• Telefonisch über den Hausanschluss des IT Service Desk 1818
  oder
• per E-Mail an informationssicherheit [at] tu-freiberg [dot] de (informationssicherheit[at]tu-freiberg[dot]de)

Sofern möglich, halten Sie bitte die folgenden Informationen bereit:

• Wer meldet (Name, E-Mail-Adresse, Telefonnummer)?
• Welches IT-System ist betroffen (Art und Kennung des Systems, Gebäude, Raum)?
• Wie haben Sie mit dem IT-System gearbeitet? Was haben Sie beobachtet?
• Wann ist das Ereignis eingetreten (Datum, Uhrzeit)?

Weiterhin sind ggf. die für die dezentrale Administration verantwortlichen Personen zu informieren.

Falls Sie einen (erfolgreichen) Angriff auf Ihren Arbeitsplatz-PC oder ein anderes IT-System befürchten, sind die folgenden Sofortmaßnahmen zu beachten:

1. Bewahren Sie Ruhe.
2. Lassen Sie das Gerät eingeschaltet und trennen Sie dieses unverzüglich vom Datennetz, indem Sie das Netzwerkkabel ziehen sowie Funk-Verbindungen (z. B. WLAN, Mobilfunk) deaktivieren.
3. Stellen Sie die weitere Arbeit am betroffenen Gerät oder IT-System ein.
4. Informieren Sie unverzüglich den IT Service Desk (s. o.) über den Vorfall.

Grundsätzlich gelten während der Reaktion auf sicherheitsrelevante Ereignisse die folgenden Hinweise:

• Dokumentieren Sie nach Möglichkeit Ihre Beobachtungen, z. B. durch Fotoaufnahmen oder Screenshots.
• Passwörter müssen gewechselt werden, wenn sie Dritten bekannt geworden sind oder der Verdacht dazu besteht: https://activate.tu-freiberg.de/account/change-password
• Leiten Sie weitere Maßnahmen nur nach Anweisung durch das URZ, den Beauftragten für Informationssicherheit oder die für die dezentrale Administration verantwortlichen Personen ein.

Als sicherheitsrelevantes Ereignis wird eine Beobachtung oder Abweichung bezeichnet, die auf eine mögliche Beeinträchtigung der Informationssicherheit hinweist und die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen oder IT-Systemen gefährden kann. Typische Folgen dieser Ereignisse sind ausgespähte, manipulierte oder zerstörte Informationen.

Die nachfolgenden Beispiele sollen dabei unterstützen, einen potenziellen Informationssicherheitsvorfall als solchen zu erkennen:

• Offene Fenster und Türen in sicherheitsrelevanten Bereichen,
• bei Abwesenheit nicht gesperrte PCs,
• unbekannte Personen in nicht öffentlich zugänglichen Bereichen,
• verdächtige E-Mails mit Anhängen oder Links,
• ungewöhnliche Telefonanrufe,
• unerwartete Fehler- oder Warnmeldungen auf einem IT-System,
• IT-Systeme reagieren stark verlangsamt oder sind gar nicht erreichbar,
• Verlust oder Diebstahl von Geräten oder Datenträgern,
• Datenlecks (versehentliche oder absichtliche Freigabe vertraulicher Daten an Dritte),
• Malware-Infektionen (Viren, Trojaner, andere Schadsoftware).

Prinzipiell gilt:

Melden Sie im Zweifelsfall lieber ein Ereignis zu viel als zu wenig! Folgende Beispiele dienen insbesondere zur Veranschaulichung und sind keinesfalls erschöpfend.

E-Mails

• Verdächtige E-Mails mit Anhängen oder Links sind zu melden. Dabei spielt keine Rolle wer der (vermeintliche) Absender der Mail ist.
• Verdächtige E-Mails ohne Anhänge oder Links sind nicht zwangsweise zu melden. Gefälschte Absendernamen sind bei Spam-Kampagnen üblich und können gelegentlich durch das zentrale Anti-Spam-Gateway nicht herausgefiltert werden.

Beispiele für meldepflichtige E-Mails

Die Qualität von sogenannten Phishing-Mails nimmt stark zu. Besonders gefährlich sind hierbei Mails, welche eine bereits vorher abgegriffene Kommunikation beinhalten (bspw. Emotet). Hierbei wird versucht, das Opfer zum Öffnen von Dateien zu bewegen (üblicherweise Text-Dokumente). 

Beachten Sie immer, ob Absendername und Mailadresse in einem sinnvollen Bezug zueinander stehen. Falls Sie eine E-Mail im Namen einer/s Universitätsangehörigen erhalten, welche von einer externen Mailadresse (also ohne Endung @tu-freiberg.de) versendet wurde, so ist erhöhte Aufmerksamkeit geboten. Der Absendername einer E-Mail lässt sich ohne weiteres fälschen.

Beispiele für nicht meldepflichtige E-Mails

Nicht meldepflichtig sind Spam-Mails, welche durch unseren zentralen Spam-Filter nicht aussortiert werden konnten. Als ein Beispiel dient hier die sogenannte "Nigerian Connection".

• IT-Grundschutz: sicherheitsrelevante Ereignisse
• BSI: Spam, Phishing und Co
• BSI: Wie erkennt man Spam?
• BSI: Passwortdiebstahl durch Phishing
• BSI: Schadprogramme: Fragen & Antworten