0. Wichtige Vorbemerkung Dieses Dokument ist eine unverbindliche Übersetzung. Das verbindliche englischsprachige Original ist hier zu finden: https://cert.netzbegruenung.de/nb-cert-rfc2350.txt 1. Dokumentinformationen 1.1 Datum der letzten Aktualisierung Version 1.4, aktualisiert am 2021-06-14. Übersetzung aktualisiert am 2021-11-16. 1.2 Vertriebskanal für Benachrichtigungen Aktualisierungsbenachrichtigungen werden veröffentlicht auf - Ankündigungs-Mailingliste nb-cert@lists.netzbegruenung.de - Unsere Homepage https://cert.netzbegruenung.de/ - Kanal #netzbegruenung-cert-info auf https://chatbegruenung.de 1.3 Standorte, an denen dieses Dokument gefunden werden kann Dieses Dokument ist veröffentlicht unter https://cert.netzbegruenung.de/nb-cert-rfc2350_de.txt 2. Kontaktinformationen 2.1 Name des Teams NB-CERT: Netzbegruenung Computer Emergency Response Team. 2.2 Adresse NETZBEGRUENUNG - Verein für Grüne Netzkultur e.V. c/o Nico Ach Heilig-Kreuz-Straße 16 86609 Donauwoerth 2.3 Zeitzone Mitteleuropäische Zeit (GMT+01:00) und mitteleuropäische Sommerzeit (GMT+02:00). 2.4 Telefonnummer +49 30 62938124 2.5 Faxnummer Keine verfügbar. 2.6 Sonstige Telekommunikation Für Mitglieder von BUENDNIS 90 / DIE GRUENEN und NETZBEGRUENUNG antworten wir auf Nachrichten im Kanal #netzbegruenung-cert-info auf https://chatbegruenung.de. 2.7 Elektronische Postadresse Wir antworten auf E-Mails an mail@cert.netzbegruenung.de. 2.8 Öffentliche Schlüssel und Verschlüsselungsinformationen Laden Sie unseren öffentlichen Schlüssel von PGP-Schlüssel-Servern oder von https://cert.netzbegruenung.de/nb-cert.asc. Der Fingerabdruck ist 4022 D320 172C 69F6 349E 7BAD 9286 C3DC 747C 6E90 2.9 Teammitglieder Das NB-CERT wird öffentlich vertreten durch den Vorsitzenden von NETZBEGRUENUNG. Einzelne Teammitglieder können sich dafür entscheiden, öffentlich auf der Website von NB-CERT benannt zu werden. 2.10 Weitere Informationen Informationen über NB-CERT finden Sie unter https://blog.netzbegruenung.de/cert/. 2.11 Kontaktwege Bitte kontaktieren Sie uns per E-Mail an mail@cert.netzbegruenung.de oder auf https://chatbegruenung.de im Kanal #netzbegruenung-cert-info. Wenn Sie eine dringende Anfrage haben, setzen Sie bitte eine "DRINGEND" in die Betreffzeile. 3. Charta 3.1 Leitbild Der Zweck des NB-CERT ist, erstens, BUENDNIS 90 / DIE GRUENEN und NETZBEGRUENUNG bei Computersicherheitsvorfällen zu unterstützen, sofern sie auftreten, und zweitens, um Mitglieder der Zielgruppe bei der Umsetzung proaktiver Maßnahmen zur Reduzierung des Risikos solcher Vorfälle zu unterstützen. 3.2 Zielgruppe Die Zielgruppe von NB-CERT sind BUENDNIS 90 / DIE GRUENENEN und NETZBEGRUENUNG. Das bedeutet in erster Linie, dass das Netzbegruenung-CERT IT-Systeme, die einer der beiden Gruppen gehören, unterstützt, sowie Personen beider Gruppen, die offiziell Aufgaben übernehmen. 3.3 Sponsoring und/oder Mitgliedschaft NB-CERT wird gefördert von NETZBEGRUENUNG - Verein für Grüne Netzkultur e.V. 3.4 Autorität NB-CERT hat kein offizielles Mandat zur Aufsicht oder zum Vorfallmanagement für BUENDNIS 90 / DIE GRUENEN. Die Beteiligung von NB-CERT ist rein optional für Mitglieder von BUENDNIS 90 / DIE GRUENEN. NB-CERT ist Teil der NETZBEGRUENUNG und beteiligt sich als ein Partner in den Aktivitäten des Vereins. Das NB-CERT ergreift Maßnahmen, wenn es von betroffene Organisationen oder Personen dazu aufgefordert wird. Wenn dies nicht der Fall ist, leitet das NB-CERT Informationen nur an die richtigen Stellen weiter und schützt gleichzeitig vertrauliche Informationen. 