Standardisierung ist in Zeiten des immer wichtiger werdenden – und vor allem auch angemahnten – CERT-Informationsaustausches eine zentrale Aufgabe. Die aktiven Player haben unter dem Dach des CERT-Verbunds zusammengefunden, um hier Verbesserungen zu erzielen (vgl. <kes> 2004#5, S. 68). Momentan verwenden fast alle CERTs sowohl intern als auch extern ihr eigenes Advisory-Format. Dabei sind die Inhalte von Advisories verschiedener CERTs meist sehr ähnlich, was nicht überraschen dürfte.
Hierbei sind gerade die lokal vorhandenen Informationen über die eingesetzten Software-Versionen und andere Randbedingungen entscheidend für den Mehrwert: Dieser zeigt sich zum Beispiel in der Ausführlichkeit dargestellter Informationen, der Bewertungsskala für ein Schwachstellenrisiko sowie in den Kriterien und Regeln, die zur Risikobewertung herangezogen werden.
Ein regelmäßiger Informationsaustausch zwischen CERT existiert schon sehr lange. Allerdings trägt der Austausch individuell unterschiedlich formatierter Informationen wenig dazu bei, schnell Gemeinsamkeiten der Bewertung zu erkennen und Unterschiede zu identifizieren. Aber gerade diese Unterschiede bedürfen einer Diskussion im Expertenkreis, sowohl intern als auch mit anderen Teams, um dann gegebenenfalls Korrekturen vorzunehmen. Je schneller ein derartiger Austausch möglich ist, desto größer die Chance, dass Verbesserungen noch vor einer ersten Veröffentlichung gemacht werden können.
Ein Vorfallsbearbeitungssystem schafft die Grundlage für eine strukturierte Ablage und Integration von Informationen über Sicherheitsvorfälle, verfügbare Wissensbasen, Schwachstelleninformationen und Kontakten als Basis einer qualitätsgesicherten Bearbeitung von Anfragen. Eine detaillierte Suche und die Weiterverarbeitung dieser Daten muss dabei jedem berechtigten Mitarbeiter zur Verfügung stehen, am besten über eine Client/Server-Architektur. Die hierfür erforderliche Benutzerverwaltung zusammen mit einem hinterlegten Rollenmodell ermöglicht dann die Bereitstellung und Überwachung von Arbeitsabläufen und ihrer Durchsetzung.
Wichtig sind im CERT-Umfeld besonders die Funktionen:
Das Computer Emergency Response Team für die Bundesverwaltung (CERT-Bund) hatte deshalb das Projekt "Vorfallsbearbeitung für CERT-Bund" in Auftrag gegeben und Erweiterungen für das Open-Source-Produkt OTRS (![[externer Link]](../../../../images/link.gif)
http://otrs.org) entwickeln lassen. Inzwischen ist die erweiterte Software verfügbar und der CERT-Verbund wird künftig neben der Information hierüber (siehe www.cert-verbund.de/vbs/) sowohl die Verteilung der Software als auch den Wissensaustausch rund um das System fördern.
Dieses Jahr richtet der internationale CERT-Dachverband FIRST seine Jahreskonferenz in Singapur aus ( www.first.org/conference/2005/). Zwischen dem 27. Juni und 1. Juli 2005 treffen sich dort viele namhafte Experten aus allen Sektoren und Regionen. Während der ersten beiden Tage gibt es sechs Tutorien in zwei parallelen Tracks. Aufbau von CERTs, Analyse von Artefakten, Krisenkommunikation und technische Aspekte stehen im Vordergrund.
In den drei Tagen der eigentlichen Konferenz wird zum ersten Mal seit Mitte der 90er-Jahre wieder in zwei parallelen Sitzungen versucht, organisatorische von technischen Schwerpunkten zu trennen. Eine weitere Änderung ist die Mischung zwischen eingeladenen Vorträgen (z. B. durch Howard Schmidt, Steve Lipner und Bill Cheswick) sowie Sessions, die aus den Einreichungen Ende letzten Jahres ausgewählt wurden. Beide Ansätze zusammen steigern noch einmal deutlich den Wert der Konferenz für CERT-Mitglieder und -Interessierte. Die nächste Konferenz wird dann 2006 in Baltimore (USA) veranstaltet werden.
Die <kes>-Rubrik CERT News berichtet über aktuelle Entwicklungen aus dem Umfeld von Computer Emergency bzw. Security Incident Response Teams (CERTs/CSIRTs). Betreuer dieser Kolumne ist Klaus-Peter Kossakowski ( www.kossakowski.de), der bereits ab 1992 mit dem Aufbau des ersten CERTs in Deutschland betraut war und seit Juni 2003 Vorsitzender des internationalen Dachverbands FIRST ( www.first.org) ist.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#2, Seite 20
| 