![[externer Link]](../../../../images/link.gif)
www.bmi.bund.de/Internet/Content/Nachrichten/Pressemitteilungen/2005/08/Nationaler__Plan__zum__Schutz__der__Informationsinfrastrukturen.html).Bislang getrennte Infrastrukturkomponenten konvergieren und die Zahl der damit verbundenen Bedrohungen nimmt weiter deutlich zu – kein Wunder: Konvergenz bietet Einsparpotenzial und neuen Mehrwert, zugehörige Bedrohungen manifestieren sich erst nach und nach. Auch wenn es vielen schwer fällt, "ihre" IT-Sicherheit mit Terroristen und Kriminellen in einem konkreten Zusammenhang zu sehen, so werden doch immer mehr von uns Teil der nationalen – und letzlich weltweiten – IT-Infrastruktur, um die es im "Nationalen Plan zum Schutz der Informationsinfrastrukturen" geht ( www.bmi.bund.de/Internet/Content/Nachrichten/Pressemitteilungen/2005/08/Nationaler__Plan__zum__Schutz__der__Informationsinfrastrukturen.html).
Betrachtet man die drei strategischen Ziele des NPSI – Prävention, Reaktion und Nachhaltigkeit –, so passt dies genau auf die typische Dreiteilung von CERT-Dienstleistungen (vgl. www.cert.org/csirts/services.html). Natürlich setzt jedes CERT eigene Schwerpunkte des Handelns, doch wird niemand heute allein auf die Reaktion bei IT-Sicherheitsvorfällen bauen, sondern versuchen, diese durch präventive Maßnahmen zu verhindern und durch Feedbackstrukturen aus Erfahrungen zu lernen – und zwar nicht nur kurzfristig, sondern nachhaltig. Der NPSI spricht in diesem Zusammenhang von Umsetzungsplänen, denn nicht nur die Strategie zählt, sondern was man damit und daraus macht. Das gilt für unseren Staat und seine Organe genau so wie für Unternehmen, ob sie nun zu den kritischen Infrastrukturen gezählt werden oder (noch) nicht.
Alle CERTs – und ähnliche Dienstleistungen, die nicht derart institutionalisiert sind, aber dem Risiko- oder Sicherheitsmanagement zugeordnet werden – sind bereits Teil einer solchen Strategie-Umsetzung. Hier gilt es kontinuierlich zu prüfen, inwieweit sie zu den NPSI-Zielen beitragen und was verbessert werden kann.
Für IT-Sicherheit müssen alle Beteiligten an einem Strang ziehen, damit getroffene Maßnahmen Erfolg haben. Der NPSI stellt dies auch im Hinblick auf das gemeinsame Vorgehen von Staat, Wirtschaft und Gesellschaft fest. Dies wirft für jede Organisation zwei Fragen auf:
Mit der ersten Frage beschäftigen sich CERTs quasi hauptberuflich, denn genau das ist ihr Ziel und eine Vorbedingung für ihren Erfolg. Auch im Außenverhältnis sind CERTs traditionell aktiv, allerdings ohne den weitreichenden Anspruch des NPSI. Aber: Um ihre Organisation wirksam zu schützen, ist eine Integration in den Informationsfluss der weltweiten CERT-Netzwerke notwendig. Der deutsche CERT-Verbund hat bereits bei seiner Gründung 2002 diese Problematik aufgegriffen und pragmatisch Interessen gebündelt, sodass ein gemeinsames Vorgehen unbürokratisch abgestimmt werden kann. Allerdings werden die im NPSI angekündigten klaren Vereinbarungen zwischen Bund und Wirtschaft diese bislang informelle Zusammenarbeit zur "Chefsache" machen. Dies ist besonders für diejenigen CERTs gut, die unter zu wenig Aufmerksamkeit des oberen Managements leiden.
Andererseits kann die Beteiligung der Chefetage auch zu ständigen Diskussionen über den Informationsaustausch mit der Außenwelt führen: Denn wo immer es um Verwundbarkeit oder gar konkrete Vorfälle geht, haben die Beteiligten definitiv kein Interesse an einer weitreichenden Diskussion mit anderen, (zunächst) unbeteiligten. Doch genau diese "Sprachlosigkeit" muss man überwinden: Wie sonst sollen andere Organisationen aus gefundenen Fehlern und gemachten Erfahrungen lernen?
