Erläuterungen und Handlungsanweisungen bei Sicherheitsvorfällen

Transkript

1 Erläuterungen und Handlungsanweisungen bei Sicherheitsvorfällen 1. Überblick A. Version B. Ansprechpartner C. Musterprotokoll bei Verstößen 2. Übersichtstabelle: Verstöße (regelwidrige Benutzung) A. Angriffe gegen Einzelpersonen oder Gruppen von Personen B. Behinderung der Arbeit Dritter C. Vergehen gegen Lizenzvereinbarungen oder andere vertragliche Bestimmungen D. Attacken gegen Computer, das Netz oder Services 1. Überblick Dieses Dokument beinhaltet einen Verweis auf eine komplette Liste der Ansprechpartner bei Sicherheitsvorfällen sowie Verfahrensweisen und Erläuterungen zu den in der IT-Sicherheitsrichtlinie der Hochschule Fulda behandelten Themen. Außerdem beinhaltet es einen Verweis auf das Dokument Musterprotokoll bei Verstößen gegen die IT-Sicherheitsrichtlinie, das zur Protokollierung bei sicherheitsrelevanten Vorfällen genutzt werden sollte. 1.A Version Version 1.0 vom 28. August 2008 An dieser Stelle werden Überarbeitungen des Dokuments mit einer kurzen Zusammenfassung der Änderungen vermerkt. 1.B Ansprechpartner Wenden Sie sich bitte an den Ansprechpartner bzw. die Ansprechpartnerin Ihrer Organisationseinheit bzw. des Datenverarbeitungszentrums, wenn Sie einen Verstoß gegen die IT-Sicherheitsrichtlinie bemerken bzw. selbst Opfer eines Angriffs auf elektronischem Wege geworden sind und die in diesem Dokument genannten Maßnahmen keinen Erfolg hatten bzw. Sie Vorgänge mit strafrechtlichen Konsequenzen bemerkt haben. 1.C Musterprotokoll Bei Verstößen gegen die IT-Sicherheitsrichtlinie sollte das Musterprotokoll bei Verstößen gegen die IT-Sicherheitsrichtlinie zur Protokollierung der sicherheitsrelevanten Vorfälle genutzt werden. Das ausgefüllte Protokoll wird dann beim IT-Sicherheitsbeauftragten der jeweiligen Organisationseinheit abgegeben und von diesem aufbewahrt. Er schickt eine Kopie des Protokolls an den IT-Sicherheitsbeauftragten der Hochschule Fulda zur Kenntnis. 1

2 2. Übersichtstabelle: Verstöße (regelwidrige Benutzung) 2.A Verwendung elektronischer Kommunikation für Angriffe gegen Einzelpersonen oder Gruppen von Personen A1 A2 A3 Verbreitung oder In-Umlauf- Bringen von Informationen, die Personen beleidigen oder herabwürdigen (z. B. aufgrund ihrer Hautfarbe, Nationalität, Religion, ihres Geschlechtes, ihrer politischen Gesinnung oder sexuellen Ausrichtung). Unbefugte Verarbeitung personenbezogener Daten und Verbreitung von persönlichen oder anderen schützenswerten Informationen über eine Einzelperson oder eine Gruppe von Personen. Mehrfach unerwünschtes Zusenden von Nachrichten. Wenden Sie sich direkt an den Absender bzw. Verursacher der Nachricht. Klären Sie die betreffende Person darüber auf, dass sie gegen die IT-Sicherheitsrichtlinie der Hochschule Fulda verstößt, verlangen Sie gegebenenfalls die Löschung der Daten, sowie die zukünftige Unterlassung derartiger Verstöße. der jeweiligen Organisationseinheit und ggf. an den Datenschutzbeauftragten der Hochschule Fulda (Verstoß gegen Regel A2). Falls das Problem auch damit nicht gelöst werden kann, wenden Sie sich an den IT-Sicherheitsbeauftragten des Datenverarbeitungszentrums. Hinweis: Schicken Sie die Beschwerde möglichst mit dem Inhalt der Nachricht und immer mit sämtlichen Absenderinformationen ( -Header) bzw. Adressdaten (WWW, Newsgroup, etc.) an die jeweilige Person. Anmerkung: Das unerwünschte und wiederholte Zusenden von Nachrichten sowie das Verbreiten von beleidigenden oder herabwürdigenden Informationen, oder das Verbreiten von unwahren Aussagen über eine Person oder Gruppe von Personen verstoßen teilweise gegen Gesetze und auf jeden Fall gegen den im Internet allgemein üblichen Verhaltenskodex (Netiquette). Die Hochschule Fulda sieht als intensiver Benutzer des Internets und als große Organisation, deren Angehörige verschiedene Weltanschauungen vertreten, die Notwendigkeit, Regeln für die korrekte Verwendung der elektronischen Kommunikation aufzustellen. 2

