Beschreibung nach RFC 2350
1 Über dieses Dokument
1.1 Datum der letzten Änderung
Version 1.5 vom 01.10.2021
1.2 Informationen über neue Versionen
Email-Benachrichtigungen über neue Versionen werden an den deutschen Verwaltungs-CERT-Verbund, den allgemeinen deutschen CERT Verbund und den Trusted Introducer Service für Incident-Response-Teams und Sicherheitsteams (https://www.trusted-introducer.org) weitergegeben.
1.3 Verteilung des RFC 2350
Diese aktuelle Version der Informationen wird intern im SID verwendet und auf der Webseite http://www.cert.sachsen.de veröffentlicht.
1.4 Rückfragen
Alle Fragen bzgl. dieses Dokuments und bzgl. des SAX.CERT sind per E-Mail an sax.cert@cert.sachsen.de zu richten.
2 Kontaktinformationen
2.1 Name des Teams
Voller Name: SAX.CERT - Sicherheitsnotfallteam des Freistaates Sachsen
Kurzname: SAX.CERT
2.2 Adresse
Postanschrift:
Staatsbetrieb Sächsische Informatik Dienste
SAX.CERT
Dresdner Straße 78A
01445 Radebeul
Germany
2.3 Zeitzone
GMT01 / GMT02 (DST)
2.4 Telefon
+49 351 7999 77 99
2.5 Andere Telekommunikation
CV-Chat und VCV-Chat über chat.cert-bund.de.
2.6 E-Mail
sax.cert@cert.sachsen.de
Diese Adresse ist das zentrale Funktionspostfach des SAX.CERT.
2.7 Kryptographisches Schlüsselmaterial
2.7.1 PGP/GnuPG
Aktuell gültig ist der folgende Schlüssel:
0xA478B1C2 SAX.CERT <sax.cert@cert.sachsen.de>
Fingerprint: 40C3 7E86 5A3E 9C61 5D25 7B1C A814 30A3 A478 B1C2
Der öffentliche Schlüssel wird auf allgemein zugänglichen PGP-Keyservern (z.B. keyserver.pgp.com) bereitgestellt.
2.7.2 S/MIME
Das aktuell gültige X.509 Zertifikat für sax.cert@cert.sachsen.de lautet:
-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----
2.8 Teammitglieder
Der Leiter des SAX.CERT ist:
-
Email: -
Telefon: -
Die Liste der Teammitglieder wird nicht veröffentlicht.
2.9 Bevorzugte Kontaktaufnahme
Die bevorzugte Kontaktaufnahme soll über E-Mail erfolgen:
Für die Übermittlung vertraulicher Informationen kann sowohl PGP/GnuPG als auch SMIME verwendet werden.
Eingehende E-Mail wird während der Geschäftszeiten regelmäßig gesichtet und bearbeitet:
Montag bis Freitag zwischen 08.30 – 16.30 Uhr
Nicht an bundeseinheitlichen Feiertagen bzw. Feiertagen des Freistaates Sachsen.
Für die Meldung von Sicherheitsvorfällen ist das Meldeformular zu nutzen.
3 Organisatorischer Rahmen
3.1 Ziel des Teams
Das SAX.CERT ist das Sicherheitsnotfallteam (Computer Emergency Response Team) des Freistaates Sachsen. Die Aufgaben des SAX.CERT sind festgelegt in § 6 Sächsisches Informationssicherheitsgesetz (SächsISichG):
1. das Aufzeigen von Lösungen bei konkreten Sicherheitsereignissen oder –vorfällen,
2. die Prüfung auf Risiken im Betrieb von informationstechnischen Systemen und die Unterstützung bei ihrer Beseitigung,
3. die Information zu Sicherheitslücken,
4. die Erfassung und Analyse der Lage der Informationssicherheit sowie die Erstellung daraus abgeleiteter Empfehlungen,
5. die Wahrnehmung der zentralen Meldestelle im Sinne des BSI-Gesetzes,
6. die Wahrnehmung der zentralen Meldestelle im Sinne des IT-Planungsrates im Verwaltungs-CERT-Verbund,
7. die Mitwirkung bei der technischen und technologischen Koordinierung der Informationssicherheit in den staatlichen und nicht-staatlichen Stellen, sowie
8. die regelmäßige Information über die Lage der Informationssicherheit im Freistaat Sachsen.
