Berichtsvorlagen für Security Incident Response in der DFN-AAI

Die folgende Vorlage sollte sowohl für die Erstmeldung eines Security Incidents, als auch für den Abschlussbericht verwendet werden. Adressat: security@aai.dfn.de.

• Name der Einrichtung
• Ort, Datum
• Name (wer meldet den Vorfall?)
• Kontaktadresse für Rückfragen (i.d.R. der Sicherheitskontakt aus den Metadaten)
• Ticketnummer des Vorfalls beim DFN-Verein
• Beschreibung des Vorfalls, Ursache des Vorfalls (falls bereits bekannt)
• Zeitpunkt des Vorfalls
• Zeitpunkt der Entdeckung
• Zeitpunkt der Erstmeldung an den Sicherheitskontakt der DFN-AAI
• Zeitpunkt der Eindämmung
• Entdeckt durch (Person/System/intern/externe Meldung)
• Betroffene Systeme
• Auswirkungsbereich des Vorfalls (Abhängigkeiten? Nur eigene Einrichtung? Andere in der DFN-AAI? Andere in eduGAIN?)
• Chronologie der Ereignisse und der Maßnahmen zur Behebung
• Zeitpunkt der vollständigen Wiederherstellung
• Maßnahmen zur Vermeidung künftiger Vorfälle
• Wurden Log-Daten zur Auswertung und Beweissicherung gesichert?
• Dokumentation von Rückfragen anderer betroffener Föderationsteilnehmer und ihrer Beantwortung

TLP Amber

• Name der Einrichtung:
• Ort, Datum
• Name des Bearbeiters/der Bearbeiterin
• Kontaktadresse für Rückfragen: security@aai.dfn.de
• Ticketnummer des Vorfalls
• interne ID des Vorfalls in der Dokumentation
• Zeitpunkt der ersten Information betroffener Einrichtungen in der DFN-AAI
• Zeitpunkt der Erstmeldung an eduGAIN (falls zutreffend)
• Klassifizierung des Vorfalls (z.B. Identitätsdiebstahl, Einbruch etc.)