Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:aai:incidentresponse [2019/04/26 08:58]
Silke Meyer
de:aai:incidentresponse [2019/07/30 11:55] (aktuell)
Wolfgang Pempe
Zeile 1: Zeile 1:
 ====== Security Incident Response in der DFN-AAI ====== ====== Security Incident Response in der DFN-AAI ======
 +Mit der Anzahl der verfügbaren Diensten (Service Provider) und teilnehmenden Einrichtungen (Identity Provider) vergrößert sich in einer Föderation auch die Angriffsfläche für Attacken aller Art. Auf Seiten der Identity Provider ist dies typischerweise Identitätsdiebstahl und der damit verbundene illegale Zugriff auf geschützte Daten sowie andere Ressourcen bei Service Providern. Bei Service Providern besteht die Gefahr, dass im Falle eines Angriffs unberechtigte Dritte Zugriff auf personenbezogene oder sonstige Nutzerdaten erlangen. In beiden Fällen ist es wichtig, die jeweilige(n) Gegenstelle(n) rechtzeitig zu informieren und die bestehenden Sicherheitslücken schnellstmöglich zu schließen.
  
 +Das Incident Response Team des DFN-CERT hat gemeinsam mit dem Team der DFN-AAI Prozesse und Kommunikationskanäle definiert, die bei Sicherheitsvorfällen mit AAI-Bezug eine schnelle Eindämmung des Problems unter Einbeziehung aller Betroffenen ermöglichen. ​
 +{{anchor:​a00:​}}
 <callout type="​danger"​ title="​Was tun im Fall eines Incidents?">​ <callout type="​danger"​ title="​Was tun im Fall eines Incidents?">​
 Bei Sicherheitsvorfällen,​ die auch andere Föderationsteilnehmer betreffen, erreichen Sie uns unter: \\ Bei Sicherheitsvorfällen,​ die auch andere Föderationsteilnehmer betreffen, erreichen Sie uns unter: \\
-**E-Mail: security@aai.dfn.de,​ Telefon: +49-40-808077-590** \\ +**E-Mail: ​[[security@aai.dfn.de|security@aai.dfn.de]], Telefon: +49-40-808077-590** \\ 
 \\ \\
 **Die wichtigsten Schritte im Falle eines Security Incidents sind unter [[#​was_tun_bei_einem_security_incident_am_idp_oder_sp|4. Was tun bei einem Security Incident]] aufgelistet.** **Die wichtigsten Schritte im Falle eines Security Incidents sind unter [[#​was_tun_bei_einem_security_incident_am_idp_oder_sp|4. Was tun bei einem Security Incident]] aufgelistet.**
Zeile 9: Zeile 12:
  
 <callout type="​primary"​ title="​Vorbereitende Maßnahmen">​ <callout type="​primary"​ title="​Vorbereitende Maßnahmen">​
-Wir bitten darum, in der Metadatenverwaltung pro IdP/SP eine E-Mail-Adresse als [[https://​wiki.refeds.org/​display/​SIRTFI/​Choosing+a+Sirtfi+Contact|Security-Kontakt]] zu hinterlegen und den [[https://​wiki.refeds.org/​display/​SIRTFI/​SIRTFI+Home|Empfehlungen des Sirtfi Frameworks]] zu folgen.+Wir bitten darum, in der Metadatenverwaltung pro IdP/SP eine E-Mail-Adresse als [[https://​wiki.refeds.org/​display/​SIRTFI/​Choosing+a+Sirtfi+Contact|Security-Kontakt]] zu hinterlegen und den [[https://​wiki.refeds.org/​display/​SIRTFI/​SIRTFI+Home|Empfehlungen des Sirtfi Frameworks]] zu folgen. ​(Liste der Security- und sonstigen Kontakte in der DFN-AAI: unter https://​tools.aai.dfn.de/​entities/​ "All Contacts"​ auswählen)
 </​callout>​ </​callout>​
  
