Traffic Light Protocol (TLP) - AstroGD® Lukas Weber

Klassifikation zur Verbreitung von Informationen

Einführung

Das Traffic Light Protocol (TLP) dient zur Klassifizierung von Informationen, um die Freigabe und Weitergabe von potenziell sensiblen Informationen zu regeln. Ziel von TLP ist die Herstellung eines Vertrauensniveaus. Der Empfänger von TLP-klassifizierten Informationen verpflichtet sich dazu, die erhaltenen Informationen im Ganzen und als Auszug nur nach den Bedingungen der entsprechenden TLP-Klassifikation weiterzugeben. Eine unberechtigte Weitergabe verletzt die Vertraulichkeit und das Vertrauensniveau. Ein Verstoß kann zum Ausschluss des Erhalts klassifizierter Informationen außer TLP:CLEAR führen.

AstroGD^® Lukas Weber verwendet TLP um bestimmte Informationen entsprechend zu klassifizieren. Ist keine TLP-Klassifizierung angegeben, gelten vom Ersteller öffentlich bereitgestellte Informationen als TLP:CLEAR und alle anderen Informationen als TLP:RED.

Diese Seite dient zur Erklärung der Labels und basiert auf dem TLP-Protokoll der FIRST Standards Definitions and Usage Guidance – Version 2.0 (Zur originalen Erklärung auf Englisch) und dem Merkblatt zum sicheren Informationsaustausch des BSI (Zum Merkblatt).

TLP-Stufen

TLP:RED – Nur direkter Empfänger

Informationen sind nur für die Augen und Ohren des direkten Empfängers gedacht und dürfen nicht an Dritte weitergegeben werden. Bei Meetings sind TLP:RED-Informationen auf die anwesenden Personen beschränkt.

TLP:AMBER+STRICT – Innerhalb Organisation, Need-To-Know

Die Weitergabe von Informationen ist auf die Organisation des Empfängers beschränkt und MUSS weiter nach dem „Need-To-Know“-Prinzip eingeschränkt werden. Beim „Need-To-Know“-Prinzip erhalten Empfänger die Informationen nur, wenn sie diese unbedingt zur Erfüllung ihrer Tätigkeit benötigen.

TLP:AMBER – Innerhalb Organisation (und Partner*), Need-To-Know

Die Weitergabe von Informationen ist auf die Organisation des Empfängers beschränkt. Eine Weitergabe an direkte Partner der Organisation ist nur dann gestattet, wenn die Informationen zur Schadensreduktion oder zum Schutz benötigt werden. Die Weitergabe der Informationen MUSS weiter nach dem „Need-To-Know“-Prinzip eingeschränkt werden.

TLP:GREEN – Innerhalb Empfängergruppe

Die Informationen können innerhalb der Organisation des Empfängers und Partnern weitergegeben werden, solange diese derselben Empfängergruppe angehören. Die Empfängergruppe ist entweder im Dokument angegeben oder, falls nicht, die Empfängergruppe der Kunden von AstroGD^®. Eine Veröffentlichung der Informationen ist untersagt.

TLP:CLEAR – Öffentlich

Die Informationen sind nicht klassifiziert und können im Rahmen des Urheberrechts und anderweitiger Lizenzbestimmungen frei geteilt werden.

Zusatzbedingungen

Zusätzlich zum TLP-Label können weitere Bedingungen, wie z.B. die Empfängergruppe bei TLP:GREEN definiert werden. Diese Bedingungen MÜSSEN am Anfang der Information angegeben werden.

Vervielfältigung

Informationen der Sicherheitsstufen TLP:AMBER, TLP:AMBER+STRICT und TLP:RED müssen auf das unbedingt notwendigste reduziert werden und entsprechend der Klassifizierung behandelt werden.

Aufbewahrung

Informationen der Sicherheitsstufen TLP:AMBER, TLP:AMBER+STRICT und TLP:RED müssen auf mobilen Endgeräten verschlüsselt und in Papierform in verschlossenen Behältnissen aufbewahrt werden.

Vernichtung / Löschung

Informationen der Sicherheitsstufen TLP:AMBER, TLP:AMBER+STRICT und TLP:RED müssen sicher vernichtet werden, durch sichere digitale Löschung oder physische Zerstörung z.B. durch einen Aktenvernichter.

Kompromittierung von Informationen

Bereits beim Verdacht auf Kompromittierung von Informationen (z. B. Versand an unberechtigte Dritte, Datenleaks, Upload auf externen Portalen wie Virustotal …) ist umgehend der Informationsersteller zwecks Schadensminimierung zu informieren.