3 2.B Verwendung elektronischer Kommunikation zur Behinderung der Arbeit Dritter B1 B2 Behinderung der Arbeit anderer (z. B. durch Mail- Bomben und ähnliche Techniken). Aneignung von Ressourcen über das zugestandene Maß verstößt und verlangen Sie von ihr die Unterlassung. Anmerkung 1: Das Versenden von Mail-Bomben und die Verwendung ähnlicher Techniken erschwert oder macht die Arbeit einer Person unmöglich. Schicken Sie die Beschwerde möglichst mit dem Inhalt der Nachricht und immer mit sämtlichen Absenderinformationen ( - Header) an die jeweilige Person. Anmerkung 2: Zur Aneignung von Ressourcen über das zugestandene Maß zählt eine Benutzung von Ressourcen (z. B. Rechenzeit, Plattenplatz, Drucker, Netzwerk) durch einen Benutzer in einem Maß, das die bei der Vergabe der Zugangsberechtigung zu erwartenden Dimensionen überschreitet und damit andere Benutzer bei der Erfüllung ihrer Aufgaben behindert. Informieren Sie den zuständigen Systemadministrator oder den IT-Sicherheitsbeauftragten der Organisationseinheit, falls Sie den Systemadministrator nicht kennen, von den Vorfällen. B3 Versenden von elektronischen Massensendungen (z. B. SPAM s). Ausnahme: Verbreitung von dienstlichen Mitteilungen in Analogie zur Hauspost. Bei Spam s, die aus der Hochschule Fulda heraus verschickt wurden, wenden Sie sich direkt an den Absender der Nachricht. Klären Sie die betreffende Person darüber auf, dass sie gegen die IT- Sicherheitsrichtlinie der Hochschule Fulda verstößt und verlangen Sie von ihr die Unterlassung. Hinweis: Schicken Sie die Beschwerde möglichst mit 3

