FAQ

Im Unterschied zur Cyberkriminalität, bei der Angriffe oft finanziell motiviert sind – zum Beispiel zur Lösegeld-Erpressung –, werden Angriffe mit dem Ziel der Cyberspionage oder Cybersabotage mutmaßlich von staatlicher Seite gesteuert oder toleriert. Vor allem die Nachrichtendienste der Russischen Föderation und der Volksrepublik China nutzen Cyberangriffe, um Informationen auszuspähen oder Strukturen und Abläufe zu sabotieren.

Alle interessierten Unternehmen, die ihren Sitz in Rheinland-Pfalz haben, können Zugang zur Plattform erhalten. Auch Verwaltungen des Landes und der Kommunen können teilnehmen.

Die Cyberschutz-Informationen sind nicht „mal eben“ in Ihr System integriert. Anders als Antivirenprogramme, die mit wenigen Mausklicks installiert werden können, erfordert der Cyberschutz ein gewisses Grundverständnis der Funktionsweise von Firewalls und anderen Schutzmechanismen. Vereinfacht dargestellt, laden Sie sich von unserer Plattform maschinenlesbare Dateien auf Ihr System. Das sind beispielsweise Listen von bekannten gefährlichen Servern im Internet oder Signaturen von gefährlichen Dateien, die per Mail im Umlauf sind – und noch vieles mehr. Der Umfang kann mehrere tausend Regelsätze ausmachen. Aufgabe Ihrer IT-Sachverständigen ist dann, diese Regelsätze mit den unternehmenseigenen Firewalls und Mailfiltern sowie weiteren Schutzmechanismen im Unternehmen zu verknüpfen. In der Dynamik des Internets ist es zudem erforderlich, die Bedrohungsindikatoren stets auf dem neuesten Stand zu halten. Entsprechende Skripte zur Automatisierung für gängige Systeme stellen wir bereit.

Bitte richten Sie Ihre Anfrage per E-Mail an die Adresse cyberschutz(at)mdi.rlp.de.* Für den Zugang benötigen wir nur eine unternehmenseigene E-Mail-Adresse. Bitte verwenden Sie eine Funktions-Adresse ohne personenbezogene Daten wie zum Beispiel it@ihrefirma.de.

Der Verfassungsschutz Rheinland-Pfalz stellt den Zugang zum Cyberschutz nach der Registrierung kostenfrei zur Verfügung.

Der Verfassungsschutz speichert ausschließlich die zur Anmeldung erforderliche Mail-Adresse. Es handelt sich um ein reines Informations- und Unterstützungsangebot für die Dauer Ihrer Nutzung. Ihre Daten bleiben in Ihrem Unternehmen.

Sie erhalten von uns passend zur eingereichten E-Mail-Adresse ein Kennwort und einen Zugang zu unserer Plattform. Auf dieser passwortgeschützten Plattform stellen wir Ihnen – regelmäßig aktualisiert – Dateien in unterschiedlichen Formaten zum manuellen oder später automatisierten Download zur Verfügung.

Nein. Der Cyberschutz Rheinland-Pfalz ist eine Ergänzung.

Wir haben die Nutzung in einem kurzen Video erklärt. Dieses und weitere Informationen finden Sie auf der Seite cyberschutz.rlp.de. Sollten Sie weitere Fragen haben, richten Sie diese gerne an die Mail-Adresse cyberschutz(at)mdi.rlp.de.

Nein. Bitte haben Sie Verständnis, dass wir für Fragen zum Cyberschutz ausschließlich per E-Mail erreichbar sind.

Bei Bekanntwerden eines Cyberangriffs sind folgende Schritte empfehlenswert:

• Entfernen Sie potenziell gefährdete Systeme umgehend vom Netzwerk und sperren Sie Fernwartungszugänge.
• Melden Sie sich nicht als Admin am System an, wenn es noch mit dem Netzwerk verbunden ist.
• Sichern Sie möglichst alle Logfiles für eine spätere forensische Analyse.
• Betrachten Sie infizierte Systeme als vollständig kompromittiert. Sie müssen neu aufgesetzt werden.
• Ändern Sie die Zugangsdaten (Passwörter) auf betroffenen Systemen.
• Informieren Sie Mitarbeiterinnen und Mitarbeiter sowie Kunden und Geschäftspartner.
• Beachten Sie die Meldepflicht gegenüber der zuständigen Aufsichtsbehörde. Dies ist z. B. der Fall, wenn von dem Angriff personenbezogene Daten betroffen sind. Über Details informiert das Bundesamt für Sicherheit in der Informationstechnik (BSI).
• Unterstützung zur Bewältigung des Vorfalls bietet der Verfassungsschutz Rheinland-Pfalz. Auch Branchenverbände und Kammern können Sie beraten.
• Erstatten Sie Anzeige bei der Polizei, insbesondere für die Schadensabwicklung über Cyberversicherungen oder Lösegeldzahlungen. Hierzu wenden Sie sich bitte an Lka.Cybercrime(at)polizei.rlp.de
• Meist sind auch Lieferketten betroffen. Informieren Sie Zulieferer und Abnehmer.

