Damit die Sicherheit der IT-Infrastruktur der HSLU gewährleistet ist, werden bei Gefahren, die den Computer oder das Benutzerkonto betreffen, bestimmte Massnahmen eingeleitet. Diese Massnahmen sowie das zugehörige Vorgehen werden auf dieser Seite erläutert.
Zur Erkennung von IT-Gefahren unter Anderem ausgelöst durch Malware, Angriffe oder ungenügendem Software-Aktualisierungsstatus setzt IT Services verschiedene Überwachungssysteme ein. Sobald diese Systeme eine potenzielle Gefahr auf einem Gerät erkennen, erhält IT Services eine Meldung oder einen Sicherheitsalarm und löst die notwendigen Massnahmen aus.
Neben definierten Massnahmen im Bereich Sicherheit (Angriffe/Malware) werden die verwalteten Geräte der Hochschule Luzern regemässig mit Software-Aktualisierungen versorgt, um die betrieblichen und sicherheitstechnischen Anforderungen zu erfüllen. Diese Aufgaben erfordern eine aktive Unterstützung durch die für das Gerät verantwortlichen Personen (Geräteowner). Die Unterstützung umfasst beispielsweise:
- manuelles Auslösen von Aktualisierungen von Betriebssystem oder Anwendungen
- manuelle Anpassung von Einstellungen oder Konfigurationen auf dem Gerät
Welche Massnahmen bei welchen Gefahren nötig sind, erfahren Sie im folgenden Abschnitt.
Alle Massnahmen basieren auf der Weisung über die Benutzung der Informatikmittel (Artikel 13).
Betriebliche Anforderungen nicht erfüllt
Massnahme:
Aufforderungen zur Durchführung von Software-Aktualisierungen müssen durch die verantwortliche Person zwingend innerhalb der vorgegebenen Frist ausgeführt werden, damit die Betriebssicherheit nicht gefährdet ist. Falls die notwendigen Aufgaben nach der Aufforderung nicht fristgerecht ausgeführt werden, erfolgt eine erste Mahnung mit einer weiteren Fristsetzung. Wird diese nicht eingehalten, erhält die verantwortliche Person sowie deren vorgesetzte Person eine letzte Mahnung. Nach Ablauf dieser Frist werden das Benutzer- und Gerätekonto ohne weitere Information gesperrt.
Aktivität:
Eine Aufhebung der Sperrung ist erst möglich, wenn die pendenten Aufträge erledigt sind. Die für das Gerät verantwortliche Person nimmt hierfür Kontakt mit dem Service Desk auf.
Inaktive Geräte
Massnahme:
Alle Geräte der Hochschule müssen regelmässig mit dem Netzwerk der Hochschule verbunden werden. Das heisst, die verantwortliche Person ist in der Pflicht, dass von der HSLU zur Verfügung gestellte Arbeitsgerät, einmal im Monat, für einen ganzen Arbeitstag (8 Stunden) in Betrieb zu nehmen. So können Sicherheits- und Applikationsaktualisierungen automatisch im Hintergrund installiert werden.
Aus Sicherheits- und Compliancegründen behält sich IT Services vor, Geräte, welche länger als 3 Monate nicht mit den zentralen Verwaltungssystemen kommunizieren (nicht am Netzwerk angeschlossen werden), zu deaktivieren. Von IT Services veranlasste Deaktivierungen werden der für das Gerät verantwortlichen Person vorgängig per E-Mail angekündigt mit der Aufforderung, das Gerät mit dem Netzwerk zu verbinden.
Aktivität:
Eine Wiederinbetriebnahme ist nur in Absprache mit dem Service Desk möglich.
Hinweis: Geräte, welche nicht mehr benötigt werden, können über eine Rücknahme an IT Services retourniert werden.
Malware
Massnahme:
Sobald eine Malware-Warnung zu einem Gerät eintrifft, wird die Person, welche für das entsprechende Gerät zuständig ist, von IT Services angeschrieben. Das Schreiben enthält eine Aufforderung inklusive Anleitung zur Durchführung einer vollständigen Überprüfung (Full-Scan). Wird die Überprüfung nach mehrmaliger Aufforderung nicht durchgeführt, können weitere Massnahmen wie die Sperrung des Benutzerkontos ergriffen werden.
Aktivität:
Nach erfolgreicher Durchführung der Überprüfung muss IT Services mittels eines Screenshots darüber informiert werden. Bei einer Sperrung des Benutzerkontos muss der Service Desk kontaktiert werden.
Angriff
Massnahme:
Sobald eine Angriffswarnung zu einem Gerät eintrifft, müssen zur Eingrenzung eines nachgewiesenen Angriffs Sofortmassahmen ergriffen werden. Diese umfassen die Sperrung des Benutzerkontos und die Isolierung des betroffenen Geräts sowie die Änderung des Passworts.
Aktivität:
Es muss schnellstmöglich ein Termin mit dem Service Desk vereinbart werden zur Wiederherstellung eines sicheren Betriebs des Geräts und des Benutzerkontos.
MFA-Betrugswarnung
Massnahme:
Wenn eine unbekannte, daher nicht selbst ausgelöste MFA-Eingabeaufforderung eingeht, kann dieser potenzielle Betrugsversuch mit der Microsoft Authenticator-App oder über die Anruf-Methode gemeldet werden. Sobald eine Betrugswarnung bei IT Services eintrifft, wird die MFA-Anmeldung für die betreffende Person gesperrt. MFA-Anmeldungen sind dann bis auf weiteres nicht mehr möglich.
Aktivität:
Die meldende Person wird nach einem echten Betrug durch den Service Desk für eine Passwortänderung kontaktiert. Sollte eine Kontaktaufnahme bis spätestens 24 Stunden nach Erhalt der Betrugswarnung nicht möglich sein, wird das Passwort vom Service Desk geändert. Um das neue Passwort zu erhalten, muss der Service Desk kontaktiert werden. MFA-Anmeldungen sind erst dann wieder möglich.
