IT-Sicherheitskonferenz FIRST: Ohne Vertrauen geht nichts, aber das Vertrauen geht
Die FIRST-Konferenz in Berlin beschäftigte sich damit, wie die Sicherheit von Computernetzen verbessert werden kann. Am Ende stand die Erkenntnis, dass die Arbeit komplizierter wird, weil Staaten zunehmend in IT-Sicherheit eingreifen.
Bundes-CIO Cornelia Rogall-Grothe
(Bild: heise online / Detlef Borchers)
Vertrauen und Vertraulichkeit, die gegenseitige Achtung und Unterstützung, unabhängige Arbeitsstrukturen und transparente Informationsflüsse – das sind die Bedingungen, unter denen Computer-Notfallteams miteinander kommunizieren. Ganz wichtig sind dabei persönliche Kontakte für die direkte Kommunikation im Notfall. Seit 27 Jahren sorgt das Forum of Incident Response and Security Teams (FIRST) für diese Form der Kommunikation. Ist die Notfallarbeit im Zeitalter staatlicher Einrichtungen wie dem deutschen Cyber-Abwehrzentrum obsolet?
Bundes-CIO lobt IT-Sicherheitsgesetz
Was mit der Gründung des ersten Computer-Notfall-Teams nach dem Auftauchen Internet-Wurms Morris begann, beschäftigt mittlerweile eine eigene Industrie. Weltweit gibt es 320 CERT- oder CSIRT-Organisationen, die in dem zusammengeschlossen sind. 790 Delegierte dieser CERT aus 68 Ländern kamen zur 27. Jahreskonferenz des FIRST, die sich in mehr als 100 Vorträgen und Workshops mit dem Thema "Unified Security" beschäftigte.
Bundes-CIO Cornelia Rogall-Grothe erklärte zur Eröffnung die Digitale Agenda der Bundesregierung und lobte das unlängst verabschiedete IT-Sicherheitsgesetz. Große Hoffnungen ruhen Rogall-Grothe zufolge auf der europäischen Datenschutz-Grundverordnung, die schnelle Reaktionen auf Verletzungen des Datenschutzes festschreiben soll.
Europol knackt Verschlüsselung und folgt den Bitcoins
(Bild: heise online / Detlef Borchers)
Philipp Amann vom EC³, der Cybercrime-Agentur von Europol, beklagte die ungelöste "Cyber-Dichotomie": Für den Schutz der Bürger sind Anonymisierungs- und Verschlüsselungssysteme entwickelt worden, deren Nutzung "absolut legal" seien. Der kriminelle Missbrauch dieser Systeme erschwere die Arbeit der Ermittler jedoch bis hart an die Grenze der Arbeitsunfähigkeit. Dennoch konnte Amann über Erfolge seiner Behörde berichten. So hätten seine Spezialisten in einem Falle ein Verschlüsselungssystem knacken können und in einem Zug 37 Datenbanken entschlüsselt. Auch die Arbeit an einem selbst entwickelten Bitcoin Transaction Browser sei ein vielversprechender Ansatz, um den Finanzströmen im Deep Web auf die Spur zu kommen.
Wie die Arbeit der CSIRT-Spezialisten von der Arbeit der Geheimdienste profitieren kann, zeigten Alexandre Dulaunoy vom luxemburgischen CERT und Eireann Leverett vom Centre for Risk Studies der Universität Cambridge. Sie nahmen den Ansatz des von Edward Snowden aufgedeckten Programms "Flying Pigs" des britischen Geheimdienstes GCHQ auf, das die X.509-Zertifikate und IP-Adressen von SSL-Verbindungen speichert und auswertet. In Berlin demonstrierten sie, wie ihre passive SSL-Datenbank zur Analyse von Anomalien eingesetzt werden kann. Die Referenten bedankten sich ausdrücklich bei Edward Snowden und dem GCHQ, was zu Debatten führte, ob ein solcher Dank nicht ein politisches Statement sei, das CSIRT-Mitgliedern nicht gut anstehe.
Austausch mit dem Gegner
In dem Maße, in dem Staaten neben Institutionen wie dem seit 1993 existierenden DFN-Cert und dem CERT Bund besondere "Cyber-Abwehrzentren" installieren, gar mit militärischen Einheiten den Kampf gegen den Cyberwar aufnehmen wollen wie die CNO-Einheit der Bundeswehr, bekommen CSIRT ein Problem. Wenn sich Politiker über "Cyberangriffe der Russen" (Chinesen, Nordkoreaner usw.) echauffieren, haben sie keinerlei Verständnis dafür, wenn auf CSIRT-Ebene mit diesen "Gegnern" Details über Sicherheitsvorfälle ausgetauscht werden. In einigen Vorträgen war die Rede davon, dass auf diese Weise das Vertrauen der Techniker untereinander erschüttert werde.
Auf Initiative der Niederlande ist mit Unterstützung der EU ein transatlantischer Dialog über Sicherheit und Freiheit im digitalen Zeitalter aufgenommen worden, der die Auswirkungen der Cyber-Politik auf die "kollaborative Sicherheit" der CSIRT-Community untersucht. Ein erstes Arbeitspapier wurde in Berlin verteilt. Die Diskussion über diese Schieflage hat erst angefangen.
Die 27. FIRST-Konferenz zeigte auch, dass sich traditionelle CSIRT mit dem Aufkommen von neuen kommerziellen CSIRT-Dienstleistern wie Mandiant oder Resilient Systems schwer tun. Bruce Schneier, Resilients Chief Technology Officer, warb in Berlin für eine "neue Infrastruktur des Vertrauens" und verteilte signierte Exemplare seines Buches von "David and Goliath", das eine "Neugewichtung der Sicherheitsdebatte nach den Enthüllungen von Snowden" verspricht. (anw)
