Security-Informationen: Neues Ampel-Protokoll soll Vertraulichkeit vereinfachen

Das Traffic Light Protocol hat sich für die Kennzeichnung vertraulicher Informationen etabliert. TLP Version 2.0 soll die Absicht des Autors klarer machen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 11 Beiträge
Zwei Verkehrsampeln vor wolkigem Abendhimmel.

(Bild: monticello/Shutterstock.com)

Von
  • Jürgen Schmidt

Das Traffic Light Protocol, kurz TLP, hat sich in der Security-Community für die Einstufung der Vertraulichkeit von Informationen durchgesetzt. Die Vereinigung der Security Response Teams FIRST hat jetzt TLP Version 2.0 veröffentlicht – versehen mit dem Label "TLP:CLEAR" für freie Weitergabe.

Die Vorgaben des TLP zielen darauf ab, dass man die Intention des Autors unmittelbar versteht: Rot steht für "nur für dich", Gelb signalisiert "eingeschränkte Weitergabe möglich" und Grün bedeutet weitgehend freie Weitergabe, zumindest innerhalb der Security-Community. Die TLP-Stufe bezieht sich ausschließlich auf die angestrebte Vertraulichkeit, nicht auf Fragen des Urheberrechts. Dabei macht TLP auch keine Angaben, wie die jeweils angestrebte Vertraulichkeit sicherzustellen ist oder zu Sanktionen bei Verstößen.

Die Änderungen in Version 2.0 sind weitgehend kosmetischer Natur und sollen die TLP-Nutzung weiter vereinfachen. Das einzig neue Element ist "TLP:AMBER+STRICT", das die Weitergabe nur innerhalb einer Organisation erlaubt; "TLP:AMBER" schliesst die eigenen Kunden mit ein. Und TLP:CLEAR ersetzt das alte TLP:WHITE.

Die TLP-Level und ihre Bedeutung:

  • TLP:RED – nur für den individuellen Empfänger; keine Weitergabe.
  • TLP:AMBER (gelb) – beschränkte Verbreitung nur an Leute, die das innerhalb einer Organisation wissen müssen. Schließt Weitergabe an Kunden mit ein ("clients" im Original). TLP:AMBER+STRICT schließt Kunden aus.
  • TLP:GREEN – Weitergabe innerhalb der eigenen Community
  • TLP:CLEAR – keine Beschränkung der Weitergabe

Die TLP-Definitionen des FIRST enthalten weitere Erklärungen der Begrifflichkeiten und deren Interpretation. Außerdem machen sie auch Vorgaben zum Color-Coding, das hier jedoch aufgrund von Beschränkungen des CMS nicht eingehalten werden konnte (es kann weder den vorgeschriebenen schwarzen Hintergrund noch gelbe Schrift).

(ju)