Erste Anläufe für ein deutsches IT-Frühwarnsystem

Erste Ansätze für ein IT-Frühwarnsystem stellte ein Symposium zu Kritischen Infrastrukturen vor, das im Rahmen der Jahrestagung der Gesellschaft für Informatik diese Woche in Bonn stattfand. Unter dem Namen "Carmentis" verfolgt der deutsche CERT-Verbund derzeit Pläne für ein deutsches Frühwarnsystem, vorgestellt wurde es von Jürgen Sander von der Presecure Consulting GmbH.

Jeder an das System angeschlossene Partner soll eigene, pseudonymisierte Daten beisteuern. An Netzknoten installierte Sensoren sollen automatisch Datenströme erfassen. Carmentis soll die gesammelten Informationen so schnell wie möglich automatisch und halbautomatisch auswerten und visualisieren können, um die CERTs so früh wie möglich zu alarmieren. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll über eine eigene Schnittstelle Zugriff auf das System haben.

Wie Sensoren oder Netzsonden arbeiten können, stellte Norbert Pohlmann vom Institut für Internet-Sicherheit an der Fachhochschule Gelsenkirchen vor. Die Sonden greifen passiv in verschiedenen Kommunikationsleitungen Daten ab und werten verschiedene Kommunikationsparameter aus. Die aus den Headerinformationen eines Datenpakets extrahierten Daten sollen Aufschluss über den Zustand und die Nutzung einzelner Kommunikationsstrecken geben. Allerdings sollen keine datenschutzrechtlich relevanten Informationen wie IP-Adressen gesammelt werden.

Laut Pohlmann sammelt eine Sonde binnen fünf Minuten 15 Kilobyte Daten. Zurzeit berücksichtigt sein Internet-Analyse-System rund 300.000 unterschiedliche Kommunikationsparameter. Auf diese Weise lassen sich beispielsweise "Ping of Death"-Angriffsversuche oder auch die Verteilung unterschiedlicher Browser über einen bestimmten Zeitraum erkennen. Auch lässt die Analyse von Rohdaten kryptografischer Protokolle eine Aussage über die Verbreitung und Benutzung von Sicherheitstechnologien sowie die verwendeten Algorithmen und Public-Key-Infrastrukturen zu .

Hintergrund für die Aktivitäten ist der "Nationale Plan zum Schutz der Informationsinfrastrukturen (NPSI)" des Bundesinnenministeriums, der vorsieht, im BSI ein "Krisenreaktionszentrum IT" aufzubauen. Es soll das bestehende IT-Krisenreaktionszentrum zu einem nationalen IT-Lage-, Analyse- und Krisenreaktionszentrum erweitern. "Es soll auch ein IT-Frühwarnsystem mit Sensornetzwerk nutzen, das umgehend über IT-Vorfälle Auskunft gibt", kündigte Hartmust Isselhorst vom BSI-Referat "Kritische Infrastrukturen" auf dem GI-Symposium an. Ziel ist es, tägliche Lagebilder erstellen zu können. 2006 soll die operative Einführung starten. Langfristig soll ein internationales "Watch-and Warning-Netzwerk" aufgebaut werden.

Der Schweizer Kritis-Experte Bernhard Hämmerli von der Hochschule Technik+Architektur in Luzern hält entsprechende IT-Lagesysteme in den Niederlanden, der Schweiz, Großbritannien und Schweden für fortgeschrittener. Es gehe nun darum, das Wissen nach Deutschland zu transferieren, sagte er in Bonn. Allerdings müsse die Organisation eines IT-Frühwarnsystems lokal entwickelt werden. Für die Datentransfers zwischen Unternehmen und dem Lagesystem müsse etwa geklärt werden, wie mit Informationen umgegangen werden soll.

Mit der Kunst aus vielen Meldungen die relevanten Meldungen herauszufiltern und mit der Informationsverdichtung in kleinen Netzwerken beschäftigte sich das kürzlich abgeschlossene europäische Forschungsprojekt Safeguard. "Die Dimension der kritischen Infrastrukturen verlangt jedoch eine neue Ebene des Problemstudiums, die große und sehr große Systeme berücksichtigt und zusätzlich die verschiedenen Sektoren integrieren kann", sagte Hämmerli. Die Modellierung und Simulation von teilweise kontinental vernetzten Systemen stelle erhebliche Anforderungen an effiziente algorithmische und heuristische Verfahren.

• IT-Branchenverband fordert nationales IT-Frühwarnsystem
• Schily kündigt "Nationalen Plan zum Schutz der Infrastrukturen" an

(Christiane Schulzki-Haddouti) / (anw)