Hinweise zum Erkennen von Informationssicherheits-Vorfällen und -Notfällen
Jeder Informationssicherheits-Vorfall oder -Notfall ist anders, wodurch es schwierig ist, Anhaltspunkte zu nennen, an denen Sie einen solchen erkennen können. Folgende Auffälligkeiten könnten jedoch auf einen Vorfall oder Notfall hindeuten:
- Ereignismeldungen von Antivirenprogramm oder Firewall
- gehäuft auftretende, unerwartete Popups ohne erkennbaren Grund
- unbekannte Programmaufrufe ohne erkennbaren Grund
- beschädigte oder unzugängliche Dateien
- plötzlich ungewöhnlich langsame oder keine Reaktion des Geräts
- viele E-Mail-Unzustellbarkeitsmeldungen
Aber seien Sie vorsichtig, denn auch Meldungen zu angeblichen Sicherheitsvorfällen oder -problemen können Social Engineering sein, z. B. Anrufe oder E-Mails vermeintlicher IT-Dienste oder Webseiten-Popups mit angeblichen Infektionswarnungen.
IT-Notfallkarte
Sollte es zu einem IT-Sicherheitsvorfall oder IT-Notfall kommen, besteht eventuell nicht mehr die Möglichkeit, die zuständigen Ansprechpersonen zu recherchieren. Die Universität Münster stellt daher eine IT-Notfallkarte zur Verfügung, auf der Sie Kontaktpersonen eintragen und Verhaltensweisen bei IT-Vorfällen nachlesen können.
Drucken Sie die Karte aus. Tragen Sie die Telefonnummer Ihrer zuständigen IVV und/oder die Nummer der zuständigen Administratorin oder des Administrators ein. Ergänzen Sie ggf. eine weitere Kontaktperson (z. B. Ihre Führungskraft). Falls Sie einen dienstlichen Rechner nutzen, könnte es hilfreich sein, ebenfalls den Rechnernamen auf der IT-Notfallkarte zu notieren.
Bewahren Sie die IT-Notfallkarte dort auf, wo Sie sie im IT-Notfall schnell finden können.
Mein Rechner verhält sich komisch, wie gehe ich jetzt vor?
Sollten Sie vermuten, dass Ihr Rechner infiziert ist, gehen Sie wie folgt vor:
- Arbeit einstellen.
- Gerät eingeschaltet lassen.
- Wenn möglich Gerät vom Internet trennen (WLAN ausschalten oder LAN-Kabel ziehen).
- Falls externe Datenträger angeschlossen sind, diese trennen.
- Vorfall melden:
- Mitarbeitende der Fachbereiche:
- Mitarbeitende der Verwaltung:
- Bei Administrator*in oder IVV9/Service Desk (Tel.: 0251 83-30303) melden.
- CERT
- Studierende:
- Wenn ein Gerät der Universität Münster betroffen ist, melden Sie sich bei der*dem zuständigen Administrator*in bzw. der zuständigen IVV oder der Hotline des CIT (Tel.: 0251 83-31600).
- Wenn ein privates Gerät betroffen ist, wenden Sie sich an die CIT-Nutzerberatung (Tel.: 0251 83-31900).
Ich wurde gebeten, sensible Informationen preiszugeben.
Danke, dass Sie wachsam werden bei solchen Anfragen! Bitte stellen Sie sich folgende Fragen und überprüfen Sie ggf. die Anfrage:
- Wie vertrauenswürdig ist die Anfrage und von wem kommt sie?
- Vergewissern Sie sich über einen anderen Weg (persönlich, telefonisch,..), ob es sich um eine vertrauenswürdige Anfrage handelt.
- Geben Sie im Zweifelsfall keine Daten heraus und beziehen Sie ggf. die Stabsstelle Datenschutz mit ein.
Ich habe eine E-Mail mit sensiblen Informationen an die falsche Person geschickt.
Sollten sensible Daten in unbefugte Hände geraten sein, wenden Sie sich bitte an die Stabsstelle Datenschutz.
Ich habe eine verdächtige E-Mail mit Bezug zur Universität Münster erhalten.
Bitte melden Sie verdächtige E-Mails, wie z. B. Phishing, mit Bezug zur Universität Münster (z. B. E-Mail Adresse der Universität Münster, eine Person gibt sich als Angestellte*r der Universität Münster aus, Login-Seite der Universität Münster kopiert,…) an spam@uni-muenster.de. Leiten Sie dafür bitte immer die verdächtige E-Mail vollständig als Anhang weiter (in Outlook über die Schaltfläche "Als Anlage weiterleiten" oder per Tastenkombination Strg + Alt + F), damit alle notwendingen Informationen für eine zügige Reaktion vorliegen.
Vorgehen nach einem Sicherheitsvorfall
Nachdem Sie Kontakt mit Ihren zuständigen Administrator*innen und/oder Ihrer IVV hatten und den Anweisungen gefolgt sind, können weitere Schritte nach einem Sicherheitsvorfall folgen:
- Ändern Sie ggf. alle Passwörter mit einem anderen Rechner.
- Es müssen weitere möglicherweise infizierte Rechner identifiziert werden.
- Infizierte Rechner mit neuem Betriebssystem-Image versehen (lassen).
- Falls nötig, Daten wiederherstellen.
Bitte besprechen Sie das weitere Vorgehen mit Ihren Administrator*innen und/oder Ihrer IVV.
Alle Kontaktdaten als Übersicht
Wichtig: Versuchen Sie zuerst die für Sie zuständige(n) Administrator*innen oder IVV zu erreichen, bevor Sie sich an die Hotline des CIT, das CERT oder die Stabsstelle Informationssicherheit wenden. Ihre IVV hat Zugriff auf Ihre Systeme und weiß oftmals deutlich besser, welche Systeme im Einsatz sind.
- für wissenschaftliche Mitarbeitende: IVVen der Fachbereiche
- für Verwaltungsmitarbeitende: IVV9/ Service Desk
- Telefon: 0251 83-30303
- E-Mail: it.servicedesk@uni-muenster.de
- für Studierende: Hotline des CIT
- Telefon: 0251 83-31600
- E-Mail: it@uni-muenster.de
- Computer Emergency Response Team (CERT)
- E-Mail: cert@uni-muenster.de