![[externer Link]](../../../../images/link.gif)
www.kossakowski.de), der bereits ab 1992 mit dem Aufbau des ersten CERTs in Deutschland betraut war und seit Juni 2003 Vorsitzender des internationalen Dachverbands FIRST ( www.first.org) ist.Die vielen Viren und Würmer in letzter Zeit haben nicht nur die betroffenen Anwender, sondern auch die CERTs mit viel Arbeit belastet und zwei Fragen in den Vordergrund gestellt:
Die erste Frage rückt Produkte zum Patch-Management in den Vordergrund. Es gibt sogar erste Stimmen, die behaupten, dass damit CERTs überflüssig werden. Das Gegenteil ist eher der Fall, denn wie so oft bei der Sicherheit ist auch das Patch-Management nur ein Tool von vielen, die mit anderen Komponenten eines umfassenden Sicherheitsmanagements zusammenwirken müssen. Auch mit einem automatisierten Patch-Management bleiben viele Probleme erhalten: etwa Wartungszyklen und die Notwendigkeit, mission-critical Systems "am Laufen" zu halten. Und dazu werden Menschen gebraucht, die analysieren, bewerten, abwägen – und dann entscheiden.
Es ist unbestritten, dass viele sicherheitsrelevante Produkte den Menschen ersetzen können – Automatismen sind schneller und auch die langweiligsten Routineaufgaben werden durch Programme anstandslos und ohne Murren Schleife für Schleife durchlaufen. Dennoch führt eine Automatisierung auch zu eng gekoppelten Systemen, die niemand mehr ganz durchschaut und bei denen die Nebenwirkungen eventuell schädlicher sind als die Kur: Was nützt ein automatisiertes Incident-Prevention-System, wenn es die "Zugbrücke hochzieht" und damit auch andere, legitime und vor allem kritische Kommunikation unterdrückt?
Solche eng gekoppelten Systeme entstehen auch, wenn man der zweiten Frage nachgeht: Es gibt unter dem Stichwort Frühwarnung eine beginnende Diskussion, die sich mit deren Aufbau beschäftigt. Auch hier ist zu beobachten, dass angesichts dramatisch kurzer "Frühwarnzeiten" von wenigen Minuten bis einigen Stunden der Mensch eliminiert werden soll. Sensorengestützte Netzwerke im Internet, die automatisch Angriffe erkennen und dann eine weit reichende Alarmierung möglicher Betroffener anstoßen, werden diskutiert und mit der unerschütterlichen Einstellung, dass die "technischen Probleme" zu lösen seien, wird vor allem vom Entscheidungssystem gesprochen.
Auch CERTs sind in diesem Bereich nicht untätig, gehen aber etwas vorsichtiger an die Sache heran: Zum einen ist das Sammeln der notwendigen Daten – auch von rechtlicher und psychologischer Seite – nicht ganz so einfach, wie es sich technisch vielleicht darstellt. Zum anderen setzen Systeme, die nur den konkreten Zustand eines Netzwerks untersuchen, zu spät an: Es ist eine immer wieder überraschende Tatsache, dass gerade bei Computer-Würmern, die über Sicherheitslücken andere im Netzwerk erreichbare Systeme angreifen, die Frühwarnung bereits Wochen – manchmal gar Monate – vorher möglich war. CERT-Experten können eine Sicherheitslücke nämlich frühzeitig als das erkennen, was die Praxis später bestätigt: als Potenzial für einen neuen Wurm oder zumindest als neuer Verbreitungskanal. Diese Bewertungen fließen in die Warnungen bezüglich neuer Sicherheitslücken und Sicherheitsupdates ein, wenngleich in der Regel durch eher nüchterne Begriffe wie "Risiko: sehr hoch" oder "Angriffsvoraussetzungen: Zugang über TCP/IP".
Nicht zuletzt die Erkenntnisse der letzten Monate lassen jedoch erkennen, dass diese Art der Frühwarnung nicht wirksam ist: Selbst wenn man nur die wirklich kritischen Sicherheitsupdates betrachtet, nimmt deren Zahl doch so sehr zu, dass die meisten eher ein Risiko eingehen, als immer neue Unterbrechungen zu dulden oder die sorgfältig austarierten Wartungsintervalle preiszugeben, die für die Stabilität der Anwendungen und des Betriebs notwendig sind.
Damit kommt man wieder zur ersten Frage zurück: An einer Automatisierung und einem möglichst störungsfreien Patch-Management auch im laufenden Betrieb führt kein Weg vorbei. Und hierzu müssen sich CERTs noch viel stärker als heute mit Anwendern und Herstellern entsprechender Produkte zusammensetzen und helfen, diese angemessener und besser zu gestalten. Doch vor allem müssen auch die Betriebssystemhersteller das Patch-Management sicher und effektiv ermöglichen.
Mehr zu "Sensor-Netzwerke und CERTs" in der nächsten <kes>.
Die <kes>-Rubrik CERT News berichtet über aktuelle Entwicklungen aus dem Umfeld von Computer Emergency bzw. Security Incident Response Teams (CERTs/CSIRTs). Betreuer dieser Kolumne ist Klaus-Peter Kossakowski ( www.kossakowski.de), der bereits ab 1992 mit dem Aufbau des ersten CERTs in Deutschland betraut war und seit Juni 2003 Vorsitzender des internationalen Dachverbands FIRST ( www.first.org) ist.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004#3, Seite 69
| 