Krisenkommunikation

TLP: Informationsaustausch in der kommunalen Cyberlage

Sabine Griebsch

Sabine Griebsch

7 Min. Lesezeit
Teilen
TLP: Informationsaustausch in der kommunalen Cyberlage

In einer entstehenden oder eingetretenen Ransomware-Lage entscheidet die Disziplin des Informationsaustauschs zwischen Kommune, Sicherheitsbehörden, Aufsichtsstellen und Dienstleistern maßgeblich über den weiteren Verlauf. Eine unbedachte Weitergabe kann Ermittlungen gefährden, die Taktung des Angreifers beschleunigen oder rechtlich geschützte Belange verletzen. Das Traffic Light Protocol (TLP) ist das im deutschen Behördenumfeld etablierte Instrument, um diese Weitergabe verlässlich zu regeln. Es ersetzt den staatlichen Geheimschutz nicht, staatlich geheimzuhaltende Informationen werden weiterhin nach der Verschlusssachenanweisung des Bundes behandelt (BSI-Merkblatt TLP 2.0). Für die überwiegende Zahl der Informationen, die IT-Notfallteam und IT-Krisenstab in einer Ransomware-Lage austauschen (Indikatoren einer Kompromittierung, Lagebilder, Verhandlungsstände, Wiederanlaufpläne), ist das TLP das angemessene Werkzeug.

Dieser Beitrag richtet sich an zwei eng verzahnte Rollen mit unterschiedlichen Aufgaben: das IT-Notfallteam in seiner technisch-operativen Verantwortung und den IT-Krisenstab in seiner strategischen, kommunikativen und entscheidenden Funktion. Er beschreibt zwei Lagen - die Vorwarnung durch einen Zentralen Ansprechpartner Cybercrime (ZAC) eines Landeskriminalamts und den eingetretenen Angriff - und zeigt jeweils, welche TLP-Stufe für welche Information angemessen ist und wie der sichere Informationsaustausch organisiert wird.

Grundlagen

Das TLP ist nach Definition des Forum of Incident Response and Security Teams (FIRST) ein einfaches, intuitives Schema zur Kennzeichnung, mit wem potenziell sensible Informationen geteilt werden dürfen (FIRST.org). Ursprünglich vom britischen National Infrastructure Security Co-ordination Centre entwickelt, liegt es in der von FIRST gepflegten Version 2.0 vor, die CISA am 1. November 2022 übernommen hat (CISA) und die das BSI seit Juni 2023 anwendet (BSI-Merkblatt).

Drei Konstituenten sind für die Praxis maßgeblich.

Rollen. Das BSI unterscheidet vier: Informationsersteller, Verteiler (etwa BSI, CERT, SPOC, Verbände), Empfänger (Behörden, Betreiber, Unternehmen) sowie ggf. Partner des Empfängers, in der Regel vertraglich verbundene Organisationen als Dienstleister oder Kunden. Die zulässige Weitergabe ergibt sich aus der jeweiligen Rolle, nicht aus dem Anlass.

Zweck. „Das TLP dient der Schaffung von Vertrauen in Bezug auf den Schutz ausgetauschter Informationen durch Regelungen der Weitergabe“. Eine unbefugte Weitergabe kann die Vertraulichkeit verletzen, Reputation und Geschäftstätigkeit beeinträchtigen oder datenschutzrechtliche Belange berühren. Im Zweifel ist Rücksprache mit dem Informationsersteller geboten.

Verbindlichkeit. Die TLP-Verpflichtung ist personengebunden und endet nicht mit der Zugehörigkeit zu einer bestimmten Organisation. Werden Funktionspostfächer oder Gruppenrufnummern angegeben, hat der Unterzeichnende alle potenziellen Empfänger auf die Einhaltung des TLP zu belehren. In Kommunen mit wechselnd besetzten Funktionsadressen ist diese Belehrungspflicht von erheblicher operativer Bedeutung.

