RFC2350
1. Über dieses Dokument
Dieses Dokument enthält eine Beschreibung des sCERT gemäß RFC 2350.
Version: 4
Datum: Donnerstag, 1. Juli 2021 11:00:00 +0100
Autor: team@scert.at
1.1 Datum der letzten Aktualisierung
Datum: Donnerstag, 1. September 2021 11:00:00 +0100
1.2 Verteilerliste für Benachrichtigungen
Es sind keine Verteilerlisten/Mailinglisten für die Benachrichtigung von Aktualisierungen dieses Dokuments definiert.
1.3 Fundstellen für dieses Dokument
Die aktuelle Version der Beschreibung des sCert ist verfügbar unter: https://www.erstedigital.com/RFC2350.txt
Die Signatur dieses Dokuments ist verfügbar unter: https://www.erstedigital.com/RFC2350.txt.sig
Der zum Signieren verwendete Schlüssel ist der sCERT-Team-Schlüssel wie unter 2.8 angegeben.
2. Kontaktinformationen
2.1 Name des Teams
sCERT – CERT der oesterreichischen Sparkassengruppe
2.2 Adresse
Erste Digital GmbH
Am Belvedere 1
1100 Wien
Österreich
2.3 Zeitzone
GMT+0100 (+0200 DST)
2.4 Telefonnummer
+43 (0)5 0100 – 39393
2.5 Faxnummer
Keine
2.6 Andere Telekommunikation
Keine
2.7 E-Mail-Adresse
team@scert.at
2.8 Öffentliche Schlüssel und Verschlüsselungsinformationen
Das sCERT verwendet einen Master-Signierschlüssel, um alle für operative Zwecke verwendeten Schlüssel zu signieren. Verwenden Sie ihn NICHT für die Kommunikation mit dem sCERT. Der Master-Signierschlüssel lautet:
pub rsa4096/f9c02552a668a63d 2017-06-19T12:25:45Z
Hash=f1fbd0289dcff12b4f9b615f0f000ae1
uid sCERT Master Signing Key (Used for signing the operational sCert GPG key) <signing-only-key@s-itsolutions.at>
sig sig f9c02552a668a63d 2017-06-19T12:25:45Z 2018-06-30T10:00:00Z ____________________ [selfsig]
sig sig f9c02552a668a63d 2018-06-11T12:04:08Z 2024-06-21T09:38:23Z ____________________ [selfsig]
Kommunikationen des sCERT werden mit dem persönlichen Schlüssel des Teammitglieds signiert, dessen Signatur mit dem oben angeführten Signierschlüssel erfolgt.
Die Übermittlung verschlüsselter Kommunikationen an das sCERT ist mit folgendem Teamschlüssel möglich:
pub rsa4096/6507f2343e22d37554f4590c493e93259d4421e8 2017-06-19T12:31:40Z
Hash=a516e022e19ec1601973369e1db5c158
uid sCert (sCert Team Key) <team@scert.at>
sig sig 493e93259d4421e8 2021-07-01T08:32:16Z 2022-06-30T08:31:00Z ____________________ [selfsig]
sig sig 493e93259d4421e8 2020-07-02T08:06:12Z 2021-06-30T08:06:12Z ____________________ [selfsig]
sig sig 493e93259d4421e8 2019-11-04T11:15:12Z 2020-06-30T11:15:12Z ____________________ [selfsig]
sig sig 493e93259d4421e8 2019-07-05T07:23:43Z 2020-06-30T10:00:00Z ____________________ [selfsig]
sig sig 493e93259d4421e8 2018-10-05T06:39:42Z 2019-06-30T12:21:28Z ____________________ [selfsig]
sig sig f9c02552a668a63d 2018-10-05T06:40:51Z ____________________ ____________________ f9c02552a668a63d
Die Schlüssel werden auf einem Großteil der Schlüsselserver bereitgestellt.
2.9 Teammitglieder
Informationen über die Teammitglieder werden nicht veröffentlicht.
2.10 Weitere Informationen
Keine
2.11 Kontaktmöglichkeiten für Kunden
Der Kontakt per E-Mail (team@scert.at) ist die bevorzugte Art der Kontaktaufnahme mit dem sCERT. Wenn der Kontakt per E-Mail nicht möglich oder nicht ratsam ist, können Sie uns auch telefonisch erreichen (siehe Pkt. 2.4)
Im Allgemeinen sind die Betriebszeiten des sCERT auf die üblichen Geschäftszeiten beschränkt: Montag bis Freitag, 8–16 Uhr MEZ/MESZ.
3. Organisatorischer Rahmen
3.1 Leitbild
Aufgabe des sCERT ist es, Aktivitäten im Zusammenhang mit IT-Sicherheitsbelangen für den in Pkt. 3.2 definierten Adressatenkreis zu koordinieren und zu betreiben.
3.2 Zielgruppe
Das sCERT betreut die Erste Digital GmbH und deren Netzwerk-/Datenzentrumskunden (z.B. gehostete Dienste der Erste Group).
