1 Vorbemerkung

Dieses Dokument beschreibt in Anlehnung an RFC 2350 (Expectations for Computer Security Incident Response, http://www.ietf.org/rfc/rfc2350.txt) die technische und organisatorische Schnittstelle zum  CERT Nord, dem „Computer Emergency Response Team“ für die Verwaltungen der Länder Schleswig-Holstein, Hamburg, Bremen und Sachsen-Anhalt.                                                                                                                               Stand: 16.09.2016

2 Kontaktinformationen

2.1 Name des Teams

„CERT Nord“, das „Computer Emergency Response Team“ für die  Verwaltungen der Länder  Schleswig-Holstein, Hamburg, Bremen und Sachsen-Anhalt.

 

2.2 Postalische Adresse

CERT Nord
Dataport
Postfach 1780
24016 Kiel

 

2.3 Zeitzone

Europa/Berlin, GMT +1, GMT +2 von April bis Oktober

 

2.4 Telefon

+49  431  3295- 1984

 

2.5 Telefax

0431 3295-410 (Standard-Fax, unverschlüsselt)

 

2.6 eMail-Adresse

cert@certnord.de
Für die elektronische Übermittlung vertraulicher Informationen wird die Nutzung von Verschlüsselung empfohlen.

Folgender öffentlicher Schlüssel gilt zur Zeit:
-----BEGIN PGP PUBLIC KEY BLOCK-----

Version: GnuPG v2

 

