#1 - [GVM][WAN] Schwachstellen im Subnetz TUVBMPI | Security vulnerabilities in subnet TUVBMPI
Sehr geehrte Netzverantwortliche,
die Stabsstelle IT-Sicherheit der TUM hat bei einem Sicherheitsscan Ihres Netzwerks, das vom Leibniz-Rechenzentrum der Projekt- bzw. Organisations-ID TUVBMPI zugeordnet wurde, einige Schwachstellen gefunden.
Als designierter Netzverantwortlicher sind Sie für den sicheren Betrieb in Ihrem Netzwerk verantwortlich. Wenn Sie Fragen zum Scanning-System haben, wenden Sie sich bitte an die IT-Sicherheitsabteilung der TUM unter it-sicherheit@tum.de. Leider können weder wir noch der IT-Helpdesk oder das LRZ bei der individuellen Behebung der gefundenen Schwachstellen helfen. Wenn Sie die Schwachstellen nicht bereinigen können, suchen Sie bitte nach sichereren Alternativen für den Dienst oder verlagern Sie den Rechner oder Dienst hinter eine Firewall in ein sicheres, isoliertes Netzwerk innerhalb Ihres Instituts. Die bevorzugte Lösung ist die vom LRZ eingerichtete virtuelle Firewall; sollte der Dienst an Ihrem Institut jedoch nicht verfügbar sein, können Sie auch physische Firewall-Appliances nach Stand der Technik verwenden. Die Scans sind vollautomatisch und werden etwa alle zwei Wochen durchgeführt. Wenn Sie einen Scan früher benötigen, um Ihre Schutzmaßnahmen zu bewerten, kontaktieren Sie uns bitte. Bitte beachten Sie, dass wir gefährdete Netzwerke isolieren lassen, wenn die Schwachstellen über einen längeren Zeitraum online sind. Netzwerke mit einer Schwachstellenbewertung von 7,0 oder höher gelten als kritisch gefährdet und werden früher isoliert als Netzwerke mit einer mittleren Bewertung (4,0 bis 6,9).
Sie können die Ergebnisse unter https://wan.gvm.it.tum.de aus dem Münchner Wissenschaftsnetz oder dem LRZ-VPN heraus einsehen. Die Anmeldung ist mit den TUM-IDs (z.B. go42tum) der nach Angaben des LRZ für das Netzwerk zuständigen Personen und Active Directory-Gruppenmitglieder möglich. Sollten Sie nicht zuständig sein, wenden Sie sich bitte an den LRZ Servicedesk, um den Kontakt aktualisieren zu lassen.
Sollten Sie keinen Zugriff auf die Website haben, finden Sie einen ausführlichen Bericht im angehängten PDF.