RFC2350

 

1. Über dieses Dokument

Dieses Dokument enthält eine Beschreibung des sCERT gemäß RFC 2350.

Version: 4
Datum: Donnerstag, 1. Juli 2021 11:00:00 +0100

Autor: team@scert.at

1.1 Datum der letzten Aktualisierung

Datum: Donnerstag, 1. September 2021 11:00:00 +0100

1.2 Verteilerliste für Benachrichtigungen

Es sind keine Verteilerlisten/Mailinglisten für die Benachrichtigung von Aktualisierungen dieses Dokuments definiert.

1.3 Fundstellen für dieses Dokument

Die aktuelle Version der Beschreibung des sCert ist verfügbar unter: https://www.erstedigital.com/RFC2350.txt

Die Signatur dieses Dokuments ist verfügbar unter: https://www.erstedigital.com/RFC2350.txt.sig

Der zum Signieren verwendete Schlüssel ist der sCERT-Team-Schlüssel wie unter 2.8 angegeben.

2. Kontaktinformationen

2.1 Name des Teams

sCERT – CERT der oesterreichischen Sparkassengruppe

2.2 Adresse

Erste Digital GmbH
Am Belvedere 1
1100 Wien
Österreich

2.3 Zeitzone

GMT+0100 (+0200 DST)

2.4 Telefonnummer

+43 (0)5 0100 – 39393

2.5 Faxnummer

Keine

2.6 Andere Telekommunikation

Keine

2.7 E-Mail-Adresse

team@scert.at

2.8 Öffentliche Schlüssel und Verschlüsselungsinformationen

Das sCERT verwendet einen Master-Signierschlüssel, um alle für operative Zwecke verwendeten Schlüssel zu signieren. Verwenden Sie ihn NICHT für die Kommunikation mit dem sCERT. Der Master-Signierschlüssel lautet:

pub rsa4096/f9c02552a668a63d 2017-06-19T12:25:45Z

                               Hash=f1fbd0289dcff12b4f9b615f0f000ae1

uid sCERT Master Signing Key (Used for signing the operational sCert GPG key) <signing-only-key@s-itsolutions.at>

sig  sig  f9c02552a668a63d 2017-06-19T12:25:45Z 2018-06-30T10:00:00Z ____________________ [selfsig]

sig  sig  f9c02552a668a63d 2018-06-11T12:04:08Z 2024-06-21T09:38:23Z ____________________ [selfsig]

Kommunikationen des sCERT werden mit dem persönlichen Schlüssel des Teammitglieds signiert, dessen Signatur mit dem oben angeführten Signierschlüssel erfolgt.

Die Übermittlung verschlüsselter Kommunikationen an das sCERT ist mit folgendem Teamschlüssel möglich:

pub rsa4096/6507f2343e22d37554f4590c493e93259d4421e8 2017-06-19T12:31:40Z

                               Hash=a516e022e19ec1601973369e1db5c158

uid sCert (sCert Team Key) <team@scert.at>

sig  sig  493e93259d4421e8 2021-07-01T08:32:16Z 2022-06-30T08:31:00Z ____________________ [selfsig]

sig  sig  493e93259d4421e8 2020-07-02T08:06:12Z 2021-06-30T08:06:12Z ____________________ [selfsig]

sig  sig  493e93259d4421e8 2019-11-04T11:15:12Z 2020-06-30T11:15:12Z ____________________ [selfsig]

sig  sig  493e93259d4421e8 2019-07-05T07:23:43Z 2020-06-30T10:00:00Z ____________________ [selfsig]

sig  sig  493e93259d4421e8 2018-10-05T06:39:42Z 2019-06-30T12:21:28Z ____________________ [selfsig]

sig  sig  f9c02552a668a63d 2018-10-05T06:40:51Z ____________________ ____________________ f9c02552a668a63d

Die Schlüssel werden auf einem Großteil der Schlüsselserver bereitgestellt.

2.9 Teammitglieder

Informationen über die Teammitglieder werden nicht veröffentlicht.

2.10 Weitere Informationen

Keine

2.11 Kontaktmöglichkeiten  für Kunden

Der Kontakt per E-Mail (team@scert.at) ist die bevorzugte Art der Kontaktaufnahme mit dem sCERT. Wenn der Kontakt per E-Mail nicht möglich oder nicht ratsam ist, können Sie uns auch telefonisch erreichen (siehe Pkt. 2.4)

Im Allgemeinen sind die Betriebszeiten des sCERT auf die üblichen Geschäftszeiten beschränkt: Montag bis Freitag, 8–16 Uhr MEZ/MESZ.

3. Organisatorischer Rahmen

3.1 Leitbild

Aufgabe des sCERT ist es, Aktivitäten im Zusammenhang mit IT-Sicherheitsbelangen für den in Pkt. 3.2 definierten Adressatenkreis zu koordinieren und zu betreiben.

3.2 Zielgruppe

Das sCERT betreut die Erste Digital GmbH und deren Netzwerk-/Datenzentrumskunden (z.B. gehostete Dienste der Erste Group).

