![[externer Link]](../../../../images/link.gif)
www.cert-verbund.de) die Basisinfrastruktur für ein deutsches IT-Frühwarnsystem erproben. www.cert-verbund.de) die Basisinfrastruktur für ein deutsches IT-Frühwarnsystem erproben.CarmentiS soll eine zeitnahe Erkennung und Bewertung akuter Bedrohungen ermöglichen und zugleich als Testbed für die Erprobung neuer Ansätze und Strategien zur Visualisierung und automatischen Erkennung neuer Bedrohungen dienen.
Bisher gibt es solche Auswertungen nur für den Zuständigkeitsbereich einzelner CERTs. So werden zum Beispiel Log-Dateien von Netzwerkkomponenten ausgewertet und spezielle Sensoren eingesetzt, die Anzeichen neuer Viren und Würmer registrieren, um Trends zu erkennen und Angriffen entgegenzuwirken; außerdem stehen technokratische Ansätze (Sensornetze) im Vordergrund. Nur vereinzelt erfolgt jedoch eine Verknüpfung der bei verschiedenen Organisationen vorliegenden Informationen, und so bleibt auch ihr Nutzen beschränkt.
"Frühwarnung" kann und darf jedoch nicht primär ein Sensorennetz sein, das lediglich den Ist-Zustand ermittelt. Ein zentraler Aspekt ist die Analyse neuer Sicherheitslücken, um gezielt nach Anzeichen neuer Angriffsverfahren suchen zu können. Die Verknüpfung dieser Metainformation mit automatisch erfassten Daten stellt die eigentliche Herausforderung dar.
Mit CarmentiS wird daher eine organisationsübergreifende Plattform für die gemeinsame Auswertung entwickelt, in die sich beliebige Sensornetze und Informationsquellen einbinden lassen. Dies hilft, die Betreuung der jeweiligen Zielgruppen durch "ihre" CERTs erheblich zu verbessern. Die angereicherten und aufbereiteten Informationen werden dabei direkt durch geeignete Schnittstellen den Nutzern zugänglich gemacht, wobei von vornherein die unterschiedlichen Anforderungen und Sichtweisen der Empfänger konzeptionell berücksichtigt werden.
Der Aufbau eines virtuellen Kompetenzzentrums, in dem Analysten organisationsübergreifend zusammenarbeiten, stellt dabei vielleicht den wichtigsten Meilenstein für den Aufbau eines IT-Frühwarnsystems dar. Ein nachhaltiger Erfolg kann eben nur realisiert werden, wenn dies als gemeinsame Aufgabe verstanden wird und sich viele Organisationen an der Datenerfassung und Analyse beteiligen.
Hierzu müssen aber wirksame Mechanismen vorliegen, die eigenen Interessen zu schützen; daher stehen auch Verfahren zur Pseudonymisierung kritischer Daten im Fokus. Ebenso die Suche nach Verfahren, die mit möglichst wenigen statistischen Daten auskommen: Für viele Auswertungen ist eine genaue Kenntnis, welcher Rechner angegriffen wurde, nicht relevant. Allerdings besagt die Erfahrung jahrzehntelanger CERT-Arbeit, dass ein Angriff fast immer auf ein kompromittiertes System hinweist. Es ist daher nicht überraschend, dass die Diskussion dieser Aspekte einen breiten Raum einnehmen wird, die mit allen Beteiligten – Angreifer ausgenommen – zu führen ist.
Mit dem 9th International Symposium On Recent Advances In Intrusion Detection kommt die weltweit wohl renommierteste Fachkonferenz zum Thema Erkennung und Vermeidung von Angriffen auf IT-Systeme 2006 nach Deutschland (Hamburg, 2006-09-20/22). In drei Tagen werden vielfältige Vorträge und Fachdiskussionen helfen, sich über den aktuellen Stand von Wissenschaft und Technik zu informieren. Der Call for Papers wurde jetzt veröffentlicht, Interessierte herzlich aufgefordert eigene Beiträge einzureichen ( www.raid06.tu-harburg.de/callforpapers.html).
Bill Cheswick, mit Steve Bellovin einer der Väter der Firewalls, wird den diesjährigen 13. DFN-CERT Workshop eröffnen (Hamburg, 2006-03-01/02). Sein Vortrag wird einen humorvollen und informativen Blick auf die Zukunft der Internet-Sicherheit werfen. Im Übrigen stehen auf dem Programm: Internet-Wahlen und PKI, Forensik im Hauptspeicher und Dateisystem, Honeypots in der Praxis und zum "Fangen" von Malware. Am Nachmittag des zweiten Tages wird es zusätzlich ein Tutorium des DFN-CERTs geben, das unter technischen Aspekten erörtert, was Verantwortliche im Fall der Fälle tun sollten ( www.dfn-cert.de/ws2006/).
Die <kes>-Rubrik CERT News berichtet über aktuelle Entwicklungen aus dem Umfeld von Computer Emergency bzw. Security Incident Response Teams (CERTs/CSIRTs). Betreuer dieser Kolumne ist Klaus-Peter Kossakowski ( www.kossakowski.de), der bereits ab 1992 mit dem Aufbau des ersten CERTs in Deutschland betraut und bis Juni 2005 Vorsitzender des internationalen Dachverbands FIRST ( www.first.org) war.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#1, Seite 84
| 