====== Berichtsvorlagen für Security Incident Response in der DFN-AAI ====== ===== Auszufüllen von der meldenden Einrichtung ===== Die folgende Vorlage sollte sowohl für die Erstmeldung eines Security Incidents, als auch für den Abschlussbericht verwendet werden. **Adressat: security@aai.dfn.de**. Die Inhalte gemeldeter Security Incidents unterliegen den Traffic Light Protocol und werden - soweit nicht anders besprochen - als TLP Amber eingestuft. Das bedeutet, dass sie nur organisationsintern weitergeben werden dürfen. * Name der Einrichtung * Ort, Datum * Name (wer meldet den Vorfall?) * Kontaktadresse für Rückfragen (i.d.R. der Sicherheitskontakt aus den Metadaten) * Ticketnummer des Vorfalls beim DFN-Verein * Beschreibung des Vorfalls, Ursache des Vorfalls (falls bereits bekannt) * Zeitpunkt des Vorfalls * Zeitpunkt der Entdeckung * Zeitpunkt der Erstmeldung an den Sicherheitskontakt der DFN-AAI * Zeitpunkt der Eindämmung * Entdeckt durch (Person/System/intern/externe Meldung) * Betroffene Systeme * Auswirkungsbereich des Vorfalls (Abhängigkeiten? Nur eigene Einrichtung? Andere in der DFN-AAI? Andere in eduGAIN?) * Chronologie der Ereignisse und der Maßnahmen zur Behebung * Zeitpunkt der vollständigen Wiederherstellung * Maßnahmen zur Vermeidung künftiger Vorfälle * Wurden Log-Daten zur Auswertung und Beweissicherung gesichert? * Dokumentation von Rückfragen anderer betroffener Föderationsteilnehmer und ihrer Beantwortung ===== Auszufüllen vom CERT der DFN-AAI ===== TLP Amber * Name der Einrichtung: * Ort, Datum * Name des Bearbeiters/der Bearbeiterin * Kontaktadresse für Rückfragen: security@aai.dfn.de * Ticketnummer des Vorfalls * interne ID des Vorfalls in der Dokumentation * Zeitpunkt der ersten Information betroffener Einrichtungen in der DFN-AAI * Zeitpunkt der Erstmeldung an eduGAIN (falls zutreffend) * Klassifizierung des Vorfalls (z.B. Identitätsdiebstahl, Einbruch etc.)