Version: 1.5
Datum: 10.05.2024
Klassifizierung: TLP:CLEAR

1. DOKUMENTENINFORMATIONEN

Dieses Dokument beschreibt das CERT Crédit Agricole gemäß der Spezifikation RFC 2350. Es stellt in zusammengefasster Form die Verantwortlichkeiten und Dienstleistungen des CERT Crédit Agricole dar.

1.1. Datum der letzten Aktualisierung

Version 1.5 vom 10. Mai 2024.

1.2. Verteilerliste für Benachrichtigungen

Das CERT-AG verwendet keine Verteilerliste zur Benachrichtigung über Aktualisierungen dieses Dokuments.

1.3. Verfügbarkeit des Dokuments

Das Dokument ist auf der Website des CERT-AG unter der Adresse www.cert-ag.com verfügbar.

1.4. Authentifizierung des Dokuments

Das Dokument ist mit dem PGP-Schlüssel des CERT-AG signiert. Es ist auf der Website des CERT unter folgender Adresse verfügbar: www.cert-ag.com.

1.5. Identifizierung des Dokuments

  • Titel: RFC 2350 CERT-AG
  • Version: 1.5
  • Datum: 10.05.2024
  • Ablauf: Dieses Dokument ist gültig, bis es durch eine spätere Version ersetzt wird.

2. KONTAKTINFORMATIONEN

2.1. Name des Incident-Response-Teams

  • Vollständiger Name: CERT Credit Agricole
  • Kurzname: CERT-AG

2.2. Postanschrift

Crédit Agricole SA
CERT-AG
12 Place des Etats-Unis
92127 Montrouge
FRANKREICH

2.3. Zeitzone

CET/CEST: Europa/Paris (GMT+01:00, und GMT+02:00 für Sommerzeit).

2.4. Telefonnummer

Festnetz: Reserviert für Mitarbeiter der Crédit Agricole Gruppe.

2.5. Faxnummer

Keine.

2.6. Andere Telekommunikationsmittel

Keine.

2.7. E-Mail-Adresse

Um einen Sicherheitsvorfall oder eine Cyberbedrohung zu melden, die auf Einheiten der Crédit Agricole Gruppe abzielt oder diese betrifft, kontaktieren Sie uns bitte unter folgender Adresse: cert@credit-agricole.com.

2.8. Öffentlicher Schlüssel und Verschlüsselungsinformationen

PGP-Verschlüsselung wird im Austausch mit dem CERT verwendet.

  • User ID: CERT Credit Agricole <cert@credit-agricole.com>
  • Key ID: DFB3787D
  • Fingerprint: 3679 5976 A04E 80E6 CEF9 6ADD 3B95 4B4D DFB3 787D

Dieser Schlüssel ist auf der Website www.cert-ag.com verfügbar. Er kann vom öffentlichen Schlüsselserver abgerufen werden: openpgp.circl.lu.

2.9. Teammitglieder

Das CERT besteht aus einem engagierten Team von IT-Sicherheitsanalysten. Der Vertreter des CERT Crédit Agricole ist Marc Frédéric Gomez. Die vollständige Liste der Teammitglieder ist nicht öffentlich.

2.10. Weitere Informationen

Keine.

2.11. Kontaktstellen

Benachrichtigungen sind per E-Mail an die in Abschnitt 2.7 – E-Mail-Adresse angegebene Adresse zu senden. Der PGP-Schlüssel des CERT muss verwendet werden, um die Integrität und Vertraulichkeit des Austauschs zu gewährleisten.

Im Notfall ist die telefonische Kontaktstelle die in Abschnitt 2.4 Telefonnummer angegebene. Alle Dienste des CERT funktionieren 24/7. Die Analysten des CERT gewährleisten einen telefonischen Bereitschaftsdienst.

3. CHARTA

3.1. Aufgabenbeschreibung

Die Aufgabe des CERT-AG ist:

  • Bereitstellung von Überwachungs- und Berichtsdiensten im Bereich Cyber Threat Intelligence, um Bedrohungen gegen die Crédit Agricole Gruppe vorherzusehen und zu verhindern;
  • Koordinierung, Untersuchung und Bearbeitung von Cybersicherheitsvorfällen, die eine Einheit der Crédit Agricole Gruppe betreffen können;
  • Aufrechterhaltung der Zusammenarbeit mit vertrauenswürdigen Sicherheitsgemeinschaften (CSIRT und CERT).

3.2. Zusammensetzung

Das CERT Crédit Agricole ist ein internes CERT für die Einheiten der Crédit Agricole Gruppe. Das CERT der Crédit Agricole arbeitet nur für die Einheiten der Crédit Agricole Gruppe und ihre Tochtergesellschaften.

3.3. Sponsoring/Zugehörigkeit

Das CERT Crédit Agricole ist Teil der Crédit Agricole S.A.

3.4. Befugnis

Das CERT Crédit Agricole handelt unter der Autorität des CISO der Crédit Agricole Gruppe. Die Aufgaben des CERT werden von einer repräsentativen Instanz der Crédit Agricole Gruppe entschieden und validiert.

