Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:aai:incidentresponse [2019/04/26 07:51] – Silke Meyer | de:aai:incidentresponse [2021/01/21 10:55] – [8. Abschlussbericht] Wolfgang Pempe | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== Security Incident Response in der DFN-AAI ====== | ====== Security Incident Response in der DFN-AAI ====== | ||
+ | Mit der Anzahl der verfügbaren Diensten (Service Provider) und teilnehmenden Einrichtungen (Identity Provider) vergrößert sich in einer Föderation auch die Angriffsfläche für Attacken aller Art. Auf Seiten der Identity Provider ist dies typischerweise Identitätsdiebstahl und der damit verbundene illegale Zugriff auf geschützte Daten sowie andere Ressourcen bei Service Providern. Bei Service Providern besteht die Gefahr, dass im Falle eines Angriffs unberechtigte Dritte Zugriff auf personenbezogene oder sonstige Nutzerdaten erlangen. In beiden Fällen ist es wichtig, die jeweilige(n) Gegenstelle(n) rechtzeitig zu informieren und die bestehenden Sicherheitslücken schnellstmöglich zu schließen. | ||
+ | Das Incident Response Team des DFN-CERT hat gemeinsam mit dem Team der DFN-AAI Prozesse und Kommunikationskanäle definiert, die bei Sicherheitsvorfällen mit AAI-Bezug eine schnelle Eindämmung des Problems unter Einbeziehung aller Betroffenen ermöglichen. | ||
+ | {{anchor: | ||
<callout type=" | <callout type=" | ||
Bei Sicherheitsvorfällen, | Bei Sicherheitsvorfällen, | ||
- | **E-Mail: security@aai.dfn.de, | + | **E-Mail: |
\\ | \\ | ||
**Die wichtigsten Schritte im Falle eines Security Incidents sind unter [[# | **Die wichtigsten Schritte im Falle eines Security Incidents sind unter [[# | ||
Zeile 9: | Zeile 12: | ||
<callout type=" | <callout type=" | ||
- | Wir bitten darum, in der Metadatenverwaltung pro IdP/SP eine E-Mail-Adresse als [[https:// | + | Wir bitten darum, in der Metadatenverwaltung pro IdP/SP eine E-Mail-Adresse als [[https:// |
</ | </ | ||
Zeile 36: | Zeile 39: | ||
https:// | https:// | ||
* **Einhaltung bestehender organisationsinterner Prozesse:** Bereits bestehende organisationsinterne Prozesse zum Umgang mit sicherheitsrelevanten Vorfällen in der IT-Infrastruktur werden durch diese Regelung nicht berührt. Sie werden als erstes befolgt. Die Organisation leitet alle nötigen Maßnahmen zur Schadensbegrenzung ein. | * **Einhaltung bestehender organisationsinterner Prozesse:** Bereits bestehende organisationsinterne Prozesse zum Umgang mit sicherheitsrelevanten Vorfällen in der IT-Infrastruktur werden durch diese Regelung nicht berührt. Sie werden als erstes befolgt. Die Organisation leitet alle nötigen Maßnahmen zur Schadensbegrenzung ein. | ||
- | * **Meldepflicht: | + | * **Meldepflicht: |
* **Analyse und Bericht:** Die (zuerst) betroffene Organisation analysiert den sicherheitsrelevanten Vorfall und berichtet dem Föderationsbetreiber und der Koordinierungsstelle innerhalb von 14 Tagen, welche Maßnahmen zur Behebung und künftigen Verhinderung des Problems oder Fehlers ergriffen wurden. Der Bericht erfolgt in einem Formular, das der Föderationsbetreiber zur Verfügung stellt. | * **Analyse und Bericht:** Die (zuerst) betroffene Organisation analysiert den sicherheitsrelevanten Vorfall und berichtet dem Föderationsbetreiber und der Koordinierungsstelle innerhalb von 14 Tagen, welche Maßnahmen zur Behebung und künftigen Verhinderung des Problems oder Fehlers ergriffen wurden. Der Bericht erfolgt in einem Formular, das der Föderationsbetreiber zur Verfügung stellt. | ||
