BSI-Forum

CERT-Bund – eine neue Aufgabe des BSI

Von Günther Ennen, BSI

Mit der Neuorganisation des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wurde zum 1. September 2001 das Referat CERT-Bund eingerichtet. Die wiederholten Angriffe auf IT-Netze und Endsysteme – beispielhaft genannt seien DDoS-Angriffe und Computer-Viren – haben die Notwendigkeit zur Einrichtung einer zentralen Anlaufstelle zur Lösung von Problemen der Rechner- und Netzwerksicherheit für den Bereich des Bundes verdeutlicht.

Der Name des Referates ist Programm: Computer Emergency Response Teams (CERTs) sind eine Art Internet-Feuerwehr. CERTs arbeiten sowohl "präventiv" als auch "reaktiv". Vorbeugend beantworten sie sicherheitsrelevante Anfragen, warnen vor Schwachstellen in Produkten und informieren über sicherheitsrelevante Ereignisse. Im Fall eines Schadens helfen sie, einen schnellen Wiederanlauf der Systeme sicherzustellen.

"Wir haben begonnen, ein Computer Emergency Response Team für die Bundesverwaltung einzurichten, kurz CERT-Bund. Seine Aufgaben bestehen zum einen darin, präventiv Sicherheitslücken in den Computersystemen des Bundes zu finden. Zum anderen wird das CERT-Bund in der Lage sein, rund um die Uhr, sieben Tage die Woche auf mögliche Gefährdungen oder Angriffe zu reagieren und kurzfristige Gegenmaßnahmen zu ergreifen."

Otto Schily, Bundesminister des Innern, auf dem Kongress "Effizienter Staat" (Februar 2001)

Der Prävention kommt dabei zunehmend eine wesentliche Bedeutung zu. Eine angemessene Reaktion bei Eintritt eines Schadens ist nur möglich, wenn im Vorfeld eine umfassende Vorsorge- und Ausfallplanung erarbeitet wurde. Das Chaos mit dem Chaos lässt sich nur vermeiden, wenn die Reaktion auf kritische Ereignisse (Incident Response) wie bei der Feuerwehr geplant und geübt wird. Leicht lassen sich tausend gute Gründe finden, nicht zu proben und zu testen, aber: Von Nichts kommt Nichts!

Das Referat CERT-Bund hat im Fachbereich Internet-Sicherheit folgende Aufgaben:

Warn- und Informationsdienst (WID) – Analyse, Recherche, Dokumentation, Aufbereitung und Weitergabe von sicherheitsrelevanten Informationen,
Hinweise auf Schwachstellen und Vorschlagen präventiver Sicherheitsmaßnahmen,
Kontaktpflege zu Software- und Hardware-Herstellern mit dem Ziel der schnellen Beseitigung von Mängeln,
Aufbau und Pflege einer Schwachstellendatenbank,
Betrieb des Lagezentrums im BSI,
Sensibilisierung der IT-Entscheider und IT-Anwender für CERT-Dienstleistungen,
Zusammenarbeit mit bestehenden CERTs und Unterstützung beim Aufbau von CERT-Strukturen in Deutschland sowie Kooperation im internationalen Bereich,
schnelle und wirksame Hilfe bei sicherheitskritischen Ereignissen.

CERTs bedeuten Mehrwert für Informationen.

Das Referat CERT-Bund bietet die Dienstleistungen sowohl für die Einrichtungen des Bundes als auch in beschränktem Maße für Privatanwender an. Einige Dienstleistungen, zum Beispiel Incident Response, werden derzeit ausschließlich der Bundesverwaltung zur Verfügung gestellt.

Zu den allgemein nutzbaren Diensten zählt in erster Linie der Warn- und Informationsdienst (WID), der auf Schwachstellen in IT-Systemen hinweist und Maßnahmen zur Schließung von Sicherheitslücken vorschlägt. Als Medien für die Kommunikation des WID werden derzeit Informationsseiten im Internet und Mailing-Listen genutzt. In einer späteren Ausbauphase wird dazu von CERT-Bund auch eine Hotline zur Verfügung stehen.

Dem Warn- und Informationsdienst und der Zusammenarbeit in einem CERT-Netzwerk kommt eine besondere Bedeutung zu. Die Motivation hat sowohl wirtschaftliche als auch gesellschaftliche und politische Gründe: Die Bedrohungen aus dem Internet kosten Millionen. Diese Kosten entstehen nicht nur durch tatsächlich entstandene Schäden, sondern auch durch umfangreiche Maßnahmen der Vorsorge. Als ein besonderes Problem erweisen sich zunehmend fehlerhafte oder irreführende Informationen, so genannte Hoaxes. Sie führen in der Administration von IT-Systemen zu Arbeitsaufwand, wo sie nicht unmittelbar als Fehlinformation erkannt werden.

Die Kosten für Sicherheit im Internet können erheblich reduziert werden, wenn qualifizierte Informationen frühzeitig vorliegen und ausschließlich auf qualifizierte Warnungen angemessen reagiert wird. Der Qualität von Information und Warnungen kommt somit eine besondere Bedeutung zu.

Zur Erläuterung ein Beispiel: Jeder neue Virus und jeder neue Wurm ist "neu", weil er eben nicht von den "neuesten" Virensignaturen erkannt wird. Neu ist auch die beobachtete Agressivität, mit der sich Schadprogramme in der jüngeren Vergangenheit verbreiteten. Diese Agressivität wird zunehmend auch durch neue Techniken der Verbreitung gefördert. Beispiele dazu sind CodeRed und Nimda. Ein System zur frühzeitigen Warnung vor sicherheitskritischen Ereignissen, ob Viren oder Denial-of-Service-Attacken, und Informationen mit effizienten Handlungsanweisungen sind erforderlich, um personellen Aufwand und Kosten beim Betrieb von Informationstechnik zu sparen.

Sicherheit im Internet bedeutet: Information ist nicht alles, aber alles ist nichts ohne qualifizierte Informationen. Informationen und Warnungen über den WID aus CERT-Bund sind qualitätsgesichert. Die Qualität entsteht durch eine fachkompetente Analyse und Bewertung von Informationen aus eigener Recherche und aus externen Quellen, etwa Meldungen von Herstellern oder Anwendern. Ziel der Zusammenarbeit in einem CERT-Verbund, in dem zwischen CERTs bereits qualitätsgesicherte Informationen ausgetauscht und abgestimmt werden, ist durch das "Take and Give" sowohl Arbeitsökonomie als auch Schnelligkeit der Informationen sicherzustellen.

Wie erreichen Sie das Team CERT-Bund?

E-Mail: certbund@bsi.bund.de
Web: [externer Link] www.bsi.de/certbund/