4. Richtlinien 4.1 Arten von Vorfällen und Umfang des Supports Der Grad der Unterstützung durch das NB-CERT kann variieren, abhängig von der Art und Schwere des Vorfalls oder des Problems, der Art der Betroffenen, die Größe der betroffenen Gruppe und den Ressourcen des NB-CERT. In allen Fällen folgt eine Antwort innerhalb eines Werktages. Die Ressourcen werden nach den folgenden Prioritäten zugewiesen, in absteigender Reihenfolge aufgelistet: - Angriffe auf Root- oder Systemebene auf Managementinformations- systeme oder einen beliebigen Teil der Backbone- Netzwerkinfrastruktur. - Angriffe auf Root- oder Systemebene auf jedem großen öffentlichen Dienstcomputer, entweder Mehrbenutzer- oder Zweckbestimmung. - Kompromittierung von eingeschränkten vertraulichen Servicekonten oder Softwareinstallationen, insbesondere solche, die für das MIS verwendet werden, sowie Anwendungen, die vertrauliche Daten enthalten oder für die Systemadministration verwendet werden. - Denial-of-Service-Angriffe auf einen der drei oben genannten Punkte. - Einer der zuvor genannten Fälle, in dem der Angriff von IT-Infrastruktur von BUENDNIS 90 / BUENDNIS 90 oder NETZBEGRUENUNG ausgeht. - Gefährdung oder Durchsickern von vertraulichen oder persönlichen Informationen die sich auf BUENDNIS 90 / DIE GRUENEN oder NETZBEGRUENUNG beziehen oder aus deren IT-Infrastruktur kommen. - Großangriffe jeglicher Art, z.B. Schnüffelangriffe, "social Engineering"-Angriffe, Phishing, oder Angriffe auf Passwörter. - Gefährdung einzelner Benutzerkonten auf Mehrbenutzersystemen. - Kompromittierung von Desktop-Systemen. 4.2 Zusammenarbeit, Interaktion und Offenlegung von Informationen Das NB-CERT erkennt seine Pflicht an und erklärt seine Absicht, zum Geist der Zusammenarbeit beizutragen der das Internet geschaffen hat. Zwar werden die erforderlichen Maßnahmen ergriffen, um die Identität unserer Mitglieder, der Zielgruppe und Mitglieder benachbarter Standorte zu schützen, aber das NB-CERT wird ansonsten Informationen frei austauschen, wenn dies anderen hilft, oder Vorfälle verhindert. In den folgenden Abschnitten bezieht sich der Begriff "betroffene Parteien" auf die rechtmäßigen Eigentümer, Betreiber und Nutzer der betreffenden datenverarbeitenden Einrichtungen. Es bezieht sich nicht auf nicht autorisierte Benutzer, einschließlich anderweitig autorisierter Benutzer, die eine Einrichtung unbefugt nutzen; diese Eindringlinge dürfen keine Vertraulichkeit von Seiten des NB-CERT erwarten. Sie können rechtliche Ansprüche auf Vertraulichkeit haben oder auch nicht; diese Rechte werden selbstverständlich gewahrt, wenn sie existieren. Informationen, die für die Freigabe in Betracht gezogen werden, sind wie folgt klassifiziert: - Private Benutzerinformationen sind Informationen über bestimmte Benutzer, oder, in einigen Fällen, bestimmte Anwendungen, die aus rechtlichen Gründen oder vertraglichen Aspekten als vertraulich angesehen werden müssen. Private Benutzerinformationen werden nicht in identifizierbarer Form außerhalb des NB-CERT weitergegeben, außer wie im Folgenden beschrieben. Wenn die Identität des Benutzers verschleiert wird, dann kann die Informationen frei