IT-Sicherheitsvorfall melden

Ein IT-Sicherheitsvorfall kann schwerwiegende Folgen haben, wenn er nicht frühzeitig erkannt und behandelt wird. Dazu zählen beispielsweise verdächtige Systemaktivitäten, unbefugte Zugriffe oder Phishing-Angriffe. Eine frühzeitige Meldung hilft dabei, Schäden zu minimieren, Angriffe zu analysieren und schnell Gegenmaßnahmen einzuleiten. Bitte zögern Sie nicht – melden Sie lieber einen Vorfall einmal zu viel als zu wenig. Ihre Meldung wird vertraulich behandelt.

Notwendige Informationen für eine schnelle Bearbeitung:

• Datum und Uhrzeit des Vorfalls (inkl. Zeitzone)
• Quell- und Ziel-IP-Adressen sowie verwendete Ports und Protokolle (falls bekannt)
• Beschreibung des Vorfalls und relevante Details
• Log-Dateien oder verdächtige E-Mails (als Anhang, inkl. Header-Daten)

Wenn Sie eine Schwachstelle melden möchten, halten Sie sich bitte an die Prinzipien der verantwortungsvollen Offenlegung (Responsible Disclosure):

• Verzichten Sie auf jegliche absichtliche Ausnutzung der Schwachstelle.
• Übermitteln Sie sensible Informationen ausschließlich über sichere Kanäle.
• Teilen Sie Details zur Schwachstelle nicht mit unbeteiligten Dritten, bis sie behoben wurde.

Bitte beachten Sie, dass wir für gemeldete Schwachstellen keine Prämien oder Belohnungen vergeben können, gerne aber einen Letter of Appreciation ausstellen.

Vorgehen bei einem Sicherheitsvorfall

Ein schnelles und koordiniertes Vorgehen ist entscheidend, um Schäden zu begrenzen und die Ursache eines Sicherheitsvorfalls zu ermitteln. Bitte folgen Sie diesen Schritten:

Sofortmaßnahmen:

• Trennen Sie das betroffene System umgehend vom Netzwerk, aber schalten Sie es nicht aus.
• Melden Sie den Vorfall an Ihre vorgesetzte Person und den zuständigen IT-Support.
  • Mitarbeitende mit IT-Support wenden sich an ihre IT-Ansprechpersonen.
  • Mitarbeitende ohne direkten IT-Support sowie Studierende müssen selbst geeignete Maßnahmen einleiten.
• Informieren Sie das RUB-Cert- / ITSB-Team über den Vorfall.

Analyse und Schadensbegrenzung:

• Ermitteln Sie die Ursache des Vorfalls und identifizieren Sie mögliche weitere betroffene Systeme.
• Ändern Sie umgehend alle betroffenen Passwörter, insbesondere, wenn Konten kompromittiert wurden.
• Falls ein Rechner infiziert wurde: System neu aufsetzen, da eine vollständige Bereinigung oft nicht zuverlässig möglich ist.
• Daten aus Backups wiederherstellen, falls erforderlich.

Nachbearbeitung und Prävention:

• Bewertung des Vorfall und Identifizierung möglicher Sicherheitslücken.
• Falls nötig, führen Sie eine Abschlussbesprechung durch, um Maßnahmen zur zukünftigen Vermeidung zu definieren.
• Passen Sie Sicherheitsrichtlinien oder Schutzmaßnahmen an, um ähnliche Vorfälle künftig zu verhindern.

Weitere Informationen finden Sie auf der Webseite der Stabstelle für Informationssicherheit