Initiativen für
Als nationale Behörde für Cybersicherheit hat das ZCB mehrere Initiativen für bestimmte Zielgruppen entwickelt, die hier vorgestellt werden.
Das Traffic Light Protocol (TLP)
Das Centre for Cybersecurity Belgium (CCB) verwendet das „Traffic Light Protocol“, kurz TLP. Dieses wurde entwickelt, um den sicheren Austausch von Informationen zu erleichtern und zu fördern.
Was ist TLP?
Das Protokoll verlangt, dass die Person, die Informationen versendet, diese anhand eines Farbcodes mit einer Farbe kennzeichnet. Diese Farbe gibt an, ob und in welcher Weise diese Informationen weiterverbreitet werden dürfen. Wer Informationen erhält und der Meinung ist, dass bestimmte Informationen in größerem Umfang verbreitet werden können, muss zunächst die Erlaubnis des Absenders einholen.
Warum TLP verwenden?
Das CCB arbeitet eng mit verschiedenen (internationalen) Organisationen zusammen, um Cybervorfälle zu identifizieren und die Reaktionen auf diese Vorfälle zu koordinieren. Solche Aktivitäten erfordern Vertrauen zwischen allen beteiligten Parteien. Klare Regeln und Vereinbarungen für den Informationsaustausch können dieses gegenseitige Vertrauen gewährleisten. Wir halten daher die korrekte Anwendung und Einhaltung von TLP für äußerst wichtig.
Das TLP bietet ein einfaches und intuitives Schema, um anzugeben, wann und wie sensible Informationen innerhalb der weltweiten Cybersicherheitsgemeinschaft verbreitet werden dürfen. Der Austausch dieser Informationen gewährleistet eine häufigere und effektivere Zusammenarbeit zwischen CCB und seinen Partnern.
Wer nutzt TLP?
Neben CCB nutzen zahlreiche öffentliche Dienste und private Unternehmen weltweit TLP:
- Nationale und organisatorische Computer Emergency Response Teams (CERT) und Computer Security Incident Response Teams (CSIRT)
- Internationale Normungs- und Koordinierungsgremien
- Privatwirtschaft und Cybersicherheitsanbieter
- Staatliche Nachrichtendienste und Strafverfolgungsbehörden
Farben und ihre Bedeutung
TLP-Kennzeichnungen: Die vier TLP-Kennzeichnungen sind: TLP:RED, TLP:AMBER, TLP:GREEN und TLP:CLEAR:
Im August 2022 wurde die Version 2 vom Entwickler des TLP, FIRST, veröffentlicht. Es gibt zwei wichtige Änderungen gegenüber der ersten Version:
- TLP:WHITE wird durch TLP:CLEAR ersetzt
- TLP:AMBER+STRICT wird eingeführt, um anzuzeigen, dass Informationen nur innerhalb der Organisation des Empfängers weitergegeben werden dürfen.
Verwendung
Laut FIRST lauten die Richtlinien für die Verwendung von TLP wie folgt:
In Nachrichten (E-Mail, Chat):
TLP-gekennzeichnete Nachrichten müssen die TLP-Kennzeichnung der Informationen sowie etwaige zusätzliche Einschränkungen direkt vor den Informationen selbst enthalten. Die TLP-Kennzeichnung sollte in der Betreffzeile der E-Mail erscheinen. Geben Sie gegebenenfalls das Ende des Textes an, für den die TLP-Kennzeichnung gilt.
In Dokumenten:
Dokumente mit TLP-Kennzeichnung müssen die TLP-Kennzeichnung der Informationen sowie zusätzliche Einschränkungen in der Kopfzeile jeder Seite enthalten. Die TLP-Kennzeichnung sollte für Nutzer mit Sehbehinderung in einer Schriftgröße von mindestens 12 Punkt angegeben werden. Es wird empfohlen, TLP-Kennzeichnungen rechtsbündig auszurichten.
Der Standard von FIRST sieht die Verwendung von Farben auf schwarzem Hintergrund vor. Die CCB weicht jedoch aus praktischen Gründen manchmal von dieser Anforderung ab.
Empfänger dürfen TLP:AMBER-Informationen an Mitglieder ihrer eigenen Organisation und deren Kunden weitergeben, jedoch nur auf einer Need-to-know-Basis, um ihre Organisation und deren Kunden zu schützen und weiteren Schaden zu verhindern.
In schriftlicher Form dürfen alle TLP-Kennzeichnungen KEINE Leerzeichen enthalten und SOLLTEN in Großbuchstaben geschrieben werden. TLP-Kennzeichnungen MÜSSEN in ihrer ursprünglichen Form bleiben, auch wenn sie in anderen Sprachen verwendet werden: Der Inhalt kann übersetzt werden, die Kennzeichnungen jedoch nicht.
🔴 TLP:RED (ROT)
Nur für die Augen und Ohren einzelner Empfänger, keine weitere Weitergabe.
Quellen können TLP:RED verwenden, wenn Informationen nicht ohne erhebliches Risiko für die Privatsphäre, den Ruf oder den Betrieb der beteiligten Organisationen wirksam umgesetzt werden können.
