CERT
News

Effektiv? Effizient? Oder beides? (3)

Ordnungsmerkmale

erschienen in: <kes> 2007#3, Seite 12

Rubrik: CERT News

Zusammenfassung: Management und Ressourcenplanung eines Computernotfallteams – oder einer anderen serviceorientierten Aufgabe – benötigen einen stabilen "Arbeitspunkt". Auch hierzu liefert eine norwegische Forschungsarbeit grundlegende Aussagen.

Es gibt nach wie vor keine in der Praxis akzeptierten Kennzahlen für Computer-Notfallteams, geschweige denn solche, die sich auch in der Theorie belegen lassen. Stattdessen sehen sich CERT-Kunden und -Nutzer – extern oder intern – oft mit Angaben über bearbeitete Vorfälle oder mit aufgezeichneten Angriffen konfrontiert, die zwar auch interessant sind, jedoch nur über die geleistete Arbeit Aufschluss geben.

In Norwegen wurde daher, unterstützt vom CERT Coordination Center ([externer Link] www.cert.org), eine Forschungsarbeit durchgeführt, die all diesen Fragen nachgeht. Herausgekommen ist ein Modell, mit dem die Interaktionen zwischen den einzelnen Einflussgrößen in einem CERT beschrieben werden können. Anhand konkreter Daten eines Teams wurde dieses Modell verifiziert. Nach dem erfolgreichen Test dient es nun dazu, das Management von CERTs zu verbessern und dabei auch mit einigen Mythen aufzuräumen. Ausgewählte Ergebnisse präsentiert diese Kolumne in einer kleinen Fortsetzungsreihe.

Dynamik ist gut

In vielen Bereichen gibt es eine grundlegende und wiederkehrende Dynamik, die wir häufig als wellenförmiges Verhalten wahrnehmen. So sehnt man sich zum Beispiel nach der "Sommerpause" oder dem Jahresende, um endlich einmal ein paar offene Aktionen abzuschließen. Solche wiederkehrenden Abläufe beschränken sich jedoch nicht wie die Jahreszeiten nur auf Zeiträume von wenigen Monaten. Manche Wellen – und gerade die, mit deren Management wir Menschen die größten Schwierigkeiten haben – werden erst über Jahre hinweg sichtbar.

Die Management-Probleme in diesem Bereich rühren von sehr langen Verzögerungen innerhalb eines betrachteten Gesamtsystems her. Wenn Entscheidungen keine unmittelbar sichtbaren Auswirkungen haben, denken Menschen oft nach einiger Zeit nicht mehr darüber nach und probieren etwas anderes. Einerseits kumulieren sich dann die Auswirkungen verschiedener Entscheidungen und haben gegebenenfalls weitere, weder vorhergesehene noch beabsichtigte Folgen. Und andererseits wirken in der Mehrzahl der Fälle auch Entscheidungen, die keine direkt sichtbaren Folgen haben, im Verborgenen weiter.

Tatsächlich werden wir dann regelmäßig von solchen Spätfolgen überrascht. Und ebenso, wie die Gesamtsituation Zeit brauchte, sich zu entwickeln (man könnte auch sagen "zu reifen"), gibt es selten eine Möglichkeit, diesen Spätfolgen direkt und unmittelbar entgegenzuwirken. Auch ein Gegensteuern braucht dann wieder viel Zeit, bis die Maßnahmen Erfolg zeitigen.

Arbeitslast bei Vorfällen

Nimmt ein Computer Emergency Response Team (CERT) seine Arbeit auf – und dies lässt sich auf jede serviceorientierte Aufgabe übertragen – dann steigt die Arbeitslast zunächst langsam, dann schneller an, bevor sich der Anstieg abflacht und dann die Maximallast erreicht ist. Dies ergibt eine typisch S-förmige Kurve (vgl. Abb. 1). In der idealen Welt bleibt dann die Arbeitslast auf hohem Niveau.

[Illustration]
Abbildung 1: In einer idealen Welt nimmt eine Dienstleistung in einer S-förmigen Kurve "Fahrt auf", bis die Maximallast erreicht ist.

Untersuchungen in der realen Welt haben jedoch gezeigt, dass nach dem Gipfel ein – manchmal sogar sehr tiefes – Tal kommt. Dies ist genau eine Folge der genannten Verzögerungen: Während das System noch neue Last aufnimmt, ist es eigentlich schon nicht mehr in der Lage, diese mit guter Qualität abzuarbeiten. Oft kompensiert das Personal durch Überstunden und Mehrarbeit diese zusätzliche Last, bis dies einfach zu viel wird – und erst danach fällt das System zurück auf die (eigentliche) Maximallast (vgl. Abb. 2).

[Illustration]
Abbildung 2: In der realen Welt wird häufig eine Überlast zunächst durch verschiedene Einflüsse (Überstunden u. Ä.) kompensiert, bis die Last auf den tatsächlich "gesunden" Maximalwert zurückfällt.

