Meldungen des DFN-CERT

Ein Sicherheitsvorfall ist jede Einschränkung der Vertraulichkeit, Verfügbarkeit, Authentizität oder Integrität von Daten oder Systemen als Folge eines Angriffs.

Meldungen an das DFN-CERT

Kunden des DFN-CERT und Mitglieder des Deutschen Forschungsnetzes (DFN) sollten Vorfälle an das DFN-CERT melden, wenn Sie Unterstützung benötigen oder wenn Sie hilfreiche Informationen weitergeben wollen. In beiden Fällen gewinnen wir wichtige Informationen, die es uns ermöglichen, anderen Betroffenen zu helfen. Konkrete Beispiele für Vorfälle, die interessante Informationen liefern:

  • Einbrüche (Kompromittierungen), Denial of Service Angriffe und dergleichen,
  • Jegliche Vorfälle, bei denen noch Werkzeuge der Angreifer vorliegen,
  • Alltägliche Vorfälle wie z.B. Portscans, Account Probes, Bots.

Vor allem bei den alltäglichen Vorfällen bietet es sich an, die Meldungen zu automatisieren. So wird eine Konstanz gewährleistet (sowohl hinsichtlich des Formats als auch der Regelmäßigkeit der Meldungen), zudem wird der Aufwand auf Seiten der meldenden Einrichtung verringert. Dem DFN-CERT liegen eine Reihe von Skripten vor, die als Startpunkt zur Automatisierung verwendet werden können.

Bitte beachten Sie: Mit solchen Daten unterstützen sie uns, so dass wir andere Betroffene unterstützen können!

Meldungen vom DFN-CERT

Das DFN-CERT meldet sich bei Ihnen, wenn wir auf Vorfälle im Zusammenhang mit IP-Adressen Ihrer Domain aufmerksam gemacht wurden. Dies können z.B. Portscans oder Account Probes sein, die im Allgemeinen darauf hinweisen, dass das jeweilige System von Angreifern kontrolliert wird.

Diese automatisch erstellten Informationen werden an die betroffenen Einrichtungen gesammelt weitergeleitet. Die unterschiedlichen Meldungstypen werden im Folgenden kurz erläutert. Bitte beachten Sie:

  • Die Meldungen leiten wir immer nur zu Ihrer Information weiter. Wir freuen uns über Rückmeldungen und können Ihnen oft noch weitere Informationen liefern oder Sie bei bestimmten Problemen beraten.
  • Wir gehen davon aus, dass Sie im Zweifel über Probleme informiert werden wollen, damit Sie dann entscheiden können, wie Sie weiter reagieren.
  • Die Meldungen enthalten normalerweise einen Zeitstempel, der angibt, wann das Problem zuletzt beobachtet wurde. Die Information selbst erreichte uns aber meist erst später. Die Verzögerung entstand ggfs. durch die Weiterleitung durch verschiedene Stellen, aber nicht beim DFN-CERT.

Die Daten werden beim CERT über einen kurzen Zeitraum gesammelt, damit wir Ihnen nicht ununterbrochen neue Meldungen schicken müssen. Wenn bei uns Hinweise auf gravierendere Probleme wie einen Einbruch in einen Server oder ähnliches eintreffen, werden wir Sie immer direkt informieren!
Die Verteilung geschieht zum größten Teil über das DFN-CERT Portal.

Sicherheitsbulletins

Sicherheitskritische Informationen zum Programm logsurfer:

Schwachstelle im Logsurfer Skript surfmailer

Double-free Vulnerability in Logsurfer