CSIRT-CAN – Centro de Respuesta a Incidentes de Seguridad de Canarias

CSIRT-CAN RFC 2350

1.1. Datum der letzten Aktualisierung: Version 1.0, veröffentlicht am 3. Juli 2025.

1.2. Verteilerlisten: Es gibt keinen Verteilerkanal zur Benachrichtigung über Änderungen an diesem Dokument. Änderungen werden per Mitteilung auf www.csirtcan.org bekanntgegeben.

1.3. Dokumentenspeicherort: Die aktuelle Version des Dokuments ist veröffentlicht unter:

  • Spanisch
  • Englisch
  • Deutsch

1.4. Dokumentenauthentifizierung: Dieses Dokument wurde vom CSIRT-CAN digital signiert.

2.1. Teamname: CSIRT-CAN, Reaktionszentrum für Sicherheitsvorfälle der Regierung der Kanarischen Inseln, angegliedert an die Generaldirektion für die digitale Transformation öffentlicher Dienste (nachfolgend DGTDSP).

2.2. Adresse:

  • C/ Rubens Marichal López 12, 38071. Santa Cruz de Tenerife
  • C/ Cebrián, 3, 3. Etage, 35003. Las Palmas de Gran Canaria

2.3. Zeitzone: CET / CEST

2.4. Telefonnummer: 928 557 228 - 922 760 228

2.5. Faxnummer: Nicht vorhanden

2.6. Sonstige Kommunikationswege: Nicht vorhanden

2.7. E-Mail-Adressen:

  • Austausch vorfallbezogener Informationen: info.srv@csirtcan.org
  • Allgemeine Anfragen: info.srv@csirtcan.org

2.8. Öffentliche Schlüssel und Informationsverschlüsselung: Kontakt-E-Mail-Adressen und zugehörige PGP-Schlüssel sind auf www.csirtcan.org veröffentlicht.

2.9. Teammitglieder: Nicht verfügbar

2.10. Weitere Informationen: Allgemeine Informationen über die vom CCN-CERT erbrachten Dienste und die Organisation selbst sind im Webportal veröffentlicht: www.csirtcan.org

2.11. Öffnungszeiten: Das Incident-Response-Team ist zu folgenden Zeiten erreichbar:

  • Serviceanfragen: Bürozeiten (8:00-16:00 Uhr)
  • Vorfälle mit niedriger, mittlerer oder hoher Gefährlichkeit: Bürozeiten (8:00-16:00 Uhr)
  • Vorfälle mit sehr hoher oder kritischer Gefährlichkeit: 24x7x365.

2.12. Ansprechpunkte für die Gemeinschaft: Die Kommunikation zwischen dem CSIRT-CAN-Team und den betreuten Organisationen erfolgt hauptsächlich über:

  • Themenspezifisches Postfach: www.csirtcan.org
  • Telefonnummern, die während des Beitrittsprozesses oder der Vorfallunterstützung bereitgestellt werden.

3.1. Auftrag: CSIRT-CAN ist die Reaktionskapazität für Informationssicherheitsvorfälle der Regierung der Kanarischen Inseln, angegliedert an die DGTDSP. Dieser Dienst wurde 2024 als CERT für öffentliche Einrichtungen der Kanarischen Inseln eingerichtet, einschließlich der lokalen Gebietskörperschaften der Autonomen Gemeinschaft der Kanarischen Inseln.

Sein Auftrag ist es, zur Verbesserung der Cybersicherheit auf den Kanarischen Inseln beizutragen und als Warn- und Reaktionszentrum zu fungieren, das bei der schnellen und effizienten Reaktion auf Cyberangriffe und der aktiven Begegnung von Cyberbedrohungen kooperiert und hilft, einschließlich der Koordinierung auf nationaler Ebene mit den verschiedenen Reaktionskapazitäten für Vorfälle oder Cybersicherheits-Operationszentren bei besonders relevanten Vorfällen. Dies erfüllt die Anforderungen des Nationalen Sicherheitsrahmens, der vorsieht, dass öffentliche Verwaltungen unter Koordinierung des CCN eigene Reaktionskapazitäten für Vorfälle entwickeln können, sowie das Königliche Dekret 43/2021 vom 26. Januar zur Umsetzung des Königlichen Dekretgesetzes 12/2018 vom 7. September über die Sicherheit von Netz- und Informationssystemen.

