1 Vorbemerkung
Dieses Dokument beschreibt in Anlehnung an RFC 2350 (Expectations for Computer Security Incident Response, http://www.ietf.org/rfc/rfc2350.txt) die technische und organisatorische Schnittstelle zum CERT Nord, dem "Computer Emergency Response Team" für die Verwaltungen der Länder Schleswig-Holstein, Hamburg, Bremen und Sachsen-Anhalt. Stand: 18.09.2023
2 Kontaktinformationen
2.1 Name des Teams
"CERT Nord", das "Computer Emergency Response Team" für die Verwaltungen der Länder Schleswig-Holstein, Hamburg, Bremen und Sachsen-Anhalt.
2.2 Postalische Adresse
CERT Nord
Dataport
Postfach 1780
24016 Kiel
2.3 Zeitzone
Europa/Berlin, GMT +1, GMT +2 von April bis Oktober
2.4 Telefon
+49 40 42846-1984
2.5 Telefax
+49 40 42846-3632 (Standard-Fax, unverschlüsselt)
2.6 eMail-Adresse
cert@certnord.de
Für die elektronische Übermittlung vertraulicher Informationen wird die Nutzung von Verschlüsselung empfohlen.
Folgender öffentlicher Schlüssel gilt zur Zeit:
-----BEGIN PGP PUBLIC KEY BLOCK-----
Comment: Benutzer-ID: CERT Nord
Comment: Gültig seit: 18.09.2023 11:04
Comment: Gültig bis: 30.09.2024 12:00
Comment: Typ: 4.096-bit RSA (geheimer Schlüssel verfügbar)
Comment: Verwendung: Signieren, Verschlüsselung, Benutzerkennungen beglaubigen, SSH Authentifizierung
Comment: Fingerabdruck: AC4829C2D96CBD93584EECC91523D300489D6679
mQINBGUIErcBEAC9rLeE4jNIap2QuD29P/n+l5rZGcCs2Xu0jpqBb3Zlg0uxP77w
thNPD2uk8KoF4TvxWQXuv/iRPjuXLVY2BDrhbgXylnWwh3o8NejiW+OnHeqC6hpT
VyKNTkcDSdVRMXVtVk/ft0eVDYESq1QSUdQUSkEAFb4JtWcVtyx02ODlcJOsk4zV
9sj6Z+SAt7/JN6pJg7omgcsKvJXsPuqYs4kIJGdWNsnAJvZdyJwXkhWflk/bvor5
jRsFZ4+hbR5wsr5EQ9IdnBmsjiw/dktSEWSHBnYi1oN+PfIyxp5p8rF6RYlRW7RA
UjUQomNzEE0v4jCoosgyR5ETDs5qghlaBMB0QNGwFK3beq5J872Sr9cO2gPBefQL
i868+lgeYTGNVkIK4p9dgds+2s1q0iYCDbqCYssy7iP9cKmcVRTsPLACAr4MzDgY
rTExzM1L2rV2huOGeb1Ev7LmtupvrK58lZl2ML7IrXE7yQzLeLfL6Hq+OuZo/DfP
2a+In6G3raWZ+2waEXK3lWHO2AiZiB12kNhhmVs8Hx9WPDnEPZS0u96/Wz2gSHm4
cLqKYRUP+RklhPDz+0OfTV/5M9MFNHNmUXEApnBF6sSQDZH1LavP4bL8Id036FpJ
NNcIaLqIpTIqVk+Ib2L+FE89emi+NAAznXdya+cvQMK+LSVfvtsIrUeIbwARAQAB
tBxDRVJUIE5vcmQgPGNlcnRAY2VydG5vcmQuZGU+iQJUBBMBCAA+FiEErEgpwtls
vZNYTuzJFSPTAEidZnkFAmUIErcCGyMFCQHyY+kFCwkIBwIGFQoJCAsCBBYCAwEC
HgECF4AACgkQFSPTAEidZnl6+A/9Hn+ICLKTJh4/hYTGKkPJTnFIDQl0jvN7zTv1
8x5I3HgFF6Mf2RYIOPxxO3XRWJcN3ly2y1xi0Yxgmr3y3lK97Z6bEsRFj2tBsp2v
YJqHXH6FYAW+wm8FNo84OCOvVJ4vKFtY2VU2ZvZp686vmWq67+4lufHsJhJD0cCC