Der automatisierte Download wird im Video kurz dargestellt. Beispielskripte für Windows-Betriebssysteme werden im Nutzerbereich unserer Plattform bereitgestellt. Der automatisierte Download ist in den gängigsten Betriebssystemen möglich. Für die Funktionstüchtigkeit der Skripte wird keine Gewähr übernommen. Der Einsatz erfolgt daher auf eigene Verantwortung.

TIP steht für Threat Intelligence Platform. Das ist im allgemeinen eine geschützte Plattform, auf der IT-Expertinnen und Experten Bedrohungsdaten aus mehreren Quellen und in Echtzeit zusammenstellen, in Verbindung zueinander setzen und analysieren, um Abwehrmaßnahmen zu steuern. IOCs sind „Indicators of Compromise“, zu deutsch: Indikatoren der Kompromittierung. Oder vereinfacht dargestellt: Regelsätze, mit denen ein System erkennen kann, dass es an bestimmten Stellen bedroht ist. Ein IOC kann zum Beispiel eine Liste von Internetadressen enthalten, die fürs Verteilen von Schadsoftware bekannt sind. Andere IOCs können Prüfsummen von schädigenden Skripten auflisten. Entdeckt ein IT-Sicherheitssystem dann im eigenen Haus eine Datei, die die gleiche Prüfsumme ergibt, liegt mit gewisser Wahrscheinlichkeit eine Kompromittierung vor. Angereichert mit weiteren Informationen etwa zur Herkunft der Datei oder, welche Server von befallenen Systemen kontaktiert werden, kann so eine Kompromittierung erkannt werden.

Die Fachleute des Verfassungsschutzes sammeln und sichten regelmäßig Informationen über Bedrohungen im Internet. Dazu sind wir auch im regelmäßigen Austausch mit anderen Behörden und entsprechenden Organen.

Die Internetplattform der Cybersicherheit arbeitet mit einer Zwei-Faktor-Authentifizierung. Das bedeutet, dass man zur Anmeldung an der Plattform neben einem Kennwort noch eine für jede Anmeldung neu generierte PIN (Persönlich Identifikationsnummer) eingeben muss. Diese PIN wird bei der Anmeldung an Ihre Emailadresse gesendet und gewährleistet so, dass nur Sie Zugriff haben.

Die Bedrohungsindikatoren werden von uns im Nur-Lesen-Modus bereitgestellt. Niemand außer unserer Systemadministration kann diese Indikatoren auf unserer Plattform ablegen. Dabei handelt es sich auch nicht um ausführbare Programme (zum Beispiel exe-Dateien für Windows), sondern beschreibende maschinenlesbare Textdateien. Das können beispielsweise csv-Dateien mit Listen sein oder Regelsätze für Sicherheitswerkzeuge wie STIX 2 oder Yara.

Die kritischsten Meldungen stellen die Alarme und Warnungen dar. Aufgrund der dargestellten Informationen bleibt es Ihnen zunächst unbenommen, eigenständig nach den empfohlenen beziehungsweise erforderlichen Maßnahmen zu recherchieren. Darüber hinaus können Sie gerne Kontakt mit den Mitarbeiterinnen und Mitarbeiter des Cyberschutzes aufzunehmen. Ihr Anliegen wird dort vertraulich behandelt. Bitte wenden Sie sich per Mail an cyberschutz(at)mdi.rlp.de.

Aktivieren Sie sofort Ihren Notfallplan und wenden Sie sich an Ihren IT-Dienstleister.

Sofern Sie Probleme bei der Nutzung des Cyberschutzes Rheinland-Pfalz beziehungsweise der Installation und Nutzung von Thor haben, wenden Sie sich an einen regionalen IT-Dienstleister.

Bitte wenden Sie sich per Mail an cyberschutz(at)mdi.rlp.de.

Bitte wenden Sie sich per Mail an cyberschutz(at)mdi.rlp.de.

Bitte wenden Sie sich per Mail an cyberschutz(at)mdi.rlp.de.

Hinweise und Informationen zum Datenschutz finden Sie unter der Webadresse  https://mdi.rlp.de/de/ueber-das-ministerium/datenschutz/.

Wir speichern ausschließlich die von Ihnen mitgeteilte E-Mail-Adresse für den Zugang zum Cyberschutz Rheinland-Pfalz. Diese Daten werden nicht weitergeleitet. Sofern Sie Ihren Zugang zu unserer Plattform widerrufen, werden diese Daten umgehend gelöscht.

Siehe Antwort zur Frage: Wie bekommt man einen Zugang zum Cyberschutz-Rheinland-Pfalz?