All dies mit dem übergeordneten Ziel, einen sichereren und verlässlicheren Cyberraum zu schaffen, klassifizierte und sensible Informationen zu schützen, Fachpersonal auszubilden, Sicherheitsrichtlinien und -verfahren anzuwenden sowie die hierfür geeignetsten Technologien einzusetzen und weiterzuentwickeln.

3.2. Betreute Gemeinschaft:

CSIRT-CAN sieht eine schrittweise Einführung vor. In der ersten Phase werden Dienste für die lokalen Gebietskörperschaften der Kanarischen Inseln (Cabildos und Ayuntamientos) erbracht; in den folgenden Phasen wird die Abdeckung auf den übrigen öffentlichen Sektor der Kanarischen Inseln ausgeweitet.

Bei wesentlichen Diensten wird das Management von Cybervorfällen durch CSIRT-CAN in Abstimmung mit anderen zuständigen Stellen auf regionaler oder nationaler Ebene durchgeführt.

3.3. Trägerschaft / Zugehörigkeit: CSIRT-CAN ist Teil der DGTDSP der Regierung der Kanarischen Inseln.

3.4. Rechtsgrundlage: Die Befugnisse des CSIRT-CAN leiten sich aus folgenden Rechtsvorschriften ab:

  • Königliches Dekret 311/2022 vom 3. Mai zur Regelung des Nationalen Sicherheitsrahmens.
  • Königliches Dekret 43/2021 vom 26. Januar zur Umsetzung des Königlichen Dekretgesetzes 12/2018 vom 7. September über die Sicherheit von Netz- und Informationssystemen.

4.1. Vorfallarten und Unterstützungsumfang:

Die vom CSIRT-CAN behandelten Arten von Cybervorfällen sind im Leitfaden CCN-STIC-817, Abschnitt 6.1 "Klassifizierung von Cybervorfällen", festgelegt. CSIRT-CAN arbeitet mit allen öffentlichen Stellen und Unternehmen von strategischem Interesse bei der Erkennung, Meldung, Bewertung, Reaktion, Behandlung und Auswertung von Informationssicherheitsvorfällen oder Cybervorfällen zusammen, die deren Systeme betreffen können.

4.2. Das Unterstützungsniveau des CSIRT-CAN und seine Reaktionszeit hängen vom Gefährlichkeitsgrad des Vorfalls und anderen im Leitfaden CCN-STIC-817 Cyber-Vorfallmanagement festgelegten Faktoren ab, gemäß folgenden Kriterien:

  • Art der Bedrohung (Schadcode, Einbrüche, Betrug usw.)
  • Ursprung der Bedrohung: intern oder extern.
  • Die Sicherheitskategorie der betroffenen Systeme.
  • Das Profil der betroffenen Nutzer, ihre Stellung in der Organisationsstruktur der Einrichtung und damit ihre Zugriffsrechte auf sensible oder vertrauliche Informationen.
  • Anzahl und Art der betroffenen Systeme.
  • Die Auswirkungen, die der Vorfall auf die Organisation haben kann, unter den Gesichtspunkten Informationsschutz, Dienstleistungserbringung, gesetzliche Konformität und/oder öffentliches Ansehen.
  • Gesetzliche und regulatorische Anforderungen.

CSIRT-CAN informiert seine Gemeinschaft auch über den Stand der Cybersicherheit, um sowohl technische (Hardware und Software) als auch menschliche und organisatorische Schwachstellen zu reduzieren. Zu diesem Zweck werden regelmäßig folgende Informationen verbreitet:

  • Hinweise: vom CSIRT-CAN selbst erkannte Bedrohungen/Schwachstellen.
  • Warnungen: wie oben, jedoch mit höherer Kritikalität.
  • Schwachstellen: tägliche Aktualisierungen der wichtigsten Hersteller.
  • Schadcode-Berichte.
  • Berichte über bewährte Verfahren.
  • Bedrohungsberichte.

