Suche

Security Operations Center

Das Security Operations Center (SOC) ist ein neuer zentraler Bestandteil zur Informationssicherheit an der GWDG. Ziel des SOCs ist es, insbesondere die Georg-August-Universität, die Max-Planck-Gesellschaft sowie ihre Angehörigen und ihre (IT-)Infrastruktur (Systeme, Netzwerke, Anwendungen und Daten) in Kooperation mit Partnern in Niedersachsen und Deutschland vor fahrlässiger oder missbräuchlicher Nutzung ihrer Ressourcen zu schützen.

Sicherheit für Wissenschaft – gemeinsam sind wir stärker: von der Erkennung bis zur Lösung.

Kernaufgaben

  • Systematisches Monitoring zur Erkennung und Aufdeckung von Schwachstellen und Bedrohungen
  • Reaktion auf erkannte Bedrohungen, um Schäden zu minimieren und im besten Falle einen Schadenfall vor seinem Eintritt zu verhindern (z. B. mit Hilfe von Malware- und Viren-Detektion)
  • Prävention, um die Sensibilisierung von Mitarbeiter*innen in Bezug auf Informationssicherheitsrisiken zu stärken

Dienstangebot

  • Schwachstellenscans
  • Event- und Incident-Monitoring
  • Incident-Response-Koordination
  • Beratung
  • Informationssicherheitsberichterstattung

Alle aktuell verfügbaren Dienste zur Informations- und IT-Sicherheit finden Sie in unserem Dienstkatalog.

Sie haben etwas Verdächtiges bemerkt?

Eine gefälschte E-Mail, ein komischer Anhang, ein unerklärlicher Systemausfall, ein vermisstes Gerät oder ein Datenleck? Bitte melden Sie es! - Wir helfen Ihnen, um Sie und alle anderen in Ihrer Einrichtung zu schützen.

So erreichen Sie uns

  • Werktäglich von 9:00 – 17:00 Uhr telefonisch (für IT-Verantwortliche): (0551) 39-30500
  • In den Randzeiten erreichen Sie uns über die Support-Rufnummer der GWDG unter (0551) 39-30000
  • Allgemeine Fragen zu IT-Sicherheit: soc@gwdg.de
  • Meldung von Phishing: support@gwdg.de
  • Bei (vermutetem) Informationssicherheitsvorfall (Incident): incident@gwdg.de

Was ist überhaupt ein Sicherheitsvorfall?

Ein Sicherheitsvorfall ist ein Ereignis, das die Informationssicherheit (Vertraulichkeit, Verfügbarkeit und/oder Integrität) von Daten, Informationen, Geschäftsprozessen, IT-Services, IT-Systemen, IT-Anwendungen und der (Rechenzentrums-)Infrastruktur beeinträchtigt oder beeinträchtigen kann. Dazu gehören:

  • Verlust oder Diebstahl von Geräten (Laptop), Datenträgern (mobile Festplatte, USB-Stick) oder (versehentliche) Weitergabe vertraulicher Informationen (das betrifft auch private Handys, auf denen ausgewählte dienstliche Anwendungen verwendet werden dürfen)
  • Fund von Schadprogrammen (Malware) auf Ihrem Gerät, unübliches Verhalten des Gerätes oder das Gerät funktioniert nicht mehr
  • Erpressung oder Nötigung (z. B. Ransomware), vertrauliche Informationen offenzulegen oder Regeln zu missachten, Erfragen von Informationen durch fremde (persönlich, per Telefon oder E-Mail) oder „suspekte“ Personen, die sich in geschützten Bereichen aufhalten
  • Entdecken von Geräten und/oder Gegenständen, die plötzlich und unangekündigt in Ihren Räumlichkeiten sind (andere Computer, USB-Geräte, Kabel, Boxen usw.)
  • Erfolgreicher Angriff durch Phishing-E-Mails oder betrügerische Links: Links wurden angeklickt, Dateien geöffnet oder Informationen geteilt.
  • Unbefugte Personen befinden sich in Gebäudebereichen, zu denen sie keinen Zutritt haben dürften (das betrifft insbesondere den Bürotrakt und den Rechenzentrumstrakt)
  • Sicherheitslücken in Software oder Webanwendungen

Bei jedem dieser Beispiele wird mindestens eines der drei Schutzziele der Informationssicherheit verletzt:

  • z. B., wenn Vertraulichkeit personenbezogener Daten, Forschungsdaten oder Gesellschafter-/Firmendaten verletzt wird
  • z. B., wenn Daten/Informationen unrechtmäßig verändert wurden (Integrität)
  • z. B., wenn Systeme/Anwendungen/Infrastruktur gelöscht, zerstört oder deren Erreichbarkeit dauerhaft oder zeitweise eingeschränkt wurden (Verfügbarkeit)

Warum ist eine Meldung wichtig?

  • Sie schützen andere: Ein Vorfall, den Sie melden, kann viele andere vor Schaden bewahren.
  • Sie helfen der Forschung: Sensible Daten (z. B. Patente oder Forschungsdaten) werden besser geschützt
  • Sie stärken die Sicherheitskultur: Jede Meldung zeigt, dass Sicherheit für uns alle zählt.

Was passiert nach der Meldung?

  • Wir prüfen Ihre Meldung.
  • Wir informieren Sie über das weitere Vorgehen.
  • Wir handeln und ergreifen Sofortmaßnahmen.
  • Wir dokumentieren und analysieren, um zukünftige Vorfälle zu verhindern.

Welche Informationen helfen bei der Meldung bei der Einordnung?

Beantworten Sie nach Möglichkeit die klassische W-Fragen. Das bietet uns Ansatzpunkte zum Nachfragen.

  • Was? – z. B.: Was ist passiert? Was haben Sie gesehen/beobachtet/festgestellt/…? Was ist betroffen (System/Gebäude/Information etc.)?
  • Wer? – z. B.: Wer meldet bzw. welche Person(en) ist/sind betroffen?
  • Wann? – z. B.: (Seit) Wann ist es passiert/beobachtet oder festgestellt worden?
  • Wo? – z. B.: In Gebäude …/ Auf Etage … /im …-Trakt/im Büro …
  • Wie? – z. B.: Wie äußert sich der Vorfall? Fehlen von …, Beschädigung/Zerstörung von…, ungewöhnliches Verhalten von Person/System…