![[ CERT: Computer Emergency Response Team
CIP: Critical Infrastructure Protection
LE: Law Enforcement]](04-6-052-1.jpg)
Die Zuständigkeiten bei der Bearbeitung von IT-Vorfällen überlappen deutlich; noch größer sind die Überlappungen bezüglich technischer Sachverhalte
Traditionell waren CERTs sicherlich nicht mit der Sicherheit kritischer Infrastrukturen befasst, aber die Zeiten haben sich geändert. Inzwischen gibt es CERTs in Unternehmen, die für kritische Infrastrukturen (mit-)verantwortlich sind. Und neben allen anderen "traditionellen" Sicherheitsaspekten wird vielfach die Kompetenz des CERTs auch im Umfeld der kritischen Infrastruktur genutzt. Gerade wenn durch eine Vernetzung die Sicherheit der kritischen Infrastruktur von der Sicherheit anderer Netze beeinflusst wird, müssen Sicherheitsvorfälle ganzheitlich gesehen werden.
Technisch und organisatorisch gesehen sind die operativen Aufgaben in den Bereichen CERT und CIP beim Auftreten konkreter Sicherheitsvorfälle vergleichbar. Es geht immer um die elementaren Fragen: Wer? Wo? Was? Wie? Warum? Allein der Kontext der Sicherheitsvorfälle ist etwas anders gelagert. Während wir bei CERT oft an Alltagsprobleme denken – ein neuer Patch, ein neuer Wurm, wieder eine neue Sicherheitslücke –, die in einer normalen Netzwerkumgebung auftreten, denken wir bei CIP immer an eine neue Qualität: Banken, Versorgungsunternehmen, Auwirkungen mit nationalem Ausmaß, ...
Tatsächlich gibt es eine Konvergenz der technischen Probleme, denn immer häufiger werden aufgrund der bekannten Faktoren (Kosten, Standardisierung, Beratungspraxis etc.) gleichartige Techniken eingesetzt, ungeachtet der neuen Qualitäten, die dabei in Bezug auf das Risikopotenzial erst geschaffen werden.
Die Zuständigkeiten bei der Bearbeitung von IT-Vorfällen überlappen deutlich; noch größer sind die Überlappungen bezüglich technischer Sachverhalte
Natürlich versuchen wir, die Komplexität durch verschiedenste Einteilungen in den Griff zu bekommen. Aber jede Kategorisierung – "ein CERT macht das nicht" – trägt der hohen Flexibilität dieser Teams gerade nicht Rechnung. Es ist nicht entscheidend, wie man sich nennt; allein die Funktion entscheidet darüber, ob man in seinem Bereich mit kritischen Infrastrukturen befasst ist oder nicht.
In jedem Fall hat die CERT-Gemeinschaft, national und international, für alle, die sich mit kritischen Infrastrukturen beschäftigen müssen, etwas zu geben. Ob es Modelle für die Zusammenarbeit sind oder funktionierende Netzwerke für den Informationsaustausch, es gibt zahlreiche Anknüpfungspunkte.
Aber ungeachtet dieser Möglichkeiten, von existierenden Ansätzen zu profitieren, gibt es den Bedarf neuer Netzwerke. Der Erfahrungsaustausch im CIP-Bereich ist genauso notwendig wie in anderen Bereichen, in denen sich ein spezielles Expertenwissen herausgebildet hat. Die CERT-Gemeinschaft will – und kann – dies nicht ersetzen.
Wenn aber schon der Zusammenhang zwischen CERT und CIP hinterfragt wird, dann sollte man auch den Bereich der Ermittlungsbehörden ansprechen (Law Enforcement, LE). Hier gibt es ähnliches zu sagen, Gemeinsamkeiten gibt es genauso wie Unterschiede, eins ist aber gewiss: Ohne eine Zusammenarbeit geht es nicht. Ob ein Unternehmen Ermittlungen einleiten möchte, muss es in der Regel selbst entscheiden, wenn es sich aber dafür entschieden hat, dann muss eine reibungslose und schnelle Kommunikation möglich werden, wenn man etwas erreichen möchte.
Insgesamt sehen sich also alle drei Bereiche damit konfrontiert, mit einem oder allen anderen Bereichen zusammenarbeiten zu müssen. Was wirklich notwendig ist, entscheidet dabei nicht irgendein schematisches Verständnis, sondern allein der Sicherheitsvorfall, der zu lösen ist – schnell, effektiv und ohne große (Folge-)Schäden!
Die <kes>-Rubrik CERT News berichtet über aktuelle Entwicklungen aus dem Umfeld von Computer Emergency bzw. Security Incident Response Teams (CERTs/CSIRTs). Betreuer dieser Kolumne ist Klaus-Peter Kossakowski (![[externer Link]](../../../../images/link.gif)
www.kossakowski.de), der bereits ab 1992 mit dem Aufbau des ersten CERTs in Deutschland betraut war und seit Juni 2003 Vorsitzender des internationalen Dachverbands FIRST ( www.first.org) ist.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004#6, Seite 52
| 