Bundesamt für Sicherheit in der Informationstechnik

An wen werden die CERT-Bund Reports gesendet?

Die jeweils betroffenen IP-Adressen werden den Autonomen Systemen (AS) der Netzbetreiber zugeordnet. Die CERT-Bund Reports werden automatisiert an den für das jeweilige AS bei RIPE eingetragenen Abuse-Kontakt (Abuse-C) gesendet. Der Abuse-Kontakt wird für alle Klassen von Reports verwendet, da nur dieser aus den RIPE-Daten automatisiert ausgewertet werden kann. Falls es sich bei dem Netzbetreiber um einen Provider handelt, wird dieser aufgefordert, seine betroffenen Kunden entsprechend zu informieren.

Wie kann ich die Authentizität eines CERT-Bund Reports überprüfen?

Alle CERT-Bund Reports sind digital signiert.

Woher weiß CERT-Bund, dass mein Computer mit einem Schadprogramm infiziert ist?

Siehe Reports zu Schadprogramm-Infektionen.

Wie wurde der offene Server-Dienst auf meinem System identifiziert?

Siehe Reports zu offenen Server-Diensten.

Ich habe den offenen Server-Dienst gestern geschlossen und das gemeldete Sicherheitsproblem damit behoben. Warum habe ich von meinem Provider heute erneut eine Meldung dazu erhalten?

Bitte beachten Sie die in unseren Reports angegebenen Zeitstempel. Wenn das gemeldete Sicherheitsproblem erfolgreich behoben wurde, sollten Sie keine weiteren Benachrichtigungen mit späteren Zeitstempeln mehr erhalten.

Der gemeldete offene UDP-basierte Dienst (Portmap, NetBIOS, SNMP, LDAP, etc.) läuft nicht auf meinem System. Ich habe auch bereits die in den HOWTOs beschriebenen Tests mit einem negativen Ergebnis durchgeführt. Warum erhalte ich trotzdem die Reports?

Bei den von Shadowserver täglich durchgeführten Tests werden an alle IPv4-Adressen im Internet entsprechende Anfragen für den jeweiligen Dienst gesendet und die empfangenen Antworten ausgewertet. Sie erhalten den Report, da von Ihrem System valide Antworten des entsprechenden Dienstes empfangen wurden.

Aufgrund der Masse der Anfragen und da es sich um UDP-Traffic handelt, können die einzelnen Antworten leider nicht direkt den jeweiligen Anfragen zugeordnet werden. Falls auf der gemeldeten IP kein entsprechender Dienst direkt aus dem Internet erreichbar ist, wird die Anfrage auf einer anderen IP-Adresse in Ihrem Netzwerk empfangen, die Antwort aber über die gemeldete IP zurück ins Internet gesendet. Dies kann z.B. der Fall sein, wenn das System über mehrere öffentliche IP-Adressen verfügt oder als NAT-Gateway arbeitet und/oder eine Fehlkonfiguration des Routings vorliegt.

Als Internet-Service-Provider (ISP) erhalten wir regelmäßig CERT-Bund Reports zu Schadprogramm-Infektionen und offenen Server-Diensten unter IP-Adressen unserer Kunden. Müssen wir diese Informationen an unsere Kunden weiterleiten?

Als Telekommunikationsanbieter sind ISPs nach § 109a Absatz 4 TKG verpflichtet, ihre Nutzer – sofern sie Ihnen bekannt sind – unverzüglich über bekannt gewordene Störungen zu informieren, die von IT-Systemen der Nutzer ausgehen. Dies umfasst unter anderem auch Infektionen mit Schadprogrammen. Soweit technisch möglich und zumutbar, haben ISPs die Nutzer auf angemessene, wirksame und zugängliche technische Mittel hinzuweisen, mit denen sie diese Störungen erkennen und beseitigen können.

Ich betreibe einen Internet-Server und wurde von meinem Hosting-Provider darüber informiert, dass auf meinem Server ein offen aus dem Internet erreichbarer Server-Dienst läuft, der für DDoS-Reflection-Angriffe gegen IT-Systeme Dritter missbraucht werden kann. Muss ich handeln?

Sofern Sie über Ihren Server geschäftsmäßig Telemedien anbieten (dies umfasst neben Webpräsenzen von Unternehmen und Online-Shops zum Beispiel auch werbefinanzierte private Webseiten) sind Sie nach § 13 Absatz 7 TMG verpflichtet, ihre Systeme nach dem Stand der Technik gegen Missbrauch durch Angriffe von außen zu schützen. Auch wenn Sie Ihren Server nicht geschäftsmäßig betreiben, sollten Sie ihn absichern. Es ist nicht ausgeschlossen, dass ein Opfer von DDoS-Reflection-Angriffen auch Schadensersatzansprüche gegenüber Betreibern von Servern geltend machen kann, deren bekannte Schwachstellen für den Angriff ausgenutzt wurden.

Als Hosting-Provider erhalten wir regelmäßig CERT-Bund Reports zu Schwachstellen auf Servern unserer Kunden. Müssen wir diese Informationen an unsere Kunden weiterleiten?

Hosting-Provider werden ersucht, die betroffenen Kunden entsprechend zu benachrichtigen, damit diese ihrer Pflicht zum Schutz der Server vor Missbrauch durch Angriffe von außen nach § 13 Absatz 7 TMG nachkommen können.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK