Es gibt nach wie vor keine in der Praxis akzeptierten Kennzahlen für Computer-Notfallteams, geschweige denn solche, die sich auch in der Theorie belegen lassen. Stattdessen sehen sich CERT-Kunden und -Nutzer – extern oder intern – oft mit Angaben über bearbeitete Vorfälle oder mit aufgezeichneten Angriffen konfrontiert, die zwar auch interessant sind, jedoch nur über die geleistete Arbeit Aufschluss geben.
In Norwegen wurde daher, unterstützt vom CERT Coordination Center ( www.cert.org), eine Forschungsarbeit durchgeführt, die all diesen Fragen nachgeht. Herausgekommen ist ein Modell, mit dem die Interaktionen zwischen den einzelnen Einflussgrößen in einem CERT beschrieben werden können. Anhand konkreter Daten eines Teams wurde dieses Modell verifiziert. Nach dem erfolgreichen Test dient es nun dazu, das Management von CERTs zu verbessern und dabei auch mit einigen Mythen aufzuräumen. Ausgewählte Ergebnisse präsentiert diese Kolumne in einer kleinen Fortsetzungsreihe.
Prophylaxe hat seit der Gründung des ersten CERTs eine sehr große Bedeutung: Ist doch die Vermeidung eines Vorfalls in der Regel viel wirtschaftlicher als das Aufräumen danach. CERT-Advisories und das Verteilen der Patch-Hinweise durch Hersteller sind gute Beispiele, die nicht infrage gestellt werden. Doch es gibt letztlich keine tiefschürfenden Untersuchungen, wie und warum solche Dienste wirklich effektiv sind. Festzustellen bleibt nur, dass viele Advisories so lange ungelesen bleiben, bis es zu spät ist – es gibt allzu oft eine signifikante Lücke zwischen der Veröffentlichung guter und sinnvoller Informationen und der Entscheidung, diese Informationen auch zu nutzen.
Menschen lernen aus Fehlern. Dies bedeutet jedoch gleichzeitig, dass für einen Lerneffekt zunächst etwas schiefgehen muss, wozu es in der IT-Sicherheit eher selten an Gelegenheit mangelt. Sehr oft bleibt jedoch dann nur die Erkenntnis: "Wir hätten das verhindern können!" oder "Wir haben ja immer schon gesagt, ..."
Wo Wissen und erkannte Fakten aber konsequent nicht umgesetzt werden, da weist das auf ein systematisches Problem hin, wie Organisationen lernen und mit Wissen umgehen. Denn es reicht nicht aus, wenn zwar einzelne IT-Sicherheitsverantwortliche oder Systemadministratoren Wissen besitzen, aber Organisationsprozesse dieses nicht nutzen oder schlicht versagen, sobald beispielsweise die entsprechende Person im Urlaub ist.
Im Lernmodell von Huber [2] gibt es vier Phasen des Lernens, in denen mehr oder weniger Probleme auftreten können. Insgesamt bewirkt dies, dass die Menge der Informationen, die letztendlich langfristig in einer Organisation verankert – gelernt – wird, immer weiter abnimmt. Nehmen wir CERT-Advisories als Beispiel:
Folgt man dieser Betrachtung, dann ergeben sich klare Ansatzpunkte, die Organisationen – aber auch CERTs – nutzen können, um einen besseren Lerneffekt zu erzielen. Hier geht es ganz klar um die Nachhaltigkeit der Dienstleistung, und wie diese verbessert werden kann.
Die <kes>-Rubrik CERT News berichtet über aktuelle Entwicklungen aus dem Umfeld von Computer Emergency bzw. Security Incident Response Teams (CERTs/CSIRTs). Betreuer dieser Kolumne ist Klaus-Peter Kossakowski ( www.kossakowski.de), der bereits ab 1992 mit dem Aufbau des ersten CERTs in Deutschland betraut und bis Juni 2005 Vorsitzender des internationalen Dachverbands FIRST ( www.first.org) war.
Ansetzen sollte man bei den erkannten Schwachstellen in den einzelnen Phasen: Mitunter kann es sogar vorkommen, dass eine bestimmte Phase gar nicht vorliegt oder kaum ausgeprägt ist. Besonders kritisch ist beispielsweise bei CERT-Advisories eine langfristige Verankerung des gewonnenen Wissens innerhalb der empfangenden Organisation. Dies ist nur durch die Institutionalisierung vieler Prozesse zu erreichen. Alle Advisories in einem Verzeichnis des E-Mail-Systems abzulegen heißt eben noch lange nicht, dass die in einem bestimmten Advisory vorhandenen Informationen auch genutzt werden, wenn ein neues System aufzusetzen ist. Hierzu sind andere Mechanismen notwendig, die aufgebaut, trainiert und durch Werkzeuge unterstützt werden müssen.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#1, Seite 10
tag:kes.info,2007:art:2007-1-010