4 dem Inhalt der Nachricht und immer mit sämtlichen Absenderinformationen ( -Header) an die jeweilige Person. Bei Spam s, die von außerhalb der Hochschule Fulda verschickt wurden, ist im Allgemeinen keine Verfolgung möglich. Löschen Sie daher diese Mails! Achtung: Die Absenderadressen sind häufig gefälscht! Anmerkung: Das Versenden von elektronischen Massensendungen (z. B. Spam s), insbesondere zu kommerziellen Zwecken, wird von den meisten Benutzern als störend empfunden und ist deshalb nicht gestattet. Erlaubt sind allerdings Ankündigungen von internen Veranstaltungen, das Versenden von Verordnungen etc. in Analogie zum Versand durch die Hauspost. Das Führen von Mailing-Listen, in die sich Adressaten selbst eintragen können, ist ebenfalls gestattet. B4 Weitersenden oder In- Umlauf-Bringen von elektronischen Kettenbriefen. Wenden Sie sich direkt an den Absender der Nachricht. Klären Sie die betreffende Person darüber auf, dass sie gegen die IT-Sicherheitsrichtlinie der Hochschule Fulda verstößt und verlangen Sie von ihr die Unterlassung. Hinweis: Schicken Sie die Beschwerde möglichst mit dem Inhalt der Nachricht und immer mit sämtlichen Absenderinformationen ( -Header) an die jeweilige Person. Anmerkung: Elektronische Kettenbriefe sind meistens harmlos und mehr oder weniger informativ. Sie verursachen aber Kosten (z. B. Telefongebühren) und werden manchmal mit dem Ziel verschickt, bestimmte Mail-Server (z. B. einer Konkurrenzfirma) zu blockieren. In Einzelfällen kann es auch zur Blockade von Teilen des Internets kommen. Aus diesem Grund ist das Weitersenden oder In-Umlauf-Bringen von elektronischen Kettenbriefen verboten. Seien Sie sich bewusst, dass Benachrichtigungen über Sicherheitsprobleme von Software-Herstellern so gut wie nie über erfolgen. Auf keinen Fall werden Sie darin aufgefordert, diese Informationen weiterzuleiten. Auch Organisationen, die sich mit Netz- und Computersicherheit oder der Virenproblematik beschäftigen, versenden Benachrichtigungen nur auf Anforderung. Sollten Sie also eine mit der Aufforderung erhalten, den Inhalt an möglichst viele Bekannte weiterzuschicken, können Sie davon ausgehen, dass es sich um einen elektronischen Kettenbrief handelt und die einfach löschen. 4

5 B5 Unberechtigte Manipulation von elektronischen Daten anderer. verstößt und verlangen Sie von ihr die Unterlassung. der jeweiligen Organisationseinheit und an den Datenschutzbeauftragten der Hochschule Fulda. Falls das Problem auch damit nicht gelöst werden kann, wenden Sie sich an den IT-Sicherheitsbeauftragten des Datenverarbeitungszentrums. Die Namen, Telefonnummern und -Adressen finden Sie unter Anmerkung 1: Informieren Sie den Systemadministrator oder den IT-Sicherheitsbeauftragten der Organisationseinheit, wenn Sie den Systemadministrator nicht kennen, von den Vorfällen. Anmerkung 2: Zur unberechtigten Manipulation von elektronischen Daten zählt die Veränderung, Verfälschung etc. von elektronischen Daten ohne vorhergehende Zustimmung des Besitzers. Falls Sie die Manipulation von Dokumenten bemerken oder darüber informiert werden, führen Sie folgende Schritte durch: 1. Als Benutzer Wenn Sie Manipulationen Ihrer eigenen Dokumente bemerken, überprüfen Sie zuerst, ob die Besitzrechte (permissions) richtig gesetzt sind, und ändern Sie sofort Ihr Passwort. Sollten Sie keine Anhaltspunkte dafür finden, wie es zur Manipulation Ihrer Dokumente kommen konnte, wenden Sie sich an den zuständigen Systemadministrator oder den IT-Sicherheitsbeauftragten der Organisationseinheit, falls Sie den Systemadministrator nicht kennen. Sind Sie der Meinung, den Verursacher der Manipulation zu kennen, so teilen Sie Ihren Verdacht dem zuständigen Systemadministrator oder IT-Sicherheitsbeauftragten der Organisationseinheit mit. Wenn es sich um Daten Dritter handelt, informieren Sie den Besitzer der Daten und den zuständigen Systemadministrator oder IT-Sicherheitsbeauftragten der Organisationseinheit, falls Sie den Systemadministrator nicht kennen, von Ihren Beobachtungen. 2. Als Systemadministrator Falls Sie über unberechtigte Manipulationen informiert wurden, überprüfen Sie die Angaben auf deren Richtigkeit. Führen Sie eine umfassende Sicherheitsüberprüfung des Computers durch. Falls Sie den Verursacher der Manipulation ausfindig machen konnten, sperren Sie dessen Zugangsberechtigung. Falls keine Zugangsberechtigung vergeben wurde, handelt es sich auch um eine unerlaubte Aneignung von Zugangsberechtigungen (siehe Regel D2). 5