Verzögerte Wahrnehmung

Tatsächlich reduziert sich die Last allerdings häufig deutlicher als erwartet: Indem nämlich eine Dienstleistung überstrapaziert wird, das Personal immer mehr arbeiten muss und Dinge liegen bleiben, sinkt die Qualität. Auch wenn CERTs üblicherweise bei ihren Zielgruppen sehr gut angesehen sind, bleibt dies nicht ohne Folgen: Macht beispielsweise ein Systemadministrator die Beobachtung, dass von drei durch ihn gemeldeten Vorfällen nur einer wirklich konsequent bearbeitet wird – der mit der höchsten Priorität und den schlimmsten Folgen – zwei abgewehrte Angriffe jedoch nicht weiter verfolgt werden, dann "lernt" der Admin und "belästigt" das CERT nicht mehr mit den offensichtlich unwichtigen Ereignissen.

So kommt es in der Regel zu dem in Abbildung 3 dargestellten Verlauf, der für einen gewissen Zeitraum zu freien Ressourcen führt. Mehr Zeit und weniger Last bewirkt dann aber wieder eine verbesserte Qualität und das Spiel beginnt von vorn: Meldungen verursachen mehr Last, als abgearbeitet wird, die Qualität verschlechtert sich, Lerneffekte kommen zum Tragen… Ohne ein steuerndes Eingreifen geht das immer so weiter.

[Illustration]
Abbildung 3: Ohne regulierenden Einfluss kann es leicht zu abwechselnder Über- und Unterforderung einer Dienstleistung kommen.

Management-Strategien

Weil die unmittelbare Wahrnehmung eines CERT sich immer auf die Arbeitslast konzentriert, liegt es nahe, mehr Ressourcen zu fordern. Die mit dem zur Verfügung stehenden Personal lösbaren Aufgaben sind halt begrenzt – wenn mehr gemacht werden soll, braucht man folglich mehr Ressourcen. Dies ist in vielen Vorträgen und Papers so nachzulesen, trägt aber nicht: Das gewichtigste Gegenargument ist, dass mehr Personal an dem grundsätzlichen Verhalten nichts ändert. Kurzfristig würde zwar die Arbeitslast sinken, mittelfristig würden jedoch wieder Überstunden und Mehrarbeit anfallen – weil Vorfälle existieren, weil Betroffenen geholfen werden muss – und das Auf und Ab geht weiter.

Dies abzustellen, erfordert eine Änderung im Verhalten des CERTs selbst – und eine Rückbesinnung auf den Namen dieser Institution: Denn längst nicht jedes gemeldete Ereignis stellt einen wirklichen Notfall dar, klare Prioritäten und Klassifizierungen müssen ermöglichen, unwichtige Ereignisse auszusortieren und ohne große Belastung, etwa durch eine entsprechende Information, abzuschließen. Das kann aber nur funktionieren, wenn das Vorgehen insgesamt der Zielgruppe entsprechend erklärt und begründet wird, sodass diese ein solches verändertes Verhalten zunächst versteht und dann auch akzeptiert.

Daher muss sich auch das Verhalten auf Seiten der betreuten Zielgruppe ändern: Das CERTs muss die Definition der eigenen Dienstleistung kommunizieren und seine Außenwahrnehmung ständig überwachen. Dadurch lässt sich verhindern, dass eine (große) Diskrepanz zwischen der Erwartungshaltung auf Seiten der Zielgruppe und der möglichen Leistung entsteht, die mit den zur Verfügung stehenden Ressourcen zu erbringen ist. Wenn die Zielgruppe weiß, was sie melden soll und welche Reaktionen zu erwarten sind, dann stabilisiert sich das Gesamtsystem.

Und (erst) dann kann man daran gehen, das Niveau der angebotenen Dienstleistung zu diskutieren! Es kann ja durchaus sein, dass die Ressourcen wirklich nicht ausreichen, um alle als wichtig erachteten Ereignisse abzuarbeiten. Aber diese Entscheidung sollte auf der Basis einer stabilen, handhabbaren Arbeitslast getroffen werden.

Die <kes>-Rubrik CERT News berichtet über aktuelle Entwicklungen aus dem Umfeld von Computer Emergency bzw. Security Incident Response Teams (CERTs/CSIRTs). Betreuer dieser Kolumne ist Klaus-Peter Kossakowski ([externer Link] www.kossakowski.de), der bereits ab 1992 mit dem Aufbau des ersten CERTs in Deutschland betraut und bis Juni 2005 Vorsitzender des internationalen Dachverbands FIRST ([externer Link] www.first.org) war.

Call for Papers: DFN-CERT 2008

Zum 15. Mal lädt das DFN-CERT am 13. und 14. Februar 2008 zum Workshop nach Hamburg ein. Er richtet sich an jeden, der sich für Computer- und Netzwerksicherheit interessiert; im Vordergrund stehen praxisorientierte Themen. Alle Teilnehmer sollen mindestens ein bis zwei Hinweise "mit nach Hause nehmen" können, um sie am Arbeitsplatz zur Verbesserung der Sicherheit einzusetzen. Aber auch Beiträge zu aktuellen Forschungsprojekten im Bereich Computer- und Netzwerksicherheit sind gerne gesehen. Einsendeschluss für Beitrags-Bewerbungen ist der 05. September 2007, mehr Infos unter [externer Link] www.dfn-cert.de/events/ws/2008/cfp.html.

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#3, Seite 12
tag:kes.info,2007:art:2007-3-012

Valid HTML 4.01! | Valid CSS!

Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per  E-Mail. Vielen Dank.