| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
| de:aai:incidentresponse [2021/01/21 11:08] – [Maßnahmen für Teilnehmende] Wolfgang Pempe | de:aai:incidentresponse [2021/01/21 11:16] – [Definitionen] Wolfgang Pempe |
|---|
| ==== Definitionen ==== | ==== Definitionen ==== |
| * **Sicherheitskontakt der DFN-AAI**: Die auf der [[https://www.aai.dfn.de/sicherheit/ | Website der DFN-AAI]] angebene Kontaktadresse für Security Incidents ist die erste Eskalationsstufe außerhalb der eigenen Organisation. | * **Sicherheitskontakt der DFN-AAI**: Die auf der [[https://www.aai.dfn.de/sicherheit/ | Website der DFN-AAI]] angebene Kontaktadresse für Security Incidents ist die erste Eskalationsstufe außerhalb der eigenen Organisation. |
| * **Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle**: Die Bearbeitung eines Vorfalls innerhalb der Föderation oder in Zusammenarbeit mit eduGAIN wird zunächst vom [[https://www.aai.dfn.de/sicherheit/|CERT der DFN-AAI]] koordiniert. Bei föderationsübergreifenden Incidents ist das [[support@edugain.org|eduGAIN Support Team]] hinzuzuziehen. | * **Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle**: Die Bearbeitung eines Vorfalls innerhalb der Föderation oder in Zusammenarbeit mit eduGAIN wird zunächst vom [[https://www.aai.dfn.de/sicherheit/|CERT der DFN-AAI]] koordiniert. Bei föderationsübergreifenden Incidents ist das [[abuse@edugain.org|eduGAIN Security Team]] hinzuzuziehen. Siehe hierzu auch unter https://wiki.geant.org/display/eduGAIN/eduGAIN+Security |
| * **Traffic Light Protocol (TLP)**: Das [[https://www.us-cert.gov/tlp|Traffic Light Protocol]] ist ein Schema, nach dem Absender von Informationen anzeigen können, an welche Empfängerkreise diese weitergegeben werden dürfen. Es unterscheidet anhand von vier Farben unbegrenzte öffentliche Weitergabe, organisationsübergreifende Weitergabe, organisationsinterne Verteilung und die persönliche Weitergabe an den Kreis der Anwesenden (siehe auch das deutschsprachige [[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Kritis/Merkblatt_TLP.html|Merkblatt vom BSI]]). | * **Traffic Light Protocol (TLP)**: Das [[https://www.us-cert.gov/tlp|Traffic Light Protocol]] ist ein Schema, nach dem Absender von Informationen anzeigen können, an welche Empfängerkreise diese weitergegeben werden dürfen. Es unterscheidet anhand von vier Farben unbegrenzte öffentliche Weitergabe, organisationsübergreifende Weitergabe, organisationsinterne Verteilung und die persönliche Weitergabe an den Kreis der Anwesenden (siehe auch das deutschsprachige [[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Kritis/Merkblatt_TLP.html|Merkblatt vom BSI]]). |
| * **„meldenswerter“ Security Incident / Wo ist die Schwelle zum sicherheitsrelevanten Vorfall?** | * **„meldenswerter“ Security Incident / Wo ist die Schwelle zum sicherheitsrelevanten Vorfall?** |
| https://wiki.geant.org/display/AARC/Procedure+for+Federations | https://wiki.geant.org/display/AARC/Procedure+for+Federations |
| * **Koordination der Bearbeitung des Vorfalls:** Das CERT der DFN-AAI ist Sicherheitskontakt und Koordinierungsstelle für die Reaktion auf Sicherheitsvorfälle. | * **Koordination der Bearbeitung des Vorfalls:** Das CERT der DFN-AAI ist Sicherheitskontakt und Koordinierungsstelle für die Reaktion auf Sicherheitsvorfälle. |
