Incident Response und Vulnerability Response
Das RUS-CERT bearbeitet Vorfälle reaktiv im Rahmen der sogennannten Incident Response und präventiv unter anderem im Rahmen der sogenannten Vulnerability Response. Beide Dienste dienen dazu, Schaden von der Universität Stuttgart abzuwenden, der durch die Kompromittierung von Systemen oder durch ihre Verwundbarkeit gegen Schwachstellen entstehen kann.
Incident Response (IR)
Die Incident Response umfasst die Bearbeitung von Vorfällen, bei denen Systeme innerhalb der Netze der Universität Stuttgart durch einen manuellen oder automatisierten Angriff kompromittiert oder im Betrieb gestört wurden. Information, die zur Aufdeckung solcherlei Vorfälle führen, erhält das RUS-CERT aus der Verkehrsüberwachung aus der Bearbeitung anderer Vorfälle oder Hinweisen von innen oder außen.
Die primäre Gefahr, die durch den Verlust der Kontrolle über kompromittierte Systeme entsteht, ist die Möglichkeit der Manipulation oder Verlustes der darauf verarbeiteten und gespeicherten Daten. Besonders im Falle der Verabeitung von Daten im Rahmen eines Drittmittelprojektes oder Forschungsauftragen kann ein solcher Vorfall dazu führen, dass Schadenersatzforderungen in beträchtlicher Höhe gegen die Universität Stuttgart entstehen.
Daneben können solche Systeme als Angriffsplattform gegen weitere Systeme innerhalb und außerhalb der Netze der Universität Stuttgart verwendet werden und so weitere Schadenersatzansprüche gegen die Betreiber der Systeme begründen.
Daher ist sowohl die Aufklärung von Kompromittierungen und die rasche Ergreifung von Gegenmaßnahmen zwingend erforderlich, um sowohl den Angriffsweg als auch die Auswirkungen weitestgehend zu ermitteln. Im Falle von tatsächlich erhobenen Ansprüchen gegen die Universität Stuttgart ist es nützlich, möglichst viel Information zur Verschuldensfrage beitragen zu können.
Abuse Handling
Das Abuse Handling gehört organisatorisch zur Incident Response. In seinem Rahmen werden Fälle bearbeitet, bei dem ein Missbrauch der IT-Infrastruktur der Universität Stuttgart vorliegt. Dies kann z.B. das massenhafte Versenden von E-Mail (SPAM) oder das illegale Tauschen urheberrechtlich geschützter Werke über Peer-to-Peer Netzwerke (P2P) sein.
Vulnerability Response (VR)
Der Prozess der Vulnerability Response wird vom RUS-CERT angestoßen, wenn Schwachstellen in IT-Systemen bekannt werden, die innerhalb der Netze der Universität Stuttgart eingesetzt werden und deren erfolgreicher Angriff und Kompromittierung eine ernste Bedrohung darstellen würden.
Nach Analyse der Schwachstelle und Bewertung ihres Gefahrenpotentials verfasst das RUS-CERT eine Meldung und untersucht gleichzeitig die Netze der Universität Stuttgart auf gegen diese Schwachstelle verwundbare Systeme.
Weitere Information
Mehr Information zur Incident Response – Was passiert
Was tun, wenn man eine Nachricht des RUS-CERT erhalten hat, in der mitgeteilt wird, dass mit einem System im eigenen Zuständigkeitsbereich etwas nicht stimmt?