f9boNmHu12tJ/LZp9i1gms7aEkyjOyAeO3QEkzMWl7wrSRAJ5yxeVOcka5TtBsWU
o5+a0KYnZ/Q/XhO1O6bpvzMn+uPF+iFDXUFmktCUQbjOd1oL1g4DbIYpEGyqCDIW
aM85DRbPSRQCA9gnu3d37RHXxT6m2GDr1lYUzGyh4aJ21SstagaDHvmKz0Y4gIvd
NdHNElWYock2eheNGu4HWwVEWCXuM3iJs4JYyOJMIru3XBqU/ZXRoRKJnosFyDIC
TKc0Sd7SAzdKjiyQi+Ee4e4WQ4yNrlNMsFPVbpeOqerlR2OJAzDXaJLr4k0jpp+A
D5hldFauUNgKFONhIIp+YI+yHoEqJWCc8m+1dyP9Fn4x2nyEoHoa3MXlsHG4S5py
waI11QfDtiQXrwho5z/pmkpkGPoh7NOx+DgRryiLBHB0LeP2tau2KSBiRil/bWaI
sHvp0Jhl3xKVU6aOOcfHuv+sJmtfXlqaZ9ZgYx6LjsitHPgP8Ew3WPmF46TFd9Oj
9/PEI4+5Ag0EZQgStwEQANEgWjdQjtjn7AvttnlNmHel96KylKUbzMj1thnU5i+b
Jcu2bHHYZDyfPHWmWkXgZzhuojmPsP1Vn+bxcBXA8AM7/qkx+utpIwvZrORMdsOd
W09rELEMDaGTV53HrhtQpcsOHOvliFiVQPuWSsjya0ajWVbQ7hBihQCGiqc/Mz6W
z1Y5P+ybDENbG/6+o9nPKbN0mXiU0o/fP7v8ckiF+LGA2FHf9pOks5F5LFKziflq
l1jo9a+rsUOUtByXK6bTZdcF2U/DbAQd+N4LoAew+mB5w08ivj+r84Kh7bhT4syV
YqoSzsbqpOS8A/1a0Suv0eebq/qWG+pCPyTUDSyQYlPf0qEFrt2iHCJqGc4444NH
SyzYEfwX251ktC5O9Bef2Sa7F07vRSpyr76H/dqeKUTUTJdO7skrbZ77eDfQc2wF
cJLOsRTNMMMbgVxKUr9j7qXb06seR2iQOMCUtgVcoLW2hq1veRkQW/BY6wvZLhS2
3Gfw5VCrPY3uoPoSnmElGQ/5mWgj+zziG1JPEfHNPFqrmSBAIOQv1zs5I4zRb0va
tfNY/n/tnWJrTi+Uzo3FaSnyQFip9OzhDX+6nd5hZacZVfyAK8WW+SCgZpIhQHke
RZEzaiCyJIc/DyeygGQXdEbGjVc/lvl0or8Ef8dC4lauybtwRLv9Bshn2x1JtwDL
ABEBAAGJAjwEGAEIACYWIQSsSCnC2Wy9k1hO7MkVI9MASJ1meQUCZQgStwIbDAUJ
AfJj6QAKCRAVI9MASJ1mecorEACOFI72OvnXCa8xzvBJGss6ZZjUFPdeYC3KHacK
pVJ/q06j87J2B3o1FJ88PizNO0U1wCOlp/Ydg3HiFiTAXqon2y+qZ5DUcw7Umran
FqM458Flznm9T4DnSXiDa1cVDQz4SMR3DAbqiYe7ABw1HM6OlTjo9fzPtQmJKJiu
Yw0WInCSy+rGdwXgY9ys9L39eYMT8mvGZ7JKlOCm8s5rRabVEdGitbqX/aVOGQ8i
d5CYW2UBCdOQ+zLzbeMPcJkq8tTW5YVbgk/FzUTno7fEXlEMNDD03Kq4L/3mWNyY
R136c7RLGZzymuSJMAvsLyglkMMYJsLwQB+oBchgew3eQ/EPHV/5NEVW1u/IdgJT
E9m5rtD3CJyTYXPa88ZAAGphcdCiv6v22icJ3V5+5ibhzmBxXgxsSlAVQ2CrH0tY
g/X0vvmMJ5s5N/q6d5f+1ZdmiuM+CHLXG97VLmhV8I/mXckT0dsWBf+tq7vvrc6b
ewo2fvDsKQ1Nx26lpseXejBQJlEZX1DKVpOGNd3U17N11WVgz5LJjwQNfFmHyArM
fDowxCMBno3YeeR+li5W+0kGz3aWPesLgVRqf9T83aCnbeEUHv/IJL8jDAE/nQB8
wCrXKdfShQ8d0mV8ytR6DnwWHg7M4I7r2WnwoeY28RuuC4dxs9vrXHEis5TUOp1h
WF7c0w==
=V5C8
-----END PGP PUBLIC KEY BLOCK-----
2.7 World Wide Web
Internetpräsenz http://www.certnord.de (nur RFC2350)
2.8 Zusammensetzung des Teams
Das CERT Nord wird von einem Team hauptamtlicher qualifizierter Mitarbeiter betrieben und ist bei Dataport (Anstalt öffentlichen Rechts), IT-Dienstleister der öffentlichen Verwaltung, angesiedelt.
