TLP:WHITE

Die Implementierung von Traffic Light Protocol (TLP) bei der Provectus Technologies GmbH ist angelehnt an den “FIRST Standards Definitions and Usage Guidance — Version 1.0” und der Implementierung von TLP beim BSI (Version 17-11)

Im Rahmen unserer Tätigkeiten ist der Austausch von nicht-öffentlichen und vertraulichen Informationen notwendig. Das Traffic Light Protocol (TLP) ist eine Vereinbarung zum Schutz dieser Informationen.

Um eine ungewollte Verbreitung oder Veröffentlichung von Informationen zu verhindern wird mit TLP eine klare Kennzeichnung eingeführt, welche die Bedingungen zur Weitergabe regelt.

Beteiligte beim Austausch von Informationen:

  • “Informationsersteller”
  • “Empfänger”
  • “Verteilerkreis”
  • “Organisation”
  • “Partner” (Organisationen mit einem vertraglichen Verhältnis zur Organisation des Empfängers)
  • “Dritte” (Organisationen ohne vertragliches Verhältnis zur Organisation des Empfängers)

Die Einschränkungen zur Weitergabe betreffen Empfänger, Verteilerkreis, Partner und Dritte.

Grundsätzlich gilt für die Weitergabe von Informationen, dass diese nur im Rahmen der geschäftlichen Erfordernisse und unter Beachtung vertraglicher Verpflichtungen (z.B. NDA) stattfinden darf.

TLP Stufen

TLP:RED  Persönlich, nur für bekannte Empfänger

Informationen dieser Stufe sind auf den Kreis der Anwesenden in einer Besprechung oder Video-/ Audiokonferenz bzw. auf die direkten Empfänger bei schriftlicher Korrespondenz beschränkt. Eine Weitergabe ist untersagt.

TLP:AMBER  Eingeschränkte organisationsinterne Verteilung

Informationen dieser Stufe dürfen innerhalb der Organisation des Empfänger und seiner Partner auf Basis des “Need to Know” Prinzips weitergeben werden. Die Weitergabe an Dritte ist untersagt. Es ist dabei sicherzustellen, dass der Verteilerkreis diese Klassifizierung kennt und die damit verbundenen Regeln einhält. Der Informationsersteller kann weitergehende oder zusätzliche Einschränkungen der Informationsweitergabe festlegen.

TLP:GREEn  Organisationsübergreifende Weitergabe

Informationen dieser Stufe dürfen innerhalb der Organisationen des Empfänger und Dritte frei weitergegeben werden. Die Informationen dürfen jedoch nicht veröffentlicht werden.

TLP:WHITe  Uneingeschränkte Weitergabe

So gekennzeichnete Informationen dürfen uneingeschränkt an jeden, weitergegeben werden. Urheberrechtliche Aspekte müssen trotzdem eingehalten werden.

Einstufung und Kennzeichnung

Einstufungen sind klar zu kennzeichnen. Sie gelten in der Regel auch für Auszüge aus eingestuften Dokumenten oder Informationen. Zusätzliche Einschränkungen für den Verteilerkreis können durch den Informationsersteller ergänzend zur TLP-Stufe eingebracht werden. Die Kennzeichnung muss gut lesbar sein.

Werden mehrere Informationen unterschiedlicher TLP-Stufen zusammen gehandhabt, so sind sie entsprechend der höchsten vorliegenden TLP-Stufe zu behandeln.

Bei Nachrichten müssen Kennzeichnungen so erfolgen, dass sie für den Leser sofort deutlich erkennbar werden, z. B. als vorgestellter Text im Betreff oder der Nachricht einer E-Mail. Bei Dokumenten mit Seitenstruktur müssen die Kennzeichnungen in der Kopfzeile jeder Seite erscheinen.

Weitergabe an Dritte

Sollte eine Weitergabe an einen nicht durch die Einstufung genehmigten Empfängerkreis notwendig werden, so ist dieser vor einer eventuellen Weitergabe durch den Informationsersteller nachvollziehbar zu genehmigen. Bei ausnahmsweiser Weitergabe im Rahmen einer bestehenden gesetzlichen Verpflichtung ist der Informationsersteller – nach Möglichkeit vorab – zu informieren.

Vervielfältigung

Die Vervielfältigung von  TLP:AMBER – und  TLP:RED -Informationen muss auf das unbedingt notwendige Maß beschränkt werden. Vervielfältigungen sind genauso zu behandeln wie Originaldokumente einschließlich ihrer Kennzeichnung, Aufbewahrung, Weitergabe und Vernichtung.

Elektronische Übertragung

Informationen der Vertraulichkeitsstufen TLP:AMBER  und  TLP:RED  müssen in der Regel bei elektronischer Übertragung angemessen verschlüsselt werden.

Aufbewahrung von Dokumenten

Elektronische Dokumente mit einer TLP-Stufe  TLP:RED  oder  TLP:AMBER  sollten in der Regel verschlüsselt aufbewahrt werden.

Papierdokumente der TLP-Stufen  TLP:AMBER  und  TLP:RED  müssen in einem verschlossenen Behältnis aufbewahrt werden.

Vernichtung, Löschung und Aussonderung

Festplatten, auf denen Informationen der TLP Stufen TLP:AMBER oder TLP:RED gespeichert wurden, müssen vor Aussonderung sicher gelöscht oder – bevorzugt – irreversibel physisch vernichtet werden. Papierdokumente der TLP-Stufen TLP:AMBER oder  TLP:RED  müssen in geeigneten Aktenvernichtern vernichtet werden.

Kompromittierung von Informationen

Bereits beim Verdacht auf Kompromittierung von Informationen (Verlust usw.) sind umgehend der Informationsersteller zwecks Schadensminimierung über den Sachverhalt zu informieren.

TLP Kennzeichnung bei Provectus Technologies

TLP Bezeichner in Emails

Bei Nutzung von TLP in E-Mail Korrespondenz muss der TLP Bezeichner

  •  TLP:RED immer vor der zu übermittelnden Information angezeigt werden
  • in jedem Fall im Nachrichtenfeld der zu übermittelnden Information angezeigt werden
  • optional zusätzlich im Betreff angezeigt werden
TLP Bezeichner in Dokumenten

Bei Nutzung von TLP in Dokumenten muss der TLP Bezeichner auf jeder Seite mittig ausgerichtet in der Kopfzeile erscheinen

Die Organisation des Informationserstellers oder Eigentümers muss auf jeder Seite in der Fußzeile erkennbar sein

Weitergehende oder zusätzliche Einschränkungen müssen mindestens auf der ersten Seite ersichtlich sein

Provectus Software GmbH
Leopoldstr. 250b
80807 München
Deutschland

+49 89 208042040
info@provectus.de