Die fünf Stufen im Überblick:

  • TLP:CLEAR - unbegrenzte Weitergabe, ersetzt das frühere TLP:WHITE.
  • TLP:GREEN - Weitergabe innerhalb der Organisationen und ihrer Partner in der Community (etwa der Cybersecurity-Community), keine Veröffentlichung.
  • TLP:AMBER - eingeschränkte Weitergabe innerhalb der Organisation und an Partner, soweit zur Schadensreduktion oder zum eigenen Schutz erforderlich, Prinzip „Kenntnis nur, wenn nötig“.
  • TLP:AMBER+STRICT - Weitergabe ausschließlich innerhalb der Empfängerorganisation.
  • TLP:RED - persönlich, beschränkt auf den Kreis der unmittelbar Anwesenden oder direkten Empfänger, möglichst mündlich oder persönlich zu übergeben.

Zwei Formregeln verdienen besondere Beachtung: Die Kennzeichnung muss der Information unmittelbar vorangestellt werden, bei E-Mails zusätzlich im Betreff, bei Dokumenten in Kopf- und Fußzeile jeder Seite in mindestens 12 pt. Werden Informationen unterschiedlicher Stufen zusammen gehandhabt, gilt die höchste vorliegende Stufe für das Gesamtdokument.

Lage A - Die Vorwarnung durch ZAC oder LKA

Der ZAC ist die polizeiliche Einstiegsstelle für Wirtschaft und Verwaltung in Fragen der Cyberkriminalität, organisatorisch in den Landeskriminalämtern verankert. In der hier betrachteten Konstellation verfügt das LKA über nach TLP eingestufte Hinweise - zum Beispiel aus internationaler Kooperation oder aus behördlichen Quellen - dass eine Kommune bereits kompromittiert ist oder unmittelbar Ziel eines Ransomware-Affiliates wird. Eigene polizeiliche Informationen werden meist nicht mit dem TLP-Protokoll gekennzeichnet. Auf kommunaler Seite handeln in dieser Phase typischerweise die Informationssicherheitsbeauftragte als formale Empfängerin und TLP-Verpflichtete, die Leitung des IT-Notfallteams, die Verwaltungsspitze, die Datenschutzbeauftragte, im Bedarfsfall das BSI mit CERT-Bund und KRITIS-Büro, der kommunale IT-Dienstleister sowie ein DFIR-Dienstleister auf Retainer. Der IT-Krisenstab ist in dieser Phase nicht zwingend einberufen, in vielen Fällen entscheiden Informationssicherheitsbeauftragte, IT-Leitung und Verwaltungsspitze in einer Vorlaufphase über die Aktivierung.

Die Vorwarnung ist die Phase, in der eine fehlerhafte Weitergabe besonders weitreichende Folgen hat: Erlangt der Angreifer Kenntnis davon, dass eine Warnung angekommen ist, ist mit einer Beschleunigung der Verschlüsselungsphase, mit Spurenvernichtung oder mit einem Werkzeugwechsel zu rechnen. Die Standardstufen einer ZAC-Vorwarnung sind daher in aller Regel besonders schutzbedürftig und als TLP:AMBER+STRICT oder TLP:RED einzustufen bzw. so zu behandeln. Die Informationen werden grundsätzlich mit vergleichbaren Klartexthinweisen übermittelt.

TLP:RED - das mündliche Erstgespräch. Das telefonische Erstgespräch zwischen ZAC und Informationssicherheitsbeauftragter, in dem konkrete Täter-, Verfahrens- oder Quellenhinweise erörtert werden, ist regelmäßig TLP:RED zuzuordnen: „Informationen dieser Stufe sind auf den Kreis der Anwesenden ... beschränkt. Eine Weitergabe ist untersagt. TLP:RED eingestufte Informationen sollten möglichst mündlich oder persönlich übergeben werden“. Aufzeichnungen, Weiterleitungen der Notizen oder Reproduktionen visueller Darstellungen sind unzulässig. Soll der genehmigte Empfängerkreis erweitert werden, ist die Erweiterung „vor der eventuellen Weitergabe durch den Informationsersteller nachvollziehbar“ zu genehmigen.

TLP:AMBER+STRICT - die schriftliche Lagebewertung. Reicht das ZAC eine schriftliche Lagebewertung mit Maßnahmenempfehlungen und Indikatoren nach, ist diese typischerweise als TLP:AMBER+STRICT eingestuft oder so zu behandeln. Die Stufe „beschränkt die Weitergabe ausschließlich auf die Organisation des Empfängers“. Sie ist angemessen, wenn die Information im IT-Notfallteam operativ wirksam werden muss - etwa in der Konfiguration von Schutzsystemen oder in der Auswertung von Protokolldaten -, eine Einbindung externer Partner aber zunächst nicht angezeigt ist. TLP:AMBER+STRICT ist damit keine bloße Verschärfung von TLP:AMBER, sondern eine eigenständige Aussage über den Wirkungskreis der Information.

TLP:AMBER - die Einbindung von Partnern. Sobald die Einbindung des kommunalen IT-Dienstleisters, eines DFIR-Retainers oder eines Herstellersupports erforderlich wird, ist eine Erweiterung des Empfängerkreises geboten. Diese erfolgt entweder durch eine freigegebene Fassung in TLP:AMBER - Partner umfassen im FIRST-Wortlaut die „clients“ der Empfängerorganisation - oder durch eine dokumentierte Genehmigung der Weitergabe durch den Informationsersteller. TLP:AMBER erlaubt die Weitergabe an Partner nur, „soweit diese die Informationen zur Schadensreduktion oder dem eigenen Schutz benötigen“, auch dort gilt „Kenntnis nur, wenn nötig“. In Abhängigkeit von der Information kann auch eine Steuerung mit der Kennzeichnung TLP:AMBER im Verwaltungs-CERT-Verbund sinnvoll sein. Hier ist die Kennzeichnung aufrecht zu erhalten.

TLP:GREEN spielt in der Vorwarnphase eine nachgeordnete Rolle, relevant wird die Stufe, wenn das BSI oder ein Branchen-CERT generische Angreifertaktiken und Indikatoren an die kommunale Cybersecurity-Community ausspielt, ohne den konkreten Betroffenen zu benennen. TLP:CLEAR ist in der Vorwarnphase regelmäßig unzweckmäßig: Eine öffentliche Kommunikation in dieser Phase würde den Angreifer alarmieren und die Lage erkennbar verschlechtern.

Sicherer Austausch in der Vorwarnphase. Drei Anforderungen aus dem BSI-Merkblatt sind in dieser Phase besonders relevant. Erstens müssen Informationen der Stufen TLP:RED, TLP:AMBER und TLP:AMBER+STRICT bei elektronischer Übertragung über ungeschützte Wege angemessen verschlüsselt werden. In Betracht kommen S/MIME oder PGP sowie Out-of-Band-Kanäle wie Signal, Threema Work oder Ende-zu-Ende-verschlüsseltes Matrix, bei Hinweisen auf eine bestehende Kompromittierung ist die Verwaltungsumgebung selbst zu meiden. Zweitens dürfen gekennzeichnete Dokumente - außer TLP:CLEAR - „weder manuell noch automatisiert auf Plattformen Dritter (wie Virustotal, Übersetzer, etc.) hochgeladen werden“, dies umfasst SaaS-Übersetzer, Cloud-Konverter und LLM-basierte Auswerteoberflächen. Drittens gilt bei der Zusammenführung generischer und konkreter Informationen in einem Dokument die höchste vorliegende Stufe für das Gesamtdokument.

Lage B - Der eingetretene Angriff

Im eingetretenen Angriff hat sich die Konstellation der Akteurinnen und Akteure erweitert. Neben dem IT-Notfallteam mit seinen Aufgaben der Eindämmung, Forensiksicherung und des Wiederanlaufs handeln nun der IT-Krisenstab unter Leitung der Hauptverwaltungsbeamtin oder des Hauptverwaltungsbeamten, die Krisenkommunikation, die Datenschutzbeauftragte mit Blick auf Art. 33 DSGVO, ZAC und LKA für Strafanzeige und Beweismittelsicherung, das BSI mit CERT-Bund, KRITIS-Büro und Mobile Incident Response Teams, der DFIR-Dienstleister, der kommunale IT-Dienstleister, die Kommunalaufsicht sowie betroffene Fachämter als interne Bedarfsträger.