| * **Information betroffener Organisationen:** Die Koordinierungsstelle übernimmt die Information aller von dem Vorfall betroffenen Föderationsteilnehmer. Wurde ein Security-Kontakt hinterlegt, wird nur dieser Kontakt informiert. Fehlt diese Angabe, wird der technische Kontakt informiert, der in den Metadaten veröffentlicht ist. Die Information erfolgt per E-Mail und ist stets von der Koordinierungsstelle für die Reaktion auf Sicherheitsvorfälle signiert. \\ **Liste der Security- und sonstigen Kontakte in der DFN-AAI: https://www.aai.dfn.de/verzeichnis/dfn-aai-contacts/** | * **Information betroffener Organisationen:** Die Koordinierungsstelle übernimmt die Information aller von dem Vorfall betroffenen Föderationsteilnehmer. Wurde ein Security-Kontakt hinterlegt, wird nur dieser Kontakt informiert. Fehlt diese Angabe, wird der technische Kontakt informiert, der in den Metadaten veröffentlicht ist. Die Information erfolgt per E-Mail und ist stets von der Koordinierungsstelle für die Reaktion auf Sicherheitsvorfälle signiert. \\ **Liste der Security- und sonstigen Kontakte in der DFN-AAI: unter https://tools.aai.dfn.de/entities/ auf "All Contacts" klicken** |
| * **Unterstützung beim „Berichtswesen“:** Als Föderationsbetreiber stellt der DFN-Verein eine [[de:aai:incident_reporting_template|Checkliste]] bereit, mit der betroffene Organisationen ihren Bericht über den sicherheitsrelevanten Vorfall einreichen. | * **Unterstützung beim „Berichtswesen“:** Als Föderationsbetreiber stellt der DFN-Verein eine [[de:aai:incident_reporting_template|Checkliste]] bereit, mit der betroffene Organisationen ihren Bericht über den sicherheitsrelevanten Vorfall einreichen. |
| * **Unterstützung bei datenschutzkonformer Zusammenarbeit:** Der DFN-Verein bietet den Organisationen, die an der DFN-AAI teilnehmen, einen **DSGVO-konformen Passus für ihre Datenschutzregelungen** an. Er kann genutzt werden, um dem berechtigten Interesse (Art. 6 Abs. 1 Buchst. f gem. Erwägungsgrund 49) anderer Föderationsteilnehmer nachzukommen, die ggf. Logdateien anfragen, um ihre eigenen Systeme zu prüfen. | * **Unterstützung bei datenschutzkonformer Zusammenarbeit:** Der DFN-Verein bietet den Organisationen, die an der DFN-AAI teilnehmen, einen **DSGVO-konformen Passus für ihre Datenschutzregelungen** an. Er kann genutzt werden, um dem berechtigten Interesse (Art. 6 Abs. 1 Buchst. f gem. Erwägungsgrund 49) anderer Föderationsteilnehmer nachzukommen, die ggf. Logdateien anfragen, um ihre eigenen Systeme zu prüfen. |
| ==== Maßnahmen für die Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle ==== | ==== Maßnahmen für die Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle ==== |
| |
| * **ggf. Information von eduGAIN:** Wenn Teilnehmer aus anderen Föderationen von dem Vorfall betroffen sind, informiert die Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle den [[support@edugain.org|eduGAIN Security Contact]]. | * **ggf. Information von eduGAIN:** Wenn Teilnehmer aus anderen Föderationen von dem Vorfall betroffen sind, informiert die Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle den [[abuse@edugain.org|eduGAIN Security Contact]]. |
| * **Verantwortung:** Die Koordinierungsstelle ist dafür verantwortlich, dafür zu sorgen, dass der Vorfall angemessen bearbeitet wird, sowohl an den betroffenen Organisationen als auch föderationsweit bzw. eduGAIN-weit. | * **Verantwortung:** Die Koordinierungsstelle ist dafür verantwortlich, dafür zu sorgen, dass der Vorfall angemessen bearbeitet wird, sowohl an den betroffenen Organisationen als auch föderationsweit bzw. eduGAIN-weit. |
| * **Ansprechbarkeit:** Die Reaktionszeit bei der Kommunikation über den Vorfall liegt bei einem Werktag. | * **Ansprechbarkeit:** Die Reaktionszeit bei der Kommunikation über den Vorfall liegt bei einem Werktag. |