CERT-Komm II - Endbericht eines mehrjährigen Forschungsprojekts

Nach nun drei Jahren ist unser Forschungsprojekt "CERT-Kommunikation II" abgeschlossen. Zeit um die Ergebnisse auf den Punkt zu bringen. Hier können Sie eine Einleitung sowie den Link zum Volltext dazu finden.



Hier geht's zum Volltext!


Sicherheitsvorfälle im Internet nehmen nach wie vor zu und
stellen eine der größten Herausforderungen unserer Zeit dar. Eine
wesentliche Gruppe von Playern zur Eindämmung dieser negativen
Entwicklung sind CERTs, Computer Emergency Response Teams.
CERTs stellen als „Feuerwehren“ im Internet einen wesentlichen
Pfeiler aller nationalen und regionalen Cyber-Sicherheitsstrategien
dar. Die Aufgabe der CERTs, in ihrem Zuständigkeitsbereich die
Behebung von Sicherheitsvorfällen im Cyber-Raum zu unterstützen,
stellt eine komplexe Herausforderung dar.
Die Forschungsperiode fällt mit wesentlichen Veränderungen der
Rahmenbedingungen für CERTs in Europa zusammen. In den
letzten Jahren wurde immer intensiver an einer gemeinsamen
europäischen Strategie für ein sicheres und stabiles Internet [1]
gearbeitet, da der Cyber-Raum einer globalen Bedrohung ausgesetzt
ist, der nicht mit lokalen oder nationalen Mitteln allein begegnet
werden kann. Wurde in einem ersten Schritt von den EU-Mitgliedstaaten
verlangt, dass sie zumindest ein nationales CERT
einrichten sollen, geht die nunmehr beschlossene NIS-Richtlinie
(Richtlinie zur Netz- und Informationssicherheit) [2] deutlich
darüber hinaus, da sie vorschreibt, dass für Betreiber wesentlicher
Dienste und Anbieter digitaler Dienste entsprechende CSIRTs als
Unterstützung vorzusehen sind. Die nationale Umsetzung dieser
Maßnahmen ist mit Mai 2018 terminiert. In Österreich wurde
diese Umsetzung im Rahmen von umfangreichen interministeriellen
Arbeiten vorbereitet, jedoch gibt es bis dato (Ende April 2018)
keinen öffentlich verfügbaren Gesetzesentwurf. Es kann im Projekt
CERT-Komm II daher nur auf die EU-Richtlinie aber nicht auf die
zu erwartende nationale österreichische Umsetzung eingegangen
werden.

Durch die aktuell stattfindende EU-weite Implementierung der
NIS-Richtlinie werden für CERTs konkrete Regelungen zu beachten
sein. Es sind weitreichende Auswirkungen auf die Anzahl, die
Aufgaben und die Kommunikation von CERTs, insbesondere den
lt. NIS-Richtlinie von den Mitgliedstaaten zu benennenden CSIRTs
zu erwarten. Auf europäischer Ebene haben die von der Richtlinie
definierten Arbeitsgruppen (Kooperationsgruppe sowie CSIRTNetzwerk) ihre Arbeit bereits aufgenommen und insbesondere das
CSIRT-Netzwerk konnte bereits seinen positiven Beitrag bei der
Behandlung von IT-Sicherheitsvorfällen unter Beweis stellen (siehe
Kap. 4 Kooperative Zielerreichung).

Die Vernetztheit des Internets verlangt, dass CERTs bei ihren
Aktivitäten intensiv kommunizieren. Diese Kommunikation liegt
angesichts des Datenschutzes und notwendiger Meldepflichten
aufgrund der NIS-Richtlinie aktuell in einem Spannungsfeld.
Der vorliegende Bericht widmet sich den Resultaten, die im Rahmen
des Projektes CERT-Komm II über die Kommunikation von CERTs
erzielt wurden. Dabei wurde von einem multidisziplinären Team mit
einer multi-methodischen Herangehensweise gearbeitet.