4.3. Zusammenarbeit, Interaktion und Informationsweitergabe: Die vom CSIRT-CAN verarbeiteten Informationen werden gemäß den für CSIRT-CAN festgelegten Richtlinien und Verfahren zum Vorfallmanagement, den CCN-Richtlinien und -Normen sowie den Sicherheitsvorschriften zum Schutz klassifizierter Informationen streng vertraulich behandelt.

4.4. Kommunikation und Authentifizierung: Die verfügbaren Kommunikationswege mit CSIRT-CAN sind:

  • E-Mail: info.srv@csirtcan.org
  • Telefonnummern, die während des Beitrittsprozesses oder der Vorfallunterstützung bereitgestellt werden.

5.1. Prävention

CSIRT-CAN führt verschiedene Maßnahmen zur Sensibilisierung und Vorbeugung von Vorfällen durch. Dazu gehören:

  1. Definition von Sicherheitsrichtlinien
  2. Unterstützung und Koordinierung beim Schwachstellenmanagement
  3. Berichte, Warnungen und Hinweise zu neuen Bedrohungen und Schwachstellen in Informationssystemen, gesammelt aus verschiedenen anerkannten Quellen, einschließlich eigener.
  4. Forschung und Verbreitung bewährter Verfahren zur Informationssicherheit.
  5. Cybersicherheitsschulungen und Sensibilisierung für Beschäftigte im öffentlichen Dienst mit unterschiedlichen Profilen und Ausbildungsniveaus sowie Schulung und Bewusstseinsbildung für die breite Öffentlichkeit.
  6. Organisation und Teilnahme an Cybersicherheitsveranstaltungen und Kongressen.

5.2. Vorfallreaktion

CSIRT-CAN bietet technische und operative Unterstützung in den verschiedenen Phasen des Vorfallmanagementprozesses: Erkennung, Analyse, Meldung, Eindämmung, Beseitigung und Wiederherstellung. Dieser Prozess umfasst die Bewertung und Priorisierung (Triage) der verfügbaren Informationen, ihre Validierung und Überprüfung, die Erhebung zusätzlicher erforderlicher Nachweise, die Kommunikation mit den betroffenen Parteien und schließlich die Lösung des Vorfalls.

Ferner berät es die Teams zu den geeignetsten Maßnahmen, überwacht das Vorfallmanagement und fordert die entsprechenden Berichte an (die zuständigen Stellen erstellen einen Cybervorfallbericht, in dem Ursache, Kosten und die von der Organisation zu ergreifenden Maßnahmen zur Verhinderung künftiger gleichartiger Cybervorfälle dargelegt werden).

5.3. Vorfallkoordinierung

CSIRT-CAN koordiniert das Vorfallmanagement mit dem CCN sowie anderen nationalen und internationalen Einrichtungen.

5.4. Überwachung

CSIRT-CAN hat ein Frühwarnsystem (SAT) für die Erkennung von Vorfällen in Organisationen seiner Gemeinschaft implementiert, das vom CCN-CERT entwickelt wurde.

5.5. Entwicklung von Cybersicherheitslösungen und -werkzeugen

CSIRT-CAN fördert die Entwicklung von Lösungen, die die Sicherheit der Systeme gewährleisten und zu einem besseren Cybersicherheitsmanagement in jeder Organisation beitragen. Diese Lösungen konzentrieren sich hauptsächlich auf Erkennung, Analyse, Prüfung und Informationsaustausch.

5.6. Forensische Analyse und Malware-Analyse

CSIRT-CAN verfügt über Ausrüstung und spezialisiertes Personal für die forensische Analyse von Geräten, die in komplexe Vorfälle verwickelt sind.

Ebenso ist CSIRT-CAN in der Lage, statische und dynamische Analysen von Schadcode-Proben durchzuführen, um Erkennungsmuster zu generieren.

Vorfälle können gemeldet werden über:

  • Dediziertes Postfach: info.srv@csirtcan.org
  • LUCIA: Tool zur Vorfallmeldung.
  • Telefonnummern, die während des Beitrittsprozesses oder der Vorfallunterstützung bereitgestellt werden.

Das CSIRT-CAN-Team übernimmt keine Verantwortung für den Missbrauch der hier enthaltenen Informationen.