Vorfallsreaktionsplan für Weblate

Umfang und Ziele

Dieser Vorfallsreaktionsplan deckt Vorfälle ab, welche die Vertraulichkeit, Integrität oder Verfügbarkeit von mit Weblate betriebenen Bereitstellungen beeinträchtigen.

Bemerkung

This plan is specifically designed for deployments operated by Weblate s.r.o. Other deployments need to adapt provider-specific and organizational steps to their own environment.

Rollen und Zuständigkeiten

  • Leiter der Vorfallsreaktion: Koordiniert alle Phasen des Reaktionsprozesses.

  • Systemadministrator: Führt Eindämmungs- und Wiederherstellungsmaßnahmen durch.

  • Sicherheitsbeauftragter: Bewertet die Auswirkungen auf die Sicherheit und die regulatorischen Konsequenzen.

  • Datenschutzbeauftragter: Bewertet, ob personenbezogene Daten (PII) kompromittiert wurden, und verwaltet die obligatorischen DSGVO-Benachrichtigungen.

  • Kommunikationsleiter: Verwaltet bei Bedarf Benachrichtigungen an interne Interessengruppen und externe Parteien.

Kommunikationsvorgehen

  • Interne Kommunikation:

    • Hauptkanal ist Signal für die Koordinierung von Mensch zu Mensch.

    • Technische Warnungen bleiben außerhalb von Signal, um Rauschen zu vermeiden.

  • Externe Kommunikation:

    • E-Mail wird verwendet, um Kunden zu erreichen.

    • Kundenkontaktlisten werden an mehreren Orten geführt, um den Zugriff bei Ausfällen des Dienstes zu gewährleisten.

  • Öffentliche Bekanntmachung:

Vorfallskategorien und Schweregrad

Auslösung eines Vorfalls

  • Declare an incident when an event is confirmed or strongly suspected to affect the confidentiality, integrity, or availability of the service beyond routine operational noise.

  • The Security Officer declares the incident, assigns the initial severity, and appoints the Incident Response Lead (IRL).

  • If the Security Officer is unavailable, any available senior operator may declare the incident and hand over ownership as soon as practical.

  • Reclassify the incident if the scope or impact changes during investigation.

Kategorien von Vorfällen

  • Kategorie 1 – Unbefugter Zugriff

  • Kategorie 2 – Verstoß gegen die Datenintegrität

  • Kategorie 3 – Dienstausfall oder -verschlechterung

  • Kategorie 4 – Fehlkonfiguration oder Bereitstellungsfehler

Schweregrade und Service-Level-Vereinbarungen

Gewichtung

Definition

Zielvorgabe für Bestätigung

Zielvorgabe für erste Maßnahme

Kritisch

Totalausfall; Kompromittierung der Administratoren; Aktive Datenpanne; sofortige Eindämmung erforderlich.

< 30 Minuten

< 4 Stunden

Hoch

Ausfall einer Kernfunktion; Offenlegung personenbezogener Daten eines einzelnen Benutzers.

< 2 Stunden

12 Stunden

Mittel

Leistungsverschlechterung; Geringfügiges Sicherheitsproblem.

1 Arbeitstag

3 Arbeitstage

Niedrig

UI-Fehler; Staging-Probleme; Nicht sicherheitsrelevante Fehler.

Bestmögliches Ergebnis

Bestmögliches Ergebnis

Lebenszyklus der Vorfallsreaktion

Vorbereitung

  • Sorgen Sie für regelmäßige tägliche Sicherungen der PostgreSQL-Datenbank und des Datenverzeichnisses mit der in Weblate integrierten Sicherung mit Rotation, siehe Weblate sichern und verschieben.

  • Stellen Sie sicher, dass Weblate einen korrekt konfigurierten Reverse-Proxy (z. B. NGINX) mit HTTPS (TLS 1.2+) verwendet.

  • Aktivieren Sie 2FA für alle Konten auf Administratorebene.

