CERT-Kommunikation |
||
Autorinnen
und Autoren:
|
Endbericht zum KIRAS
Projekt
|
|
|
Dr. Otto Hellwig (Universität Wien)
Dr. Edith Huber (Donau-Universität Krems)
Dr. Markus Huber, MSc (Technische
Universität Wien)
Bettina Pospisil, BA (Donau-Universität
Krems)
Univ. Prof. Dipl. Ing. DDr. Gerald
Quirchmayr
(Universität Wien)
|
Executive
Summary
Die Frage der Kommunikation von CERTs ist vor
dem Hintergrund eines Cyberraums zu sehen, der von grenzüberschreitenden
Angriffen auf Behörden, Firmen aber auch mittlerweile kritischen
Infrastrukturen geprägt ist. An der Absicherung des Cyberraums arbeiten
unterschiedliche Akteure, wie u.a. Polizeidienste, IKT-Sicherheitsfirmen aber
auch CERTs. CERTs sind quasi die Feuerwehren des Cyberraumes, ihre Anzahl und
ihre Aufgabengebiete haben sich in den letzten Jahren massiv ausgeweitet. Damit
einhergehend wurde Informations-, Kommunikations- und Wissensverwaltung immer
komplexer.
Methodische Herangehensweise
Im Rahmen der Forschung wurde mit zwei
Methoden gearbeitet. Zum einen eine Sekundäranalyse, die bestehende
Forschungsarbeiten zu diesem Bereich international analysiert, um den aktuellen
Stand der Technik zu erheben und ein Bild über das Funktionieren des
Kommunikations- und Wissensaustausches im CERT-Umfeld zu erhalten. Zum andern
wurde mit den Mitgliedern (n=20) der österreichischen nationalen CERTs ein
qualitatives Experteninterview sowie eine teilnehmende Beobachtung
durchgeführt. Dadurch konnte ein umfassendes Bild über Organisationsstruktur,
technische Tools, die bei den CERTs zum Einsatz kommen,
Kommunikationsstrukturen und persönliches Kommunikationsverhalten der einzelnen
CERT Mitarbeiter[1] gewonnen werden.
Kommunikation zwischen
CERTs
Information und Kommunikation sind Fundamente
einer funktionierenden Organisationsstruktur, unabhängig davon, ob sie rein
ökonomisch oder sozial betrachtet werden. Um Wissensmanagement bei CERTs näher
zu beleuchten, muss man zwei Ebenen der Analyse unterscheiden.
Kommunikationsfaktoren, die das System, also die Rahmenbedingungen der
österreichischen CERTs, und jene, die das personelle Kommunikationsverhalten
bestimmen. Es galt daher zu erheben, welche Variablen das
Kommunikationsverhalten beeinflussen.
In bereits bestehenden Arbeiten zur
Etablierung von Wissensmanagementsystemen und Netzwerken wird die Variable
Vertrauen als zentralstes Phänomen betont. Dieses kann in personales Vertrauen
und Systemvertrauen unterschieden werden. Wie die Untersuchung ergab, trifft
man bei CERTs auf mehrere Variablen, die das Vertrauen beeinflussen. Dies lässt
sich zum einen auf die Tatsache zurückführen, dass es sich um einen
sicherheitsrelevanten Sektor handelt. Zum anderen spielt der Faktor
„Reputation“ eine übergeordnete Rolle. Der mögliche Imageverlust im Falle eines
Angriffs wird als einer der wichtigsten Faktoren gesehen.
Die vertrauensbestimmenden Variablen sind
dadurch zu unterscheiden, ob sie auf nationale oder internationale
Kooperationen zwischen CERTs zutreffen:
Variablen
|
National
|
International
|
Integrität
|
X
|
X
|
Kompetenz
|
X
|
X
|
Erreichbarkeit
|
X
|
X
|
Verlässlichkeit
|
X
|
X
|
Diskretion
|
X
|
X
|
Reputation
|
X
|
X
|
Kultureller
Hintergrund
|
X
|
|
Wirtschaftlichkeit
der Nationalstaaten
|
X
|
|
Sprachbarrieren
|
X
|
Tabelle 1: Vertrauensbestimmende Variable
Die genannten Variablen können sich
gegenseitig beeinflussen, sie stehen nicht für sich selbst. Dabei muss zwischen
allgemein gültigen Variablen, die Vertrauen beeinflussen und jenen, die
speziell die CERTs betreffen, unterschieden werden.
