You are here: Home » Dienste » Incident Response und Vulnerability Response
Sorry, this page is not translated yet.

Incident Response und Vulnerability Response

Das RUS-CERT bearbeitet Vorfälle reaktiv im Rahmen der sogennannten Incident Response und präventiv unter anderem im Rahmen der sogenannten Vulnerability Response. Beide Dienste dienen dazu, Schaden von der Universität Stuttgart abzuwenden, der durch die Kompromittierung von Systemen oder durch ihre Verwundbarkeit gegen Schwachstellen entstehen kann.

Inhalt

Incident Response (IR)

Die Incident Response umfasst die Bearbeitung von Vorfällen, bei denen Systeme des IT-Verbundes der Universität Stuttgart durch einen manuellen oder automatisierten Angriff kompromittiert oder im Betrieb gestört wurden oder wenn sie Angriffe gegen Systeme innerhalb oder außerhalb des IT-Verbundes der Universität Stuttgart durchführen sowie deren Dokumentation nach forensischen Kriterien. Information, die zur Aufdeckung solcher Vorfälle führen, erhält das RUS-CERT aus der Verkehrsüberwachung aus der Bearbeitung anderer Vorfälle, in deren Rahmen Spuren oder Evidenz gefunden werden, oder Hinweisen von innen oder außen.

Der Betrieb eigener IT-Infrastruktur, wie sie der IT-Verbund der Universität darstellt, ist mit Verantwortung gegenüber den eigenen Benutzern, Kooperations-, Vertrags- und Projektpartnern sowie anderen Teilnehmern des Internets verbunden. Durch den Verlust der Kontrolle über kompromittierte Systeme entstehen zwei Hauptgefahren: Zunächst ist dies die Möglichkeit der Manipulation oder des Verlustes der darauf verarbeiteten und gespeicherten Daten. Besonders im Falle der Verabeitung von Daten im Rahmen von Drittmittelprojekten oder Forschungsaufträgen kann ein solcher Vorfall dazu führen, dass Schadenersatzforderungen in beträchtlicher Höhe gegen die Universität Stuttgart entstehen. Handelt es sich um personenbezogene Daten , können außerdem datenschutzrechltiche Vorschriften verletzt werden.
Daneben können solche Systeme als Angriffsplattform gegen weitere Systeme innerhalb und außerhalb der Netze der Universität Stuttgart verwendet werden und so (ggf. weitere) Schadenersatzansprüche gegen den Betreiber der Systeme begründen.

Daher ist sowohl die Aufklärung von Kompromittierungen und die rasche Ergreifung von Gegenmaßnahmen zwingend erforderlich, um sowohl den Angriffsweg als auch die Auswirkungen weitestgehend zu ermitteln und insbesondere Schaden bei Dritten zu minimieren. Da nie vorhergesagt werden kann, ob ein Vorfall ein juristisches Nachspiel hat, muss die Bearbeitung jedes Vorfalls nach forensischen Krtiterien dokumentiert werden. Im Falle von tatsächlich erhobenen Ansprüchen gegen die Universität Stuttgart ist es essentiell, möglichst viel Information zur Verschuldensfrage beitragen und den Nachweis zu den ergriffenen Maßnahmen zur Schadensminimierung führen zu können.

Vorfälle können nicht generell vermieden werden, wohl aber der unprofessionelle oder gar planlose Umgang mit ihnen, der im Zweifelsfall sogar als fahrlässig eingestuft werden kann. Der finanzielle Verlust, der durch Schadenersatzzahlungen entstehen kann, ist zwar ärgerlich aber in vielen Fällen verkraftbar. Der Imageschaden, der durch die gerichtliche Feststellung der Fahrlässigkeit beim Betrieb von IT entstehen kann, kann für eine technische Universität jedoch verheerende Folgen haben.

Zum Inhaltsverzeichnis

Abuse Handling

Das Abuse Handling gehört organisatorisch zur Incident Response. In seinem Rahmen werden Fälle bearbeitet, bei dem ein Missbrauch der IT-Infrastruktur der Universität Stuttgart vorliegt. Dies kann z.B. das massenhafte Versenden von E-Mail (SPAM) oder das illegale Anbieten urheberrechtlich geschützter Werke etwa über Peer-to-Peer Netzwerke (P2P) sein.

Zum Inhaltsverzeichnis

Vulnerability Response (VR)

Der Prozess der Vulnerability Response wird vom RUS-CERT angestoßen, wenn Schwachstellen in IT-Systemen bekannt werden, die innerhalb der Netze der Universität Stuttgart eingesetzt werden und deren erfolgreicher Angriff und Kompromittierung eine ernste Bedrohung darstellen würden.

Nach Analyse der Schwachstelle und Bewertung ihres Gefahrenpotentials verfasst das RUS-CERT eine Meldung und untersucht gleichzeitig die Netze der Universität Stuttgart auf gegen diese Schwachstelle verwundbare Systeme.

Zum Inhaltsverzeichnis

Weitere Information

Zum Inhaltsverzeichnis