CERT
News

CERT ist nicht gleich CERT

Ordnungsmerkmale

erschienen in: <kes> 2004#2, Seite 68

Rubrik: CERT News

Zusammenfassung: Hinter dem Schlagwort CERT verbergen sich häufig ganz verschiedene Modelle. Ein neues Handbuch sorgt hier für Klarheit.

Immer wieder beobachtet man, dass "CERT" als Schlagwort benutzt wird, um Aufmerksamkeit auf ein neues Team oder eine Organisationsstruktur zu lenken. Dabei stellen die Verantwortlichen aber allzu oft fest, dass ihnen entweder noch gar nicht klar ist, was "ihr" CERT von all den möglichen Dienstleistungen überhaupt anbieten soll, oder sie erkennen, dass sie bereits ein entsprechendes Dienstleistungsangebot haben, ohne dass dafür der Begriff CERT geprägt worden wäre.

Die eigenen Anforderungen zu definieren ist dabei gar nicht so einfach. Um hierbei zu helfen, gibt es nun nach längerer Vorbereitungszeit ein neues Dokument, das als Fortsetzung des bisherigen CERT-Handbuchs ([externer Link] www.cert.org/archive/pdf/csirt-handbook.pdf) zu sehen ist. Organizational Models for Computer Security Incident Response Teams (CSIRTs) beschäftigt sich ausschließlich mit den verschiedenen, in der Praxis relevanten Modellen: Welche Art Teams existieren und worin unterscheiden sich ihre Dienstleistungen, welche Vor- und Nachteile hat die jeweilige Realisierung... ?

Es ist ein fundamentaler Unterschied, ob ein Sicherheitsteam einer Organisation Firewalls betreibt, dementsprechend auch für Angriffe auf diese verantwortlich ist und dann die notwendigen Maßnahmen quasi "von Amts wegen" ergreift. In einem solchen Fall ist das Team Teil des Betriebes, die Prioritäten werden hierdurch definiert.

Wenn hingegen ein "echtes" Computer-Notfallteam etabliert wird, scheidet die Einbindung in den Betrieb operativer Komponenten regelmäßig aus. Statt dessen bietet es Unterstützung, Beratung und Entlastung der Betroffenen an – abhängig von der organisatorischen Nähe mit mehr oder weniger Autorität versehen. Innerhalb eines Unternehmens kann man Rechte und Pflichten schlichtweg anders regeln, als wenn ein externes CERT zur Unterstützung herangezogen wird.

Insgesamt untersucht das zweite – übrigens englischsprachige – CERT-Handbuch ([externer Link] www.cert.org/archive/pdf/03hb001.pdf) die folgenden Modelle: internes Team, Sicherheitsteam, verteiltes CERT, zentralisiertes CERT, Kombination von verteiltem und zentralisiertem CERT, externes Team, koordinierendes Team. Damit betrachtet das Dokument die gängigsten Modelle. Zwar kann man auch externe Teams verteilt oder kombiniert realisieren, doch ist dies die Ausnahme, da die Resourcen üblicherweise konzentriert werden.

Bleibt noch die Frage zu beantworten, wie man "sein" Modell findet. Ein eigenes Kapitel soll Leser anhand von einigen Fragen zu einem passenden Modell führen:

1. Handelt es sich um ein Sicherheitsteam?
Dies ist mit Ja zu beantworten, falls:
2. Handelt es sich um ein koordinierendes CERT?
Ja, sofern:
3. Handelt es sich um ein internes CERT?
Vermutlich dann, wenn die beiden anderen Optionen ausscheiden oder aber die folgenden Fragen zu bejahen sind:

Zuletzt noch ein Tipp: Ausnahmen bestätigen die Regel. Solange die Verantwortlichen wissen, was sie tun, lässt sich jede Kombination von Dienstleistungen realisieren.

Die <kes>-Rubrik CERT News berichtet über aktuelle Entwicklungen aus dem Umfeld von Computer Emergency bzw. Security Incident Response Teams (CERTs/CSIRTs). Betreuer dieser Kolumne ist Klaus-Peter Kossakowski ([externer Link] www.kossakowski.de), der bereits ab 1992 mit dem Aufbau des ersten CERTs in Deutschland betraut war und seit Juni 2003 Vorsitzender des internationalen Dachverbands FIRST ([externer Link] www.first.org) ist.