weitergegeben werden (z.B. um eine, von einem Angreifer modifizierte Konfigurationsdatei zu zeigen, oder um einen "Social engineering"-Angriff zu demonstrieren). - Informationen über Eindringlinge sind ähnlich wie Informationen über private Benutzer, betreffen aber Eindringlinge. Während Informationen über Eindringlinge, insbesondere identifizierende Informationen, nicht an die Öffentlichkeit weitergegeben werden (es sei denn, es handelt sich um öffentlich zugängliche Informationen, zum Beispiel weil Strafanzeigen erhoben wurden), werden sie frei mit Systemadministratoren und CSIRTs ausgetauscht, die mit dem gleichen Vorfall beschäftigt sind. - Private Standortinformationen sind technische Informationen über bestimmte Systeme oder Standorte. Diese werden nicht veröffentlicht, wenn keine Genehmigung des betreffenden Standorts vorliegt, mit Ausnahme der nachstehend genannten Fälle. - Schwachstelleninformationen sind technische Informationen über Schwachstellen oder Angriffe, einschließlich Korrekturen und Workarounds. Schwachstelleninformationen werden frei veröffentlicht. Gleichzeitig werden alle Anstrengungen unternommen, um den jeweiligen Lieferanten vor der breiten Öffentlichkeit zu informieren. - Peinliche Informationen beinhalten die Aussage, dass einen Vorfall gab, sowie Informationen über den Umfang oder die Schwere des Ereignisses. Peinliche Informationen können Standorte, einen bestimmten Benutzer oder eine Gruppe von Benutzern betreffen. Peinliche Informationen werden nicht ohne die Erlaubnis der betreffenden Standorte oder des Benutzers weitergegeben. - Statistische Informationen sind peinliche Informationen ohne identifizierenden Informationen. Statistische Informationen werden nach Ermessen der betroffenen IT-Abteilung freigegeben. - Kontaktinformationen dienen der Erreichbarkeit von Systemadministratoren und CSIRTs. Die Kontaktinformationen werden in Übereinstimmung mit dem Gesetz so frei wie möglich freigegeben. Potenzielle Empfänger von Informationen aus dem NB-CERT werden wie folgt klassifiziert: - Aufgrund der Art ihrer Verantwortlichkeiten und der daraus resultierenden Erwartungen an die Vertraulichkeit, haben Vorstandsmitglieder der Zielgruppe das Recht, alle notwendigen Informationen zu erhalten, die zur Bearbeitung von Vorfällen der Computersicherheit in ihrer Zuständigkeit notwendig sind. - Datenschutzbeauftragte haben das Recht, alle Informationen zu erhalten, die sie zu einen Computersicherheitsvorfall oder verwandten Themen in ihrer Zuständigkeit anfordern. - Systemadministratoren bei NETZBEGRUENUNG und IT-Dienstleistern für BUENDNIS 90 / DIE GRUENEN werden aufgrund ihrer Zuständigkeit mit geheimen Informationen betraut. Allerdings werden ihnen nur die vertraulichen Daten mitgeteilt, die sie für Untersuchung oder zum absichern der eigenen Systeme benötigen, außer diese Personen sind auch Mitglieder des NB-CERT. - Benutzer von BUENDNIS 90 / DIE GRUENEN und NETZBEGRUENUNG haben Anspruch auf Informationen, die sich auf die Sicherheit ihrer eigenen Computerkonten beziehen, auch wenn dies das Preisgeben von Informationen über "Eindringlinge" oder "peinliche Informationen" über einen anderen Benutzer bedeutet. Zum Beispiel, wenn in den Account aaaa eingebrochen wird und der Eindringling von dort das Konto von Benutzer bbbb angreift, der Benutzer bbbb hat das Recht zu erfahren, dass