TLP:RED - Sitzungen des IT-Krisenstabs. Sitzungen, in denen Entscheidungsoptionen, etwaige Zahlungsforderungen, Verhandlungsstände, Verdachtsmomente mit Personenbezug oder personalrechtliche Erwägungen behandelt werden, sind regelmäßig TLP:RED zuzuordnen. Personen ohne TLP-Verpflichtung haben den Raum „für die Dauer der Weitergabe von als TLP:RED, TLP:AMBER, TLP:AMBER+STRICT und TLP:GREEN eingestuften Informationen“ zu verlassen. Erpresserschreiben mit Wallet-Adressen, Verhandlungs-URLs oder Fristen gehören dieser Stufe an, eine Übergabe an externe Übersetzungs- oder Analysedienste würde die unter Lage A genannte Verbotsklausel berühren.

TLP:AMBER+STRICT - das interne Lagebild. Das fortlaufende interne Lagebild - Betroffenheitsanalyse, Wiederanlaufpriorisierung, Forensikbefunde, Status einzelner Konten und Systeme - ist sachgerecht in TLP:AMBER+STRICT zu führen. Die Stufe trennt zwischen der Organisation im engeren Sinne (Krisenstab, IT-Notfallteam, Fachämter mit Need-to-know, Personalrat in seiner Funktion) und allen übrigen Adressaten. Welche Einheiten erfasst sind, ist im Vorfeld zu definieren, in der Regel die juristische Person der Gebietskörperschaft einschließlich der unselbständigen Eigenbetriebe, nicht jedoch rechtlich selbständige Eigenbetriebe oder Zweckverbände.

TLP:AMBER - die Zusammenarbeit mit Dienstleistern. Die Zusammenarbeit mit DFIR-Dienstleister, kommunalem Rechenzentrum, EDR-Herstellersupport oder ausgelagerten Identitätsdiensten erfordert TLP:AMBER. FIRST fasst „clients“ ausdrücklich darunter und schließt für Teams mit nationaler Verantwortung auch „stakeholders and constituents“ ein. Indikatoren, Protokolldaten, Hashwerte und Verhandlungsstände außerhalb der unmittelbaren Verhandlungsführung können auf dieser Stufe an Partner gegeben werden, das Prinzip „Kenntnis nur, wenn nötig“ gilt auch dort, eine Weitergabe an Dritte ist nicht zulässig. Als Informationserstellerin kann die Informationssicherheitsbeauftragte zusätzliche Einschränkungen festlegen, etwa eine Beschränkung auf benannte Funktionsträger des Dienstleisters, diese Ergänzungen sind verbindlich.

TLP:GREEN - die kommunale Community. Sobald die unmittelbare Angreifertaktung kein Argument mehr für vollständige Zurückhaltung darstellt, ist TLP:GREEN das geeignete Instrument, um Schwesterkommunen, das Landes-CERT, das BSI im Lagebildmodus und kommunale Verbände mit generischen Taktiken, Techniken und Indikatoren zu versorgen, ohne die Information zu veröffentlichen. Identifizierende Angaben - Name der betroffenen Kommune, konkrete Wallet-Adressen, verhandlungsbezogene Details - verbleiben in höheren Stufen.

TLP:CLEAR - die Öffentlichkeit. Pressemitteilungen, Bürgerinformationen, häufig gestellte Fragen und Sprachregelungen am Bürgertelefon sind TLP:CLEAR. Sie bedürfen einer ausdrücklichen Freigabe im Krisenstab. Eine Veröffentlichung übersetzt nicht automatisch eine ursprünglich höher eingestufte Information in TLP:CLEAR, öffentlich ist allein die als TLP:CLEAR freigegebene Abstraktion, die zugrundeliegenden operativen Detailinformationen behalten ihre ursprüngliche Stufe.