- | * **Kommunikation mit anderen betroffenen Organisationen: | + | * **Kommunikation mit anderen betroffenen Organisationen: |
* **Wiederinbetriebnahme der betroffenen Systeme:** Erst nachdem die betroffenen Systeme repariert bzw. abgesichert sind, werden sie wieder in Betrieb genommen. | * **Wiederinbetriebnahme der betroffenen Systeme:** Erst nachdem die betroffenen Systeme repariert bzw. abgesichert sind, werden sie wieder in Betrieb genommen. | ||
* **Abschlussbericht: | * **Abschlussbericht: | ||
Zeile 46: | Zeile 49: | ||
https:// | https:// | ||
* **Koordination der Bearbeitung des Vorfalls:** Das CERT der DFN-AAI ist Sicherheitskontakt und Koordinierungsstelle für die Reaktion auf Sicherheitsvorfälle. | * **Koordination der Bearbeitung des Vorfalls:** Das CERT der DFN-AAI ist Sicherheitskontakt und Koordinierungsstelle für die Reaktion auf Sicherheitsvorfälle. | ||
- | * **Information betroffener Organisationen: | + | * **Information betroffener Organisationen: |
* **Unterstützung beim „Berichtswesen“: | * **Unterstützung beim „Berichtswesen“: | ||
* **Unterstützung bei datenschutzkonformer Zusammenarbeit: | * **Unterstützung bei datenschutzkonformer Zusammenarbeit: | ||
Zeile 60: | Zeile 63: | ||
---- | ---- | ||
+ | ==== Ablaufdiagramm ==== | ||
+ | |||
+ | {{: | ||
+ | |||
+ | ---- | ||
| | ||
===== 3. Sirtfi Compliance für IdPs und SPs in der DFN-AAI ===== | ===== 3. Sirtfi Compliance für IdPs und SPs in der DFN-AAI ===== | ||
Zeile 121: | Zeile 129: | ||
==== 3. Meldung an den Sicherheitskontakt der DFN-AAI ==== | ==== 3. Meldung an den Sicherheitskontakt der DFN-AAI ==== | ||
- | * Nehmen Sie sich unsere Berichtsvorlage und tragen Sie alle bereits bekannten Informationen zusammen. | + | * Nehmen Sie sich unsere |
- | * Melden Sie den Vorfall mit diesen Informationen bei unserer Security-Mailadresse oder Telefonnummer (s.o.). Wir unterstützen Sie beim weiteren Vorgehen. | + | * Melden Sie den Vorfall mit diesen Informationen bei unserer Security-Mailadresse oder Telefonnummer ([[# |
* Die ggf. nötige Information weiterer Föderationsteilnehmer übernimmt der Sicherheitskontakt der DFN-AAI. Nach dem Need-to-know-Prinzip werden nur // | * Die ggf. nötige Information weiterer Föderationsteilnehmer übernimmt der Sicherheitskontakt der DFN-AAI. Nach dem Need-to-know-Prinzip werden nur // | ||
Zeile 148: | Zeile 156: | ||
==== 8. Abschlussbericht ==== | ==== 8. Abschlussbericht ==== | ||
- | * Reichen Sie einen Abschlussbericht bei der Koordinierungsstelle ein. Er soll alle Punkte umfassen, die unsere Vorlage beinhaltet. | + | * Reichen Sie einen Abschlussbericht bei der Koordinierungsstelle ein. Er soll alle Punkte umfassen, die [[de: |
* Die Verteilung des Berichts an alle Betroffenen übernimmt die Koordinierungsstelle. | * Die Verteilung des Berichts an alle Betroffenen übernimmt die Koordinierungsstelle. | ||
* Die Weitergabe des Abschlussberichtes unterliegt - soweit nicht anders besprochen - dem Traffic Light Protocol //Amber//. | * Die Weitergabe des Abschlussberichtes unterliegt - soweit nicht anders besprochen - dem Traffic Light Protocol //Amber//. |