6 B6 Zugriff auf Daten Dritter ohne deren Erlaubnis. verstößt und verlangen Sie von ihr die Unterlassung. der jeweiligen Organisationseinheit und an den Datenschutzbeauftragten der Hochschule Fulda. Falls das Problem auch damit nicht gelöst werden kann, wenden Sie sich an den IT-Sicherheitsbeauftragten des Datenverarbeitungszentrums. Die Namen, Telefonnummern und -Adressen finden Sie unter Anmerkung 1: Informieren Sie den Systemadministrator oder den IT-Sicherheitsbeauftragten der Organisationseinheit, wenn Sie den Systemadministrator nicht kennen, von den Vorfällen. Anmerkung 2: Nicht nur die Manipulation fremder Daten sondern auch der unbefugte Zugriff (lesen, kopieren etc.) auf die Daten ist unzulässig. Ausnahmen davon sind z. B. das Anlegen von Sicherungen und ähnlichem durch den Systemadministrator und das Löschen von Daten, wenn dies technisch unumgänglich ist (z. B. temporäre Daten) oder durch die IT-Sicherheitsrichtlinie der Hochschule Fulda ausdrücklich verlangt wird. 2.C Vergehen gegen Lizenzvereinbarungen oder andere vertragliche Bestimmungen C1 C2 Die Nutzung, das Kopieren und Verbreiten von urheberrechtlich geschütztem Material im Widerspruch zum Urheberrechtsgesetz, zur Satzung der Hochschule Fulda zur Sicherung guter wissenschaftlicher Praxis, zu Lizenzvereinbarungen oder anderen Vertragsbestimmungen auf Computern der Hochschule Fulda bzw. der Transport dieser Dokumente über Netze der Hochschule Fulda. Verletzung des Urheberrechts durch Verfälschung elektronischer Dokumente. verstößt und verlangen Sie von ihr die Unterlassung und Kenntnisnahme der Richtlinie. 6

7 Anmerkung 1: Falls Sie Vergehen bemerken oder davon informiert werden, führen Sie folgende Schritte durch: 1. Als Benutzer Kontaktieren Sie den Besitzer der Daten bzw. den IT-Sicherheitsbeauftragten der Hochschul- und Landesbibliothek und klären Sie, ob es rechtliche Implikationen gibt. Wenden Sie sich an den zuständigen Systemadministrator oder IT-Sicherheitsbeauftragten der Organisationseinheit, falls Sie den Systemadministrator nicht kennen. 2. Als Systemadministrator Falls Sie über den Verstoß informiert wurden, überprüfen Sie die Angaben auf deren Richtigkeit. Falls der Verursacher nicht zur Unterlassung bereit ist, ergreifen Sie geeignete Maßnahmen, die den Zugriff zu diesen Daten unterbinden. Anmerkung 2: Verlangen Sie ggf. die sofortige Löschung der Daten, wenn gegen Regel C1 verstoßen wurde. Anmerkung 3: Es muss sichergestellt werden, dass das Dokument wieder in den ursprünglichen Zustand gebracht wird, wenn gegen Regel C2 verstoßen wurde. Anmerkung 4: Eine Benachrichtigung des IT-Sicherheitsbeauftragten der Hochschul- und Landesbibliothek sollte in jedem Fall erfolgen (auch dann noch, wenn der Verursacher sein Tun korrigiert und keine weiteren direkten Maßnahmen erforderlich sind). C3 Weitergabe von Zugangsberechtigungen an Dritte (z. B. Accounts, Passwörter, Chipkarten der Hochschule Fulda) verstößt und verlangen Sie von ihr die Unterlassung und Kenntnisnahme der Richtlinie. Anmerkung: Weitergabe von Zugangsberechtigungen an Dritte, wenn die Weitergabe nicht durch Vereinbarungen abgedeckt ist. Die Erteilung einer Zugangsberechtigung ist an die vertraglichen Bestimmungen gebunden, denen jeder im "Antrag auf eine Benutzerkennung" zugestimmt hat. Eine undokumentierte Weitergabe von Zugangsberechtigungen verletzt diese Vertragsbestimmungen und erschwert 7