Forschungsgegenstand

Die grundlegende Basis für das vorliegende Projekt wurde mit der
bereits zitierten Studie CERT-Komm I gelegt. Dabei erfolgte eine
weltweite Analyse der vielfältigen Ausprägungen von CERTs, die
von ihnen eingesetzten Software-Tools und Vorgangsweisen wurden
studiert und dokumentiert. Bei der Befragung von CERT-Mitarbeitern
aller österreichischen CERTs wurde weiters erhoben, welche
Voraussetzungen für eine erfolgreiche Kommunikation der CERTs
gegeben sein müssen, wobei sich herausstellte, dass das persönliche
Vertrauen der ausschlaggebende Faktor ist. Obwohl weltweite CERT
Dachorganisationen bestehen (FIRST, Trusted Introducer) bedeutet
selbst eine gemeinsame Mitgliedschaft bei diesen Organisationen
nicht unbedingt, dass sich die Mitglieder dieser CERTs ausreichend
vertrauen, um eine offene Kommunikation anzustreben. Dies liegt
unter anderem auch daran, dass nationale und staatliche CERTs im
Falle von Spannungen zwischen den Ländern, für die sie arbeiten,
nicht miteinander kommunizieren (siehe z.B. Konflikt Russland
Ukraine) [3]. Außerdem wurde im Rahmen der Studie CERT-Komm
I ein funktionelles CERT-Modell entwickelt, das als Basis für die
Kommunikations-Analyse dient.

Das Projekt CERT-Kommunikation II setzte sich in Fortsetzung
der Studie CERT-Komm I vertieft mit der Kommunikation von
CERTs auseinander, da die Verbesserung der Kommunikation von CERTs als wesentlich für einen effizienteren Umgang mit IT-Sicherheitsvorfällen
angesehen wird. Für die Arbeiten des Projektes
CERT-Kommunikation II wurde somit der Fokus erweitert. Das
Bundeskanzleramt ist – als GovCERT sowie als Koordinator des
österreichischen CERT-Verbunds (Plattform für die Verbesserung
der Kommunikation der österreichischen CERTs untereinander)1
– Bedarfsträger; starkes Interesse an dem Projekt wurde vom
Bundesministerium für Inneres sowie dem Bundesministerium
für Landesverteidigung bekundet. Darüber hinaus nahm die
Firma IKARUS Security Software GmbH an dem Projekt teil,
wodurch auch der Kommunikation von CERTs mit IT-Sicherheitsfirmen
erhöhtes Augenmerk beigemessen werden konnte.
Insbesondere die Frage der unterschiedlichen Zielsetzungen was
die IT-Sicherheit betrifft wurde im Projekt intensiv behandelt. Des
Weiteren war mit dem Partner Research Institute AG & Co KG
eine Firma mit sehr intensivem juristischem Know-how beteiligt,
was für alle auftretenden rechtlichen Fragen und insbesondere zum
Thema rechtliche Zulässigkeit der Kommunikation von CERTs
untereinander sowie mit IT-Sicherheitsanbietern die Grundlage
für die Erstellung des Demonstrators des „Compliance Moduls“
lieferte. Das Kernteam in Form der Organisationen SBA-Research
mit umfangreicher IT-Sicherheits-Kompetenz, der Donau-Universität
Krems, mit fundiertem Cybercrime-Schwerpunkt sowie der
Universität Wien mit der Multimedia Information Systems Research
Group an der Fakultät für Informatik vertiefte die mit CERT-Komm
I gewonnenen Erkenntnisse.

