Immer wieder beobachtet man, dass "CERT" als Schlagwort benutzt wird, um Aufmerksamkeit auf ein neues Team oder eine Organisationsstruktur zu lenken. Dabei stellen die Verantwortlichen aber allzu oft fest, dass ihnen entweder noch gar nicht klar ist, was "ihr" CERT von all den möglichen Dienstleistungen überhaupt anbieten soll, oder sie erkennen, dass sie bereits ein entsprechendes Dienstleistungsangebot haben, ohne dass dafür der Begriff CERT geprägt worden wäre.
Die eigenen Anforderungen zu definieren ist dabei gar nicht so einfach. Um hierbei zu helfen, gibt es nun nach längerer Vorbereitungszeit ein neues Dokument, das als Fortsetzung des bisherigen CERT-Handbuchs ( www.cert.org/archive/pdf/csirt-handbook.pdf) zu sehen ist. Organizational Models for Computer Security Incident Response Teams (CSIRTs) beschäftigt sich ausschließlich mit den verschiedenen, in der Praxis relevanten Modellen: Welche Art Teams existieren und worin unterscheiden sich ihre Dienstleistungen, welche Vor- und Nachteile hat die jeweilige Realisierung... ?
Es ist ein fundamentaler Unterschied, ob ein Sicherheitsteam einer Organisation Firewalls betreibt, dementsprechend auch für Angriffe auf diese verantwortlich ist und dann die notwendigen Maßnahmen quasi "von Amts wegen" ergreift. In einem solchen Fall ist das Team Teil des Betriebes, die Prioritäten werden hierdurch definiert.
Wenn hingegen ein "echtes" Computer-Notfallteam etabliert wird, scheidet die Einbindung in den Betrieb operativer Komponenten regelmäßig aus. Statt dessen bietet es Unterstützung, Beratung und Entlastung der Betroffenen an – abhängig von der organisatorischen Nähe mit mehr oder weniger Autorität versehen. Innerhalb eines Unternehmens kann man Rechte und Pflichten schlichtweg anders regeln, als wenn ein externes CERT zur Unterstützung herangezogen wird.
Insgesamt untersucht das zweite – übrigens englischsprachige – CERT-Handbuch ( www.cert.org/archive/pdf/03hb001.pdf) die folgenden Modelle: internes Team, Sicherheitsteam, verteiltes CERT, zentralisiertes CERT, Kombination von verteiltem und zentralisiertem CERT, externes Team, koordinierendes Team. Damit betrachtet das Dokument die gängigsten Modelle. Zwar kann man auch externe Teams verteilt oder kombiniert realisieren, doch ist dies die Ausnahme, da die Resourcen üblicherweise konzentriert werden.
Bleibt noch die Frage zu beantworten, wie man "sein" Modell findet. Ein eigenes Kapitel soll Leser anhand von einigen Fragen zu einem passenden Modell führen:
Zuletzt noch ein Tipp: Ausnahmen bestätigen die Regel. Solange die Verantwortlichen wissen, was sie tun, lässt sich jede Kombination von Dienstleistungen realisieren.
Die <kes>-Rubrik CERT News berichtet über aktuelle Entwicklungen aus dem Umfeld von Computer Emergency bzw. Security Incident Response Teams (CERTs/CSIRTs). Betreuer dieser Kolumne ist Klaus-Peter Kossakowski ( www.kossakowski.de), der bereits ab 1992 mit dem Aufbau des ersten CERTs in Deutschland betraut war und seit Juni 2003 Vorsitzender des internationalen Dachverbands FIRST ( www.first.org) ist.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004#2, Seite 68