2.9 Betriebszeiten
Montags - Donnerstags: 08:00 Uhr bis 16:00 Uhr,
Freitags: 08:00 Uhr bis 15:00 Uhr.,
(Ausnahmen: 24. und 31. Dezember sowie gesetzliche Feiertage in Hamburg, Schleswig-Holstein, Bremen oder Sachsen-Anhalt)
3 Organisatorischer Rahmen
3.1 Ziele und Aufgaben
Die Ziele und Aufgaben des CERT Nord stellen sich wie folgt dar:
- Bereitstellung von Informationen zu vorbeugenden und reaktiven Maßnahmen bei Sicherheitsvorfällen in IT-Systemen;
- Bereitstellung von für die Zielgruppe aufbereiteten Sicherheitshinweisen und Sicherheitsmeldungen;
- Entwicklung und strukturierte Verteilung von vorbeugenden Handlungsempfehlungen zur Vermeidung von IT-Sicherheitsvorfällen.
- ggf. Koordination von Aktivitäten und Maßnahmen in Situationen mit Schadcodebefall oder zielgerichteten Angriffen auf IT-Infrastrukturen
3.2 Zielgruppe
Die Dienstleistungen des CERT Nord werden für die Landesbehörden in Schleswig-Holstein, Hamburg, Bremen und Sachsen-Anhalt sowie weitere definierte Verwaltungen in diesen Ländern erbracht.
Innerhalb der angesprochenen Behörden und Organisationseinheiten ist die primäre Zielgruppe des CERT Nord der Kreis der Informations-Sicherheitsbeauftragten und der dezentralen IT-Sicherheitsverantwortlichen und IT-Sicherheitsteams.
3.3 Mitgliedschaften
Das CERT Nord ist Mitglied im VerwaltungsCERT-Verbund.
3.4 Zuständigkeiten und Befugnisse
Das CERT Nord erfasst, bewertet und klassifiziert sicherheitsrelevante Schwachstellen von IT-Systemen und veröffentlicht diese Informationen als Empfehlungen über interne Plattformen in den Ländern für die Informations-Sicherheitsverantwortlichen in den Behörden und Einrichtungen der beteiligten Länder. Die Verantwortung für die Umsetzung der vom CERT Nord ausgesprochenen Empfehlungen verbleibt jeweils dezentral vor Ort in der Behörde bzw. Einrichtung bei den dort zuständigen Informations-Sicherheitsverantwortlichen, Administratoren bzw. den damit beauftragten zuständigen Mitarbeiterinnen und Mitarbeitern.
Bei ressortübergreifenden IT-Sicherheitsvorfällen mit möglichen Auswirkungen auf landesweite oder länderübergreifende IT-Infrastrukturen werden reaktive Maßnahmen in Kooperation mit den Ansprechpartnern in der Zielgruppe abgestimmt und, falls erforderlich, vom CERT Nord koordiniert.
