1 Information über dieses Dokument
Dieses Dokument enthält Informationen zum Computer Emergency Response Team der Landesverwaltung Nordrhein-Westfalen (CERT NRW) gemäß RFC 2350 der üblichen standardisierten Kurzdarstellung der Aufgaben und Erreichbarkeit von Computernotfallteams.
2 Kontaktinformationen
2.1 Name des Teams
Computer Emergency Response Team der Landesverwaltung Nordrhein-Westfalen
Kurzname: CERT NRW
2.2 Postalische Adresse
Landesbetrieb Information und Technik Nordrhein-Westfalen
T1-4, CERT NRW
Postfach 10 11 05
40002 Düsseldorf
2.3 Zeitzone
Europa/Berlin, GMT+1 und Europa/Berlin, GMT+2 gemäß §2 SoZV vom letzten Sonntag im März bis zum letzten Sonntag im Oktober
2.4 Telefon (Hotline)
+49-211-9449-2124
2.5 Fax
+49-211-9449-8884
2.6 E-Mail-Adresse
cert@it.nrw.de2.7 Public Keys und Informationen zur Signierung und Verschlüsselung
Für die elektronische Übermittlung vertraulicher Informationen empfehlen wir die Nutzung von S/MIME oder GnuPG-Verschlüsselung.
| Team PGP Key ID: | F96A F09E 212C 0843 |
| Fingerprint: | 1961 2B20 88AF BF91 0140 9D4B F96A F09E 212C 0843 |
2.8 World Wide Web
Im Landes-Intranet stellen wir teilnehmenden Behörden und Einrichtungen des Landesverwaltungsnetzes unter https://lv.cert.nrw.de umfassendere Informationen und Handreichungen zur Verfügung.
2.9 Personelle Zusammensetzung
Das Team setzt sich zusammen aus Expertinnen und Experten verschiedener
Fachdomänen wie Penetration-Testing, Vorfallserkennung, digitale
Forensik sowie Vorfallsbehandlung.
Die Mitarbeiterinnen und Mitarbeiter des CERT NRW sind Bedienstete des
Landesbetriebs Information und Technik Nordrhein-Westfalen (IT.NRW).
2.10 Betriebszeiten
Montag bis Freitag jeweils von 07:00 bis 17:00 Uhr
3 Organisatorischer Rahmen
3.1 Ziele und Aufgaben (Mission Statement)
Wir unterstützen die Landesverwaltung dabei sich präventiv und reaktiv
gegen IT-Angriffe zu schützen und zu verteidigen, die die
Vertraulichkeit, Integrität oder Verfügbarkeit ihrer Informations- oder Technologie-Güter
gefährden oder verletzen würden.
Darüber hinaus unterstützen wir bei der Erkennung, Untersuchung und
Aufklärung von Informationssicherheitsvorfällen.
3.2 Zielgruppe (Constituency)
Unsere Dienstleistungen richten sich primär an Behörden und Einrichtungen der Landesverwaltung NRW, die am Landesverwaltungsnetz angeschlossen sind.
3.3 Domains und IP Ranges
AS 43066
IPv4 Range 93.184.128.0 - 93.184.143.255
Domain *.nrw.de
3.4 Zuständigkeiten und Befugnisse
Zusätzlich zu den unten aufgelisteten Dienstleistungen sind wir im allgemein oder spezifisch beauftragten Umfang befugt, Systeme, Software und Webseiten auf Schwachstellen hin zu überprüfen und Netzübergänge auf Angriffe und Einbrüche hin zu überwachen, sowie im zur Abwehr und Aufklärung erforderlichen Umfang Netzwerkkommunikation aufzuzeichnen und auszuwerten.
4 Services
Wir unterstützen die oder den Chief Information Security Officer (CISO) der Landesverwaltung Nordrhein-Westfalen und bieten Behörden und Einrichtungen der Landesverwaltung die nachfolgend aufgeführten Dienstleistungen (Services) an. [1]
4.1 Basisdienstleistungen
Folgende Basisdienstleistungen erbringen wir für alle Behörden und Einrichtungen der Landesverwaltung NRW, die ans Landesverwaltungsnetz angeschlossen sind:
- Bedrohungsanalyse / Threat Intelligence
- Warn- und Informationsdienst (WID)
- Unterstützung bei der Vorfallsbehandlung (Incident Handling & Response)
- Kooperation mit Sicherheitsteams (CERTs) anderer öffentlicher Einrichtungen und der Privatwirtschaft
- Beratung zu Fragen der operativen Informationssicherheit
4.2 Erweiterte Dienstleistungen
- Vorfallserkennung / Network Security Monitoring
- Schwachstellenscans
- Penetrationstests
- Digitale Vorfallsanalyse (IT-Forensik)
- Trainings- und Fortbildungsveranstaltungen
5 Kooperation und verantwortungsvolle Informationsweitergabe
Wir sind Mitglied im Deutschen Verwaltungs-CERT-Verbund (VCV) sowie dem
Deutschen CERT-Verbund (CV).
Die Landesverwaltung NRW ist zudem Mitglied in der Allianz für
Cybersicherheit.
Wir behandeln sensible Informationen mit großer Sorgfalt und achten das
Traffic Light Protocol (TLP) sowie andere Klassifizierungsschemata.
Die verantwortungsvolle Weitergabe von Schwachstelleninformation
handhaben wir gemäß unserer Coordinated Disclosure Policy (siehe
Webseite).
6 Meldung von Informationssicherheitsvorfällen an das CERT NRW
Für eine korrekte und vollständige Erfassung und geeignete Priorisierung von Informationssicherheitsvorfällen sind uns nach Möglichkeit mindestens die folgenden Informationen zu übermitteln:
- Kontaktdaten der meldenden Person
- Meldende Organisation / Behörde
- Name und Funktion der meldenden Person
- Standort / Postanschrift der Organisation / Behörde
- Telefonische Kontaktdaten für kurzfristige Rückfragen
- Angabe des Ressorts / der Abteilung / des Teams, in dem der Vorfall entdeckt worden ist
- E-Mail-Adresse der meldenden Person
- Art der Meldung (Erstmeldung / Zwischen- oder Abschlussmeldung)
Einstufung des Vorfalls aus Sicht der meldenden Organisation:
- Sind Schäden entstanden oder drohen akut?
- Wie schwer sind die entstandenen oder drohenden Schäden für die jeweiligen Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität?
- Dringlichkeit
Technische Angaben zum festgestellten Informationssicherheitsvorfall:
- was ist passiert,
- wann ist es passiert,
- wann wurde es entdeckt,
- wie wurde es entdeckt,
- welche Maßnahmen wurden bereits eingeleitet,
- welche Schäden und Auswirkungen wurden festgestellt oder sind möglich?
Wir stellen ein Meldeformular für Informationssicherheitsvorfälle auf unserer Intranetseite zur Verfügung, das alle diese Informationen strukturiert erfasst.
[1] Weitere Informationen im Landesintranet unter: lv.cert.nrw.de (Nur für Angehörige der Landesregierung)