in das Konto von aaaa eingebrochen wurde, und wie der Angriff auf das Konto von bbbb ausgeführt wurde. Der Nutzer bbbb ist auch berechtigt, auf Verlangen Informationen über das Konto aaaa zu erhalten, die es bbbb ermöglichen könnten, den Angriff zu untersuchen. Zum Beispiel, wenn bbbb von jemandem angegriffen wird, der per Fernzugriff mit aaaa verbunden ist, sollte bbbb mitgeteilt werden, dass der Angriff aus einer Verbindungen zu aaaa stammt, auch wenn diese Informationen normalerweise als privat für aaaa angesehen würden. Benutzer von BUENDNIS 90 / DIE GRUENEN und NETZBEGRUENUNG sind berechtigt darüber benachrichtigt zu werden, wenn ihr Konto vermutlich kompromittiert wurde. - Die Allgemeinheit von BUENDNIS 90 / DIE GRUENEN und NETZBEGRUENUNG wird keine geheimen Informationen erhalten, außer wenn die betroffenen Parteien die Erlaubnis erteilt haben, dass die Informationen verbreitet werden dürfen. Statistische Informationen können der Allgemeinheit von BUENDNIS 90 / DIE GRUENEN und NETZBEGRUENUNG zur Verfügung gestellt werden. Es besteht keine Verpflichtung seitens des NB-CERT zur Meldung von Vorfällen an die Allgemeinheit, jedoch kann sich das NB-CERT dafür entscheiden; insbesondere ist es wahrscheinlich, dass die NB-CERT wird alle betroffenen Parteien darüber informieren wird, in wie weit sie betroffen waren, oder wird die betroffene Abteilung ermutigen dies zu tun. - Die breite Öffentlichkeit wird keine geheimen Informationen erhalten. Tatsächlich werden keine besonderen Anstrengungen unternommen werden, um mit der breiten Öffentlichkeit zu kommunizieren. Das NB-CERT ist sich bewusst, dass Informationen, die der Allgemeinheit von BUENDNIS 90 / DIE GRUENEN und NETZBEGRUENUNG zur Verfügung gestellt werden, faktisch öffentlich sind, und dementsprechend zugeschnitten werden. - Die Computer Security Community wird genauso behandelt wie die die breite Öffentlichkeit. Obwohl die Mitglieder von NB-CERT sich an Diskussionen im Rahmen der Computersicherheit beteiligen können, beispielsweise in Newsgroups, Mailinglisten (einschließlich der Enthüllungs-Liste "bugtraq"), oder Konferenzen, werden sie solche Foren so behandeln, als wären sie eine breite Öffentlichkeit. Während technische Fragen (einschließlich Schwachstellen) in einem beliebigen Detailgrad diskutiert werden können, werden Erfahrungen aus NB-CERT verschleiert, um die betroffenen Personen nicht zu identifizieren. - Die Presse wird auch als Teil der Öffentlichkeit betrachtet. Das NB-CERT wird nicht direkt mit der Presse zu IT-Sicherheitsvorfällen kommunizieren, mit Ausnahme von Informationen, die bereits an die Allgemeinheit weitergegeben wurden. Gegebenenfalls werden den Pressestellen von BUENDNIS 90 / DIE GRUENEN oder NETZBEGRUENUNG die notwendigen Informationen zur Verfügung gestellt. Alle Fragen im Zusammenhang mit dem Vorfall werden an diese Stellen weitergeleitet. Das eben gesagte hat keinen Einfluss auf die Befähigung von Mitgliedern des NB-CERT zur Gewährung von Interviews zu Themen der IT-Sicherheit; tatsächlich werden sie ermutigt, dies als Dienst an der Gemeinschaft zu tun. - Andere Organisationen und CSIRTs, wenn sie Partner im Rahmen der Untersuchung eines Computersicherheitsvorfalls sind, werden in einigen Fällen mit vertraulichen Informationen betraut werden. Dies wird nur geschehen, wenn die Echtheit der fremden Organisation