Allein mit Vereinbarungen wird dieser Anspruch, der sogar über den des NPSI hinausgeht, nicht zu erreichen sein. Hier geht es um eine Veränderung der Sicherheits-Kultur aller Beteiligten und die Gewährleistung zweier Anforderungen: Schutz der Betroffenen und Ermöglichen des Informationsaustauschs. Dies geht nur über neutrale und vertrauenswürdige Dritte, die zudem von den Beteiligten kontrolliert werden.
Interessanterweise wird genau diese Aufgabe bereits seit mehr als 15 Jahren von den so genannten koordinierenden CERTs wahrgenommen, die nicht nur eine bestimmte Organisation versorgen, sondern ganze Gemeinschaften oder Zweckverbünde. Tritt ein Vorfall auf, können die relevanten Details an andere (potenziell) Betroffene weitergemeldet werden, ohne dass hierfür die Identifizierung der bereits geschädigten Organisation notwendig wäre.
Ähnliche Änsätze sind auch in Bezug auf die Frühwarnung ins Gespräch gebracht worden, da dort ebenfalls viele Erkenntnisse über Angriffe anfallen – und damit sowohl über Verursacher als auch über Opfer Daten vorliegen. Dabei ist allerdings eine zentrale Erkenntnis, dass die Rechner, die für einen Angriff benutzt werden, oft selbst missbraucht werden. Also gibt es bei vielen Angriffen sogar zwei Opfer, denen man helfen muss.
Hier – wo CERTs und Frühwarnung überlappen – entsteht auch etwas, was der NPSI fordert: die "aktuelle nationale IT-Sicherheitslage". Bevor nämlich angemessene und wirtschaftliche Entscheidungen getroffen werden können, muss ein verlässliches Lagebild vorliegen; dies gilt in einzelnen Organisationen genauso wie auf nationaler Ebene. Ohne Daten über Angriffe, Angriffstypen, Schäden, Verbreitungsgeschwindigkeit und so weiter zu kennen, fällt es schwer geeignete Strategien aufzustellen oder im konkreten Fall zu entscheiden, ob – und wenn: welche? – Teile eines Netzwerks abzuschalten sind.
Die im NPSI angesprochene internationale Zusammenarbeit spielt auch und gerade bei IT-Sicherheitsvorfällen eine Rolle: diese machen ja nicht an der Grenze halt. Alle genannten Probleme stellen sich somit nicht nur für jedes einzelne Unternehmen und jede Behörde, sondern auch für Deutschland als Ganzes und für Deutschland als Teil des internationalen Netzwerks. Denn viele Komponenten der nationalen Infrastruktur sind so mit denen anderer Nationen verknüpft, dass Kaskade-Effekte auch länderübergreifend eintreten. Und in vielen Fällen gehören Komponenten wenigstens zum Teil ausländischen Unternehmen.
Die Suche nach einvernehmlichen Lösungen wird uns hierbei wohl noch länger beschäftigen, und der Ansatz, zumindest auf nationaler Ebene die Dinge in die Hand zu nehmen, ist zielführend. Man stelle sich vor, wie schwierig sich die Vereinbarung eines "Internationalen Plans zum Schutz der Informationsinfrastrukturen" gestalten würde. Insgesamt ist dabei zu hoffen, dass sich alle Beteiligten an den Erfahrungen der CERTs orientieren und diese von Beginn an einfließen lassen.
(Fortsetzung folgt in der nächsten <kes>)
Die <kes>-Rubrik CERT News berichtet über aktuelle Entwicklungen aus dem Umfeld von Computer Emergency bzw. Security Incident Response Teams (CERTs/CSIRTs). Betreuer dieser Kolumne ist Klaus-Peter Kossakowski ( www.kossakowski.de), der bereits ab 1992 mit dem Aufbau des ersten CERTs in Deutschland betraut und bis Juni 2005 Vorsitzender des internationalen Dachverbands FIRST ( www.first.org) war.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#5, Seite 66
| 