Das sCERT hat Autorität über folgende ASNs: AS12895 und AS24647.

3.3 Sponsoring und/oder Zugehörigkeit

Das sCERT ist Teil der Erste Digital GmbH und wird von dieser finanziert.

3.4 Verantwortungsbereich

Bei Sicherheitsvorfällen (siehe Pkt. 4.1) arbeitet das sCERT mit Vertretern seiner Zielgruppe (siehe Pkt. 3.2) zusammen.

Das sCERT ist für die proaktiven und reaktiven IT-Sicherheitsmaßnahmen innerhalb der Erste Digital GmbH zuständig.

4. Richtlinien

4.1 Arten von Vorfällen und Unterstützungsleistungen

Zu den Aufgaben des sCERT zählt die proaktive und reaktive Bearbeitung aller möglichen IT-Sicherheitsvorfälle sowie die Durchführung von Awareness- und Schulungsmaßnahmen für die MitarbeiterInnen seiner Zielgruppe (siehe Pkt. 3.2).

4.2 Kooperation, Interaktion und Weitergabe von Informationen

Das sCERT arbeitet mit den zuständigen Behörden und Aufsichtsorganen zusammen.

Das sCERT interagiert mit vertrauenswürdigen CSIRTs auf nationaler und internationaler Ebene, soweit dies für zweckdienlich erachtet wird, hauptsächlich durch den Austausch von Erfahrungswerten und Best Practices. Das sCERT gibt keine internen Informationen über seine Zielgruppe weiter.

4.3 Kommunikation und Authentifizierung

Für alle Informationen, die zwischen dem sCERT und anderen CSIRTs ausgetauscht werden, wird – unabhängig vom jeweiligen Kommunikationsmedium (E-Mail, Telefonat, persönliches Treffen) – das sog. Information Sharing Traffic Light Protocol (ISTLP) angewendet. Für den Austausch von elektronischen Informationen zwischen dem sCERT und anderen CSIRTs wird PGP genutzt. Die verwendeten Schlüssel sind in Punkt 2.8 angeführt. Vor dem Aufbau eines Kommunikationskanals muss eine Authentifizierung des Kommunikationspartners durch geeignete Mittel erfolgen (z.B. Vertrauensnetze (WOTs), physische Identifikation oder Rückruf).

5. Dienste

5.1 Reaktion auf Vorfälle (Incident Response)

5.1.1. Bearbeitung von Vorfällen

Je nach Art des Vorfalls muss unter Umständen manuell festgestellt werden, ob ein Vorfall tatsächlich eingetreten ist (z.B. eine öffentlich bekannt gemachte Sicherheitslücke). Automatisch (z.B. über Netzwerksensoren) gemeldete Vorfälle sind prinzipiell vertrauenswürdig und werden standardmäßig auf Plausibilität geprüft. In weiterer Folge werden der Umfang des Vorfalls und die betroffenen Assets analysiert. Darauf aufbauend wird der Vorfall priorisiert und den zuständigen ExpertInnen zur weiteren Bearbeitung zugewiesen.

5.1.2. Koordination von Vorfällen

Die Reaktion auf Vorfälle wird mit den Verantwortlichen der betroffenen Assets und der für IT-Sicherheit zuständigen Stelle koordiniert. Je nachdem, welche Stelle für das betroffene Asset zuständig ist, kann das sCERT befugt sein, aktiv in den IT-Sicherheitsvorfall einzugreifen oder eine beratende Funktion auszuüben.

5.1.3. Lösung von Vorfällen

Ist die Erste Digital GmbH die verantwortliche Stelle für Assets, die von einem Sicherheitsvorfall betroffen sind, übernimmt das sCERT die zur Behebung des Vorfalls erforderlichen Maßnahmen.

Betrifft der Vorfall Assets, für die Netzwerk-/Datenzentrumskunden verantwortlich sind (z.B. gehostete Erste Group Services), holt das sCERT bei der für IT-Sicherheit zuständigen Stelle Updates bezüglich des Vorfalls ein.

5.2 Proaktive Dienste

Das sCERT übernimmt das Schwachstellenmanagement und bietet einen Cyber Threat Intelligence Service an. Außerdem unterhält das sCERT Kontakt zu den IT-Sicherheitsverantwortlichen von Netzwerk-/Datencenter-Kunden (z.B. gehostete Erste Group Services) und beteiligt sich an Aktivitäten zur Informationssicherheit auf nationaler und europäischer Ebene sowie an Sicherheitsaudits und Penetrationstests.

6. Formulare für die Meldung von Vorfällen

Keine spezifischen Anforderungen

7. Disclaimer

Obwohl die Bereitstellung von Informationen, Benachrichtigungen und Warnmeldungen mit größtmöglicher Sorgfalt erfolgt, übernimmt das sCERT keine Gewähr für Fehler oder Unvollständigkeiten und haftet nicht für Schäden, die sich aus der Nutzung der darin enthaltenen Informationen ergeben.