Das Traffic Light Protocol (TLP) zu Deutsch etwa „Ampel-Protokoll“ ist eine standardisierte Vereinbarung zum Austausch von schutzwürdigen Informationen. Es wurde ursprünglich in Großbritannien vom National Infrastructure Security Co-ordination Centre (NISCC) entwickelt, wird in entsprechenden Berichten der OECD erwähnt und z. B. auch in Deutschland von der Allianz für Cyber-Sicherheit (beim Bundesamt für Sicherheit in der Informationstechnik) genutzt. Das TLP dient der Erhöhung der Sicherheit bei der Weitergabe sensibler Daten. Alle Dokumente werden in eine von vier Klassen eingeteilt, welche die Bedingungen für ihre Weitergabe regeln.
Inzwischen setzen die meisten Organisationen das Traffic Light Protocol in der Version 1.0 nach der Definition des Forum of Incident Response and Security Teams (FIRST) ein.
Hintergrund
Beim alltäglichen Austausch von Daten werden auch immer sensible bzw. schutzwürdige Informationen, Daten und Dokumente weitergegeben. Um einen ungewollten Informationsfluss an die breite Öffentlichkeit zu verhindern, wird mit einem System wie dem TLP eine klare Kennzeichnung eingeführt, die die potenziell erlaubten Empfänger definiert. Verstöße gegen die Regelung werden oft mit der Rückstufung als Empfänger der Stufe „TLP:WHITE“ geahndet, da der Empfänger sich als nicht ausreichend vertrauenswürdig herausgestellt hat.
Über die Jahre kam es zu einem Problem mit dem Interoperabilität des TLP, da in verschiedenen Kreisen unterschiedliche Definitionen des Levels TLP:AMBER verwendet wurden. Einige Organisationen, wie zum Beispiel das US-CERT, definierten als Weitergabebeschränkung für TLP:AMBER Informationen die eigene Organisation. Bei anderen Organisationen, wie die Taskforce CSIRT (TF-CSIRT), wurde als Weitergabebeschränkung für TLP:AMBER Informationen abweichend die eigene „Constituency“ definiert. Daraufhin entstand 2015 eine Arbeitsgruppe im internationalen CERT-Dachverband, dem Forum of Incident Response and Security Teams (FIRST), mit dem Ziel eine einheitliche Definition zu entwickeln. Am 31. August 2016 hat die Arbeitsgruppe dann einen abgestimmten Standard unter dem Namen „TRAFFIC LIGHT PROTOCOL (TLP) FIRST Standards Definitions and Usage Guidance — Version 1.0“ veröffentlicht. Diese Version definiert die Weitergabebeschränkung für TLP:AMBER Informationen auf Basis „Kenntnis nur wenn nötig“ auf die eigene Organisation und auf Dritte („clients and customers“), soweit die Dritten die Informationen benötigen, um Schaden von sich abzuwenden. Darüber hinaus kann ein Informationsersteller TLP:AMBER weiter einschränken, wenn er dies kenntlich macht (z.B: „TLP:AMBER - Nur für eigene Organisation“). Der Empfänger muss sich dann auch an die weitere Einschränkung halten.
Einstufungen
TLP 1
- TLP:RED : Informationen dieser Stufe sind auf den Kreis der Anwesenden in einer Besprechung oder Video-/ Audiokonferenz bzw. auf die direkten Empfänger bei schriftlicher Korrespondenz beschränkt. Eine Weitergabe ist untersagt. Meistens werden TLP:RED-Informationen mündlich oder persönlich übergeben.
- TLP:AMBER : Informationen dieser Stufe darf der Empfänger innerhalb seiner Organisation auf Basis „Kenntnis nur wenn nötig“ weitergeben. Der Empfänger darf die Informationen zudem an Dritte weitergeben, soweit diese die Informationen zum Schutz des Empfängers oder zur Schadensreduktion beim Empfänger benötigen. Hierfür muss er sicherstellen, dass die „Dritten“ das TLP kennen und die damit verbundenen Regeln Traffic Light Protocol (TLP) einhalten. Der Informationsersteller kann weitergehende oder zusätzliche Einschränkungen der Informationsweitergabe festlegen, diese müssen eingehalten werden.
- TLP:GREEN : Informationen dieser Stufe dürfen innerhalb der Organisationen und an deren Partner frei weitergegeben werden. Die Informationen dürfen jedoch nicht veröffentlicht werden.
- TLP:WHITE : Abgesehen von urheberrechtlichen Aspekten dürfen Informationen der Stufe TLP:WHITE ohne Einschränkungen frei weitergegeben werden.
