![[externer Link]](../../../../images/link.gif)
www.trusted-introducer.nl), bei denen sich CERTs akkreditieren.Im ersten Teil der CERT-Sicht auf den "Nationalen Plan zum Schutz der Informationsinfrastrukturen" (NPSI) ging es um die strategischen Ziele, heute um die konkreteren Vorgaben zur Prävention sowie Reaktion und ihre Bedeutung im Umfeld von Computer Emergency Response Teams (CERTs).
Eine enorme Überdeckung gibt es zwischen CERT-Aufgaben und dem NPSI-Präventions-Ziel 1 "Bewusstsein schärfen": Sensibilisierung und Aufklärung über IT-Risiken ist CERT-Tagesgeschäft. Allerdings muss man zugestehen, dass nicht alle Ebenen angesprochen werden. Heutige CERTs konzentrieren sich vorrangig auf Multiplikatoren und Administratoren, sofern es sich um externe, koordinierende Teams wie beispielsweise das CERT des Deutschen Forschungsnetzes (DFN-CERT) handelt. Interne Teams einer Einzelorganisation wirken jedoch in der Regel auch als Teil des internen Risiko- und Sicherheitsmanagements und berichten Entscheidern sowie beraten diese bei anstehenden Maßnahmen.
Zunehmend treten zudem neue Zielgruppen wie Bürgerinnen und Bürger in den Vordergrund. Sie benötigen letztendlich die gleichen Informationen, allerdings ganz anders und für jedermann verständlich aufbereitet. Hier wird vor allem das BSI tätig werden, um diesen großen "weißen Fleck der deutschen CERT-Landkarte" zu schließen. Doch auch andere Zielgruppen sind derzeit noch nicht ausreichend bedient. Ihnen fehlen mit passenden CERTs wichtige Multiplikatoren und vor allem ein Mechanismus, um konsequent aus Fehlern zu lernen und das Sicherheitsbewusstsein zunächst zu schärfen und später ein Abstumpfen zu verhindern.
Der Einsatz sicherer IT-Produkte und -Systeme als Ziel 2 ist etwas, das CERTs nur begrüßen können. Sie sind allerdings gefordert, ihr Wissen über die praktische (Un-)Sicherheit in Prozesse und Produkte einzubringen. Dies ist einfacher, wenn es sich um nationale Entwicklungen handelt, darf und kann sich aber nicht hierauf beschränken.
Vertraulichkeit zu wahren (Ziel 3) ist für CERTs selbstverständlich – schließlich hängt sehr viel davon ab, die Interessen der betreuten Organisationen und ihre sensitiven Informationen zu schützen. Nicht zuletzt deshalb hat der deutsche CERT-Verbund entsprechende Non-Disclosure-Agreements verabschiedet und setzt auf verschlüsselte und digital signierte Kommunikation. Vertrauenswürdigkeit ist das A und O, denn ohne Vertrauen seitens der Zielgruppen, ohne das "Buy-in" der Betreuten kann ein CERT seine Aufgaben nicht erfüllen.
Schon schwieriger ist für CERTs das Ziel 4: "Gewährleisten umfassender Schutzvorkehrungen", denn sie sind durch die bisherige Entwicklung klar auf die Technik fokussiert. Baumaßnahmen, Organisation und personelle Sicherheit obliegen oft ganz anderen Abteilungen. Dagegen spricht zunächst einmal nichts, solange sichergestellt ist, dass alle diese Bereiche zusammenarbeiten. Dies können CERTs jedoch nicht aus sich selbst heraus sicherstellen, sondern müssen hier sehr oft (zunächst) auf das erste der genannten Ziele zurückkommen: Die Entscheider sensibilisieren, sodass hier eine Konvergenz planvoll unter Einbeziehung aller Experten geschaffen wird.
Auch beim Ziel 5 "Rahmenbedingungen und Richtlinien" stehen CERTs eher auf der Seite derer, die von einem solchen Vorgehen profitieren. Schließlich sind CERTs nicht isoliert, sondern agieren eingebettet in ihrem jeweiligen Kontext – egal ob extern oder intern. Die Fähigkeit, mit Angriffen, Vorfällen und Sicherheitslücken "umzugehen" und auf diese "angemessen zu reagieren" (Incident Response) ist ein Aspekt des IT-Sicherheitsmanagements – und daher auch nicht unabhängig von diesem zu sehen. Klare Rahmenbedingungen und Richtlinien sind gut, wenn auch die Aufgabe des Incident Response entsprechend berücksichtigt und abgedeckt wird. Die hiermit beauftragten Mitarbeiterinnen und Mitarbeiter brauchen entsprechende Vorgaben, um effektiv arbeiten zu können.
Zum Ziel 6 "abgestimmte Sicherheitsstrategien" tragen CERTs hingegen schon heute bei: Beispielsweise definieren die Projekte des CERT-Verbunds genau solche gemeinsamen Standards, ohne die eine Kommunikation und Koordinierung bei übergreifenden Angriffen und Krisensituationen nicht möglich ist.
Auch wenn CERTs zur "politischen Willensbildung" (Ziel 7) nicht direkt etwas beitragen, gestalten sie dennoch national und international den Schutz der Infrastrukturen mit. Dies passiert immer dort, wo Technik definiert wird (z. B. bei der IETF) oder wo gemeinsame Sicherheitsinteressen – unabhängig von staatlichen Netzwerken mit ähnlichen Zielen und Interessen – auf der technischen Arbeitsebene (z. B. im FIRST als weltweitem Dachverband) behandelt werden.