Zeile 38: Zeile 41:
   * **Meldepflicht:​** Der Sicherheitskontakt des CERTs der DFN-AAI ist innerhalb eines Werktags nach Bekanntwerden über den Vorfall zu informieren und auf dem Laufenden zu halten. Er ist per E-Mail unter security@aai.dfn.de oder telefonisch unter (+49) 040 808077-590 erreichbar.   * **Meldepflicht:​** Der Sicherheitskontakt des CERTs der DFN-AAI ist innerhalb eines Werktags nach Bekanntwerden über den Vorfall zu informieren und auf dem Laufenden zu halten. Er ist per E-Mail unter security@aai.dfn.de oder telefonisch unter (+49) 040 808077-590 erreichbar.
   * **Analyse und Bericht:** Die (zuerst) betroffene Organisation analysiert den sicherheitsrelevanten Vorfall und berichtet dem Föderationsbetreiber und der Koordinierungsstelle innerhalb von 14 Tagen, welche Maßnahmen zur Behebung und künftigen Verhinderung des Problems oder Fehlers ergriffen wurden. Der Bericht erfolgt in einem Formular, das der Föderationsbetreiber zur Verfügung stellt.   * **Analyse und Bericht:** Die (zuerst) betroffene Organisation analysiert den sicherheitsrelevanten Vorfall und berichtet dem Föderationsbetreiber und der Koordinierungsstelle innerhalb von 14 Tagen, welche Maßnahmen zur Behebung und künftigen Verhinderung des Problems oder Fehlers ergriffen wurden. Der Bericht erfolgt in einem Formular, das der Föderationsbetreiber zur Verfügung stellt.
-  * **Kommunikation mit anderen betroffenen Organisationen:​** Die betroffene Organisation steht für Rückfragen aus der Föderation zur Verfügung und beantwortet sie in einem Zeitraum von ein bis zwei Werktagen. Die Antworten gehen stets an alle weiteren betroffenen Organisationen,​ um den Umfang der Rückfragen möglichst gering zu halten und um zu gewährleisten,​ dass alle Betroffenen auf demselben Stand sind.+  * **Kommunikation mit anderen betroffenen Organisationen:​** Die betroffene Organisation steht für Rückfragen aus der Föderation zur Verfügung und beantwortet sie in einem Zeitraum von ein bis zwei Werktagen. Die Antworten gehen stets an alle weiteren betroffenen Organisationen,​ um den Umfang der Rückfragen möglichst gering zu halten und um zu gewährleisten,​ dass alle Betroffenen auf demselben Stand sind. \\ **Liste der Security- und sonstigen Kontakte in der DFN-AAI: https://​www.aai.dfn.de/​verzeichnis/​dfn-aai-contacts/​**
   * **Wiederinbetriebnahme der betroffenen Systeme:** Erst nachdem die betroffenen Systeme repariert bzw. abgesichert sind, werden sie wieder in Betrieb genommen.   * **Wiederinbetriebnahme der betroffenen Systeme:** Erst nachdem die betroffenen Systeme repariert bzw. abgesichert sind, werden sie wieder in Betrieb genommen.
   * **Abschlussbericht:​** Ein abschließender Bericht zum sicherheitsrelevanten Vorfall wird in Zusammenarbeit mit dem Sicherheitskontakt der Föderation bzw. der Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle erstellt und allen Beteiligten zur Verfügung gestellt. Für das Verteilen dieser möglicherweise sensiblen Informationen empfiehlt der DFN-Verein das Traffic Light Protocol (TLP). In der Regel wird //TLP Amber// zur Anwendung kommen.   * **Abschlussbericht:​** Ein abschließender Bericht zum sicherheitsrelevanten Vorfall wird in Zusammenarbeit mit dem Sicherheitskontakt der Föderation bzw. der Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle erstellt und allen Beteiligten zur Verfügung gestellt. Für das Verteilen dieser möglicherweise sensiblen Informationen empfiehlt der DFN-Verein das Traffic Light Protocol (TLP). In der Regel wird //TLP Amber// zur Anwendung kommen.
Zeile 46: Zeile 49:
 https://​wiki.geant.org/​display/​AARC/​Procedure+for+Federations https://​wiki.geant.org/​display/​AARC/​Procedure+for+Federations