TLP 2.0
Die TLP 2.0 ersetzt die TLP 1 und bringt einige Neuerungen mit sich. So wurde TLP:WHITE in TLP:CLEAR umbenannt und die Kategorie TLP:AMBER+STRICT neu eingeführt.
- TLP:RED : Informationen dieser Stufe sind auf den Kreis der Anwesenden in einer Besprechung oder Video-/Audiokonferenz bzw. auf die direkten Empfänger bei schriftlicher Korrespondenz beschränkt. Eine Weitergabe ist untersagt. TLP:RED eingestufte Informationen sollten möglichst mündlich oder persönlich übergeben werden.
- TLP:AMBER+STRICT : Die Einstufung von Informationen als TLP:AMBER+STRICT beschränkt die Weitergabe ausschließlich auf die Organisation des Empfängers, jegliche Weitergabe darüber hinaus ist untersagt. Es gilt „Kenntnis nur, wenn nötig“. Der Informationsersteller kann weitergehende oder zusätzliche Einschränkungen der Informationsweitergabe festlegen, diese müssen eingehalten werden.
- TLP:AMBER : Der Empfänger darf die Informationen, welche als TLP:AMBER gekennzeichnet sind, an seine Partner weitergeben, soweit diese die Informationen zur Schadensreduktion oder dem eigenen Schutz benötigen. Eine Weitergabe von den Partnern an Dritte ist nicht erlaubt und auch innerhalb der Partnerorganisation gilt das Prinzip „Kenntnis nur, wenn nötig“. Der Informationsersteller kann weitergehende oder zusätzliche Einschränkungen der Informationsweitergabe festlegen, diese müssen eingehalten werden.
- TLP:GREEN : Informationen dieser Stufe dürfen innerhalb der Organisationen und an deren Partner weitergegeben werden. Die Informationen dürfen jedoch nicht veröffentlicht werden. Eine Weitergabe von den Partnerorganisationen an weitere Personen oder Organisationen ist solange zulässig, wie diese weiteren Empfänger derselben Nutzergruppe, wie beispielsweise Angehörige der Cybersecurity-Community, angehören.
- TLP:CLEAR : Ersetzt in der TLP 2.0 TLP:WHITE
Siehe auch
Literatur
- Hank Prunckun: Counterintelligence - Theory and Practice; Rowman & Littlefield; 1. Auflage 2012; ISBN 978-1-4422-1933-5
- National center for taxation studies and University of Limerick / Ireland, edited by David O'Donnell: The Proceedings of the 10th European Conference on eGouvernment; academic publishing 2010; ISBN 978-1-906638-62-7
- British computer society: IEEE compass '95; 1995
- Carlo Ferigato, Marcelo Masera: Design of a Platform for Information Exchange on Protection of Critical Infrastructures; Joint Research Center of the European Commission Institute for the Protection and Security of the Citizen; Springer 2008; ISBN 978-3-540-89095-9
- Critical Information Infrastructure Security: Third International Workshop, CRITIS 2008, Springer 2009, ISBN 978-3-642-03551-7
- Kanchana Ratnam, T.T. Rajkumar: IT and Information Security, SAJMMR Volume 2, Issue 5 (May, 2012) ISSN 2249-877X
- US-CERT: Traffic Light Protocol (TLP) Matrix and Frequently Asked Questions
Einzelnachweise
- ↑ OECD: Development of Policies for Protection of Critical Information Infrastructures. (PDF; 1,1 MB) Oecd.org, abgerufen am 25. November 2012.
- ↑ 'Re: OpenSSH security advisory: cbc.adv' - MARC. Marc.info, abgerufen am 25. November 2012.
- ↑ Merkblatt „Traffic Light Protocol (TLP)“. (PDF; 94 kB) Bundesamt für Sicherheit in der Informationstechnik, abgerufen am 6. Februar 2017.
- ↑ TRAFFIC LIGHT PROTOCOL (TLP) - FIRST Standards Definitions and Usage Guidance — Version 1.0. FIRST.org, Inc, 31. August 2016, abgerufen am 10. Januar 2020.
- ↑ FIRST announces Traffic Light Protocol (TLP) version 1.0. FIRST.org, Inc, 31. August 2016, abgerufen am 10. Januar 2020.
- ↑ Bundesamt für Sicherheit in der Informationstechnik: Merkblatt zum sicheren Informationsaustausch mit dem Traffic Light Protocol (TLP), Version 2.0. Bundesamt für Sicherheit in der Informationstechnik, 23. Dezember 2022, abgerufen am 22. Juni 2023.