Vorfallsreaktionsplan für Weblate

Umfang und Ziele

This IRP covers incidents impacting the confidentiality, integrity, or availability of Weblate-operated deployments.

Bemerkung

This plan is specifically designed for deployments operated by Weblate s.r.o. Other deployments need to adapt provider-specific and organizational steps to their own environment.

Rollen und Zuständigkeiten

  • Leiter der Vorfallsreaktion: Koordiniert alle Phasen des Reaktionsprozesses.

  • Systemadministrator: Führt Eindämmungs- und Wiederherstellungsmaßnahmen durch.

  • Sicherheitsbeauftragter: Bewertet die Auswirkungen auf die Sicherheit und die regulatorischen Konsequenzen.

  • Datenschutzbeauftragter: Bewertet, ob personenbezogene Daten (PII) kompromittiert wurden, und verwaltet die obligatorischen DSGVO-Benachrichtigungen.

  • Kommunikationsleiter: Verwaltet bei Bedarf Benachrichtigungen an interne Interessengruppen und externe Parteien.

Kommunikationsvorgehen

  • Interne Kommunikation:

    • Hauptkanal ist Signal für die Koordinierung von Mensch zu Mensch.

    • Technische Warnungen bleiben außerhalb von Signal, um Rauschen zu vermeiden.

  • Externe Kommunikation:

    • E-Mail wird verwendet, um Kunden zu erreichen.

    • Kundenkontaktlisten werden an mehreren Orten geführt, um den Zugriff bei Ausfällen des Dienstes zu gewährleisten.

  • Öffentliche Bekanntmachung:

Vorfallskategorien und Schweregrad

Auslösung eines Vorfalls

  • Declare an incident when an event is confirmed or strongly suspected to affect the confidentiality, integrity, or availability of the service beyond routine operational noise.

  • The Security Officer declares the incident, assigns the initial severity, and appoints the Incident Response Lead (IRL).

  • If the Security Officer is unavailable, any available senior operator may declare the incident and hand over ownership as soon as practical.

  • Reclassify the incident if the scope or impact changes during investigation.

Kategorien von Vorfällen

  • Kategorie 1 – Unbefugter Zugriff

  • Kategorie 2 – Verstoß gegen die Datenintegrität

  • Kategorie 3 – Dienstausfall oder -verschlechterung

  • Kategorie 4 – Fehlkonfiguration oder Bereitstellungsfehler

Schweregrade und Service-Level-Vereinbarungen

Gewichtung

Definition

Zielvorgabe für Bestätigung

Zielvorgabe für erste Maßnahme

Kritisch

Total outage; Admin compromise; Active data breach; requires immediate containment.

< 30 Minuten

< 4 Stunden

Hoch

Ausfall einer Kernfunktion; Offenlegung personenbezogener Daten eines einzelnen Benutzers.

< 2 Stunden

12 Stunden

Mittel

Leistungsverschlechterung; Geringfügiges Sicherheitsproblem.

1 Arbeitstag

3 Arbeitstage

Niedrig

UI-Fehler; Staging-Probleme; Nicht sicherheitsrelevante Fehler.

Bestmögliches Ergebnis

Bestmögliches Ergebnis

Lebenszyklus der Vorfallsreaktion

Vorbereitung

  • Sorgen Sie für regelmäßige tägliche Sicherungen der PostgreSQL-Datenbank und des Datenverzeichnisses mit der in Weblate integrierten Sicherung mit Rotation, siehe Weblate sichern und verschieben.

  • Stellen Sie sicher, dass Weblate einen korrekt konfigurierten Reverse-Proxy (z. B. NGINX) mit HTTPS (TLS 1.2+) verwendet.

  • Aktivieren Sie 2FA für alle Konten auf Administratorebene.

  • Halten Sie die Weblate-Instanz und ihre Abhängigkeiten (Python, Django, Celery, Datenbank usw.) auf dem neuesten Stand.

  • Integrieren Sie SIEM-Systeme mithilfe des GELF-Protokolls für die Weiterleitung von Audit- und Anwendungsprotokollen.

Identifizierung

  • Überwachen Sie System- und Anwendungsprotokolle (journalctl, Reverse-Proxy-Protokolle, Weblate-Anwendungs- und Auditprotokolle).

  • Analysieren Sie Ereignisse bei der Anmeldung, Webhook-Ausführungen und Push-/Pull-Fehler.

  • Konfigurieren Sie Warnmeldungen (über Prometheus, Zabbix oder SIEM) bei mehrfachen Anmeldefehlern, unerwarteten Neustarts oder unregelmäßigen VCS-Aktionen.

Eindämmung

  • Create an incident record with a case ID and record timeline updates as actions are taken.

  • Coordinate human response in Signal and keep technical alerting in the existing monitoring systems.

  • For Category 1 or 2 incidents, create a manual Hetzner Cloud Snapshot before taking disruptive action when it is safe to do so.

    • Namensformat: IRP-[CaseID]-[YYYYMMDD]-Evidence.

    • Diese unterscheiden sich von den standardmäßigen rotierenden Sicherungen und müssen für Analysezwecke aufbewahrt werden.

  • Isolate the affected host or service as needed (for example by firewall rules or service isolation).

  • Deaktivieren Sie externe Integrationen (Git/Webhooks), wenn diese Teil des Angriffsvektors sind.

  • Sperren Sie betroffene Benutzerkonten sofort.

  • Revoke or rotate affected administrative, API, VCS, and webhook credentials as applicable.

  • Preserve relevant evidence, including system logs, reverse proxy logs, Weblate application and audit logs, affected configuration state, and the list of impacted credentials or integrations.

Eliminierung

  • Entfernen Sie alle nicht autorisierten Codes oder Daten.

  • Schließen Sie bekannte Sicherheitslücken, indem Sie Weblate oder Serverkomponenten aktualisieren.

  • Validieren Sie die Integrität von Binärdateien und Repositorys anhand von SHA-256-Prüfsummen oder Git-Protokollen.

Wiederherstellung

  • Stellen Sie betroffene Dienste oder Daten aus den letzten als funktionierend bekannten Weblate-Sicherungen wieder her.

  • PII-Bewertung: Der Datenschutzbeauftragte entscheidet, ob die Verletzung eine Benachrichtigung innerhalb von 72 Stunden gemäß DSGVO erfordert.

  • Führen Sie die Dienste schrittweise wieder ein.

  • Confirm the root cause has been removed or a compensating control is in place before restoring normal traffic.

  • Rotate affected credentials and verify integrity of the restored system, repositories, and configuration.

  • The Security Officer and IRL approve returning to normal operations.

  • Überwachen Sie die Protokolle und das Systemverhalten kontinuierlich für mindestens 72 Stunden nach der Wiederherstellung.

Überprüfung nach Vorfall

  • Zeitplan: Halten Sie innerhalb von 5 Werktagen nach Abschluss des Vorfalls eine Überprüfungssitzung ab.

  • Erstellen Sie einen vollständigen Zeitplan für den Vorfall und die ergriffenen Maßnahmen.

  • Führen Sie eine Fehler-Ursachen-Analyse durch und dokumentieren Sie diese innerhalb von 10 Arbeitstagen.

  • Aktualisieren Sie die Dokumentation zu den Sicherheitsrichtlinien und zum Vorfallsreaktionsplan auf Grundlage der Ergebnisse.

  • Überprüfen Sie die Wirksamkeit der Erkennungs- und Eindämmungsmechanismen.

  • Verify whether escalation, alerting, and external communication followed Schwachstellen und Umgang mit Vorfällen as expected.