  • Halten Sie die Weblate-Instanz und ihre Abhängigkeiten (Python, Django, Celery, Datenbank usw.) auf dem neuesten Stand.

  • Integrieren Sie SIEM-Systeme mithilfe des GELF-Protokolls für die Weiterleitung von Audit- und Anwendungsprotokollen.

Identifizierung

  • Überwachen Sie System- und Anwendungsprotokolle (journalctl, Reverse-Proxy-Protokolle, Weblate-Anwendungs- und Auditprotokolle).

  • Analysieren Sie Ereignisse bei der Anmeldung, Webhook-Ausführungen und Push-/Pull-Fehler.

  • Konfigurieren Sie Warnmeldungen (über Prometheus, Zabbix oder SIEM) bei mehrfachen Anmeldefehlern, unerwarteten Neustarts oder unregelmäßigen VCS-Aktionen.

Eindämmung

  • Create an incident record with a case ID and record timeline updates as actions are taken.

  • Coordinate human response in Signal and keep technical alerting in the existing monitoring systems.

  • Bei Vorfällen der Kategorie 1 oder 2 sollten Sie einen manuellen Hetzner Cloud Snapshot erstellen, bevor Sie störende Maßnahmen ergreifen, wenn es sicher ist, dies zu tun.

    • Namensformat: IRP-[CaseID]-[YYYYMMDD]-Evidence.

    • Diese unterscheiden sich von den standardmäßigen rotierenden Sicherungen und müssen für Analysezwecke aufbewahrt werden.

  • Isolate the affected host or service as needed (for example by firewall rules or service isolation).

  • Deaktivieren Sie externe Integrationen (Git/Webhooks), wenn diese Teil des Angriffsvektors sind.

  • Sperren Sie betroffene Benutzerkonten sofort.

  • Revoke or rotate affected administrative, API, VCS, and webhook credentials as applicable.

  • Preserve relevant evidence, including system logs, reverse proxy logs, Weblate application and audit logs, affected configuration state, and the list of impacted credentials or integrations.

Eliminierung

  • Entfernen Sie alle nicht autorisierten Codes oder Daten.

  • Schließen Sie bekannte Sicherheitslücken, indem Sie Weblate oder Serverkomponenten aktualisieren.

  • Validieren Sie die Integrität von Binärdateien und Repositorys anhand von SHA-256-Prüfsummen oder Git-Protokollen.

Wiederherstellung

  • Stellen Sie betroffene Dienste oder Daten aus den letzten als funktionierend bekannten Weblate-Sicherungen wieder her.

  • PII-Bewertung: Der Datenschutzbeauftragte entscheidet, ob die Verletzung eine Benachrichtigung innerhalb von 72 Stunden gemäß DSGVO erfordert.

  • Führen Sie die Dienste schrittweise wieder ein.

  • Confirm the root cause has been removed or a compensating control is in place before restoring normal traffic.

  • Rotate affected credentials and verify integrity of the restored system, repositories, and configuration.

  • The Security Officer and IRL approve returning to normal operations.

  • Überwachen Sie die Protokolle und das Systemverhalten kontinuierlich für mindestens 72 Stunden nach der Wiederherstellung.

Überprüfung nach Vorfall

  • Zeitplan: Halten Sie innerhalb von 5 Werktagen nach Abschluss des Vorfalls eine Überprüfungssitzung ab.

  • Erstellen Sie einen vollständigen Zeitplan für den Vorfall und die ergriffenen Maßnahmen.

  • Führen Sie eine Fehler-Ursachen-Analyse durch und dokumentieren Sie diese innerhalb von 10 Arbeitstagen.

  • Aktualisieren Sie die Dokumentation zu den Sicherheitsrichtlinien und zum Vorfallsreaktionsplan auf Grundlage der Ergebnisse.

  • Überprüfen Sie die Wirksamkeit der Erkennungs- und Eindämmungsmechanismen.

  • Verify whether escalation, alerting, and external communication followed Schwachstellen und Umgang mit Vorfällen as expected.