NACH OBEN

IT-Sicherheitsvorfall/IT-Notfall | A-Z | Kontakt/Beratung

Informationen für Nutzer bei Verdacht auf Infektion mit Schadcode (Malware)

Mit diesem Artikel möchten wir Ihnen helfen, einen Verdacht auf Kompromittierung durch Schadcode (Schadsoftware, Malware) auf einem Ihrer persönlichen IT-Geräte korrekt an die zuständigen Stellen der RUB zur Vorfallsbehandlung zu melden.

Der Prozess der Vorfallsbehandlung erfordert Ihre Mitarbeit. Darüber hinaus sind ggfs. Meldungen an offizielle Stellen notwendig, zu denen Sie zeitnah Informationen bereitstellen müssen.

Nachfolgend haben wir für Sie die einzelnen Schritte der Vorfallsbehandlung beschrieben. Unter jedem Schritt finden Sie Hinweise zu Ihren Pflichten, sowie Hintergrundinformationen, um den Prozess für Sie transparent abzubilden.

Schadcode kann auf unterschiedlichste Arten und Weisen auf Ihren Rechnerarbeitsplatz (Endpoint) gelangen. Über einen Dateiaustausch, per USB-Gerät, Downloads aus dem Internet, per E-Mail oder bereits durch den Besuch einer maliziösen Web-Seite.

Ein begründeter Verdacht auf  Infektion mit Schadcode liegt vor, wenn:

  • Ihr Account wegen des Versands von Spam gesperrt wurde.
  • Sie einem Phishing-Betrug zum Opfer gefallen sind und Ihre RUB-Login-Daten auf einer RUB-fremden Web-Seite eingegeben haben.
  • Sie konkrete Meldungen Ihrer Antiviren/Malware Software erhalten.

Weitere Anzeichen für eine mögliche Infektion mit Schadcode können sein:

  • Sie haben eine dubiose Web-Seite im Internet besucht.
  • Sie haben ein Dokument dubioser Herkunft geöffnet.
  • Sie haben auf eine dubiose E-Mail reagiert,
    z.B. einen Download ausgeführt, ein Dokument geöffnet, einem Link ins Internet gefolgt.
  • Sie haben ein USB-Gerät unbekannter Herkunft angeschlossen.
  • Ihr System meldet Fehler, die Sie nicht einordnen können.
  • Sie entdecken, dass Ihre Daten - ohne Ihr Zutun - verändert, gelöscht oder gar verschlüsselt wurden.
  • Sie werden von Programmen oder aus Dokumenten heraus aufgefordert, selbstständig Software nachzuinstallieren.
  • Ihr System verhält sich auffällig oder ungewöhnlich (ist instabil oder sehr langsam).
  • Sie erhalten Antworten auf oder Fehlermeldungen für E-Mails, die Sie nicht versendet haben.

 

Wie erfolgt die Meldung eines Verdachtsfalls?

Besteht der Verdacht auf Schadcode auf einem Ihrer IT-Geräte, gehen Sie bitte wie folgt vor:

  • Kontaktieren Sie umgehend Ihren IT-Support.
     
    • Beschäftigte der Universitätsverwaltung und der Bereiche, die einen Supportvertrag mit IT.SERVICES abgeschlossen haben, sollten ihre Ansprechpersonen bei IT.SERVICES kontaktieren, z.B. via Helpdesk.
    • Beschäftigte der anderen Bereiche sollten ihre dezentrale IT-Administration kontaktieren.
    • Beschäftigte ohne professionellen IT-Support und Studierende müssen relevante Support-Aufgaben selbst übernehmen.
      In diesem Fall richten Sie sich bitte auch nach den Informationen für Admins.
       
  • Ihr IT-Support wird mittels einer Vorfallsanalyse an dem verdächtigen System klären, ob es sich um eine Störung oder einen meldepflichtigen Sicherheitsvorfall handelt.
  • Bitte berücksichtigen Sie: Ein infiziertes System darf nicht im Netzwerk der RUB betrieben werden!
     
