Die folgende Vorlage sollte sowohl für die Erstmeldung eines Security Incidents, als auch für den Abschlussbericht verwendet werden. Adressat: security@aai.dfn.de.
Die Inhalte gemeldeter Security Incidents unterliegen den Traffic Light Protocol und werden - soweit nicht anders besprochen - als TLP Amber eingestuft. Das bedeutet, dass sie nur organisationsintern weitergeben werden dürfen.
Name der Einrichtung
Ort, Datum
Name (wer meldet den Vorfall?)
Kontaktadresse für Rückfragen (i.d.R. der Sicherheitskontakt aus den Metadaten)
Ticketnummer des Vorfalls beim DFN-Verein
Beschreibung des Vorfalls, Ursache des Vorfalls (falls bereits bekannt)
Zeitpunkt des Vorfalls
Zeitpunkt der Entdeckung
Zeitpunkt der Erstmeldung an den Sicherheitskontakt der DFN-AAI
Zeitpunkt der Eindämmung
Entdeckt durch (Person/System/intern/externe Meldung)
Betroffene Systeme
Auswirkungsbereich des Vorfalls (Abhängigkeiten? Nur eigene Einrichtung? Andere in der DFN-AAI? Andere in eduGAIN?)
Chronologie der Ereignisse und der Maßnahmen zur Behebung
Zeitpunkt der vollständigen Wiederherstellung
Maßnahmen zur Vermeidung künftiger Vorfälle
Wurden Log-Daten zur Auswertung und Beweissicherung gesichert?
Dokumentation von Rückfragen anderer betroffener Föderationsteilnehmer und ihrer Beantwortung