Die Zeit zwischen dem Bekanntwerden einer neuen Sicherheitslücke, der Verfügbarkeit eines Exploits und einem neuen Wurm-/Virusangriff auf die entsprechende Lücke hat drastisch abgenommen und lässt heutzutage kaum noch Zeit für umfangreiche Analysen oder vorbeugende Maßnahmen.
In den letzten 12 Monaten hat der Begriff "Frühwarnung" in diesem Lichte eine Inflation erlebt: Inzwischen schmücken sich sowohl Alarmierungssysteme, bei denen es nur um die rasche Information einer bestimmten Zielgruppe geht, als auch Forschungsarbeiten mit diesem publikumswirksamen Begriff. Das zunehmende Interesse von Politik und Wirtschaft ist hierfür mit verantwortlich, wo diese eine Lücke erkannt haben und Lösungen einfordern.
Die Analogien, die für Frühwarnung oftmals bemüht werden, greifen jedoch auf Warnungen vor Naturereignissen und -katastrophen zurück und fordern letztlich etwas – nicht nur für den Bereich der Computernetzwerke – technisch Unmögliches: nämlich das Verhalten von Menschen vorherzusagen. Auch wenn Experten geneigt sind, (vor allem bei Kenntnis neuer Sicherheitslücken) bestimmte Vorhersagen über kommende IT-Angriffe für möglich zu halten, so bewegen wir uns hier doch in einem Raum, in dem es nur um Wahrscheinlichkeiten gehen kann. Dass eine neue Sicherheitslücke überhaupt ausgenutzt wird, ist fast 100%-ig klar. Die Kernfragen sind jedoch andere: Wann wird ein Schadprogramm das erste Mal eingesetzt? Gegen wen läuft es? Nutzt ein Wurm das automatisch aus? Wird man einen solchen Angriff auch automatisiert erkennen können?
Dieser Ernüchterung zum Trotz gibt es natürlich hilfreiche Verfahren, um Angriffe so wie früh wie möglich zu erfassen. Es ist dabei jedoch unabdingbar, Frühwarnung sinnvoll zu definieren (vgl. Kasten), um seriös über die technischen Möglichkeiten zu diskutieren. Da gerade CERTs möglichst frühe Vorab-Informationen benötigen, gibt es dort schon länger Ansätze, schnell und automatisiert neue Trends zu erkennen und auf Angriffe zu reagieren. Die Ansätze gehen dabei von der Beobachtung ganzer Netzwerksegmente ohne operative Systeme (sog. Darknets) über die Auswertung von Firewall-, Router- und IDS-Logs bis hin zu spezifischen Systemen, die auf eindeutige Anzeichen neuer Viren oder Würmer reagieren.
----------Anfang Textkasten----------
Eine sinnvolle "Frühwarnung" muss versuchen, einen Kompromiss zwischen Schnelligkeit und Genauigkeit zu finden:
Aufgrund eindeutiger Erkenntnisse, die noch möglichst wenige betreffen, sind Informationen zu verteilen, die vielen (noch nicht Betroffenen) helfen und (insgesamt) Schlimmeres vermeiden.
----------Ende Textkasten----------
Darauf aufbauend muss es vor allem darum gehen, vorhandene Informationen zur Erstellung und Verbesserung von Lagebildern bezüglich aktueller Bedrohungen zur Verfügung zu stellen, zum Beispiel für Trendanalysen und vergleichende statistische Auswertungen:
Wichtig ist heute daher die Schaffung einer Basisinfrastruktur für diese Ziele. Dazu gehören eine weitergehende Erprobung verfügbarer Ansätze und die Entwicklung von Strategien zur noch rascheren Erkennung. Gerade im Hinblick auf die derzeit unzureichende Versorgung mit zeitnahen Informationen muss bereits kurzfristig eine Nutzung dieser Basisinfrastruktur für die operativen Tätigkeiten der verschiedenen CERTs ermöglicht werden.
Damit würde auch sichergestellt, dass die Integration in lokale Prozesse von Beginn an mit berücksichtigt und verbessert wird und die gewonnenen Erkenntnisse nicht nur von wissenschaftlichem Wert bleiben, sondern sofort in die tägliche Arbeit aller CERTs einfließen. Der CERT-Verbund (![[externer Link]](../../../../images/link.gif)
www.cert-verbund.de) hat diese Problematik erkannt und wird auf Grundlage bereits verfügbarer Komponenten erste Schritte in Richtung einer solchen Basisinfrastruktur gehen und Schnittstellen entwickeln, um diese bei den einzelnen Mitgliedern zu integrieren. Hierüber wird weiter zu berichten sein ...
Die <kes>-Rubrik CERT News berichtet über aktuelle Entwicklungen aus dem Umfeld von Computer Emergency bzw. Security Incident Response Teams (CERTs/CSIRTs). Betreuer dieser Kolumne ist Klaus-Peter Kossakowski ( www.kossakowski.de), der bereits ab 1992 mit dem Aufbau des ersten CERTs in Deutschland betraut und bis Juni 2005 Vorsitzender des internationalen Dachverbands FIRST ( www.first.org) war.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#4, Seite 19
| 