CERTs für Sicherheit von Netzen und Informationen in Deutschland

Das Bundeswirtschaftsministerium und das Bundesinnenministerium kündigten auf dem Kongress "Sicherheit von Netzen und Informationen" in Berlin gemeinsam mit der Initiative D21 an, künftig eine CERT-Infrastruktur nach dem Vorbild des US-amerikanischen, ursprünglich als Computer Emergency Response Team bezeichneten CERT/CC zu unterstützen. Zielgruppe des bereits im Vorfeld bekannt gewordenen Projekts sind vor allem kleinere und mittlere Unternehmen, da diesen eigene Sicherheits- und Notfallteams fehlen. Hauptursache dafür sei nicht nur mangelndes Sicherheitsbewusstsein, sondern auch der Kostenfaktor: Der Aufbau eines CERT binde in den Unternehmen beträchtliche Mittel. Der Industrie-Verband BITKOM wird diesen "CERT-Mittelstand" tragen, der Firmen Sicherheitsmaßnahmen empfehlen, aber auch im Schadensfall einen schnellen Wiederanlauf der Systeme sicherstellen soll. Wie das CERT finanziert werden wird, ist noch unklar; Ein Sponsorenkonzept wird derzeit noch erarbeitet.

"Viele Unternehmen wissen bei Computerproblemen nicht, an wen sie sich wenden sollen. Hier müssen wir gemeinsam mit den CERT-Dienstleistern mehr Transparenz schaffen und aufzeigen, was diese Computer-Notfall-Teams leisten können", sagte Brigitte Zypries, Staatssekretärin im Bundesinnenministerium. Laut einer ebenfalls auf dem Kongress vorgestellten Studie der Industrie-Initiative D21 gab es im Herbst zehn öffentliche und nicht-öffentliche CERTs in Deutschland. Die Studie listet eine Reihe von Defiziten im CERT-Umfeld auf. Da ein CERT über 10.000 Nutzer betreut, lohne sich der Aufbau für kleinere Unternehmen zunächst nicht. Zudem fehle es an "Bewusstsein für ein zeitgemäßes, adaptives Sicherheits- und Risikomanagement". Dies bedeutet beispielsweise, dass Firmen Warnmeldungen über Würmer und Viren nur dann rechtzeitig erhalten, wenn sie an das CERT-Umfeld organisatorisch angebunden sind. Hinzu komme, dass nur wenige Nutzer sich auch die notwendigen Kenntnisse aneignen, um die eigene Sicherheit zu erhöhen. Auch werden oft nach einem Schaden Anti-Viren-Programm eingesetzt, doch nur selten per Updates aktualisiert. Die CERTs ihrerseits sind für Außenstehende nicht sichtbar, da sie überwiegend unternehmensintern agieren. Nachfrage und Angebot können sich so gar nicht finden. Hinzu kommt, dass eine flächendeckende CERT-Infrastruktur in Deutschland nicht existiert. Ebenso gibt es keine systematische Ausbildung und Qualifizierung im Bereich der IT-Sicherheit.

Die CERTs in Deutschland tauschen untereinander nur Vorfallsinformationen aus. Empfehlungen und Hintergrundinformationen werden über die FIRST-Mailingliste ausgetauscht. Über das FIRST (Forum of Incident Response and Security Teams), einer internationalen Dachorganisation verschiedener CERTs mit momentan etwa 100 Mitgliedern, läuft derzeit der internationale Erfahrungsaustausch. Die Zusammenarbeit existiert daher nur informell und stützt sich auf persönliche Beziehungen -- entsprechend anfällig ist sie auch für Personalfluktuationen. Die D21-Studie empfiehlt daher Sensibilisierungsmaßnahmen bei den Nutzern sowie eine bessere Ausbildung. Schon an den Schulen sollten ähnlich wie bei der Verkehrserziehung Sicherheitsbegriffe eingeführt werden. Schließlich müssen neue CERTs aufgebaut oder bestehende ausgebaut werden, die weiterreichende Angebote für kleine und mittlere Unternehmen und Kommunen machen können. Schließlich müssen die CERTs künftig besser zusammenarbeiten. So sollten die sie über gemeldete Sicherheitsvorfälle anonymisierte Statistiken erheben und sich auf Konferenzen jährlich untereinander austauschen. Auch auf europäischer Ebene wird derzeit ein Frühwarnsystem (EWIS -- Early Warning Information System) diskutiert. (Christiane Schulzki-Hadouti) / (jk)