4. RICHTLINIEN

4.1. Arten von Vorfällen und Servicelevel

Das CERT gewährleistet die Koordinierung, Untersuchung und Bearbeitung von Sicherheitsvorfällen, die die Einheiten der Crédit Agricole Gruppe betreffen. Das CERT Crédit Agricole greift bei jedem Vorfall im Bereich Sicherheit oder Cyberkriminalität ein, der potentiell oder nachweislich die Einheiten der Crédit Agricole Gruppe betrifft.

Das CERT kann von Einheiten für spezifische Expertisen beauftragt werden, die den Zugriff auf Geräte, Mitarbeitergeräte (wie PCs oder Smartphones) oder auf Protokolle von Netzwerk- oder Sicherheitsgeräten erfordern.

Das von CERT-AG angebotene Unterstützungsniveau kann von der Art des Vorfalls, der Vollständigkeit der verfügbaren Informationen und den verfügbaren Ressourcen für die Bearbeitung abhängen.

4.2. Zusammenarbeit, Interaktion und Informationsaustausch

Das CERT-AG betrachtet die operative Koordinierung und den Informationsaustausch zwischen CERTs, CSIRTs und SOCs als wichtiges Element. Das Team tauscht hauptsächlich Erfahrungsberichte und relevante Informationen aus, um die Wirksamkeit der Erkennung und Behandlung spezifischer Vorfälle zu verstärken.

Die vom CERT-AG mit der gesamten Sicherheitsgemeinschaft, CERTs/CSIRTs außerhalb der Gruppe ausgetauschten Informationen sind auf technische Informationen beschränkt, die in seinen Verantwortungsbereich fallen und streng notwendig sind. Keine gruppenspezifischen Daten oder personenbezogenen Daten werden ohne ausdrückliche Zustimmung der befugten und betroffenen Personen ausgetauscht.

Kein Vorfall oder keine Schwachstelle wird ohne Zustimmung aller beteiligten Parteien öffentlich bekannt gegeben. Sofern nicht anders vereinbart, bleiben die bereitgestellten Informationen vertraulich.

Auf Gruppenebene verpflichtet sich CERT-AG, alle notwendigen Informationen mit anderen Sicherheitsteams der Einheiten auszutauschen, die bei Bedarf betroffen sein könnten.

4.3. Kommunikation und Authentifizierung

Das CERT Crédit Agricole empfiehlt das Senden von Informationen per verschlüsselter E-Mail. Das CERT respektiert die Regeln der Crédit Agricole Gruppe in Bezug auf die Vertraulichkeit beim Austausch und der Speicherung sensibler oder personenbezogener Daten. Bei seinem Austausch mit anderen Sicherheitsgemeinschaften respektiert das CERT die Vertraulichkeitsregeln namens „TLP“ für Traffic Light Protocol.

5. DIENSTLEISTUNGEN

5.1. Reaktion auf Vorfälle

Das CERT bietet folgende Dienste zur Reaktion auf Vorfälle an:

  • Warnungen und Benachrichtigungen
  • Vorfallsmanagement
  • Vorfallsanalyse und -reaktion
  • Schwachstellenanalyse
  • Malware-Analyse
  • Digitale Untersuchungen
  • IOC-Austausch.

5.2. Vorfalls-Triage

Eine erste Bewertung wird durchgeführt, um den Sicherheitsvorfall zu bestätigen und den Schweregrad des Vorfalls basierend auf der Kritikalität der betroffenen Assets zu bewerten. Dieser Schweregrad kann während der Vorfallsbehandlung überarbeitet werden, um die Prioritätenverwaltung anzupassen.

5.3. Vorfallskoordinierung

Die Vorfallskoordinierung umfasst folgende Dienstleistungen:

  • Identifizierung von Eindämmungs- und Abhilfemaßnahmen nach der Erkennung des Vorfalls;
  • Benachrichtigung der Beteiligten unter Beachtung des Need-to-know-Prinzips;
  • Organisation der Koordinierung zwischen den Beteiligten;
  • Identifizierung des kompromittierten Perimeters;
  • Technische Analyse der Vorfallsursache;
  • Erstellung von Korrekturmaßnahmen als Reaktion auf Angriffe.

5.4. Vorfallsauflösung

Bei der Vorfallsauflösung stellt das CERT insbesondere bereit:

  • Verbesserungsvorschläge aufgrund der Feststellungen und Beobachtungen während des Vorfalls;
  • Die durchgeführten digitalen Untersuchungsberichte.

5.5. Proaktive Aktivitäten

Das CERT Crédit Agricole überwacht Bedrohungen, die die Assets der Crédit Agricole Gruppe gefährden könnten:

  • Erkennung von Schwachstellen in den von der Gruppe verwendeten Technologien;
  • Bedrohungsbewertung (Cyber Threat Intelligence);
  • Erkennung externer Datenlecks;
  • Veröffentlichung von Sicherheitsbulletins.

6. STANDARD-VORFALLSFORMULAR

Es gibt kein vorgeschriebenes Vorfallsformular-Format.

7. HAFTUNGSAUSSCHLUSS

Das CERT Crédit Agricole trifft alle notwendigen Vorsichtsmaßnahmen bei der Erstellung seiner Berichte, Benachrichtigungen und Warnungen, jedoch kann seine Haftung im Falle von Fehlern oder Auslassungen nicht geltend gemacht werden, noch im Falle von Schäden, die aus der Nutzung der übermittelten Informationen resultieren.