    • Bei einem begründeten Verdacht: Trennen Sie das System unverzüglich vom RUB-Netz (LAN/Wifi/Eduroam/Mobilfunknetz).
    • Nutzen Sie - wenn möglich-  vorübergehend ein anderes, sicheres System.

 

Die Vorfallsanalyse wird in enger Abstimmung zwischen Ihnen und Ihrem IT-Support durchgeführt.

  • Informieren Sie Ihren IT-Support über alle mit dem Verdacht in Verbindung stehenden Vorkommnisse.
  • Übergeben Sie Ihrem IT-Support alle mit dem verdächtigen System genutzten, beschreibbaren Wechseldatenträger (USB-Sticks, etc.) zur Analyse.
  • Führen Sie gemeinsam mit Ihrem IT-Support eine Analyse auf allen mit dem verdächtigen System genutzten Netzwerkspeichern (Fileshares, Cloud-Speicher), durch.
     

  Abhängig vom Ergebnis dieser Analyse sind ggfs. weitere Maßnahmen sowie Meldungen erforderlich.

Die notwendigen Maßnahmen bei bestätigtem Verdacht (Kompromittierung)

Kompromittierte Systeme gefährdet nicht nur Ihre persönliche Informationssicherheit sondern potentiell alle Systeme der RUB. Kompromittierungen sind meldepflichtig!

  • Führen Sie umgehend einen Passwortwechsel durch

    Dies betrifft alle Passwörter, die Sie auf dem kompromittierten System verwendet haben. Die Änderungen dürfen nicht über das kompromittierte System erfolgen!

    -> Hinweise zum Passwortwechsel
  • Als Nutzer sind Sie verpflichtet, die Art der auf dem kompromittierten System gespeicherten Daten an die Stabsstelle zu melden.
    Wichtig: Melden Sie die Kompromittierung unverzüglich. Die RUB hat eine Meldefrist von 72 Stunden einzuhalten.
     
  • Informieren Sie die vorgesetzte Person in Ihrem Bereich über den Sicherheitsvorfall.
    Setzen Sie sie/ihn bitte in Kenntnis, dass das kompromittierte IT-Gerät vorerst nicht mehr verwendet werden darf.

Zu Ihrer weiteren Information:

  • Haben Sie auf dem infizierten System S/MIME-Zertifikate, private PGP- oder SSH-Schlüssel gespeichert, müssen diese zurückgezogen und für ungültig erklärt werden. Ziehen Sie zu diesem Zweck ggfs. Ihren IT-Support zu Rate.
  • Ihr IT-Support wird das RUB-Cert über den Vorfall informieren und alle weiteren Maßnahmen zur Behandlung mit dem RUB-Cert abstimmen.
  • Beachten Sie bitte auch den Hinweis zur Datenrettung im Abschnitt zum Abschluss der Vorfallsbehandlung.

Wurde auf Ihrem IT-Gerät eine Kompromittierung erkannt, muss das System von Ihrem IT-Support neu installiert werden.

  • Das infizierte System darf nicht weiter betrieben werden.
     
  • Beauftragen Sie ggfs. Ihren IT-Support mit einer Datenrettung.

Abhängig von Art und Schwere des Vorfalls müssen ggfs. Komponenten des kompromittierten Systems ersetzt werden. In jedem Fall aber muss das System neu installiert werden.
Über die konkreten Maßnahmen diesbzgl. stimmen sich Ihre IT-Administration und Ihre Vorgesetzten mit dem RUB-Cert ab.

Ihr IT-Support, das RUB-Cert, die Stabsstelle für Informationssicherheit und ggfs. der Datenschutzbeauftragte müssen die jeweilige Dokumentation zu Ihrem Vorfall vervollständigen. Halten Sie bitte die relevanten Informationen zum Vorfall für eventuelle Rückfragen bis zum endgültigen Abschluss bereit.
Mit dem Abschluss der Dokumentation und der Überstellung des neu installierten Systems an Sie ist die Vorfallsbearbeitung abgeschlossen.