Sicherheit in Cyber-Netzwerken

Computer Emergency Response Teams (CERT) sind relativ junge Organisationen, die mittlerweile eine immer wesentlichere Rolle für die IT-Sicherheit von Firmen, Behörden und Staaten spielen. Sie treten in sehr unterschiedlichen organisatorischen Settings und Rollen auf. Es ist daher notwendig, eine Kategorisierung von CERTs vorzunehmen (siehe dazu Hellwig 2011). Der dort gewählte Ansatz ermöglicht eine Einteilung von CERTs und erlaubt es dadurch, einen Teil ihrer Rahmenbedingungen zu beschreiben. Diese Rahmenbedingungen stehen in engem Zusammenhang zu den Diensten, die von CERTs erbracht werden, ihrer Organisation sowie ihrer Kommunikation zu anderen Organisationen.

Zur Bekämpfung der steigenden kriminellen Aktivität im Internet ist es notwendig, dass alle relevanten Informationen schnell und effektiv ausgetauscht werden können, um koordiniert gegen Täter vorgehen zu können. Es gibt immer mehr Personen, die mit der Abwehr und Verfolgung krimineller Aktivitäten beschäftigt sind, und auch die Anzahl der verschiedenen Datenquellen erhöht sich stetig – daher gibt es auch vermehrt Produkte und Formate, welche den Informationsaustausch, die notwendige Koordination und Kooperation sowie Interpretation und Analyse ermöglichen. Der grenzüberschreitende Charakter der Internetkriminalität macht es dabei erforderlich, dass die zum Einsatz kommenden Formate neben der vollständigen Beschreibung aller relevanten Daten unterschiedliche Sprachen sowie das Erfassen von Zeitzonen zu unterstützen.

Die Behandlung von Sicherheitsvorfällen bildet die Kernaufgabe von CERTs, wobei hier oft die Metapher einer Feuerwehr verwendet wird die ausrückt um Brände (Sicherheitsprobleme) zu löschen. CERTs sind im Allgemeinen mit zwei Arten von Angriffen konfrontiert, die die Sicherheit ihrer zu überwachenden Systeme beeinträchtigen. Zum einen lokale Angriffe und zum anderen globale Angriffskampagnen. Der Prozess zur Behandlung von Sicherheitsvorfällen umfasst das Erfassen, die Analyse, und die Entwicklung von Gegenmaßnahmen um rasch auf Angriffe reagieren zu können.

Ein Aufgabenschwerpunkt von CERTs besteht darin eine Vielzahl von Informationsquellen zu analysieren um ihre jeweilige Zielgruppe zeitgerecht mit Sicherheitsempfehlungen („Security Advisories“) zu versorgen. CERTs agieren hierbei als ein klassischer Datenverarbeiter, wobei unterschiedliche Informationsquellen gesammelt, bewertet und abschließend in Form von Sicherheitsempfehlungen veröffentlicht werden. Dieses CERT-Service unterstützt Firmen, Universitäten und Privatpersonen dabei auf neuartige Schwachstellen und Bedrohungen aufmerksam zu werden und frühzeitig zu warnen. Das Ziel das mit dieser proaktiven Aufgabe verfolgt wird ist letztendlich eine Minimierung von erfolgreichen Angriffen auf die IT-Infrastruktur.

Was im wirtschaftlichen Umfeld schon längst erkannt wurde, hat nun auch den IT-Sicherheitsbereich erreicht. Informations- und Wissenstransfer sind unumgänglich, um Europa vor Cyberangriffen zu schützen und zu stärken. Betrachtet man bestehende Wissensmanagementmodelle, die vor allem in der Privatwirtschaft zum Einsatz kommen, so dienen Sie primär dazu, Komplexität in vernetzten Umwelten zu reduzieren und Gewinn zu maximieren. Die Herausforderungen im Sicherheitsbereich hingegen sind nicht nur rein ökonomischer Natur. Vielmehr geht es darum, die kritische IT-Infrastruktur – im Falle unseres Projektes, von Österreich – bzw. von Europa zu schützen. Damit einhergehend ist man mit mehreren Variablen konfrontiert, die zusätzlich zur rein ökonomischen Betrachtung herangezogen werden müssen. Um Wissensmanagement bei CERTs näher zu beleuchten, muss man zwei Ebenen der Analyse unterscheiden. Kommunikationsfaktoren, die das System, also die Rahmenbedingungen der österreichischen CERTs, und jene, die das personelle Kommunikationsverhalten bestimmen.

Kommunikation von CERTs wird als essentiell angesehen, da sie als Feuerwehr im globalen Internet agieren und daher mit anderen CERTs, ihrer Zielgruppe, Herstellerfirmen, Strafverfolgungsbehörden sowie mit weiteren Organisationen in Kontakt sein müssen. Sie sind auch die einzigen Strukturen, die diese Rolle als Informationsdrehscheibe erfüllen können. Dies wird international zunehmend erkannt und die Anzahl der CERTs nimmt weltweit stetig zu. Als ein Indikator dafür kann die Mitgliederanzahl der CERT-Dachorganisation FIRST gesehen werden (www.first.org). Im Jahr 2009 waren es 200, derzeit im Jahr 2014 sind es ca. 300. Diese vielfältige Kommunikation zu verstehen und gestaltbar zu machen, ist daher für eine effiziente Arbeit von CERTs wesentlich. Genau dieses Verständnis soll mit Hilfe eines Modellierungsansatzes erreicht werden, der eine Methodik für die Beschreibung der Kommunikation von CERTs liefert. Davon ausgehend können Rückschlüsse für das Design der CERT-Kommunikation gezogen werden. Damit sollte auch eine Optimierung der Kommunikation möglich sein und eine transparente Vorgangsweise von CERTs.

Um sich mit der Organisationseinheit CERT auseinandersetzen zu können, ist zunächst eine nähere Bestimmung und Verortung im Feld der Organisationen notwendig.