In nationalen und internationalen CERT-Verbünden ist das SAX.CERT die zentrale Kontaktstelle des Freistaates Sachsen für andere CERT und Meldungen über Angriffe und Sicherheitsvorfälle.
3.2 Zielgruppe
Das SAX.CERT ist Sicherheitsnotfallteam (Computer Emergency Response Team) für die staatlichen und nicht-staatlichen Stellen im Freistaat Sachsen.
3.3 Betrieb
Das SAX.CERT ist im Staatsbetrieb Sächsische Informatik Dienste (SID) angesiedelt und arbeitet unter der Fachaufsicht des Beauftragten für Informationssicherheit des Freistaates Sachsen. Der SID ist eine nachgeordnete Behörde der Sächsischen Staatskanzlei.
3.4 Autorität
Die Aufgaben und Zuständigkeiten des SAX.CERT sind festgelegt durch das Sächsische Informationssicherheitsgesetz (SächsISichG) vom 2. August 2019.
4 Vorgaben und Verfahren
4.1 Arten von Vorfällen und angebotene Unterstützung
Das SAX.CERT ist autorisiert, alle Angriffe auf und Vorfälle innerhalb der betreuten Zielgruppe (siehe 3.2) zu bearbeiten und zu koordinieren. Eine direkte, insbesondere telefonische, Unterstützung wird im Allgemeinen nur Einrichtungen gewährt, die dem Geltungsbereich des Sächsischen Informationssicherheitsgesetzes unterliegen.
4.2. Weitergabe von Informationen
Alle Informationen, die durch das SAX.CERT bearbeitet werden, werden unabhängig von ihrer zeitlichen Priorität mit größter Sorgfalt behandelt und verarbeitet. Der Vertraulichkeit kommt hierbei eine große Bedeutung zu. Um die Arbeit des SAX.CERT zu unterstützen ist es deshalb wichtig, bestehende Restriktionen oder Sensitivitäten direkt und unmittelbar anzusprechen, damit dies bei der weiteren Verarbeitung berücksichtigt werden kann. Das SAX.CERT beachtet das international normierte sogenannte Information Sharing Traffic Light Protocol (siehe https://www.trusted-introducer.org/ISTLPv11.pdf). Informationen, die mit einer entsprechenden Angabe versehen sind (TLP: WHITE = frei von Beschränkungen, GREEN = öffentlich, AMBER = nur für Betroffene bzw. RED = nur SAX.CERT), werden entsprechend behandelt, sofern keine dienstlichen Vorschriften dem entgegenstehen.
4.3 Sicherung der Kommunikation
Bitte verwenden Sie für sensitive oder sicherheitskritische Informationen eine verschlüsselte Kommunikationsform. Dies gilt besonders für Informationen, die als TLP AMBER oder TLP RED eingestuft werden.
5 Dienste
5.1 Vorfallsbearbeitung
Das SAX.CERT ist für die Bearbeitung von Vorfällen innerhalb bzw. Angriffen auf die Zielgruppe verantwortlich für die Information der Betroffenen und die Koordinierung der Reaktion sowie weiterer Schutzmaßnahmen. Insbesondere wird durch das SAX.CERT gewährleistet, dass die verantwortlichen Stellen zeitnah über Entwicklungen und Lagen informiert werden.
5.2. Vorbeugende Aktivitäten
SAX.CERT führt u.a. folgende Aktivitäten durch, um die Sicherheit innerhalb der Zielgruppe stetig zu verbessern und die für Informationssicherheit verantwortlichen Stellen zu unterstützen:
- Monatliche Sicherheitsscans aller Internetseiten und -dienste der Landesverwaltung Sachsen
- Frühwarnung und Schwachstellenwarnungen
- Informationsverteilung und Aufklärung
- Auswertung und Lagebild
5.2. Weitere Dienste
Weitere Leistungen können der entsprechenden Übersichtsseite auf der Webseite des SAX.CERT entnommen werden. Beispiele hierfür sind:
- HoneySens
- Vulnerability Advisory Service
- Identity Leak Checker
- Webseitenscans
6 Muster für Meldungen bei Angriffen und Vorfällen
Für die Meldung von Sicherheitsvorfällen ist das Meldeformular zu nutzen.
Wenn Malware auf betroffenen Systemen vorgefunden wird und an das SAX.CERT übermittelt werden soll, muss individuell abgesprochen werden, wie die Übermittlung erfolgen kann, ohne das die installierten Anti-Virus-Filter bzw. angriffserkennenden Systeme dies verhindern oder Alarm auslösen.