Das RUS-CERT erhält vom TIK von den Borderroutern zwischen Uninetz und Internet sowie von den Gebietsroutern Metadaten zum Netzwerktraffic, sogenannte (Net-)Flows.
Diese werden von uns genutzt, um Angriffsversuche von außen sowie auffälliges Verhalten von Systemen im Uninetz zu erkennen.
Flows sind Metadaten von Netzwerkverbindungen. Sie beinhalten vor allem die IP-Adressen der Kommunikationspartner sowie Daten zum verwendeten Protokoll.
Mit NetFlows werden folgende Verbindungs-Metadaten erfasst:
Folgende Daten werden insbesondere also nicht erfasst:
Mithilfe von Flow-Daten lässt sich also zum Beispiel erkennen, wenn eine Verbindung von einem System im Uninetz zu einem Webserver der Deutschen Bahn aufgebaut wurde, aber nicht welche Verbindung angefragt oder ob ein Ticket gebucht wurde.
Mithilfe der Flow-Daten können wir auf verschiedene Arten die Informationssicherheit an der Uni Stuttgart erhöhen und unsere Ansprechpersonen gezielt unterstützen:
Die Flowdaten werden für 15 Tage gespeichert und danach automatisch gelöscht. Im Falle von Sicherheitsvorfällen, die eine manuelle Auswertung der Flows erfordern, können die für die Vorfallsbearbeitung relevanten Flows länger gespeichert werden.