4 Dienstleistungen
4.1 Reaktion
Das CERT Nord implementiert reaktive Dienstleistungen für die Entgegennahme, Klassifikation und Dokumentation von Alarmmeldungen über IT-Sicherheitsvorfälle innerhalb der Zielgruppe. Es nimmt weiterhin koordinierende und unterstützende Aufgaben bei ressortübergreifenden Vorfällen wahr.
4.2 Prävention
Das CERT Nord stellt Dienstleistungen für die Entgegennahme, Klassifikation und Dokumentation von Warnmeldungen über für die Infrastruktur in den beteiligten Ländern relevanten IT-Sicherheitslücken zur Verfügung. Darüber hinaus entwickelt es Empfehlungen zu IT-Sicherheitsmaßnahmen und Informations-Sicherheitsstandards für die Zielgruppe.
5 Vorfallmeldung
Der Informationsaustausch zu IT-Sicherheitsvorfällen findet im Wesentlichen über die internen Plattformen statt. öffentliche Einrichtungen, die keinen Zugang einer solchen Plattform haben, können Vorfälle an die o.g. Adresse melden. Für eine korrekte und vollständige Erfassung des Vorfalls sind dem CERT Nord nach Möglichkeit mindestens die folgenden Informationen zu übermitteln:
Stammdaten des Melders
- Meldende Organisation / Behörde
- Name und Funktion des Melders
- Standort: postalische Anschrift der Organisation / Behörde
- Telefon- und Faxnummer des Melders, die zeitnah erreichbar ist
- Angabe des Ressorts / der Abteilung / des Teams, in dem der Vorfall entdeckt worden ist
- E-Mail-Adresse des Melders
Korrelation der Vorfallmeldung aus Sicht des Melders
- Erstmeldung
- Zwischen- bzw. Abschlussmeldung (unter Bezug auf die nach der Erstmeldung vergebene Bearbeitungs-ID)
Einstufung der Vorfallmeldung aus Sicht des Melders
- Dringlichkeit
- Kritikalität
Angaben zum festgestellten IT-Sicherheitsvorfall
- Technische Beschreibung des Vorfalls, um abzugrenzen, was aus Sicht des Melders den Vorfall ausmacht, ohne zunächst Mutmaßungen über die Ursache oder die Auswirkung anzustellen - eine neutrale und unvoreingenommene Darstellung ist von Vorteil für die weitere Behandlung.
- Beschreibung der bereits festgestellten Auswirkungen des Vorfalls, wie Einschränkungen der Verfügbarkeit von Diensten, Anwendungen oder Prozessen, Privilegieneskalation, etc. Hierzu gehört auch, mit welchen Mitteln bzw. Werkzeugen diese Auswirkungen festgestellt wurden, um eine Einschätzung bezüglich der Aussagekraft der so festgestellten Auswirkungen vornehmen zu können.
- Eine Beschreibung, wie es zur eigentlichen Feststellung bzw. Entdeckung des Vorfalls kam (ungewöhnliche Logfile-Einträge, ungewöhnlicher Netzwerkverkehr, ungewöhnliche Anmeldevorgänge am System, verdächtige Manipulationen im Dateisystem, etc.)
- Eine technische Beschreibung der betroffenen IT-Systeme: hier sollte der IT-Verbund abgegrenzt werden, der von dem Vorfall primär betroffen ist. Hierzu zählen alle aktiven IT-Komponenten wie Serversysteme, Router, Firewallsysteme, Switches, etc. Interessant sind auch die Versions- und Patchstände der eingesetzten Betriebssysteme, der Firmware, von Anwendungen und sonstiger relevanter Software-Produkte.
- Des Weiteren ist ein Netzwerkplan der Infrastruktur hilfreich, um die Integration bzw. Auswirkung auf damit korrelierende IT-Infrastrukturen abschätzen zu können.
Formulierung der Erwartungshaltung gegenüber dem CERT Nord:
- Nur zur Information / keine Unterstützung erforderlich
- Anforderung von Unterstützung / Koordination
6 Haftungsausschluss
Die vorliegenden Informationen wurden mit größtmöglicher Sorgfalt zusammengestellt und geprüft. Eine Haftung oder Gewährleistung für Korrektheit und Vollständigkeit der hier enthaltenen Informationen oder für sich aus der Nutzung dieser Angaben ergebende Konsequenzen kann jedoch nicht übernommen werden.