Tools und Standards
Bei der Studie CERT-Kommunikation wurden
Mitarbeiter aller österreichischen CERTs befragt, welche Software-Tools sie für
die Unterstützung ihrer Arbeit verwenden. Im Wesentlichen geht es dabei um
Softwareeinsatz für die Behandlung von Sicherheitsvorfällen sowie um Werkzeuge
zur Veröffentlichung von Sicherheitsempfehlungen.
Der bei CERTs eingesetzte
Automatisierungsprozess dient dazu, die Daten von unterschiedlichen externen
und internen Datenquellen zusammenzuführen. Dabei hat sich bei den
österreichischen CERTs gezeigt, dass Firmen-CERTs dazu tendieren, bereits in
der Firma verfügbare Software-Pakete zu nutzen, während eigenständige CERTs
Issue-Tracking-Systeme wie z.B. RTIR einsetzen. Aus der Sicht der Kooperation
von CERTs wäre es wesentlich, dass Systeme genutzt werden, die einen
standardisierten Datenaustausch ermöglichen und keine dafür nicht geeigneten
Eigenentwicklungen.
Modellierung der
Kommunikation von CERTs
Die Kommunikation und Kooperation von CERTs zu
verstehen und damit gestaltbar zu machen ist eine wesentliche Voraussetzung, um
ihre Arbeit zu erleichtern und ihre Effektivität zu erhöhen. Bei der Studie
CERT-Kommunikation wurden der Zusammenhang zwischen dem Mission Statement sowie
den Zielen von CERTs und der zu ihrer Realisierung notwendigen Kommunikation
bzw. dem dafür erforderlichen Wissensmanagement untersucht. Die Fragestellung,
welche Informationen zu welchem Zweck zu übermitteln sind und wie diese in der
Dokumentation bzw. dem Wissensmanagement des CERT repräsentiert sind, wird in
den bislang verfügbaren Modellierungsansätzen nicht berücksichtigt. Die in der
Studie eingesetzte Methode kann dies leisten. Dabei wird davon ausgegangen,
dass die Kommunikation von CERTs nicht per se erfolgt, sondern immer nur zu
einem bestimmten Zweck und sie muss daher immer im Zusammenhang der gemeinsam
mit den Kommunikationspartnern verfolgten Ziele und dem dafür nötigen
Wissensmanagement gesehen werden. Der gewählte Ansatz ist eine Zielfindungs-Methodik,
wobei die Ziele, die ein Stakeholder erreichen will, mit konkreten Szenarios
unterlegt und so beschrieben werden. Diese Methode kann auf alle Arten von
CERTs sowie spezielle Einsatzszenarien (z.B. Bekämpfung von Botnetzen)
angewendet werden.
Schlussfolgerungen und
Ausblick
Die im KIRAS-Projekt „CERT-Komm“ im Detail
beschriebenen Rahmenbedingungen mit den dabei identifizierten Variablen und das
vorgeschlagene Kommunikationsmodell dienen dazu, einen Beitrag für die
Entwicklung einer zielorientierten Methode zum schrittweisen Aufbau einer
besseren Informations- und Kommunikationsunterstützung zum so dringend
benötigten Ausbau der CERT-Kommunikation zu leisten.
 |
| Rein klicken! |
© Edith Huber, Alle Rechte vorbehalten.
[1] Als
Mitarbeiter gelten in diesem Fall CERT-Mitarbeiter von GovCERT.at zuständig für
den Bereich der öffentlichen Verwaltung, CERT.at, das nationale CERT, MilCERT
des österreichischen Bundesheeres, BRZ CERT, das für die Bundesrechenzentrum
GmbH, IT-Dienstleister der Österreichischen Bundesverwaltung, zuständig ist,
ACOnet-CERT, das CERT des österreichischen Wissenschaftsnetzes ACOnet, A1-CERT
für den Bereich des Telekommunikations-Unternehmens A1, Wien CERT der Gemeinde
Wien sowie das R-IT CERT der Raiffeisen Informatik.
Keine Kommentare:
Kommentar veröffentlichen