CSIRT-CAN – Centro de Respuesta a Incidentes de Seguridad de Canarias

CSIRT-CAN RFC 2350

1. Informationen zum Dokument

1.1. Datum der letzten Aktualisierung: Version 1.0, veröffentlicht am 3. Juli 2025.

1.2. Verteilerlisten: Es gibt keinen Verteilerkanal, um Änderungen an diesem Dokument bekannt zu geben. Änderungen werden durch eine Mitteilung unter www.csirtcan.org bekannt gegeben.

1.3. Ubicación del Documento: Die neueste Version des Dokuments ist veröffentlicht unter:

  • Spanisch
  • Englisch
  • Deutsch

1.4. Authentifizierung des Dokuments: Dieses Dokument wurde vom CSIRT-CAN digital signiert.

2. Kontaktinformationen

2.1. Name des Teams: CSIRT-CAN, Zentrum für die Reaktion auf Vorfälle der Regierung der Kanarischen Inseln, unterstellt der Generaldirektion für die digitale Transformation der öffentlichen Dienste (im Folgenden DGTDSP).

2.2. Adresse:

  • C/ Rubens Marichal López 12, 38071. Santa Cruz de Tenerife
  • C/ Cebrián, 3 3. Stock, 35003. Las Palmas de Gran Canaria 

2.3. Zeitzone: CET / CEST

2.4. Telefonnummer: 928 557 228 - 922 760 228

2.5. Faxnummer: No existente

2.6. Sonstige Mitteilungen: No existente

2.7. E-Mail-Adressen:

  • Austausch von Informationen zu Vorfällen: info.srv@csirtcan.org
  • Allgemeine Anfragen: info.srv@csirtcan.org

2.8. Öffentliche Schlüssel und Verschlüsselung von Informationen: Die Kontakt-E-Mail-Adressen und zugehörigen PGP-Schlüssel sind unter www.csirtcan.org veröffentlicht.

2.9. Teammitglieder: Nicht verfügbar

2.10. Weitere Informationen: Allgemeine Informationen zu den vom CCN-CERT angebotenen Dienstleistungen und zur Organisation selbst sind auf der Website www.csirtcan.org veröffentlicht.

2.11. Öffnungszeiten: Das Team für die Reaktion auf Vorfälle ist zu folgenden Zeiten erreichbar:

  • Anfragen zu Dienstleistungen: während der Bürozeiten (8:00 bis 16:00 Uhr)
  • Vorfälle mit geringer, mittlerer oder hoher Gefährdung: während der Bürozeiten (8:00 bis 16:00 Uhr)
  • Vorfälle mit sehr hoher oder kritischer Gefährlichkeit: rund um die Uhr, 365 Tage im Jahr.

2.12. Ansprechpartner für die Gemeinschaft: Die Kommunikation zwischen dem CSIRT-CAN-Team und den von ihm unterstützten Stellen erfolgt hauptsächlich über:

  • E-Mail-Postfach für das jeweilige Thema: www.csirtcan.org
  • Telefonnummern, die während des Beitrittsprozesses oder der Unterstützung bei Vorfällen angegeben werden.

3. Gründung

3.1. Auftrag: Das CSIRT-CAN ist die Einrichtung zur Reaktion auf Vorfälle im Bereich der Informationssicherheit der Regierung der Kanarischen Inseln, die der DGTDSP unterstellt ist. Dieser Dienst wurde im Jahr 2024 als CERT für die öffentlichen Einrichtungen der Kanarischen Inseln gegründet, einschließlich der lokalen Einrichtungen, die territorial der Autonomen Gemeinschaft der Kanarischen Inseln unterstehen.

Seine Aufgabe ist es, zur Verbesserung der Cybersicherheit auf den Kanarischen Inseln beizutragen, indem es als Alarm- und Reaktionszentrum kooperiert und dabei hilft, schnell und effizient auf Cyberangriffe zu reagieren und Cyberbedrohungen aktiv zu bekämpfen, einschließlich der Koordinierung auf nationaler Ebene mit den verschiedenen bestehenden Incident Response Capabilities oder Cybersecurity Operations Centres für besonders relevante Vorfälle. Damit wird das Nationale Sicherheitsschema umgesetzt, das vorsieht, dass die öffentlichen Verwaltungen unter der Koordination des CCN ihre eigenen Fähigkeiten zur Reaktion auf Vorfälle entwickeln können, sowie das Königliche Dekret 43/2021 vom 26. Januar, mit dem das Königliche Gesetzesdekret 12/2018 vom 7. September über die Sicherheit von Netzwerken und Informationssystemen umgesetzt wird.