mQENBFfbqtoBCADe3PWAsJI/Sdhaqtx6DLbM00C3kECYXuQmNyrXJPmmgHd3EOBD

KgsoH4bQ+6WvrPLkDN9qbEx4/S5WwAcOcGI8kUiNp04mLjCS5ABpwA3J9x8AIhKp

npqhHAqYi2kV6FFQYlxI7iv3qM5tDOIHPzOsiYNB47cxp+oaeCvbGJlnTwNdF6YF

BGB+835AujuvoozwRLBX/BhI0dsrxN8FKxAOUDa+qz6aBWf4qjlp0Z13bXmg4AiF

KhNUSmMQC6gG80kBY0JUt6KNfU6smLkc0QQTWONuY+whPlRasXax+APZLaZ8+4OI

MlMAZv2cC33z+Ndl6h/sRUlEsXM2ffyX5F1XABEBAAG0HENFUlQgTm9yZCA8Y2Vy

dEBjZXJ0bm9yZC5kZT6JAT8EEwEIACkFAlfbqtoCGyMFCQHzwEYHCwkIBwMCAQYV

CAIJCgsEFgIDAQIeAQIXgAAKCRCNPXqV4QjPMyLdB/9AC+gVfnVR21N9EPkShDSI

tG3+SDe76hhH/6tSEoOEJr3+YJHYfUYCq8HcVa5ajygJvTefDTVXjGx+kNaNa2IU

vc+YjdDTz/SnPTcYl8qYFncDx+lOY7BB/Mj2ZXc6MSjcBwcB9DY9tLp2vowTJN06

9UjFrHsx/4YZMgUibAbA4qgKIgP/MKyDNb/N8IrHcdzlxbvSvZiQR7ZyHUs+E4lD

y/ZUKtMAuxSLZVuHZ7QlO9VIh8iMtvGJ4T6alB/YfGhgdAuOQRzAoMXADRp/m97T

QrIfxo4g1RCRQy5IZzBUeRekt9PdfDAaSYWltDXnLBAPNL4A6kZK7csY4owutYUT

uQENBFfbqtoBCADU6RfOoOxnn1UGPNVzgkWzNcKuzNmOe73vuihyCS305ZKIS+zv

Agy2gNFVBGPm9JiclziCehO1thHIhD1++qoeKPbvupxXzRm9BslfjK8DYrES/fQf

CceDdya3YSNrgafu5EeAghYQHfC14f/hL4GojhCgRgSpTxfVuVxS8b1a69g+lpzs

hXCl4Eddf+bMlEljAOs0D7B9NpcdYHCoarmekUUvkKKF5nmYeQunyi4ZcPa1qYqq

Cvl5lU2Ux2XPa34YpNqw1jrKp6FFOnGs4Sa/A/UscIzKPBsFNSbIM9R/wtygQcDh

onTpFQiXQQkBV2oCPPg0rz3EphLY8dw0hapnABEBAAGJASUEGAEIAA8FAlfbqtoC

GwwFCQHzwEYACgkQjT16leEIzzNTEAgAhnPPn9DK9a9nN4TXh3FBpDWouRMt3+ru

O0FP/kML8p83wJyFIQOt0oxPAHFfOqyRClztP9HYTuyMP436woMdHQBZcIPm8O7l

0IP8VtDjVXLZ1ZDEvnyJTcTrm/HEO6x2uD9y3Ob7LVsBPw5ynKi8jCZTZU9Uc2hI

HwA4j/6HLkRgbDFHXU56QOAVEgsmr8Qjy0EJ9d4QCJrBbS0GPwSKWrpPzveanXXs

3wiZyzgtqeIbTmmltawaeg4yvMB2INS8zVyR/4LQUr0wS2RXrR30jvhvkZejlhpb

jIGDYQkgLXuAqjgyc7/mhbN0DEL/eqsD6uywqKYI74TGKQsRweQlkA==

=NqGI

-----END PGP PUBLIC KEY BLOCK-----

 

Fingerprint:  0FC3B1F9FAF32B015C2A1DB28D3D7A95E108CF33

 

2.7 World Wide Web

Internetpräsenz http://www.certnord.de  (nur RFC2350)

 

2.8 Zusammensetzung des Teams

Das CERT Nord wird von einem Team hauptamtlicher qualifizierter Mitarbeiter betrieben und ist bei Dataport (Anstalt öffentlichen Rechts), IT-Dienstleister der öffentlichen Verwaltung, angesiedelt.

 

2.9 Betriebszeiten

Montags - Donnerstags: 08:00 Uhr bis 17:00 Uhr,
Freitags: 08:00 Uhr bis 15:00 Uhr.,
(Ausnahmen: 24. und 31. Dezember sowie gesetzliche Feiertage in Hamburg, Schleswig-Holstein, Bremen und Sachsen-Anhalt)

3 Organisatorischer Rahmen

3.1 Ziele und Aufgaben

Die Ziele und Aufgaben des CERT Nord stellen sich wie folgt dar:

-       Bereitstellung von Informationen zu vorbeugenden und reaktiven Maßnahmen bei Sicherheitsvorfällen in IT-Systemen;

-       Bereitstellung von für die Zielgruppe aufbereiteten Sicherheitshinweisen und –meldungen;

-       Entwicklung und strukturierte Verteilung von vorbeugenden Handlungsempfehlungen zur Vermeidung von IT-Sicherheitsvorfällen.

-       ggf. Koordination von Aktivitäten und Maßnahmen in Situationen mit Schadcodebefall oder zielgerichteten Angriffen auf IT-Infrastrukturen.

 

3.2 Zielgruppe

Die Dienstleistungen des CERT Nord werden für die  Landesbehörden in Schleswig-Holstein, Hamburg, Bremen und Sachsen-Anhalt sowie weitere definierte Verwaltungen in diesen Ländern erbracht.

Innerhalb der angesprochenen Behörden und Organisationseinheiten ist die primäre Zielgruppe des CERT Nord der Kreis der Informations-Sicherheitsbeauftragten und der  dezentralen IT-Sicherheitsverantwortlichen und IT-Sicherheitsteams.

 

3.3 Mitgliedschaften

Das CERT Nord ist Mitglied im VerwaltungsCERT-Verbund.

 

3.4 Zuständigkeiten und Befugnisse

Das CERT Nord erfasst, bewertet und klassifiziert sicherheitsrelevante Schwachstellen von IT-Systemen und veröffentlicht diese Informationen als Empfehlungen über interne Plattformen in den Ländern für die Informations-Sicherheitsverantwortlichen in den Behörden und Einrichtungen der  beteiligten Länder. Die Verantwortung für die Umsetzung der vom CERT Nord  ausgesprochenen Empfehlungen verbleibt jeweils dezentral vor Ort in der Behörde bzw. Einrichtung bei den dort zuständigen Informations-Sicherheitsverantwortlichen, Administratoren bzw. den damit beauftragten zuständigen Mitarbeiterinnen und Mitarbeitern.

Bei ressortübergreifenden IT-Sicherheitsvorfällen mit möglichen Auswirkungen auf landesweite oder länderübergreifende IT-Infrastrukturen werden reaktive Maßnahmen in Kooperation mit den Ansprechpartnern in der Zielgruppe abgestimmt und, falls erforderlich, vom CERT Nord koordiniert.

