Traffic Light Protocol

Vereinbarung zum Austausch von Dokumenten

Das Traffic Light Protocol (TLP) zu Deutsch etwa „Ampel-Protokoll“ ist eine standardisierte Vereinbarung zum Austausch von schutzwürdigen Informationen. Es wurde ursprünglich in Großbritannien vom National Infrastructure Security Co-ordination Centre (NISCC) entwickelt, wird in entsprechenden Berichten der OECD erwähnt und z. B. auch in Deutschland von der Allianz für Cyber-Sicherheit (beim Bundesamt für Sicherheit in der Informationstechnik) genutzt.[1][2][3] Das TLP dient der Erhöhung der Sicherheit bei der Weitergabe sensibler Daten. Alle Dokumente werden in eine von vier Klassen eingeteilt, welche die Bedingungen für ihre Weitergabe regeln.

Inzwischen setzen die meisten Organisationen das Traffic Light Protocol in der Version 1.0 nach der Definition des Forum of Incident Response and Security Teams (FIRST) ein.[4]

Hintergrund

Bearbeiten

Beim alltäglichen Austausch von Daten werden auch immer sensible bzw. schutzwürdige Informationen, Daten und Dokumente weitergegeben. Um einen ungewollten Informationsfluss an die breite Öffentlichkeit zu verhindern, wird mit einem System wie dem TLP eine klare Kennzeichnung eingeführt, die die potenziell erlaubten Empfänger definiert. Verstöße gegen die Regelung werden oft mit der Rückstufung als Empfänger der Stufe „TLP:WHITE“ geahndet, da der Empfänger sich als nicht ausreichend vertrauenswürdig herausgestellt hat.

Über die Jahre kam es zu einem Problem mit dem Interoperabilität des TLP, da in verschiedenen Kreisen unterschiedliche Definitionen des Levels TLP:AMBER verwendet wurden. Einige Organisationen, wie zum Beispiel das US-CERT, definierten als Weitergabebeschränkung für TLP:AMBER Informationen die eigene Organisation. Bei anderen Organisationen, wie die Taskforce CSIRT (TF-CSIRT), wurde als Weitergabebeschränkung für TLP:AMBER Informationen abweichend die eigene „Constituency“ definiert. Daraufhin entstand 2015 eine Arbeitsgruppe im internationalen CERT-Dachverband, dem Forum of Incident Response and Security Teams (FIRST), mit dem Ziel eine einheitliche Definition zu entwickeln. Am 31. August 2016 hat die Arbeitsgruppe dann einen abgestimmten Standard unter dem Namen „TRAFFIC LIGHT PROTOCOL (TLP) FIRST Standards Definitions and Usage Guidance — Version 1.0“ veröffentlicht.[5] Diese Version definiert die Weitergabebeschränkung für TLP:AMBER Informationen auf Basis „Kenntnis nur wenn nötig“ auf die eigene Organisation und auf Dritte („clients and customers“), soweit die Dritten die Informationen benötigen, um Schaden von sich abzuwenden. Darüber hinaus kann ein Informationsersteller TLP:AMBER weiter einschränken, wenn er dies kenntlich macht (z.B: „TLP:AMBER - Nur für eigene Organisation“). Der Empfänger muss sich dann auch an die weitere Einschränkung halten.

Einstufungen

Bearbeiten
  • TLP:RED : Informationen dieser Stufe sind auf den Kreis der Anwesenden in einer Besprechung oder Video-/ Audiokonferenz bzw. auf die direkten Empfänger bei schriftlicher Korrespondenz beschränkt. Eine Weitergabe ist untersagt. Meistens werden TLP:RED-Informationen mündlich oder persönlich übergeben.
  • TLP:AMBER : Informationen dieser Stufe darf der Empfänger innerhalb seiner Organisation auf Basis „Kenntnis nur wenn nötig“ weitergeben. Der Empfänger darf die Informationen zudem an Dritte weitergeben, soweit diese die Informationen zum Schutz des Empfängers oder zur Schadensreduktion beim Empfänger benötigen. Hierfür muss er sicherstellen, dass die „Dritten“ das TLP kennen und die damit verbundenen Regeln Traffic Light Protocol (TLP) einhalten. Der Informationsersteller kann weitergehende oder zusätzliche Einschränkungen der Informationsweitergabe festlegen, diese müssen eingehalten werden.
  • TLP:GREEN : Informationen dieser Stufe dürfen innerhalb der Organisationen und an deren Partner frei weitergegeben werden. Die Informationen dürfen jedoch nicht veröffentlicht werden.
  • TLP:WHITE : Abgesehen von urheberrechtlichen Aspekten dürfen Informationen der Stufe TLP:WHITE ohne Einschränkungen frei weitergegeben werden.

