Vorfallsreaktionsplan für Weblate

Umfang und Ziele

Dieser Vorfallsreaktionsplan deckt Vorfälle ab, welche die Vertraulichkeit, Integrität oder Verfügbarkeit einer Weblate-Bereitstellung beeinträchtigen.

Bemerkung

Der Plan ist speziell für Bereitstellungen von Weblate durch Weblate s.r.o. konzipiert, kann aber in ähnlicher Weise auf andere Bereitstellungen angewendet werden.

Rollen und Zuständigkeiten

  • Leiter der Vorfallsreaktion: Koordiniert alle Phasen des Reaktionsprozesses.

  • Systemadministrator: Führt Eindämmungs- und Wiederherstellungsmaßnahmen durch.

  • Sicherheitsbeauftragter: Bewertet die Auswirkungen auf die Sicherheit und die regulatorischen Konsequenzen.

  • Datenschutzbeauftragter: Bewertet, ob personenbezogene Daten (PII) kompromittiert wurden, und verwaltet die obligatorischen DSGVO-Benachrichtigungen.

  • Kommunikationsleiter: Verwaltet bei Bedarf Benachrichtigungen an interne Interessengruppen und externe Parteien.

Kommunikationsvorgehen

  • Interne Kommunikation:

    • Hauptkanal ist Signal für die Koordinierung von Mensch zu Mensch.

    • Technische Warnungen bleiben außerhalb von Signal, um Rauschen zu vermeiden.

  • Externe Kommunikation:

    • E-Mail wird verwendet, um Kunden zu erreichen.

    • Kundenkontaktlisten werden an mehreren Orten geführt, um den Zugriff bei Ausfällen des Dienstes zu gewährleisten.

  • Öffentliche Bekanntmachung:

Vorfallskategorien und Schweregrad

Kategorien von Vorfällen

  • Kategorie 1 – Unbefugter Zugriff

  • Kategorie 2 – Verstoß gegen die Datenintegrität

  • Kategorie 3 – Dienstausfall oder -verschlechterung

  • Kategorie 4 – Fehlkonfiguration oder Bereitstellungsfehler

Schweregrade und Service-Level-Vereinbarungen

Gewichtung

Definition

Zielvorgabe für Bestätigung

Zielvorgabe für erste Maßnahme

Kritisch

Totalausfall; Kompromittierung der Administratoren; Aktive Datenpanne.

< 30 Minuten

4 Stunden

Hoch

Ausfall einer Kernfunktion; Offenlegung personenbezogener Daten eines einzelnen Benutzers.

< 2 Stunden

12 Stunden

Mittel

Leistungsverschlechterung; Geringfügiges Sicherheitsproblem.

1 Arbeitstag

3 Arbeitstage

Niedrig

UI-Fehler; Staging-Probleme; Nicht sicherheitsrelevante Fehler.

Bestmögliches Ergebnis

Bestmögliches Ergebnis

Lebenszyklus der Vorfallsreaktion

Vorbereitung

  • Sorgen Sie für regelmäßige tägliche Sicherungen der PostgreSQL-Datenbank und des Datenverzeichnisses mit der in Weblate integrierten Sicherung mit Rotation, siehe Weblate sichern und verschieben.

  • Stellen Sie sicher, dass Weblate einen korrekt konfigurierten Reverse-Proxy (z. B. NGINX) mit HTTPS (TLS 1.2+) verwendet.

  • Aktivieren Sie 2FA für alle Konten auf Administratorebene.

  • Halten Sie die Weblate-Instanz und ihre Abhängigkeiten (Python, Django, Celery, Datenbank usw.) auf dem neuesten Stand.

  • Integrieren Sie SIEM-Systeme mithilfe des GELF-Protokolls für die Weiterleitung von Audit- und Anwendungsprotokollen.

Identifizierung

  • Überwachen Sie System- und Anwendungsprotokolle (journalctl, Reverse-Proxy-Protokolle, Weblate-Anwendungs- und Auditprotokolle).

  • Analysieren Sie Ereignisse bei der Anmeldung, Webhook-Ausführungen und Push-/Pull-Fehler.

  • Konfigurieren Sie Warnmeldungen (über Prometheus, Zabbix oder SIEM) bei mehrfachen Anmeldefehlern, unerwarteten Neustarts oder unregelmäßigen VCS-Aktionen.

Eindämmung

  • Forensische Aufbewahrung: Bei Vorfällen der Kategorie 1 oder 2 sollten Sie einen manuellen Hetzner Cloud Snapshot erstellen, bevor Sie störende Maßnahmen ergreifen.

    • Namensformat: IRP-[CaseID]-[YYYYMMDD]-Evidence.

    • Diese unterscheiden sich von den standardmäßigen rotierenden Sicherungen und müssen für Analysezwecke aufbewahrt werden.

  • Vorübergehende Einschränkung des Zugriffs (z. B. über Firewall-Regeln oder die Isolierung von Diensten).

  • Deaktivieren Sie externe Integrationen (Git/Webhooks), wenn diese Teil des Angriffsvektors sind.

  • Sperren Sie betroffene Benutzerkonten sofort.

Eliminierung

  • Entfernen Sie alle nicht autorisierten Codes oder Daten.

  • Schließen Sie bekannte Sicherheitslücken, indem Sie Weblate oder Serverkomponenten aktualisieren.

  • Validieren Sie die Integrität von Binärdateien und Repositorys anhand von SHA-256-Prüfsummen oder Git-Protokollen.

Wiederherstellung

  • Stellen Sie betroffene Dienste oder Daten aus den letzten als funktionierend bekannten Weblate-Sicherungen wieder her.

  • PII-Bewertung: Der Datenschutzbeauftragte entscheidet, ob die Verletzung eine Benachrichtigung innerhalb von 72 Stunden gemäß DSGVO erfordert.

  • Führen Sie die Dienste schrittweise wieder ein.

  • Überwachen Sie die Protokolle und das Systemverhalten kontinuierlich für mindestens 72 Stunden nach der Wiederherstellung.

Überprüfung nach Vorfall

  • Zeitplan: Halten Sie innerhalb von 5 Werktagen nach Abschluss des Vorfalls eine Überprüfungssitzung ab.

  • Erstellen Sie einen vollständigen Zeitplan für den Vorfall und die ergriffenen Maßnahmen.

  • Führen Sie eine Fehler-Ursachen-Analyse durch und dokumentieren Sie diese innerhalb von 10 Arbeitstagen.

  • Aktualisieren Sie die Dokumentation zu den Sicherheitsrichtlinien und zum Vorfallsreaktionsplan auf Grundlage der Ergebnisse.

  • Überprüfen Sie die Wirksamkeit der Erkennungs- und Eindämmungsmechanismen.