All dies mit dem letztendlichen Ziel, einen sichereren und zuverlässigeren Cyberspace zu schaffen, indem klassifizierte und sensible Informationen geschützt, Fachpersonal geschult, Sicherheitsrichtlinien und -verfahren angewendet und die für diesen Zweck am besten geeigneten Technologien eingesetzt und entwickelt werden.

3.2. Gemeinschaft, für die Dienstleistungen erbracht werden:

Das CSIRT-CAN sieht eine schrittweise Umsetzung vor. In der ersten Phase werden Dienstleistungen für lokale Einrichtungen auf den Kanarischen Inseln (Inselräte und Stadtverwaltungen) erbracht, in den folgenden Phasen werden diese auf den übrigen öffentlichen Sektor der Kanarischen Inseln ausgeweitet.

Im Falle von wesentlichen Diensten wird die Bewältigung von Cybervorfällen vom CSIRT-CAN in Abstimmung mit den übrigen zuständigen Stellen auf regionaler oder nationaler Ebene durchgeführt.

3.3. Förderung / Mitgliedschaft: Das CSIRT-CAN ist Teil der DGTDSP der Regierung der Kanarischen Inseln.

3.4. Behörde: Die Befugnisse des CSIRT-CAN ergeben sich aus folgenden Rechtsvorschriften:

  • Königliches Dekret 311/2022 vom 3. Mai zur Regelung des nationalen Sicherheitssystems.
  • Königliches Dekret 43/2021 vom 26. Januar zur Umsetzung des Königlichen Gesetzesdekrets 12/2018 vom 7. September über die Sicherheit von Netzwerken und Informationssystemen.

4. Richtlinien

4.1. Art der Vorfälle und Support-Level:

Die Art der Cybervorfälle, mit denen sich das CSIRT-CAN befasst, ist im Leitfaden CCN-STIC-817 in Abschnitt 6.1 „Klassifizierung von Cybervorfällen” aufgeführt. Das CSIRT-CAN arbeitet mit allen öffentlichen Einrichtungen und Unternehmen von strategischem Interesse bei der Erkennung, Meldung, Bewertung, Reaktion, Behandlung und Auswertung von Informationssicherheitsvorfällen oder Cybervorfällen zusammen, denen ihre Systeme ausgesetzt sein können.

4.2. Der Umfang der Unterstützung durch das CSIRT-CAN und dessen Reaktionszeit hängen vom Gefährdungsgrad des Vorfalls und anderen Faktoren ab, die im Leitfaden CCN-STIC-817 „Management von Cybervorfällen” gemäß den folgenden Kriterien festgelegt sind:

  • Art der Bedrohung (Schadcode, Eindringlinge, Betrug usw.)
  • Herkunft der Bedrohung: intern oder extern.
  • Die Sicherheitskategorie der betroffenen Systeme.
  • Das Profil der betroffenen Nutzer, ihre Position in der Organisationsstruktur des Unternehmens und damit ihre Zugriffsrechte auf sensible oder vertrauliche Informationen.
  • Die Anzahl und Art der betroffenen Systeme.
  • Die Auswirkungen, die der Vorfall auf die Organisation haben kann, unter den Gesichtspunkten des Informationsschutzes, der Erbringung von Dienstleistungen, der Einhaltung gesetzlicher Vorschriften und/oder des öffentlichen Ansehens.
  • Die gesetzlichen und regulatorischen Anforderungen.

CSIRT-CAN informiert seine Community auch über den Stand der Cybersicherheit, um sowohl technische (Hardware- und Software-) als auch menschliche und organisatorische Schwachstellen zu reduzieren. Zu diesem Zweck veröffentlicht es regelmäßig folgende Informationen:

  • Warnungen: vom CSIRT-CAN selbst erkannte Bedrohungen/Schwachstellen.
  • Warnungen: wie oben, jedoch mit höherer Kritikalität.
  • Schwachstellen: täglich von den wichtigsten Herstellern.
  • Berichte über schädlichen Code.
  • Berichte über bewährte Verfahren.
  • Berichte über Bedrohungen.

