Sie sind hier: Home » Dienste » Vulnerability Response an der Uni Stuttgart

Vulnerability Response an der Uni Stuttgart

Das RUS-CERT bearbeitet Vorfälle reaktiv im Rahmen der sogennannten Incident Response und präventiv unter anderem im Rahmen der sogenannten Vulnerability Response (VR). Beide Dienste dienen dazu, Schaden von der Universität Stuttgart abzuwenden, der durch die Kompromittierung von Systemen oder durch ihre Verwundbarkeit gegen Schwachstellen entstehen kann.

Prozessbeschreibung VR

Der Prozess der Vulnerability Response wird vom RUS-CERT angestoßen, wenn Schwachstellen in IT-Systemen bekannt werden, die innerhalb der Netze der Universität Stuttgart eingesetzt werden und deren erfolgreicher Angriff und Kompromittierung eine ernste Bedrohung für andere Teilnehmer im Netz darstellen würden.

Nach Analyse der Schwachstelle und Bewertung ihres Gefahrenpotentials verfasst das RUS-CERT eine Meldung zu diesem Thema und verschickt diese an die Subskribienten der Mailinglisten des Meldungsdienstes. In dieser Meldung ist Information enthalten, wie die Schwachstelle temporär oder permanent beseitigt werden kann.

Zur gleichen Zeit untersucht das RUS-CERT die Netze der Universität Stuttgart mittels eines Scans, um Systeme zu entdecken, die gegen diese Schwachstelle verwundbar sind, sofern dies möglich ist.

Sofern ein System als verwundbar erkannt wird, erhält der zuständige Netzwerkadministrator (Ansprechpartner) eine E-Mail, die ihn über diesen Umstand ins Bild setzt. Die Nachricht enthält die IP-Adresse des Systems, das als verwundbar erkannt wurde, weitere Information zur erkannten Schwachstelle und einen URL zur korrespondierenden Meldung des RUS-CERT. In der Meldung wird die Schwachstelle im Detail beschrieben und es ist Information zur Beseitigung oder Milderung der Schwachstelle enthalten.

Um die Verwundbarkeit und damit die Gefahr der Komprommittierung zu beseitigen, ist es erforderlich, die in der Mitteilung und/oder der Meldung des RUS-CERT angegebenen Schritte unverzüglich auszuführen. Ggf. ist das System für die Zeit dieser Maßnahmen vom Netz zu nehmen. Das RUS-CERT kann unterstützend gefährdende Freischaltungen temporär zurücknehmen. Sofern gewünscht, kann dieser Dienst vom entsprechenden Ansprechpartner durch eine formlose E-Mail-Nachricht als Antwort auf die vom RUS-CERT erhaltene Mitteilung in Anspruch genommen werden.

In besonders schwerwiegenden Fällen kann es erforderlich sein, dass das RUS-CERT proaktiv zeitweise gefährdende Freischaltungen für dieses System aufzuheben. Auch in diesem Fall wird der Ansprechpartner informiert.

Weiterhin werden die Daten, die im Rahmen der Verkehrsüberwachung anfallen, auf verdächtige Verkehre zu den als verwundbar erkannten Systemen untersucht. Sofern Hinweise auf bereits erfolgte erfolgreiche Angriffe gefunden werden, wird der Prozess der Incident Response für die ermittelten Systeme angestoßen.

Gefahren einer Kompromittierung

Die primäre Gefahr, die durch den Verlust der Kontrolle über kompromittierte Systeme entsteht, ist die Möglichkeit der Manipulation oder Löschung der darauf verarbeiteten und gespeicherten Daten. Besonders im Falle der Verabeitung von Daten im Rahmen eines Drittmittelprojektes oder Forschungsauftragen kann ein solcher Vorfall dazu führen, dass Schadenersatzforderungen in beträchtlicher Höhe gegen die Universität Stuttgart entstehen.

Daneben können solche Systeme als Angriffsplattform gegen weitere Systeme innerhalb und außerhalb der Netze der Universität Stuttgart verwendet werden und so weitere Schadenersatzansprüche gegen die Betreiber der Systeme begründen.

Daher ist sowohl die Aufklärung von Kompromittierungen und die rasche Ergreifung von Gegenmaßnahmen zwingend erforderlich, um sowohl den Angriffsweg als auch die Auswirkungen weitestgehend zu ermitteln. Im Falle von tatsächlich erhobenen Ansprüchen gegen die Universität Stuttgart ist es nützlich, möglichst viel Information zur Verschuldensfrage beitragen zu können.