8 außerdem die Analyse bei sicherheitsrelevanten Vorfällen (siehe dazu auch Benutzungsordnung für die Rechner und Netze an der Hochschule Fulda). Falls Sie Vergehen bemerken oder davon informiert werden, führen Sie folgende Schritte durch: 1. Als Benutzer Informieren Sie Ihren Systemadministrator oder IT-Sicherheitsbeauftragten der Organisationseinheit, falls Sie den Systemadministrator nicht kennen. 2. Als Systemadministrator Sperren Sie den Zugang bis die Person über den Verstoß gegen die IT- Sicherheitsrichtlinie aufgeklärt wurde. Sollte ein Computer ohne Genehmigung im lokalen Netz der Hochschule Fulda betrieben werden, entfernen Sie ihn aus dem Netz und informieren Sie das Datenverarbeitungszentrum. 2.D Verwendung elektronischer Kommunikation für Attacken gegen Computer, das Netz oder Services, die darauf erbracht werden D1 Systematisches Ausforschen von Servern und Services (z. B. Port Scans). Ausnahme: Sicherheitstests nach Absprache mit dem Systemadministrator. verstößt und verlangen Sie von ihr die Unterlassung und Kenntnisnahme der Richtlinie. Anmerkung 1: Melden Sie den Vorgang außerdem an den IT-Sicherheitsbeauftragten des Datenverarbeitungszentrums und den IT-Sicherheitsbeauftragten der Hochschule Fulda. Fügen Sie der ggf. die relevanten Auszüge aus Ihren Log-Dateien bei. Anmerkung 2: Port Scans sind oft ein erster Schritt eines Angriffs durch Cracker, bei der Informationen über Topologie und Services eines Netzes gesammelt werden. 8

9 D2 D3 Unerlaubte Aneignung von Zugangsberechtigungen oder der Versuch einer solchen Aneignung (z. B. Cracken). Ausnahme: Sicherheitstests nach Absprache mit dem Systemadministrator. Beschädigung oder Störung von elektronischen Diensten (z. B. Denial-of-Service- Attacks). Wenden Sie sich direkt an den Systemadministrator des Computers (Netzes), von dem die Angriffe stammen Klären Sie die betreffende Person darüber auf, dass sie gegen die IT-Sicherheitsrichtlinie der Hochschule Fulda verstößt und verlangen Sie von ihr die Verhinderung solcher Angriffe. Anmerkung 1: Melden Sie den Vorgang außerdem an den IT-Sicherheitsbeauftragten des Datenverarbeitungszentrums und den IT-Sicherheitsbeauftragten der Hochschule Fulda. Fügen Sie der ggf. die relevanten Auszüge aus Ihren Log-Dateien bei. Anmerkung 2: Unerlaubte Aneignung von Zugangsberechtigungen oder der Versuch einer solchen Aneignung (z. B. Cracken) und so genannte Denial-of-Service-Attacks (DoS) zählen zu den schwerwiegendsten Verstößen gegen die Sicherheitsrichtlinie der Hochschule Fulda. Im Rahmen eines erfolgreichen Hacker-Angriffs wird gegen mehrere Regeln verstoßen. Dazu zählen der unerlaubte Zugriff auf fremde Daten, die Aneignung von Ressourcen und sehr oft auch die Verwendung der angeeigneten Ressourcen (Computer) für Angriffe auf weitere Computer. Der Angreifer verfügt dann über ein Standbein im lokalen Netz der Hochschule Fulda und erhält damit implizit Zugriff auf Daten, die ihm nicht zustehen. Da die Punkte D2 und D3 eine besonders große Gefahr für das Hochschulnetz darstellen, müssen bei Verstößen sowohl der zuständige Systemadministrator als auch die IT-Sicherheitsbeauftragten der Hochschule Fulda und des Datenverarbeitungszentrums informiert werden. D4 Vorsätzliche Verbreitung oder In-Umlauf-Bringen von schädlichen Programmen (z. B. Viren, Würmer, Trojanische Pferde). verstößt und verlangen Sie von ihr die Unterlassung und Kenntnisnahme der Richtlinie. der jeweiligen Organisationseinheit. Falls das Pro- 9