Die TLP 2.0 ersetzt die TLP 1 und bringt einige Neuerungen mit sich.[6] So wurde  TLP:WHITE  in  TLP:CLEAR  umbenannt und die Kategorie TLP:AMBER+STRICT  neu eingeführt.

  • TLP:RED : Informationen dieser Stufe sind auf den Kreis der Anwesenden in einer Besprechung oder Video-/Audiokonferenz bzw. auf die direkten Empfänger bei schriftlicher Korrespondenz beschränkt. Eine Weitergabe ist untersagt. TLP:RED eingestufte Informationen sollten möglichst mündlich oder persönlich übergeben werden.
  • TLP:AMBER+STRICT : Die Einstufung von Informationen als TLP:AMBER+STRICT beschränkt die Weitergabe ausschließlich auf die Organisation des Empfängers, jegliche Weitergabe darüber hinaus ist untersagt. Es gilt „Kenntnis nur, wenn nötig“. Der Informationsersteller kann weitergehende oder zusätzliche Einschränkungen der Informationsweitergabe festlegen, diese müssen eingehalten werden.
  • TLP:AMBER : Der Empfänger darf die Informationen, welche als TLP:AMBER gekennzeichnet sind, an seine Partner weitergeben, soweit diese die Informationen zur Schadensreduktion oder dem eigenen Schutz benötigen. Eine Weitergabe von den Partnern an Dritte ist nicht erlaubt und auch innerhalb der Partnerorganisation gilt das Prinzip „Kenntnis nur, wenn nötig“. Der Informationsersteller kann weitergehende oder zusätzliche Einschränkungen der Informationsweitergabe festlegen, diese müssen eingehalten werden.
  • TLP:GREEN : Informationen dieser Stufe dürfen innerhalb der Organisationen und an deren Partner weitergegeben werden. Die Informationen dürfen jedoch nicht veröffentlicht werden. Eine Weitergabe von den Partnerorganisationen an weitere Personen oder Organisationen ist solange zulässig, wie diese weiteren Empfänger derselben Nutzergruppe, wie beispielsweise Angehörige der Cybersecurity-Community, angehören.
  • TLP:CLEAR : Ersetzt in der TLP 2.0 TLP:WHITE 

Siehe auch

Bearbeiten

Literatur

Bearbeiten

Einzelnachweise

Bearbeiten
  1. OECD: Development of Policies for Protection of Critical Information Infrastructures. (PDF; 1,1 MB) Oecd.org, abgerufen am 25. November 2012.
  2. 'Re: OpenSSH security advisory: cbc.adv' - MARC. Marc.info, abgerufen am 25. November 2012.
  3. Merkblatt „Traffic Light Protocol (TLP)“. (PDF; 94 kB) Bundesamt für Sicherheit in der Informationstechnik, abgerufen am 6. Februar 2017.
  4. TRAFFIC LIGHT PROTOCOL (TLP) - FIRST Standards Definitions and Usage Guidance — Version 1.0. FIRST.org, Inc, 31. August 2016, abgerufen am 10. Januar 2020.
  5. FIRST announces Traffic Light Protocol (TLP) version 1.0. FIRST.org, Inc, 31. August 2016, abgerufen am 10. Januar 2020.
  6. Bundesamt für Sicherheit in der Informationstechnik: Merkblatt zum sicheren Informationsaustausch mit dem Traffic Light Protocol (TLP), Version 2.0. Bundesamt für Sicherheit in der Informationstechnik, 23. Dezember 2022, abgerufen am 22. Juni 2023.