Berichtsvorlagen für Security Incident Response in der DFN-AAI

Auszufüllen von der meldenden Einrichtung

Die folgende Vorlage sollte sowohl für die Erstmeldung eines Security Incidents, als auch für den Abschlussbericht verwendet werden. Adressat: security@aai.dfn.de.

Die Inhalte gemeldeter Security Incidents unterliegen den Traffic Light Protocol und werden - soweit nicht anders besprochen - als TLP Amber eingestuft. Das bedeutet, dass sie nur organisationsintern weitergeben werden dürfen.

  • Name der Einrichtung
  • Ort, Datum
  • Name (wer meldet den Vorfall?)
  • Kontaktadresse für Rückfragen (i.d.R. der Sicherheitskontakt aus den Metadaten)
  • Ticketnummer des Vorfalls beim DFN-Verein
  • Beschreibung des Vorfalls, Ursache des Vorfalls (falls bereits bekannt)
  • Zeitpunkt des Vorfalls
  • Zeitpunkt der Entdeckung
  • Zeitpunkt der Erstmeldung an den Sicherheitskontakt der DFN-AAI
  • Zeitpunkt der Eindämmung
  • Entdeckt durch (Person/System/intern/externe Meldung)
  • Betroffene Systeme
  • Auswirkungsbereich des Vorfalls (Abhängigkeiten? Nur eigene Einrichtung? Andere in der DFN-AAI? Andere in eduGAIN?)
  • Chronologie der Ereignisse und der Maßnahmen zur Behebung
  • Zeitpunkt der vollständigen Wiederherstellung
  • Maßnahmen zur Vermeidung künftiger Vorfälle
  • Wurden Log-Daten zur Auswertung und Beweissicherung gesichert?
  • Dokumentation von Rückfragen anderer betroffener Föderationsteilnehmer und ihrer Beantwortung

Auszufüllen vom CERT der DFN-AAI

TLP Amber

  • Name der Einrichtung:
  • Ort, Datum
  • Name des Bearbeiters/der Bearbeiterin
  • Kontaktadresse für Rückfragen: security@aai.dfn.de
  • Ticketnummer des Vorfalls
  • interne ID des Vorfalls in der Dokumentation
  • Zeitpunkt der ersten Information betroffener Einrichtungen in der DFN-AAI
  • Zeitpunkt der Erstmeldung an eduGAIN (falls zutreffend)
  • Klassifizierung des Vorfalls (z.B. Identitätsdiebstahl, Einbruch etc.)
  • Zuletzt geändert: vor 18 Monaten