CERT
News

Effektiv? Effizient? Oder beides? (1)

Ordnungsmerkmale

erschienen in: <kes> 2007#1, Seite 10

Rubrik: CERT News

Zusammenfassung: Erfolge und Misserfolge sowie Lage-Veränderungen in Sachen Sicherheit zu messen ist nach wie vor schwierig. Eine norwegische Forschungsarbeit liefert hierzu neue Anregungen.

Es gibt nach wie vor keine in der Praxis akzeptierten Kennzahlen für Computer-Notfallteams, geschweige denn solche, die sich auch in der Theorie belegen lassen. Stattdessen sehen sich CERT-Kunden und -Nutzer – extern oder intern – oft mit Angaben über bearbeitete Vorfälle oder mit aufgezeichneten Angriffen konfrontiert, die zwar auch interessant sind, jedoch nur über die geleistete Arbeit Aufschluss geben.

In Norwegen wurde daher, unterstützt vom CERT Coordination Center ([externer Link] www.cert.org), eine Forschungsarbeit durchgeführt, die all diesen Fragen nachgeht. Herausgekommen ist ein Modell, mit dem die Interaktionen zwischen den einzelnen Einflussgrößen in einem CERT beschrieben werden können. Anhand konkreter Daten eines Teams wurde dieses Modell verifiziert. Nach dem erfolgreichen Test dient es nun dazu, das Management von CERTs zu verbessern und dabei auch mit einigen Mythen aufzuräumen. Ausgewählte Ergebnisse präsentiert diese Kolumne in einer kleinen Fortsetzungsreihe.

Vorbeugen ist besser?

Prophylaxe hat seit der Gründung des ersten CERTs eine sehr große Bedeutung: Ist doch die Vermeidung eines Vorfalls in der Regel viel wirtschaftlicher als das Aufräumen danach. CERT-Advisories und das Verteilen der Patch-Hinweise durch Hersteller sind gute Beispiele, die nicht infrage gestellt werden. Doch es gibt letztlich keine tiefschürfenden Untersuchungen, wie und warum solche Dienste wirklich effektiv sind. Festzustellen bleibt nur, dass viele Advisories so lange ungelesen bleiben, bis es zu spät ist – es gibt allzu oft eine signifikante Lücke zwischen der Veröffentlichung guter und sinnvoller Informationen und der Entscheidung, diese Informationen auch zu nutzen.

Aus Erfahrung klug?

Menschen lernen aus Fehlern. Dies bedeutet jedoch gleichzeitig, dass für einen Lerneffekt zunächst etwas schiefgehen muss, wozu es in der IT-Sicherheit eher selten an Gelegenheit mangelt. Sehr oft bleibt jedoch dann nur die Erkenntnis: "Wir hätten das verhindern können!" oder "Wir haben ja immer schon gesagt, ..."

Wo Wissen und erkannte Fakten aber konsequent nicht umgesetzt werden, da weist das auf ein systematisches Problem hin, wie Organisationen lernen und mit Wissen umgehen. Denn es reicht nicht aus, wenn zwar einzelne IT-Sicherheitsverantwortliche oder Systemadministratoren Wissen besitzen, aber Organisationsprozesse dieses nicht nutzen oder schlicht versagen, sobald beispielsweise die entsprechende Person im Urlaub ist.

Organisationen lernen

Im Lernmodell von Huber [2] gibt es vier Phasen des Lernens, in denen mehr oder weniger Probleme auftreten können. Insgesamt bewirkt dies, dass die Menge der Informationen, die letztendlich langfristig in einer Organisation verankert – gelernt – wird, immer weiter abnimmt. Nehmen wir CERT-Advisories als Beispiel:

Gewinnung von Wissen
Wenn relevante Informationen über neue Sicherheitslücken nicht konsequent und zeitnah gesammelt werden, führt das zu Informationslücken. Diese können auch dann eintreten, wenn beispielsweise unbekannt ist, dass bestimmte Systeme überhaupt eingesetzt werden – "passende" Sicherheitsinformationen werden in einem solchen Fall gar nicht erst gesucht.
Verteilung von Informationen
Das Sichten eingegangener Informationen und Identifizieren der für die weitere Bearbeitung verantwortlichen Person ist ein notwendiger Schritt. Ebenso die klare Zuordnung und Verantwortung, mit der übergebenen Information auch etwas zu machen. Eine Verteilung aller Sicherheitsinformationen über eine Mailing-Liste, auf der "alle" draufstehen, ist zwar für die Verteilung gut, aber es bleibt offen, ob die Zuordnung einer Verantwortung tatsächlich immer und jedem klar ist.
Interpretation
Viele Sicherheitsinformationen liegen in englischer Sprache vor. Dies allein bedingt mitunter Fehler bei der Bewertung, weil Nuancen in der Einschätzung oder Darstellung nicht erkannt werden. Dies ist umso problematischer, da die Schreiber der Sicherheitsinformationen versuchen, keine sensitiven Informationen zu liefern, die sich für Angriffe missbrauchen ließen.
Langfristige Verankerung
Wird eine neue Sicherheitsinformation ausgewertet, so ist auch die Bearbeitung in der Mehrzahl der Fälle sichergestellt. Jedoch mangelt es in vielen Organisationen daran, die Sicherheitsinformation, relevante Hintergrundberichte und getroffene Entscheidungen mit den zugehörigen Begründungen zu dokumentieren: Damit bleiben Aktionen einmalige Ereignisse. Kommt später ein Update zur Sicherheitsinformation, so müssen teilweise sogar Arbeitsschritte wiederholt werden, um nahezu gleiche Entscheidungen erneut zu treffen. Oder: Installiert eine Abteilung einen weiteren Rechner mit einem bestimmten Betriebssystem, so bleibt eventuell offen, ob alle früheren Erkenntnisse auch wirklich berücksichtigt werden.

Folgt man dieser Betrachtung, dann ergeben sich klare Ansatzpunkte, die Organisationen – aber auch CERTs – nutzen können, um einen besseren Lerneffekt zu erzielen. Hier geht es ganz klar um die Nachhaltigkeit der Dienstleistung, und wie diese verbessert werden kann.

Die <kes>-Rubrik CERT News berichtet über aktuelle Entwicklungen aus dem Umfeld von Computer Emergency bzw. Security Incident Response Teams (CERTs/CSIRTs). Betreuer dieser Kolumne ist Klaus-Peter Kossakowski ([externer Link] www.kossakowski.de), der bereits ab 1992 mit dem Aufbau des ersten CERTs in Deutschland betraut und bis Juni 2005 Vorsitzender des internationalen Dachverbands FIRST ([externer Link] www.first.org) war.

Ansetzen sollte man bei den erkannten Schwachstellen in den einzelnen Phasen: Mitunter kann es sogar vorkommen, dass eine bestimmte Phase gar nicht vorliegt oder kaum ausgeprägt ist. Besonders kritisch ist beispielsweise bei CERT-Advisories eine langfristige Verankerung des gewonnenen Wissens innerhalb der empfangenden Organisation. Dies ist nur durch die Institutionalisierung vieler Prozesse zu erreichen. Alle Advisories in einem Verzeichnis des E-Mail-Systems abzulegen heißt eben noch lange nicht, dass die in einem bestimmten Advisory vorhandenen Informationen auch genutzt werden, wenn ein neues System aufzusetzen ist. Hierzu sind andere Mechanismen notwendig, die aufgebaut, trainiert und durch Werkzeuge unterstützt werden müssen.

zum zweiten Teil des Beitrags

Literatur

[1]
J. Wiik, J. J. Gonzalez, Kl.-P. Kossakowski, Effectiveness of Proactive CSIRT Services, GI FG Sidar / IMF, Stuttgart, Oktober 2006, ISBN 3-88579-191-9
[2]
G. P. Huber, Organizational Learning, Contributing Processes and the Literatures, Organizational Science 2(1), 1991, S. 88

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#1, Seite 10
tag:kes.info,2007:art:2007-1-010

Valid HTML 4.01! | Valid CSS!

Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per  E-Mail. Vielen Dank.