Sicherer Austausch in der Akutphase. Drei Anforderungen sind besonders zu beachten. Erstens ist die Vervielfältigung von TLP:AMBER-, TLP:AMBER+STRICT- und TLP:RED-Informationen „auf das unbedingt notwendige Maß“ zu beschränken, auf mobilen Endgeräten sind diese Informationen verschlüsselt aufzubewahren, Papierdokumente in verschlossenen Behältnissen. Zweitens müssen Datenträger vor Aussonderung sicher gelöscht oder irreversibel physisch vernichtet, Papierdokumente in geeigneten Aktenvernichtern entsorgt werden - einschließlich der Geräte, die im Verlauf des Vorfalls ausgetauscht werden. Drittens sind bereits beim Verdacht auf Kompromittierung „umgehend der Informationsersteller und die für Sie zuständige Kontaktstelle des BSI (Nationales IT-Lagezentrum, CERT-Bund, KRITIS-Büro, etc.) zwecks Schadensminimierung über den Sachverhalt zu informieren“. Diese Meldepflicht liegt in der Verantwortung der Krisenstabsleitung.

Zur Kanalwahl: In einer Verwaltungsumgebung mit Hinweisen auf eine bestehende Kompromittierung sind die regulären internen Kanäle nicht ohne Weiteres tragfähig. Der Verkehr in TLP:AMBER+STRICT und TLP:RED sollte über vorab eingerichtete Out-of-Band-Räume mit personifizierter Verifikation, verschlüsselte Wechseldatenträger und, falls erforderlich, Tagungsräume außerhalb der betroffenen Liegenschaft geführt werden. Die Verfahren sind im Notfallhandbuch zu hinterlegen.

Vertrauen ist organisierbar

Das TLP entfaltet seinen Wert in der Disziplin der Anwendung. Wer eine ZAC-Vorwarnung entgegennimmt, sollte zwischen TLP:RED für das mündliche Erstgespräch, TLP:AMBER+STRICT für die schriftliche operative Lagebewertung, TLP:AMBER für die genehmigte Einbindung von Partnern, TLP:GREEN für generisches Community-Sharing und TLP:CLEAR für die Öffentlichkeit, die in der Vorwarnphase regelmäßig zurückgestellt wird, sicher unterscheiden können. In der Akutphase gilt dieselbe Logik unter erschwerten Bedingungen und in einer breiteren Akteurslandschaft.

Aus den Anforderungen des BSI-Merkblatts ergeben sich zwei Empfehlungen. Erstens ist die TLP-Verpflichtung in den Funktionsbeschreibungen der Schlüsselrollen zu verankern und mit einer dokumentierten Belehrung der Stellvertretungen zu verbinden. Zweitens ist die Stufenführung in Übungen zu konsolidieren: im Tabletop durch ausdrückliche Einstufung jeder Information und Begründung der Stufenwahl, im Live-Übungsmodus durch tatsächliche Nutzung der vorgesehenen Kanäle, Verschlüsselungsverfahren und Out-of-Band-Pfade. So wird das TLP von einer formalen Anforderung zu einer eingeübten Praxis, die im Ernstfall verlässlich trägt.

Im Kern macht das Traffic Light Protocol Vertrauen organisierbar - eine Eigenschaft, die in einer kommunalen Cyberlage durch zusätzliche Ressourcen oder Technik nicht ersetzt werden kann.

Weiterlesen

Cyber Range für Kommunen im Entwurf des InfSG LSA

Cyber Range für Kommunen im Entwurf des InfSG LSA

Eine Cyber Range ist die einzige Lernform, die einem realen Cyberangriff annähernd standhält. Sie ist eine virtualisierte, mandantenfähige Übungs- und Erprobungsumgebung mit definierten Rollenmodellen: Sie simuliert Angriffsszenarien, prüft Detektionslogiken, erprobt Incident-Response, trainiert Krisenkommunikation. In der erweiterten Form ist sie zugleich Reallabor für neue Detektions- und Reaktionsverfahren. Der Mehrwert für die