4 Dienstleistungen

4.1 Reaktion

Das CERT Nord implementiert reaktive Dienstleistungen für die Entgegennahme, Klassifikation und Dokumentation von Alarmmeldungen über IT-Sicherheitsvorfälle innerhalb der Zielgruppe. Es nimmt weiterhin koordinierende und unterstützende Aufgaben bei ressortübergreifenden Vorfällen wahr.

 

4.2 Prävention

Das CERT Nord stellt Dienstleistungen für die Entgegennahme, Klassifikation und Dokumentation von Warnmeldungen über für die Infrastruktur in den beteiligten Ländern relevanten IT-Sicherheitslücken zur Verfügung. Darüber hinaus entwickelt es Empfehlungen zu IT-Sicherheitsmaßnahmen und Informations-Sicherheitsstandards für die Zielgruppe.

5 Vorfallmeldung

Der Informationsaustausch zu IT-Sicherheitsvorfällen findet im Wesentlichen über die internen Plattformen statt. Öffentliche Einrichtungen, die keinen Zugang einer solchen Plattform haben, können Vorfälle an die o.g. Adresse melden. Für eine korrekte und vollständige Erfassung des Vorfalls sind dem CERT Nord nach Möglichkeit mindestens die folgenden Informationen zu übermitteln:

 

Stammdaten des Melders

·         Meldende Organisation / Behörde

·         Name und Funktion des Melders

·         Standort: postalische Anschrift der Organisation / Behörde

·         Telefon- und Faxnummer des Melders, die zeitnah erreichbar ist

·         Angabe des Ressorts / der Abteilung / des Teams, in dem der Vorfall entdeckt worden ist

·         E-Mail-Adresse des Melders

Korrelation der Vorfallmeldung aus Sicht des Melders

·         Erstmeldung

·         Zwischen- bzw. Abschlussmeldung (unter Bezug auf die nach der Erstmeldung vergebene Bearbeitungs-ID)

Einstufung der Vorfallmeldung aus Sicht des Melders

·         Dringlichkeit

·         Kritikalität

Angaben zum festgestellten IT-Sicherheitsvorfall

·         Technische Beschreibung des Vorfalls, um abzugrenzen, was aus Sicht des Melders den Vorfall ausmacht, ohne zunächst Mutmaßungen über die Ursache oder die Auswirkung anzustellen - eine neutrale und unvoreingenommene Darstellung ist von Vorteil für die weitere Behandlung.

·         Beschreibung der bereits festgestellten Auswirkungen des Vorfalls, wie Einschränkungen der Verfügbarkeit von Diensten, Anwendungen oder Prozessen, Privilegieneskalation, etc. Hierzu gehört auch, mit welchen Mitteln bzw. Werkzeugen diese Auswirkungen festgestellt wurden, um eine Einschätzung bezüglich der Aussagekraft der so festgestellten Auswirkungen vornehmen zu können.

·         Eine Beschreibung, wie es zur eigentlichen Feststellung bzw. Entdeckung des Vorfalls kam (ungewöhnliche Logfile-Einträge, ungewöhnlicher Netzwerkverkehr, ungewöhnliche Anmeldevorgänge am System, verdächtige Manipulationen im Dateisystem, etc.)

·         Eine technische Beschreibung der betroffenen IT-Systeme: hier sollte der IT-Verbund abgegrenzt werden, der von dem Vorfall primär betroffen ist. Hierzu zählen alle aktiven IT-Komponenten wie Serversysteme, Router, Firewallsysteme, Switches, etc. Interessant sind auch die Versions- und Patchstände der eingesetzten Betriebssysteme, der Firmware, von Anwendungen und sonstiger relevanter Software-Produkte. Des Weiteren ist ein „umgebender“ Netzwerkplan hilfreich, um die Integration bzw. Auswirkung auf damit korrelierende IT-Infrastrukturen abschätzen zu können. 

Formulierung der Erwartungshaltung gegenüber dem CERT Nord:

·         Nur zur Information / keine Unterstützung erforderlich

·         Anforderung von Unterstützung / Koordination

6 Haftungsausschluss

Die vorliegenden Informationen  wurden mit größtmöglicher Sorgfalt zusammengestellt und geprüft. Eine Haftung oder Gewährleistung für Korrektheit und Vollständigkeit der hier enthaltenen Informationen oder für sich aus der Nutzung dieser Angaben ergebende Konsequenzen kann jedoch nicht übernommen werden.