Die Empfänger dürfen daher keine TLP:RED-Informationen an Dritte weitergeben. Im Rahmen einer Besprechung beispielsweise sind TLP:RED-Informationen auf die anwesenden Personen beschränkt.
🟠 TLP:AMBER (ORANGE)
Begrenzte Weitergabe, die Empfänger dürfen diese Informationen nur innerhalb ihrer Organisation und an ihre Kunden weitergeben, wenn dies erforderlich ist.
Quellen können TLP:AMBER verwenden, wenn Informationen Unterstützung erfordern, um wirksam umgesetzt werden zu können, jedoch ein Risiko für die Privatsphäre, den Ruf oder den Betrieb darstellen, wenn sie außerhalb der beteiligten Organisationen weitergegeben werden.
Empfänger dürfen TLP:AMBER-Informationen an Mitglieder ihrer eigenen Organisation und deren Kunden weitergeben, jedoch nur auf einer Need-to-know-Basis, um ihre Organisation und deren Kunden zu schützen und weiteren Schaden zu verhindern.
TLP:AMBER+STRICT
Es gelten die gleichen Regeln wie für TLP:AMBER (siehe oben), aber TLP:AMBER+STRICT beschränkt die Weitergabe auf die Organisation.
🟢TLP:GREEN (GRÜN)
Begrenzte Offenlegung, die Empfänger können dies in ihrer Gemeinschaft verbreiten.
Quellen können TLP:GREEN nutzen, wenn die Informationen nützlich sind, um das Bewusstsein in ihrem weiteren Umfeld zu erhöhen. Die Empfänger können TLP:GREEN-Informationen mit Gleichgesinnten und Partnerorganisationen innerhalb ihrer Gemeinschaft teilen, jedoch nicht über öffentlich zugängliche Kanäle. TLP:GREEN-Informationen dürfen nicht außerhalb der Gemeinschaft weitergegeben werden. Hinweis: Wenn der Begriff Community" nicht definiert ist, ist von der Cybersicherheits-/Verteidigungsgemeinschaft auszugehen.
⚪ TLP:CLEAR
Die Empfänger können dies in der ganzen Welt verbreiten, es gibt keine Beschränkungen für die Weitergabe.
Quellen können TLP:CLEAR verwenden, wenn die Informationen ein minimales oder kein vorhersehbares Risiko des Missbrauchs bergen, und zwar in Übereinstimmung mit den geltenden Regeln und Verfahren für die Veröffentlichung. Vorbehaltlich der üblichen Urheberrechtsbestimmungen können TLP:CLEAR-Informationen ohne Einschränkungen weitergegeben werden.
-
Was bedeutet der Begriff „Gemeinschaft”, wenn Informationen in TLP:GREEN weitergegeben werden?
Bei der Kennzeichnung von Informationen als TLP:GREEN sollte der Absender die Gemeinschaft definieren. Wir definieren eine Gemeinschaft als eine begrenzte Gruppe von Einrichtungen und/oder Personen. Gemeinschaften können eine Austauschgruppe, ein Industriezweig, die Strafverfolgungsbehörden usw. sein. Ist diese Kennzeichnung nicht vorhanden, wird davon ausgegangen, dass es sich um die Cybersicherheits-/Verteidigungsgemeinschaft handelt.
-
Wie gebe ich TLP:AMBER-Informationen an Muttergesellschaften, Tochtergesellschaften oder Kunden weiter?
TLP:AMBER-Daten können gemäß dem Protokoll an Muttergesellschaften, Tochtergesellschaften oder Kunden weitergegeben werden. Bevor die Informationen jedoch an diese Stellen weitergegeben werden, muss die Kennzeichnung in TLP:AMBER+STRICT geändert werden, um zu verhindern, dass diese die Informationen ohne die Zustimmung des Urhebers an ihre verbundenen Organisationen weitergeben.
Wenn beispielsweise ein Cybersicherheitsanbieter TLP:AMBER-Informationen erhält, kann er diese an einige seiner wichtigsten Kunden weitergeben. Um zu verhindern, dass Informationen über die festgelegten Beschränkungen hinaus weitergegeben werden, kennzeichnet der Cybersicherheitsanbieter sie zunächst mit TLP:AMBER-STRICT. Dadurch können die Kunden des Anbieters die Informationen nicht weitergeben.
Beachten Sie, dass der Urheber, wenn er beabsichtigt hätte, die Informationen an eine größere Gemeinschaft weiterzugeben, die Kennzeichnung TLP:GREEN verwendet hätte.
-
Wie gebe ich Informationen weiter, wenn keine der TLP-Kennzeichnungen für meine Bedürfnisse geeignet ist?
Als Urheber haben Sie die Möglichkeit, der TLP-Kennzeichnung zusätzliche Weitergaberegeln hinzuzufügen. Auf diese Weise können Sie die Weitergabe an bestimmte Organisationen, Staaten usw. einschränken.
-
Was mache ich, wenn ich Informationen wirklich an eine Partei weitergeben muss, dies aber aufgrund der geltenden Beschränkungen derzeit nicht kann?
Als Empfänger können Sie den Urheber der Informationen bitten, die Informationen selbst an die betroffene Partei weiterzugeben oder alternativ den TLP-Code und/oder die geltenden zusätzlichen Einschränkungen zu ändern.