4.3. Zusammenarbeit, Interaktion und Verbreitung von Informationen: Die von CSIRT-CAN verwalteten Informationen werden gemäß den für CSIRT-CAN festgelegten Richtlinien und Verfahren für das Vorfallsmanagement, den Richtlinien und Vorschriften des CCN und den Sicherheitsvorschriften zum Schutz von Verschlusssachen streng vertraulich behandelt.

4.4. Kommunikation und Authentifizierung: Die verfügbaren Kommunikationsmittel für die Kommunikation mit dem CSIRT-CAN sind:

  • E-Mail: info.srv@csirtcan.org
  • Telefonnummern, die während des Beitrittsprozesses oder der Unterstützung bei Vorfällen angegeben werden.

5. Dienstleistungen

5.1. Prävention

Das CSIRT-CAN führt verschiedene Aktivitäten durch, um das Bewusstsein für Vorfälle zu schärfen und diesen vorzubeugen. Dazu gehören insbesondere:

  1. Festlegung von Sicherheitsrichtlinien
  2. Unterstützung und Koordination bei der Behandlung von Schwachstellen
  3. Berichte, Warnungen und Hinweise zu neuen Bedrohungen und Schwachstellen von Informationssystemen, die aus verschiedenen renommierten Quellen, einschließlich eigener Quellen, zusammengestellt werden.
  4. Untersuchung und Verbreitung von Best Practices im Bereich der Informationssicherheit.
  5. Schulung und Sensibilisierung von öffentlichen Bediensteten mit unterschiedlichen Profilen und Ausbildungsniveaus im Bereich Cybersicherheit sowie Schulung und Sensibilisierung der breiten Öffentlichkeit.
  6. Organisation von und Teilnahme an Tagungen und Kongressen zum Thema Cybersicherheit.

5.2. Reaktion auf Vorfälle

Das CSIRT-CAN bietet technische und operative Unterstützung in den verschiedenen Phasen des Vorfallsmanagements: Erkennung, Analyse, Meldung, Eindämmung, Beseitigung und Wiederherstellung. Dieser Prozess umfasst die Bewertung und Priorisierung (Triage) der verfügbaren Informationen, deren Validierung und Überprüfung, die Sammlung zusätzlicher Beweise, die Kommunikation mit den relevanten Parteien und schließlich die Lösung des Vorfalls.

Darüber hinaus berät es die Teams hinsichtlich der am besten geeigneten Maßnahmen, verfolgt die Bearbeitung des Vorfalls und fordert die entsprechenden Berichte an (die Verantwortlichen der Behörde erstellen einen Bericht über den Cybervorfall, in dem sie dessen Ursache, die Kosten und die Maßnahmen, die die Organisation ergreifen muss, um ähnliche Cybervorfälle in Zukunft zu verhindern, detailliert darlegen müssen).

5.3. Koordination von Vorfällen

Das CSIRT-CAN koordiniert die Bearbeitung von Vorfällen mit dem CCN und anderen nationalen und internationalen Einrichtungen. 

5.4. Überwachung

Das CSIRT-CAN hat ein Frühwarnsystem (SAT) zur Erkennung von Vorfällen in Organisationen seiner Gemeinschaft implementiert, das vom CCN-CEST entwickelt wurde.

5.5. Entwicklung von Cybersicherheitslösungen und -tools

CSIRT-CAN fördert die Entwicklung von Lösungen, die die Sicherheit der Systeme gewährleisten und zu einem besseren Cybersicherheitsmanagement in jeder Organisation beitragen. Diese Lösungen konzentrieren sich hauptsächlich auf die Erkennung, Analyse, Prüfung und den Austausch von Informationen.

5.6. Forensische Analyse und Malware-Analyse

CSIRT-CAN verfügt über die Ausrüstung und das Fachpersonal, um forensische Analysen von Geräten durchzuführen, die in komplexe Vorfälle verwickelt sind.
Ebenso ist CSIRT-CAN in der Lage, statische und dynamische Analysen von schädlichen Code-Proben durchzuführen, um Erkennungsmuster zu generieren.

6. Möglichkeiten zur Meldung von Vorfällen

Die Meldung von Vorfällen kann erfolgen über:

  • Spezifische E-Mail-Adresse: info.srv@csirtcan.org
  • LUCIA: Tool zur Meldung von Vorfällen.
  • Telefonnummern, die während des Beitrittsprozesses oder der Unterstützung bei Vorfällen angegeben werden.

7. Haftungsausschluss

Das CSIRT-CAN-Team übernimmt keine Verantwortung für den Missbrauch der hier enthaltenen Informationen.