Das sCERT hat Autorität über folgende ASNs: AS12895 und AS24647.
3.3 Sponsoring und/oder Zugehörigkeit
Das sCERT ist Teil der Erste Digital GmbH und wird von dieser finanziert.
3.4 Verantwortungsbereich
Bei Sicherheitsvorfällen (siehe Pkt. 4.1) arbeitet das sCERT mit Vertretern seiner Zielgruppe (siehe Pkt. 3.2) zusammen.
Das sCERT ist für die proaktiven und reaktiven IT-Sicherheitsmaßnahmen innerhalb der Erste Digital GmbH zuständig.
4. Richtlinien
4.1 Arten von Vorfällen und Unterstützungsleistungen
Zu den Aufgaben des sCERT zählt die proaktive und reaktive Bearbeitung aller möglichen IT-Sicherheitsvorfälle sowie die Durchführung von Awareness- und Schulungsmaßnahmen für die MitarbeiterInnen seiner Zielgruppe (siehe Pkt. 3.2).
4.2 Kooperation, Interaktion und Weitergabe von Informationen
Das sCERT arbeitet mit den zuständigen Behörden und Aufsichtsorganen zusammen.
Das sCERT interagiert mit vertrauenswürdigen CSIRTs auf nationaler und internationaler Ebene, soweit dies für zweckdienlich erachtet wird, hauptsächlich durch den Austausch von Erfahrungswerten und Best Practices. Das sCERT gibt keine internen Informationen über seine Zielgruppe weiter.
4.3 Kommunikation und Authentifizierung
Für alle Informationen, die zwischen dem sCERT und anderen CSIRTs ausgetauscht werden, wird – unabhängig vom jeweiligen Kommunikationsmedium (E-Mail, Telefonat, persönliches Treffen) – das sog. Information Sharing Traffic Light Protocol (ISTLP) angewendet. Für den Austausch von elektronischen Informationen zwischen dem sCERT und anderen CSIRTs wird PGP genutzt. Die verwendeten Schlüssel sind in Punkt 2.8 angeführt. Vor dem Aufbau eines Kommunikationskanals muss eine Authentifizierung des Kommunikationspartners durch geeignete Mittel erfolgen (z.B. Vertrauensnetze (WOTs), physische Identifikation oder Rückruf).
5. Dienste
5.1 Reaktion auf Vorfälle (Incident Response)
5.1.1. Bearbeitung von Vorfällen
Je nach Art des Vorfalls muss unter Umständen manuell festgestellt werden, ob ein Vorfall tatsächlich eingetreten ist (z.B. eine öffentlich bekannt gemachte Sicherheitslücke). Automatisch (z.B. über Netzwerksensoren) gemeldete Vorfälle sind prinzipiell vertrauenswürdig und werden standardmäßig auf Plausibilität geprüft. In weiterer Folge werden der Umfang des Vorfalls und die betroffenen Assets analysiert. Darauf aufbauend wird der Vorfall priorisiert und den zuständigen ExpertInnen zur weiteren Bearbeitung zugewiesen.
5.1.2. Koordination von Vorfällen
Die Reaktion auf Vorfälle wird mit den Verantwortlichen der betroffenen Assets und der für IT-Sicherheit zuständigen Stelle koordiniert. Je nachdem, welche Stelle für das betroffene Asset zuständig ist, kann das sCERT befugt sein, aktiv in den IT-Sicherheitsvorfall einzugreifen oder eine beratende Funktion auszuüben.
5.1.3. Lösung von Vorfällen
Ist die Erste Digital GmbH die verantwortliche Stelle für Assets, die von einem Sicherheitsvorfall betroffen sind, übernimmt das sCERT die zur Behebung des Vorfalls erforderlichen Maßnahmen.
Betrifft der Vorfall Assets, für die Netzwerk-/Datenzentrumskunden verantwortlich sind (z.B. gehostete Erste Group Services), holt das sCERT bei der für IT-Sicherheit zuständigen Stelle Updates bezüglich des Vorfalls ein.
5.2 Proaktive Dienste
Das sCERT übernimmt das Schwachstellenmanagement und bietet einen Cyber Threat Intelligence Service an. Außerdem unterhält das sCERT Kontakt zu den IT-Sicherheitsverantwortlichen von Netzwerk-/Datencenter-Kunden (z.B. gehostete Erste Group Services) und beteiligt sich an Aktivitäten zur Informationssicherheit auf nationaler und europäischer Ebene sowie an Sicherheitsaudits und Penetrationstests.
6. Formulare für die Meldung von Vorfällen
Keine spezifischen Anforderungen
7. Disclaimer
Obwohl die Bereitstellung von Informationen, Benachrichtigungen und Warnmeldungen mit größtmöglicher Sorgfalt erfolgt, übernimmt das sCERT keine Gewähr für Fehler oder Unvollständigkeiten und haftet nicht für Schäden, die sich aus der Nutzung der darin enthaltenen Informationen ergeben.