Bevor man reagieren kann, muss man erkennen, dass es etwas zu tun gibt. Erkennen, Erfassen und Bewerten – wie es der Nationale Plan in Ziel 8 treffend formuliert – ist unabdingbar für jedes CERT. Tatsächlich sind das die Kernaufgaben, egal, ob die Informationen dabei von innen (z. B. von Mitarbeitern oder IDS) oder von außen stammen, zunächst muss sichergestellt werden, dass diese Informationen überhaupt verfügbar sind.
CERTs in Deutschland haben daher bereits Strukturen aufgebaut oder sich in existierende internationale Strukturen eingeklinkt, damit sie als "Single Point of Contact" für ihre jeweilige Zielgruppe bekannt und erreichbar sind. Nichts anderes ist letztlich der Zweck von Diensten wie Trusted Introducer ( www.trusted-introducer.nl), bei denen sich CERTs akkreditieren.
Während zur Information über sicherheitsrelevante Vorfälle für die kritischsten Situationen immer noch "Handarbeit" zählt, gibt es eine Vielzahl von Sensornetzen und versteckten Honeypots, die nach bösartigen Programmen oder neuen Phishing-E-Mails suchen. Besonders spannend ist hier das CarmentiS-Projekt des CERT-Verbunds, in dem die Vernetzung solcher Werkzeuge erprobt werden soll. Natürlich steht dabei der Schutz der Interessen betroffener Einrichtungen und Unternehmen im Vordergrund, denn ohne eine gute Pseudonymisierung können viele Daten nicht ausgetauscht werden. Während technische Diskussion oder Analysen neuer Computer-Viren unstrittig sind, müssen Betroffene vor negativen Schlagzeilen geschützt werden – nur so wird der CERT-Verbund für das Projekt Partner gewinnen können.
Die Möglichkeit, neue Wege des Informationsaustauschs zu gehen, wird tatsächlich ermöglichen, ein erstes Lagebild für Deutschland aufzuzeigen. Dies, zusammen mit der im Verbund gebündelten Expertise, verschafft den am CarmentiS-Projekt teilnehmenden CERTs die Analysefähigkeit, die in Krisenfällen so dringend benötigt wird. Erreicht eine IT-Krise nationale Bedeutung, dann verschwimmen oft die Unterschiede zwischen einzelnen Unternehmen und Organisationen, denn unter den akuten Bedrohungen leiden alle gleichermaßen.
Insgesamt sind somit, zumindest im Hinblick auf die Zielgruppen existierender CERTs, die NPSI-Ziele 9 und 10 bereits erfüllt. Treten neue Bedrohungen auf, so wird informiert, gewarnt und alarmiert. Die hierzu notwendigen technischen und organisatorischen Maßnahmen bestehen, sind erprobt und in der täglichen Praxis ständig verbessert worden. Dies wird so bleiben, auch wenn es auf nationaler Ebene weitere Alarmierungsmechanismen geben muss, vor allem da nicht alle Nutzer in Deutschland von einem eigenen CERT oder vergleichbaren Diensten versorgt werden.
CERTs, die oft sehr konservativ vorgehen, sind hierbei auch an Alarmierungssystemen interessiert, die beispielsweise an die erwähnten Sensoren und Analyseautomatismen gekoppelt werden. Statt eng verzahnte Alarmketten zu bauen, ziehen sie selbst es vor, die Kontrolle über die Information der eigenen Zielgruppe zu wahren. Dies hat vielfältige Gründe; vor allem dient es dazu, die Anforderungen der Zielgruppen geeignet zu berücksichtigen, aber es soll auch einen Domino-Effekt vermeiden, der Fehlalarme ohne weitere Kontrollen weiterreichen könnte.
Alles in allem sollten gerade in diesem Bereich die vielfältigen Erfahrungen der CERTs genutzt werden, um schnell effektive Strukturen aufzubauen und vor allem die verfügbaren Experten im Fall der Fälle zu einem virtuellen "CERT Deutschland" zusammenzubringen. Dies kann nur eingeschränkt ad-hoc erfolgen: Strukturen müssen prophylaktisch geschaffen, Reaktion auf Vorfälle festgelegt und – eine wichtige Lektion der CERTs – geprobt werden, um ständige Bereitschaft zu garantieren.
Damit bleibt noch das letzte NPSI-Kapitel zu bewerten: Nachhaltigkeit. Es wäre schön, wenn diesem Aspekt mehr Aufmerksamkeit gewidmet werden würde, und daher ist alles, was dieses Konzept fördert, willkommen. Alle genannten Ziele – von Förderung von Technik, über Kompetenzausbau bis zur Förderung von Forschung und Entwicklung – sind erstrebenswert. Es bleibt jedoch abzuwarten, was hier tatsächlich geleistet werden wird, gerade in Zeiten knapper Mittel. Nachhaltigkeit kann man zudem aber auch anders verstehen: Der Plan selbst muss in seiner Wirkung nachhaltig spürbar sein, sonst bleibt er genau das: nur ein Plan!
Spannend und wichtig ist zusammenfassend, dass CERTs jetzt als nationale Ressource entdeckt werden und als technische Berater näher an die Politik rücken. Lange genug haben sich die Teams davor drücken können; nun müssen sie sich entscheiden, ob und wie sie ihre Kompetenz am besten einbringen – zum Wohle ihrer Zielgruppen und zum Schutz der Infrastrukturen.
Die <kes>-Rubrik CERT News berichtet über aktuelle Entwicklungen aus dem Umfeld von Computer Emergency bzw. Security Incident Response Teams (CERTs/CSIRTs). Betreuer dieser Kolumne ist Klaus-Peter Kossakowski ( www.kossakowski.de), der bereits ab 1992 mit dem Aufbau des ersten CERTs in Deutschland betraut und bis Juni 2005 Vorsitzender des internationalen Dachverbands FIRST ( www.first.org) war.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#6, Seite 88
| 