Derzeit keine.

Fragen und Antworten zum AW-Dienst

1. Was ist der AW-Dienst?

Das Kürzel "AW" steht für "Automatische Warnmeldungen". Über diesen Dienst erhalten Sie automatisch generierte Warnmeldungen, wenn beim DFN-CERT Auffälligkeiten im Zusammenhang mit IP-Adressen Ihrer Einrichtung bekannt geworden sind. Eine ausführliche Beschreibung des Dienstes finden Sie in diesem Artikel aus den DFN-Mitteilungen.

2. Wer sollte diesen Dienst nutzen?

Der Dienst sollte von allen DFN-Anwendern genutzt werden, die über Sicherheitsprobleme in ihrem Netzwerk informiert werden wollen, sobald diese dem DFN-CERT vorliegen. Dadurch erhöhen Sie nicht nur die Sicherheit in Ihrer Einrichtung, sondern reduzieren auch das Risiko, dass Dritte durch kompromittierte Systeme Ihrer Einrichtung angegriffen werden.

3. Was muss ich tun, um am AW-Dienst teilzunehmen?

Um am Dienst teilzunehmen, benötigen wir einen rechtsgültig unterschriebenen Teilnahmeantrag, durch den eine "handlungsberechtigte Person" benannt wird. Nur diese handlungsberechtigte Person kann den Erhalt von Automatischen Warnmeldungen für Ihre Einrichtung veranlassen. Dadurch wird sichergestellt, dass sicherheitskritische Daten zu kompromittierten Systemen Ihrer Einrichtung nicht an Unbefugte versandt werden. Das entsprechende Formular senden wir Ihnen gerne zu. Schicken Sie dazu bitte eine formlose E-Mail an cert@dfn.de.

4. Was kostet die Teilnahme am AW-Dienst?

Die Teilnahme am AW-Dienst ist für Einrichtungen, die den Dienst DFNInternet nutzen, unentgeltlich.

5. Welchen laufenden Aufwand verursacht der AW-Dienst bei mir?

Der Aufwand hängt von der Anzahl der aufgetretenen Vorfälle ab. Erfahrungsgemäß schwankt diese von einigen Vorfällen pro Woche bis zu ein oder zwei Vorfällen pro Jahr. Wie schnell auf den jeweiligen Vorfall reagiert wird, können dabei nur Sie entscheiden. Grundsätzlich ist Ihr Aufwand für auftretende Vorfälle niedriger, je eher Sie von einem Problem wissen. Da Sicherheitsprobleme nicht durch den AW-Dienst entstehen, sondern Sie lediglich früher von diesen erfahren, hilft der AW-Dienst, zusätzlichen Aufwand und Ärger zu vermeiden.

6. Ersetzt der Dienst die bisherige Vorfallsbearbeitung beim DFN-CERT?

Nein, der AW-Dienst ersetzt die bisherige Vorfallsbearbeitung nicht, sondern erweitert diese. Wenn das DFN-CERT Hinweise auf gravierende Sicherheitsprobleme in einer Einrichtung bekommt, werden diese wie bisher direkt und so schnell wie möglich weitergegeben, egal ob die betroffene Einrichtung am AW-Dienst teilnimmt. Umgekehrt kann der Empfänger einer Warnmeldung auch jederzeit beim DFN-CERT nachfragen und den Sachverhalt direkt mit einem Mitarbeiter klären.

7. Wann werden die Warnmeldungen verschickt?

Die Warnmeldungen werden werktäglich am Vormittag zwischen 9 und 10 Uhr und am Nachmittag gegen 14 Uhr verschickt. Liegen keine Daten für die von Ihnen konfigurierten Netzblöcke vor, so wird in der Standardeinstellung auch keine Meldung verschickt.

8. Was kann konfiguriert werden?

Wenn Sie ein passendes Zertifikat der DFN-PKI besitzen, können Sie jederzeit selbst die Konfiguration Ihrer Warnmeldungen ändern. Sie können mehrere Netzblöcke (für die Sie handlungsberechtigt sind) angeben und dazu jeweils mehrere E-Mail Adressen der Empfänger. Falls es für unterschiedliche Teilnetze verschiedene Ansprechpartner gibt, z.B. in Fachbereichen oder Instituten, können Sie dies auch konfigurieren. Dadurch ist es möglich, für jedes Teilnetz die E-Mail Adresse des Verantwortlichen zu konfigurieren. Dieser erhält dann nur die Warnmeldungen für dieses Teilnetz. Weiterhin können das Intervall, in dem die Warnmeldungen verschickt werden sollen, und ein zusätzlicher Kommentar für den Betreff der Warnmeldung angegeben werden.

9. Benötige ich zur Teilnahme am AW-Dienst ein Zertifikat?

Nein, Sie können den Dienst auch ohne Zertifikat nutzen. In diesem Fall können Sie allerdings die Konfiguration Ihrer Daten nicht selber vornehmen, sondern müssen die gewünschte Konfiguration den Mitarbeitern des DFN-CERT per E-Mail mitteilen.

10. Wie sieht eine typische Warnmeldung aus?

Die Warnmeldungen haben ein Grundformat, das je nach vorliegenden Informationen durch zusätzliche Details ergänzt wird. In der Warnmeldung werden jeweils alle dem DFN-CERT vorliegenden Informationen zu möglichen Problemen in einem Netzblock zusammengefasst, die noch nicht in einer früheren Warnmeldung enthalten waren. Liegen keine neue Informationen vor, so wird in der Standardeinstellung auch keine Meldung verschickt. Wie eine Warnmeldung grundsätzlich aussieht, können Sie in dem Beispiel einer Warnmeldung sehen.

11. Woher stammen die Daten über die Vorfälle?

Alle Daten stammen aus öffentlichen Quellen. Die genaue Identifizierung einzelner kompromittierter Systeme setzt zwar eine umfangreiche Aufarbeitung und Kombination der Daten voraus, so wie dies vom AW-Dienst gemacht wird. Die Informationen stammen aber auf keinen Fall aus irgendeiner Art von "Überwachung" Ihrer Netzbereiche. Eine Quelle sind beispielsweise sog. Honeypots im Netzwerk des DFN-CERT. Diese werden von kompromittierten Systemen angegriffen und vermeintlich auch mit einer Schadsoftware infiziert. Dadurch kennt das DFN-CERT unter anderem die IP-Adresse des angreifenden Systems und kann die Schadsoftware analysieren. Diese Informationen werden dann der jeweiligen Einrichtung mitgeteilt, zu deren Netzblock die IP-Adresse gehört.

     aktualisiert am: 07.09.2015 |