinstallation des PCs kann vorerst abgesehen werden. Es kann aber nicht garantiert werden, dass keine Schadsoftware auf den PC eingeschleust wurde.
    3. Daher sollten Sie ein besonders Augenmerk auf weitere Auffälligkeiten haben, um doch einen möglichen Trojaner frühzeitig zu erkennen. Bei Auffälligkeiten informieren Sie den Netz-/IT-Systemverantworlichen oder das Rechenzentrum.

    Eine Passwortänderung genügt nicht, wenn über den Link Schadsoftware installiert wird. Weiter Maßnahmen siehe "Infektion mit Trojaner". Im Zweifelsfall wenden Sie sich direkt an den IT-Support des Rechenezntrums, um das weiter Vorgehen zu klären.

    Die Gefahr, dass über einen geöffneten E-Mailanhang Schadsoftware auf dem PC installiert wird, ist relativ hoch.

    Die Anhänge können sich als vermeintliche Rechnung, Mahnung, Bewerbung etc. tarnen und in unterschiedlichsten Formaten daherkommen. Nicht nur exe oder zip Anhänge sind gefährlich, auch alle anderen wie zB. doc, docx, xls, xlsx oder html können infiziert sein oder Schadsoftware nachladen.

    Daher sollte der PC neu installiert werden. Weiter Maßnahmen siehe "Infektion mit Trojaner".

    Haben Sie auf eine Phishingmail geantwortet ohne dass Sie Ihr Passwort preisgegeben hat, empfehlen wir folgende Maßnahmen:

    1. Setzen Sie schnellstmöglich für Ihren JMU-Account ein neues Passwort. Das geklaute Passwort dürfen Sie künftig nie mehr für den JMU-Account verwenden.
    2. Sie sollte ein besonders Augenmerk auf weitere Auffälligkeiten haben, um doch einen möglichen Trojaner frühzeitig zu erkennen. Bei Auffälligkeiten informieren Sie Ihren Netz/IT-Systemverantworlichen oder das Rechenzentrum.

    Sobald bekannt wird, dass die Zugangsdaten eines JMU-Accounts inklusive Passwort über einen Datenleak öffentlich zugänglich sind, sind folgende Maßnahmen erforderlich:

    1. Der Benutzer muss für seinen JMU-Account in neues Passwort sezten. Das geklaute Passwort darf dabei nie mehr für den JMU-Account verwendet werden.

    Hat das Rechenzentrum Kenntnis darüber, dass universitäre Identitäten und Passwörter öffentlich im Netz stehen, informieren wir die Benutzer darüber.

    Sie können das Rechenzentrum über IT-sicherheitsrelevante Vorfälle über  Meldung IT-Sicherheitsvorfall informieren.

    Erläuterungen

    1. Benutzerkonto deaktivieren
    Das Rechenzentrum sperrt das Benutzerkonto und setzt ein neues Passwort - es ist kein JMU Login, kein E-Mailempfang und -versand mehr möglich. Wenn der betroffene Benutzer weitere Benutzerkonten hat, werden auch diese gesperrt und neue Passwörter gesetzt. Für Mitarbeiter und Gäste versendet das Rechenzentrum das Datenblatt mit dem neuen Passwort an die Dienstadresse - der JMU-Account bleibt aber gesperrt. Für Studierende: wir müssen abwarten, bis sich der Benutzer bei uns meldet, da wir keine weitere Kontaktmöglichkeit haben.

    2. Netzverantwortlichen informieren
    Das Rechenzentrum informiert den zuständigen Netzverantwortlichen, mit der Bitte, den betroffenen Benutzer wiederum zu informieren (entfällt bei studentischen Accounts). Der Benutzer muss für IT-Sicherheitsmaßnahmen sensibilisiert werden und auf die 11 Golden Regeln hingewiesen werden.

    3. Neue Passwort setzen
    Sobald der Benutzer wieder freigeschaltet ist, muss er ein persönliches Passwort über das User-Portal setzen. Das geklaute Passwort darf für den JMU-Account nie mehr verwendet werden.

    4. Webmailer: Identität prüfen
    Der Benutzer muss im Webmailer prüfen, ob eine gefälschte Identität eingetragen wurde. Das ist notwendig, auch wenn das GroupWise Mailsystem genutzt wird: Anmelden am Webmailer - Zahnradsymbol "Einstellungen" (rechts oben) - Benutzereinstellungen - Webmail - Persönliche Angaben - prüfen Sie, ob gefälschte Identitäten angelegt wurden und wenn ja, löschen Sie diese.

    4. Rechner vom Hochschulnetz trennen
    Netzwerkstecker entfernen und/oder WLAN deaktivieren

    5. Endgerät im Hochschulnetz sperren
    LAN: der Netz-/IT-Systemverantwortliche oder das Rechenezntrum sperren die MAC Adresse in der KomponentenDB
    WLAN: das Rechenezntrum sperrt die MAC Adresse am WLAN Access Controller

    6. PC Neuinstallation
    Dienstliche PC können z.B. über ein Image neu installiert werden.
    Für die Neuinstallation von private PCs können wir keine Unterstützung anbieten. Im Notfall muss der Benutzer sich an kommerzielle Anbieter wenden.

    7. Bestätigung der PC Neuinstallation
    Bei dienstlichem PCs bestätigt der Netz-/IT-Systemverantwortliche die Neuinstallation.
    Bei private PCs bestätigt der Benutzer die Neuinstalltion.