überprüft werden kann. Die übermittelten Informationen beschränken sich auf das, was wahrscheinlich nötig zur Behandlung des Vorfalls ist. Ein solcher Austausch ist vor allem dann wahrscheinlich, wenn es sich um dem NB-CERT bekannte Organisationen handelt. Zum Zwecke der Bearbeitung eines Sicherheitsvorfalls, ansonsten als halb privat angesehene aber vergleichseise harmlose Informationen, wie die Herkunft der Verbindungen zum Benutzer Konto, werden nicht als hochsensibel eingestuft ohne übermäßige Vorsichtsmaßnahmen an eine fremde Organisation übertragen werden. "Eindringlingsinformationen" werden frei an andere Systemadministratoren und CSIRTs weitergegeben. "Peinliche Informationen" können übermittelt werden, wenn eine hinreichende Sicherheit dafür besteht, dass sie vertraulich bleiben, und wenn es notwendig ist, um einen Vorfall zu bearbeiten. - Lieferanten werden in den meisten Fällen als fremde CSIRTs betrachtet. Das NB-CERT möchte Anbieter aller Art von Netzwerk- und Computerausrüstung, Software und Dienstleistungen, dabei fördner, die Sicherheit ihrer Produkte zu verbessern. Zu diesem Zweck werden, falls eine Schwachstelle entdeckt wird, die in einem solchen Produkt entdeckt wurde dem Lieferanten zusammen mit allen technischen Daten gemeldet. Identifizierende Details werden dem Verkäufer nicht ohne Genehmigung der betroffenen Parteien mitgeteilt. - Sofern gesetzlich gefordert, kooperiert das NB-CERT vollständig mit Strafverfolgungsbehörden. Das NB-CERT teilt dabei alle für die Untersuchung notwendigen Informationen. Sofern Informationen proaktiv mit Strafverfolgungsbehörden geteilt werden, wird vorher die Erlaubnis der betroffenen Personen oder Organisationen eingeholt. 4.3 Kommunikation und Authentifizierung Die bevorzugte Kommunikationsmethode ist die über PGP-verschlüsselte E-Mail. NB-CERT trachtet folgende Kommunikationsmethoden als sicher für die Übertragung vertraulicher Informationen, in absteigender Ordnung nach Vertrauenswürdigkeit und Priorität: - PGP- oder S/MIME-verschlüsselte E-Mail - Verschlüsselter VOIP-Anruf, z.B. über Signal, Threema - Verschlüsselte Messenger, z.B. Signal, Threema, etc. Die folgenden Kommunikationskanäle sollten nur für nicht sensible Informationen verwendet werden: - Chat - Telefon - Unverschlüsselte (normale) E-Mails - SMS 4.4 Mitgliedschaft Voraussetzungen für die Aufnahme in das NB-CERT-Team sind: - Mitgliedschaft in BUENDNIS 90 / DIE GRUENEN für mehr als 1 Jahr. - Mitgliedschaft im Verein NETZBEGRUENUNG. - Empfehlung des Kreisverbandes. - Persönliches Treffen mit bestehenden NB-CERT- Mitgliedern. - Expertise in mindestens einem der Aktivitäts-Bereiche von NB-CERT. 5. Dienstleistungen 5.1 Reaktion auf Vorfälle NB-CERT unterstützt die Systemadministratoren und Endnutzer im Umgang mit den technischen und organisatorischen Aspekten von Vorfällen. Insbesondere wird sie Unterstützung oder Beratung in Bezug auf die folgenden Aspekte des Vorfallmanagements leisten: 5.1.1. Sichtung von Vorfällen - Untersuchung, ob tatsächlich ein Vorfall aufgetreten ist. - Bestimmung des Ausmaßes des Vorfalls. 