Forschungsproblem

Das weltweite Problem eines unsicheren Cyber-Raums ist unter
anderem auf drei Ursachen zurückzuführen, welche im Rahmen
dieses Projektes adressiert werden. Jene Player, die ihren Beitrag
zur Verbesserung der Sicherheit leisten, (1) kommunizieren nicht
ausreichend und in geeigneter Weise miteinander. Dies erklärt sich
durch das angesprochene Spannungsfeld in welchem die CERTMitarbeiter
Informationen dahingehend klassifizieren müssen, ob deren Weitergabe notwendig und gesetzlich erlaubt ist. Darüber
hinaus verfolgen diese Player im Sicherheitsbereich zum Teil (2)
unterschiedliche Ziele beziehungsweise haben unterschiedliche
Schwerpunktsetzungen. Das vorliegende Projekt fokussierte sich
auf die Kommunikation von CERTs untereinander, aber auch auf
jene mit einem IT-Sicherheitsanbieter. In der Gegenüberstellung
zeigte sich schnell, dass für eine kooperative Zielerreichung nur
solche Ziele in Frage kommen, welche von beiden Playern verfolgt
werden. Ein Ansatzpunkt zur Verbesserung der Kommunikation ist
die Unterstützung bei der Frage, welche inhaltliche Kommunikation
rechtlich überhaupt zulässig ist. Dieser Punkt adressiert die Problemstellung,
die (3) Unsicherheit der CERT-Mitarbeiter welche
rechtlichen Rahmenbedingungen beim Umgang mit Informationen
für sie gelten. Um dafür einen Lösungsbeitrag zu liefern,
wurde als erster Schritt analysiert, welche Datenfelder für eine
Kommunikation überhaupt in Frage kommen, wobei als Basis die
im Projekt MISP (MISP - Open Source Threat Intelligence Platform
& Open Standards For Threat Information Sharing)2 verwendeten
Kategorien herangezogen wurden. Davon ausgehend wurde die
jeweilige rechtliche Zulässigkeit der Informationsweitergabe geprüft
und die Resultate in eine Datenbank hinterlegt, sodass sie nunmehr
im Rahmen des Demonstrators nutzbar sind. Mit diesem technischen
Tool können CERTs in ihren täglichen Abläufen effektiv unterstützt
werden. Da die Kommunikation zwischen den untersuchten Playern
je nach Anlassfall sehr vielfältig sein kann, erfolgte im Projekt
zusätzlich zur allgemeinen Betrachtung auch eine Fokussierung auf
die spezifische Kommunikation bzw. Informationsbeschaffung in
Bezug auf Angriffe über Botnetze und APTs.
Im Rahmen des Projektes wurde auch eine Analyse der typischen
Fälle von Cyber-Kriminalität in Österreich durchgeführt, um besser
beurteilen zu können, welche Maßnahmen hier für eine zielgerichtete
Bekämpfung dieser Art von Kriminalität gesetzt werden können.
Auch diese Projektaktivität wurde sehr intensiv vom Bedarfsträger
Bundeskanzleramt unterstützt. Konkret wurde eine Aktenanalyse
am Straflandesgericht Wien durchgeführt, und zwar insbesondere
jener Fälle, in denen es zu einer Hauptverhandlung kam. Diese Art von Untersuchung ist einmalig, da sonstige Erkenntnisse auf diesem
Gebiet nicht auf größeren Stichproben beruhen, sondern auf der
Analyse von Einzelfällen.

Projektziele

Ausgehend von einer ersten Literaturrecherche und Einzel-Befragungen
wurden (1) die IT-Sicherheitsziele der Player im Cyber-Raum
untersucht und insbesondere auf der Basis der Schnittmenge an
gemeinsamen Zielen an einer kooperativen Zielerreichung der
Akteure weitergearbeitet. Die inhaltsanalytische Betrachtung
zeigte, dass die Cyber-Sicherheitsziele der Schnittmenge zwischen
den Akteuren nur durch Kooperation erreicht werden können.
Abschließend wurde ein aus Beispielen bestehendes Konzept
ausgearbeitet, welches Kooperationsmöglichkeiten zur gemeinsamen
Zielerreichung darstellt. Die Erkenntnisse dieses ersten Arbeitsschrittes
werden im Arbeitspaket 2 dargestellt.
Darauf aufbauend wurde in den Arbeitspaketen 3 und 4 die
Kommunikation im Rahmen der Bekämpfung von Botnetzen und
APTs bearbeitet. Ziel war es, (2) die Vorgangsweise von CERTs
bei der Botnet-Bekämpfung zu analysieren und ein Kooperationsmodell
zu formulieren. Es wurde auf der Grundlage der im Projekt
erhobenen Daten das Procedere von CERTs beschrieben und
Vorgangsmodelle zur Bearbeitung erstellt. Was die Bekämpfung
von APTs anlangt war das Ziel, (3) die Vorgangsweise der Firma
IKARUS für die Identifizierung von APTs (Advanced Persistent
Threats) zu analysieren, und insbesondere die Generierung von
dafür nötigen IoCs (Indicators of Compromise), die durch die Firma
IKARUS entwickelt und eingesetzt werden zu beschreiben. Dies
stellte in weiterer Folge einen entscheidenden Input für das Compliance-
Modul dar.
Für die im AP 5 durchgeführte quantitative Befragung von
CERT-Mitarbeitern europaweit war das Ziel, (4) Wissen zum
praktischen Vorgehen der CERT-Mitarbeiter zu generieren. Dabei
wurde einerseits das aus der Studie CERT-Kommunikation I mit
qualitativen Methoden entwickelte Modell wie auch andererseits die
qualitativ gewonnen Daten aus den verschiedenen Arbeitspaketen anhand des Fragebogens überprüft. Ein weiteres Projektziel war
die (5) Juristische Analyse der Auswirkungen der NIS-Richtlinie
auf österreichische CERTs. Insbesondere wurden spezifische
Rechtsfragen, in der Begleitung des Gesetzgebungsprozesses zur
österreichischen Umsetzung der NIS-Richtlinie behandelt und der
rechtliche Input für den Compliance-Modul erstellt.
Das inhaltliche Ziel der (6) Modellvalidierung wurde in Absprache
mit dem Bedarfsträger Bundeskanzleramt durch den in Form eines
Demonstrators realisierten Compliance-Modul erreicht.
Schließlich sollten die (7) Projektergebnisse durch Publikationen
entsprechend dokumentiert und verbreitet werden, was ebenfalls ein
Ziel des Projektes darstellt. Der Anhang enthält eine umfangreiche
Liste an Vortragsaktivitäten und Publikationen, die im Zuge des
Projektes erfolgten. Insbesondere wurden die Resultate im Rahmen
von zwei Sitzungen des österreichischen CERT-Verbundes an die
CERT-Mitarbeiter weiterverbreitet sowie bei einer Präsentation
im Rahmen der OCG einem breiteren interessierten Publikum
vorgestellt3.

