Kooperation, Interaktion & Offenlegung von Informationen
Alle Informationen, die das UniMS-CERT bearbeitet, werden standarmäßig als vertraulich betrachtet und nur im Bedarfsfall geteilt. Alle Mitglieder des UniMS-CERT haben eine Verschwiegenheitserklärung (NDA) unterzeichnet und befolgen übliche Richtlinien zur Weitergabe von Informationen, wie z.B. das Traffic Light Protocol (TLP) [en]. Das UniMS-CERT strebt die Einhaltung des Trusted Introducer (TI) CSIRT Code of Practice (CCoP) [en] an.
Aufgrund ihrer Verantwortlichkeiten und der daraus resultierenden Vertraulichkeitserwartungen haben Mitglieder der Leitung der Universität Münster und das CIT das Recht, alle Informationen, die erforderlich zur Unterstützung der Aufklärung von Informationssicherheitsvorfällen in ihrem Verantwortlichkeitsbereich sind, zu erhalten. IV-Sicherheitsbeauftragte (IV-SB) und Systemadministrator*innen der Universität Münster werden aufgrund ihrer Verantwortlichkeit auch mit vertraulichen Informationen betraut. Wenn diese Personen jedoch nicht auch Mitglieder des UniMS-CERT sind, erhalten sie nur die Informationen, die sie zur Unterstützung einer Untersuchung oder zur Absicherung ihrer eigenen Systeme haben müssen. Nutzer*innen von Diensten der Universität Münster haben das Anrecht auf Informationen, die die Sicherheit ihrer eigenen Kennungen betreffen, und werden über mögliche Kompromittierungen informiert.
Da das UniMS-CERT die Informationssicherheitsgemeinschaft unterstützen möchte, beteiligt es sich am Austausch von vorfallsbezogenen Informationen, z.B. IOAs/IOCs, mit anderen vertrauenswürdigen Institutionen oder CSIRTs. Falls bestimmte Informationen nützlich zur Verhinderung oder Aufklärung eines Vorfalls an einer anderen Einrichtung sind, werden diese gerne geteilt. Um ethischen und rechtlichen Beschränkungen nachzukommen, werden Maßnahmen zur Anonymisierung von personenbezogenen Informationen, sowie anderer sensibler Details unternommen.
Das UniMS-CERT kooperiert mit Strafverfolgungsbehörden, was im Einklang mit der IT-Benutzungsordnung der Universität Münster steht, und die Weitergabe vertraulicher Informationen zur Durchführung von Untersuchungen kann notwendig oder sogar rechtlich erforderlich sein. In solchen Fällen wird die Rechtsabteilung der Universität Münster beteiligt. Die Menge der weitergegebenen Informationen wird immer so gering wie möglich gehalten.
Vertrauliche Informationen werden niemals mit den gesamten Mitgliedern des Verantwortlichkeitsbereichs oder gar der allgemeinen Öffentlichkeit geteilt. Sollte die Veröffentlichung von Informationen in einem größeren Rahmen notwendig sein, wird dies unter Einbeziehung der Rechtsabteilung und der Abteilung für Öffentlichkeitsarbeit erfolgen.