5.1.2. Vorfallskoordination - Ermittlung der ursprünglichen Ursache des Vorfalls (ausgenutzte Schwachstelle). - Vermittlung von Kontakten mit und zwischen den Administratoren von betroffenen Systemen. - Erleichterung des Kontakts mit anderen Organisationen, die möglicherweise involviert sind. - Erleichterung des Kontakts mit BUENDNIS 90 / DIE GRUENEN und NETZBEGRUENUNG Datenschutzbeauftragten und/oder gegebenenfalls geeigneten Strafverfolgungsbehörden. - Erstellung von Berichten an andere CSIRTs. - Verfassen von Ankündigungen an Benutzer, falls zutreffend. 5.1.3. Störungsbehebung - Unterstützung von Systemadministratoren bei der Absicherung des Systems vor den Auswirkungen des Vorfalls. - Unterstützung bei der Entfernung von in das Internet durchgesickerten privaten Informationen aus öffentlichen Quellen. - Bewertung, ob bestimmte Aktionen wahrscheinlich erfolgreich sein werden, insbesondere im Verhältnis zu ihren Kosten und Risiken, beispielsweise bei Maßnahmen, die auf eine etwaige Strafverfolgung oder Disziplinarmaßnahmen abzielen: Sammlung von Beweismitteln nach dem Vorfall, Beobachtung eines laufenden Vorfalls, Aufstellen von Fallen für Eindringlinge, etc. - Unterstützung von Systemadministratoren bei der Beweissicherung wenn eine Strafverfolgung in Betracht gezogen wird. Darüber hinaus wird NB-CERT Statistiken über Vorkommnisse erstellen, die sich innerhalb der Allgemeinheit von BUENDNIS 90 / DIE GRUENEN und NETZBEGRUENUNG ereignen oder diese betreffen, und wird die Allgemeinheit bei Bedarf zum Schutz vor bekannten Angriffe informieren. Nutzung der Vorfallsreaktionsdienste von NB-CERT, Bitte senden Sie eine E-Mail gemäß Abschnitt 2.11 oben. Bitte denken Sie daran dass der Umfang der verfügbaren Hilfe, wie in Abschnitt 4.1 beschrieben, unterschiedlich ist. 5.2 Proaktive Aktivitäten Das NB-CERT koordiniert und pflegt folgende Dienstleistungen, soweit möglich, je nach seinen verfügbaren Ressourcen: - Informationsdienste - Chat-Kanäle auf https://chatbegruenung.de zur Weitergabe sicherheitsrelevanter Informationen an Kontaktpersonen die für die von den Personen betreuten Computerumgebungen relevant sind. - Wichtige Ankündigungen und Advisories werden an die Mailingliste nb-cert@lists.netzbegruenung.de gesendet - Diese Listen sind nur für Mitglieder von BUENDNIS 90 / DIE GRUENEN und NETZBEGRUENUNG verfügbar. - Trainingsdienstleistungen - Mitglieder des NB-CERT geben regelmäßig Seminare zu Themen der Computersicherheit; diese Seminare sind offen für BUENDNIS 90 / DIE GRUENEN und NETZBEGRUENUNG Mitglieder. - Auditierungsdienstleistungen - Auditing wird nur durchgeführt, wenn freie Ressourcen zur Verfügung stehen. - Archivierungsdienste - Aufzeichnungen über die behandelten Sicherheitsvorfälle werden aufbewahrt. Während die Aufzeichnungen vertraulich bleiben, werden regelmäßig Statistikberichte der Allgemeinheit von BUENDNIS 90 / DIE GRUENEN und NETZBEGRUENUNG zur Verfügung gestellt. Detaillierte Beschreibungen der oben genannten Leistungen sowie Anweisungen zum Beitreten zu Chat-Kanälen, Herunterladen von Informationen oder die Teilnahme an bestimmten Diensten sind verfügbar auf der Website von NB-CERT, gemäß Abschnitt 2.10 oben. 6. Formulare zur Meldung von Vorfällen Es ist kein Formular erforderlich, um Vorfälle an folgende Personen zu melden NB-CERT. 7. Haftungsausschluss Während bei der Vorbereitung Informationen, Benachrichtigungen und Warnungen, jede erdenkliche Vorsichtsmaßnahme getroffen wird, übernimmt NB-CERT keine Verantwortung für Fehler, Auslassungen oder für Schäden die sich aus der Verwendung der darin enthaltenen Informationen ergeben.