10 blem Anmerkung 1: Melden Sie den Vorgang außerdem an den IT-Sicherheitsbeauftragten des Datenverarbeitungszentrums und den IT-Sicherheitsbeauftragten der Hochschule Fulda. Fügen Sie der ggf. die relevanten Auszüge aus Ihren Log-Dateien bei. Anmerkung 2: Verbreitung oder In-Umlauf-Bringen von schädlichen Programmen (z. B. Viren, Würmern oder Trojanischen Pferden) kann folgende Auswirkungen haben: 1. Datenbeschädigung 2. Zugriff für Unbefugte 3. Schädigung Dritter durch schnelle Ausbreitung 4. Imageverlust durch 1. bis 3. Diese Programme werden nicht durch einen gezielten Angriff gefährlich, sondern verbreiten sich quasi automatisch. Das Datenverarbeitungszentrum bietet eine entsprechende Anti-Virus-Software (Sophos-Antivirus) im Rahmen einer für Hochschul-Angehörige kostenlosen Campuslizenz an. D5 Ausspähen von Passwörtern oder auch der Versuch des Ausspähens (z. B. Password Sniffer). verstößt und verlangen Sie von ihr die Unterlassung. Anmerkung: Melden Sie den Vorgang außerdem an den IT-Sicherheitsbeauftragten des Datenverarbeitungszentrums und den IT-Sicherheitsbeauftragten der Hochschule Fulda. 10

11 D6 Unberechtigte Manipulation oder Fälschung von Identitätsinformationen (z. B. E- Mail-Header, elektronische Verzeichnisse, IP-Spoofing, etc.). verstößt und verlangen Sie von ihr die Unterlassung. der jeweiligen Organisationseinheit und an den Datenschutzbeauftragten der Hochschule Fulda. Falls das Problem auch damit nicht gelöst werden kann, wenden Sie sich an den IT-Sicherheitsbeauftragten des Datenverarbeitungszentrums. Die Namen, Telefonnummern und -Adressen finden Sie unter Anmerkung 1: Melden Sie den Vorgang außerdem an den IT-Sicherheitsbeauftragten des Datenverarbeitungszentrums und den IT-Sicherheitsbeauftragten der Hochschule Fulda. Anmerkung 2: Die Vorgabe einer falschen Identität verstößt gegen die Sicherheitsrichtlinie der Hochschule Fulda. Die Verwendung von Pseudonymen und die Wahl der Anonymität gelten nicht als Fälschung der Identität. D7 Ausnutzen erkannter Sicherheitsmängel bzw. administrativer Mängel. verstößt und verlangen Sie von ihr die Unterlassung und Kenntnisnahme der Richtlinie. Anmerkung 1: Melden Sie den Vorgang außerdem an den IT-Sicherheitsbeauftragten des Datenverarbeitungszentrums und den IT-Sicherheitsbeauftragten der Hochschule Fulda. Anmerkung 2: Falls Ihnen als Benutzer eines Computers Sicherheitsmängel auffallen, sind Sie verpflichtet, die Mängel dem Systemadministrator oder dem IT-Sicherheitsbeauftragten der Organisationseinheit zu melden, falls Sie den Systemadministrator nicht kennen, und ihn zur Behebung der Mängel aufzufordern. 11

12 Anmerkung: Die Hochschule Fulda dankt dem Hochschulrechenzentrum der TU Darmstadt für die Genehmigung, dass sie den Leitfaden zur IT Security Policy als Basis der Erläuterungen und Handlungsanweisungen bei Sicherheitsvorfällen verwenden. Erstellt von: S. Groß Letzte Änderung: 22. Januar 2013 PDF-Version Der erforderliche Acrobat Reader zum Lesen der PDF-Datei kann z. B. kostenlos von der Firma Adobe bezogen werden. 12