<aside> <img src="/icons/directional-sign-right_gray.svg" alt="/icons/directional-sign-right_gray.svg" width="40px" /> Viele Daten, insbesondere die über leibniz.cloud bereitgestellten, stellen ein work in progress der verschiedenen Leibniz-Einrichtungen dar, weshalb der Schutzbedarf dieser Daten besonders hoch ist und ein bewusster und sensibler Umgang mit den Daten sichergestellt werden muss. Das Projekt "Stärkung der Informationssicherheit in der Leibniz-Gemeinschaft" und dieser Wissensspeicher nutzen für den Austausch der hier geteilten Daten klare Standards der Informationsweitergabe.

</aside>

Traffic Light Protocoll (TLP)

Das Traffic Light Protocol (TLP) wurde von der internationalen Computer Emergency Response Team (CERT)-Community entwickelt, um den standardisierten Austausch schutzwürdiger, aber nicht formell eingestufter Informationen. Alle Dokumente werden in TLP-Stufen eingeteilt, die die Bedingungen für ihre Weitergabe regeln. Anhand einzelner, klar definierter Stufen wird festgelegt, wer diese Informationen lesen darf. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt und koordiniert die Einführung und Verbreitung des Traffic Light Protocol (TLP) in Deutschland. Gemäß dem Merkblatt des Bundesamtes für Sicherheit in der Informationstechnik werden folgende sechs Stufen des TLP unterschieden:

• TLP: RED - Informationen sind nur für die anwesenden Teilnehmer bestimmt und dürfen nicht weitergegeben werden. Informationen dieser Stufe sind auf den Kreis der Anwesenden in einer Besprechung oder Video-/ Audiokonferenz bzw. auf die direkten Empfänger bei schriftlicher Korrespondenz beschränkt. Eine Weitergabe ist untersagt. TLP:RED eingestufte Informationen sollten möglichst mündlich oder persönlich übergeben werden.
• TLP: AMBER+STRICT - Informationen dürfen nur innerhalb der Organisation des Empfängers und nicht darüber hinaus geteilt werden.
• TLP: AMBER - Informationen dürfen innerhalb der Organisation des Empfängers und an deren Partner auf Basis des "Need-to-know"-Prinzips weitergegeben werden. . Der Informationsersteller kann weitergehende oder zusätzliche Einschränkungen der Informations- weitergabe festlegen, diese müssen eingehalten werden.
• TLP: GREEN - Informationen dürfen innerhalb der jeweiligen Community geteilt werden, nicht aber im öffentlichen Bereich. D.h. die Informationen dürfen nicht veröffentlicht werden.
• TLP: CLEAR - Informationen können ohne Einschränkungen weitergegeben werden.

Kennzeichung

• Bei Nachrichten müssen Kennzeichnungen so erfolgen, dass sie für den Leser sofort deutlich erkennbar werden. Das TLP-Kennzeichen muss direkt vor der Information vorangestellt werden.
• Bei E-Mails sollte das TLP-Kennzeichen zusätzlich vorangestellt im Betreff der E-Mail stehen.
• Bei Dokumenten muss die Kennzeichnung in einer gut lesbaren Schriftgröße (12 pt oder größer) in der Kopf- und Fußzeile jeder Seite erfolgen.
• Bei Dateien sollte das TLP-Kennzeichen dem Dateinamen hinzuzugefügt werden.

Elektronische Übetragung

Informationen der TLP-Stufen TLP: RED, TLP: AMBER und TLP:AMBER+STRICT müssen bei elektronischer Übertragung über ungeschützte Übertragungswege angemessen verschlüsselt werden.

Konsequenzen

Das Traffic Light Protocol (TLP) dient der Schaffung von Vertrauen in Bezug auf den Schutz ausgetauschter Informationen durch Regelungen der Weitergabe. Eine unbefugte Weitergabe kann eine Verletzung der Vertraulichkeit, eine Rufschädigung, eine Beeinträchtigung der Geschäftstätigkeit oder datenschutzrechtlicher Belange zur Folge haben. Im Zweifelsfall ist immer in Absprache mit dem Informationsersteller zu handeln. Bei einem bemerkten Verstoß gegen die Regeln wird die betreffende Person aus dem weiteren Informationsaustausch ausgeschlossen.

Verwendung des TLP-Protocoll in diesem Wiki

Grundsatz: Wenn nicht anders auf dieser Webseite veröffentlicht, gilt die TLP-Stufe TLP: CLEAR. Kennzeichnungen werden nach Bedarf ergänzt.

Wenn Informationen über die Leibniz-Cloud bereitgestellt werden und nicht anders gekennzeichnet sind, gilt die TLP-Stufe AMBER. Dies bedeutet, dass die Informationen innerhalb der Leibniz-Einrichtungen und mit ihren externen Informationssicherheitsberater:innen besprochen werden können, jedoch die Wahrung der Informationen innerhalb der Leibniz-Gemeinschaft sichergestellt ist.