   * **Koordination der Bearbeitung des Vorfalls:** Das CERT der DFN-AAI ist Sicherheitskontakt und Koordinierungsstelle für die Reaktion auf Sicherheitsvorfälle.   * **Koordination der Bearbeitung des Vorfalls:** Das CERT der DFN-AAI ist Sicherheitskontakt und Koordinierungsstelle für die Reaktion auf Sicherheitsvorfälle.
-  * **Information betroffener Organisationen:​** Die Koordinierungsstelle übernimmt die Information aller von dem Vorfall betroffenen Föderationsteilnehmer. Wurde ein Security-Kontakt hinterlegt, wird nur dieser Kontakt informiert. Fehlt diese Angabe, wird der technische Kontakt informiert, der in den Metadaten veröffentlicht ist. Die Information erfolgt per E-Mail und ist stets von der Koordinierungsstelle für die Reaktion auf Sicherheitsvorfälle signiert.+  * **Information betroffener Organisationen:​** Die Koordinierungsstelle übernimmt die Information aller von dem Vorfall betroffenen Föderationsteilnehmer. Wurde ein Security-Kontakt hinterlegt, wird nur dieser Kontakt informiert. Fehlt diese Angabe, wird der technische Kontakt informiert, der in den Metadaten veröffentlicht ist. Die Information erfolgt per E-Mail und ist stets von der Koordinierungsstelle für die Reaktion auf Sicherheitsvorfälle signiert. ​ \\ **Liste der Security- und sonstigen Kontakte in der DFN-AAI: https://​www.aai.dfn.de/​verzeichnis/​dfn-aai-contacts/​**
   * **Unterstützung beim „Berichtswesen“:​** Als Föderationsbetreiber stellt der DFN-Verein eine [[de:​aai:​incident_reporting_template|Checkliste]] bereit, mit der betroffene Organisationen ihren Bericht über den sicherheitsrelevanten Vorfall einreichen.   * **Unterstützung beim „Berichtswesen“:​** Als Föderationsbetreiber stellt der DFN-Verein eine [[de:​aai:​incident_reporting_template|Checkliste]] bereit, mit der betroffene Organisationen ihren Bericht über den sicherheitsrelevanten Vorfall einreichen.
   * **Unterstützung bei datenschutzkonformer Zusammenarbeit:​** Der DFN-Verein bietet den Organisationen,​ die an der DFN-AAI teilnehmen, einen **DSGVO-konformen Passus für ihre Datenschutzregelungen** an. Er kann genutzt werden, um dem berechtigten Interesse (Art. 6 Abs. 1 Buchst. f gem. Erwägungsgrund 49) anderer Föderationsteilnehmer nachzukommen,​ die ggf. Logdateien anfragen, um ihre eigenen Systeme zu prüfen.   * **Unterstützung bei datenschutzkonformer Zusammenarbeit:​** Der DFN-Verein bietet den Organisationen,​ die an der DFN-AAI teilnehmen, einen **DSGVO-konformen Passus für ihre Datenschutzregelungen** an. Er kann genutzt werden, um dem berechtigten Interesse (Art. 6 Abs. 1 Buchst. f gem. Erwägungsgrund 49) anderer Föderationsteilnehmer nachzukommen,​ die ggf. Logdateien anfragen, um ihre eigenen Systeme zu prüfen.
Zeile 127: Zeile 130:
  
   * Nehmen Sie sich unsere Berichtsvorlage und tragen Sie alle bereits bekannten Informationen zusammen. ​   * Nehmen Sie sich unsere Berichtsvorlage und tragen Sie alle bereits bekannten Informationen zusammen. ​
-  * Melden Sie den Vorfall mit diesen Informationen bei unserer Security-Mailadresse oder Telefonnummer (s.o.). Wir unterstützen Sie beim weiteren Vorgehen.+  * Melden Sie den Vorfall mit diesen Informationen bei unserer Security-Mailadresse oder Telefonnummer ([[#​a00|siehe oben]]). Wir unterstützen Sie beim weiteren Vorgehen.
   * Die ggf. nötige Information weiterer Föderationsteilnehmer übernimmt der Sicherheitskontakt der DFN-AAI. Nach dem Need-to-know-Prinzip werden nur //​betroffene//​ Föderationsteilnehmer informiert.   * Die ggf. nötige Information weiterer Föderationsteilnehmer übernimmt der Sicherheitskontakt der DFN-AAI. Nach dem Need-to-know-Prinzip werden nur //​betroffene//​ Föderationsteilnehmer informiert.
  
  • Zuletzt geändert: vor 4 Monaten