Methodische Umsetzung

Um einen umfassenden Einblick in die Thematik zu erhalten,
wurden je nach Fragestellung des Arbeitspaketes unterschiedliche
Forschungsmethoden angewendet und die Ergebnisse daraus
vereint. Während beispielsweise im Arbeitspaket 2 zur kollektiven
Zielerreichung ein offener Zugang notwendig war, um vor allem
die Zielsetzungen der Stakeholder verstehen zu können, wurde im
Arbeitspaket 5 zur Überprüfung bereits vorhandenen Wissens aus
CERT-Komm I und den anderen Arbeitspaketen ein quantitativ
prüfendes Verfahren gewählt. Diese multi-methodische Herangehensweise
stellt eine Stärke dieses Forschungsprojektes dar.
In den Arbeitspaketen 1 und 8 wurde nach bewährten Methoden
des Projektmanagements und der Dissemination gearbeitet. Die
Arbeitspakete 2 bis 4 zeichnen sich durch einen wechselseitigen
Austausch aus. Methodisch wurde sowohl bei der Datenerhebung wie
auch bei der Datenauswertung ein offener Zugang gewählt, welcher
einen Desktop Research, qualitative Experteninterviews, eine
Inhaltsanalyse der recherchierten Dokumente sowie die Techniken
der Ziel-Szenario Methode und der Modellierung umfasste. Im
Rahmen des Arbeitspaketes 5 wurden die Erkenntnisse aller anderen
Arbeitspakete sowie des Vorprojektes quantitativ überprüft. Die
Datenerhebung fand über einen online Survey statt; die Auswertung
der Ergebnisse erfolgte im Anschluss mittels der Statistiksoftware
SPSS. Darüber hinaus wurde in diesem Arbeitspaket die erwähnte
Aktenanalyse durchgeführt. Die Datenerhebung fand mittels eines
Codier-Sheets statt wobei qualitative Daten - wie beispielsweise jene
zum Tathergang - offen erhoben wurden. Die Auswertung fand hier, je
nach Datensorte, über SPSS sowie über eine Inhaltsanalyse statt. Ein
qualitativer Zugang in Form von Literaturanalyse und qualitativen
Interviews wurde wiederum im Arbeitspaket 6, der juristischen
Analyse, eingesetzt. Anhand der Analyse der Erkenntnisse
aller Arbeitspakete konnte im Arbeitspaket 7 schlussendlich ein
Compliance-Modul entwickelt werden.


Quellenverzeichnis

[1] Commission, E. 2013. Cybersecurity Strategy of the European Union:
An Open, Safe and Secure Cyberspace JOINT COMMUNICATION
TO THE EUROPEAN PARLIAMENT, THE COUNCIL, THE
EUROPEAN ECONOMIC AND SOCIAL COMMITTEE AND THE
COMMITTEE OF THE REGIONS.
[2] Europäische Kommission 2016. NIS Richtlinie; RICHTLINIE
(EU) 2016/1148 DES EUROPÄISCHEN PARLAMENTS UND DES
RATES vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines
hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen
in der Union.
[3] Geers, K. ed. 2015. Cyber War in Perspective: Russian Aggression
against Ukraine.

1) https://www.digitales.oesterreich.gv.at/computer-emergency-response-team, 17.4.2018
2) http://www.misp-project.org/, 17.4.2018
3) https://www.ocg.at/de/cybercrime-busters, 19.4.2018




© Edith Huber

Keine Kommentare:

Kommentar veröffentlichen