CERT
News

CERT-Statistiken

Ordnungsmerkmale

erschienen in: <kes> 2004#1, Seite 84

Rubrik: CERT News

Zusammenfassung: Statistiken sind gefragt, besonders in Sachen Sicherheit. Ein EU-gefördertes Projekt hat frei verfügbare Quellen zusammengetragen und einen ersten Schritt in Richtung "gemeinsame CERT-Statistik" gemacht.

Eine der populärsten Grafiken im CERT-Umfeld ist die Anzahl der Vorfälle, die das CERT Coordination Center (CERT/CC) bearbeitet hat. Auf [externer Link] www.cert.org/stats/ gibt es diese und andere Zahlen, die in der Regel einen starken Anstieg von einem zum anderen Jahr zeigen. Doch ohne ein detailliertes Verständnis, was dort überhaupt angegeben wird, kann man diese simple Statistik eigentlich getrost ignorieren – überhaupt hat die Zahl der bearbeiteten Vorfälle noch nie etwas über den Erfolg eines Teams ausgesagt, sondern nur etwas über seine Belastung. Und dafür sind Angaben über die eingehenden E-Mail-Mengen – beim CERT/CC immerhin ca. 1 800 an jedem Tag – fast noch aussagekräftiger.

Ohne Zweifel sind alle im IT-Sicherheitssektor auf der Suche nach Zahlenmaterial – ob es dabei um die Abschätzung eines bestimmten Risikos geht oder um die Bewertung einer bestimmten Ressource, ... je mehr Informationen desto besser. Nur ist es leider in Deutschland, aber auch international, schwierig überhaupt Daten zu finden.

Frei verfügbare Daten und Datenquellen hat nun das von der EU geförderte Projekt eCSIRT.net zusammengestellt (ohne dabei für die Quellen außerhalb der CERT-Gemeinschaft Anspruch auf Vollständigkeit zu erheben). Unter [externer Link] www.ecsirt.net/service/documents/wp4-links-of-public-statistics.html ist diese Liste zu finden.

Ausgehend von den dabei identifizierten Problemen und den praktischen Erfahrungen aus der eigenen Arbeit wurde dann – zunächst in einer kleineren Gruppe aktiver CERTs – die Aufgabe angegangen, die Grundlagen für gemeinsame Statistiken zu schaffen und anschließend die Daten verschiedener CERTs zusammenzuführen. Der wichtigste Schritt war dabei, eine gemeinsame Klassifikation von Vorfällen und Angriffen aufzustellen, da nur dann eine einheitliche Einstufung möglich ist. Des Weiteren mussten Richtlinien aufgestellt werden, die den Schutz der übermittelten Informationen und den späteren Zugang zu den verschiedenen Ergebnissen regeln.

Mit der erarbeiteten Policy zu den notwendigen Klassifikationen ([externer Link] www.ecsirt.net/service/documents/wp4-clearinghouse-policy-v12.html) wurden dann über mehrere Monate hinweg die Angaben der teilnehmenden Teams gesammelt und in Form interner Statistiken aufbereitet. Für die Öffentlichkeit gibt es eine frei verfügbare Version, in der man allerdings die einzelnen Teams nicht identifizieren kann ([externer Link] www.ecsirt.net/service/documents/wp4-stats/wp4-public-statistics.html). Dennoch ist damit ein erster Eindruck über die Verteilung von Vorfällen möglich. Ebenso sind die Schwerpunkte der täglichen Arbeit der vor allem als Koordinierungszentren tätigen Teams sichtbar, die die Betroffenen bei den notwendigen Arbeiten betreuen und beraten.

Deutlich herausgehoben sind in diesen Ergebnissen die Monate August bis Oktober 2003, die mit ihren weit reichenden Sicherheitslücken und Wurm-/Virus-Programmen viele Arbeitsstunden gekostet haben. Dabei rührt der Aufwand aber nicht nur durch tatsächlich kompromittierte Systeme her: Auch die verstärkte Suche nach verletzlichen Rechnern führte zu vielen eingehenden Berichten und mehr oder weniger aufwändigen Nachsorgemaßnahmen vor Ort.

Das Projekt hat mit dem Dezember 2003 zunächst seine Arbeiten abgeschlossen. Die bisherigen Ergebnisse bleiben allerdings verfügbar und werden aktiv in die Diskussion in der CERT-Gemeinschaft eingebracht. Natürlich bleibt noch viel zu tun, bis sich alle CERTs weltweit auf einen Standard bei der Klassifikation von Vorfällen geeinigt haben – aber zumindest in Europa ist der Anfang gemacht.

Stand der CERT-Entwicklung

Über die letzten 12 Monate hat das CSIRT Development Team des CERT Coordination Center ([externer Link] www.cert.org/csirts/) an einem neuen Dokument gearbeitet, das den bisherigen Zustand der CERT Community und den Stand der Entwicklung darstellen soll (siehe [externer Link] www.sei.cmu.edu/publications/documents/03.reports/03tr001.html). Dazu wurden gezielt CERTs befragt, welche Technologien zum Einsatz kommen und welche Erfahrungen sie grundsätzlich gemacht haben. Auch die organisatorische Position innerhalb der jeweiligen Unternehmen und Organisationen wurde untersucht.

Die <kes>-Rubrik CERT News berichtet über aktuelle Entwicklungen aus dem Umfeld von Computer Emergency bzw. Security Incident Response Teams (CERTs/CSIRTs). Betreuer dieser Kolumne ist Klaus-Peter Kossakowski ([externer Link] www.kossakowski.de), der bereits ab 1992 mit dem Aufbau des ersten CERTs in Deutschland betraut war und seit Juni 2003 Vorsitzender des internationalen Dachverbands FIRST ([externer Link] www.first.org) ist.