Nationale Kooperation CERT-Verbund und CERT-Architektur

Transkript

1 Nationale Kooperation CERT-Verbund und CERT-Architektur September 10. September Bettina Uwe Scheller Hoppenz / Uwe Hoppenz

2 Inhaltsübersicht September 2015 Uwe Hoppenz

3 CERT-Architektur und CERT-Verbünde Inhaltsübersicht Komplex 1 - CERT-Architektur Historie und Aufgaben, Tätigkeitsfelder, Ressourcen Problemfelder (ein Beispiel ), Standardisierung Komplex 2 - CERT-Verbünde / Kooperationen Arbeitsteilung, Verbünde Zuständigkeiten, Ausblicke September 2015 Uwe Hoppenz

4 CERT-Architektur Begriffsbestimmung / Historie September 2015 Uwe Hoppenz CERT ist die Abkürzung für "Computer Emergency Response Team" (Computer-Notfallteam) Nach dem Auftreten der ersten Computer-Würmer wurde das erste CERT gegründet (USA / Carnegie Mellon University) Erste CERTs in Deutschland: CERT des Deutschen Forschungsnetzes (DFN-CERT) Universität Stuttgart CERTs existieren sowohl in der Wirtschaft, im Finanzbereich, in der Forschung und Lehre, aber auch im Behörden- und Regierungsumfeld (CERT-Bund) Die CERTs schließen sich zu Verbünden zusammen: FIRST CERT-Verbund Verwaltungs-CERT-Verbund

5 CERT-Architektur Aufgaben / Strukturierung Aufgabenbereiche: Präventive Aufgaben Vorbeugen Erkennung und Reaktion auf Angriffsszenarien, Vorfälle und Sicherheitslücken. Reaktive Aufgaben Reagieren Reaktion auf Angriffe, Vorfälle und Probleme. Die Entstehung größerer Schäden sowie die Ausbreitung der Vorfälle soll dabei verhindert werden. Security Quality Management Verbessern Verbesserung der Sicherheit und des Risikomanagements. Nicht jeder Bereich oder jede Aufgabe muss tatsächlich von jedem CERT besetzt werden September 2015 Uwe Hoppenz

6 Workshops Intrusion-Detection Schwachstellen Gefährdungspotentiale IPSec Sicherheits-Check Konfiguration Honey Pot Cyberkriminalität Sensibilisierung CISO Integritätssverlust DNS-Spoofing TI-Listing Scan Datenschutz Firewall Virenschutz Verschlüsselung Sicherheitsmaßnahmen Protokollierung Bundesamt für Sicherheit in der Informationstechnik Computer-Forensik Teaminfo Authentisierung ICMP ITIL Hijacking SPHINX(S/MIME) SSL/TLS-Absicherung Kryptografische Absicherung Umsetzungsplanung zur Leitlinie Informationssicherheit Phishing / Pharming Fernwartung September 2015 Uwe Hoppenz

7 CERT-Architektur Aufgaben / Strukturierung / Ressourcen Präventive Aufgaben Vorbeugen Erkennung und Reaktion auf Angriffsszenarien, Vorfälle und Sicherheitslücken Single Point of Contact (SPOC): Kontaktstelle mit Vorfallbearbeitungssystem Warn- und Prüfdienste Beobachtung nationaler / internationaler Lagebilder Sensorik / Prüfdienste - Team: Sensorik, Honey Pots, C&C-Listing Auswertung IDS/IPS und SIEM-Funktionen Penetrations-Testung September 2015 Uwe Hoppenz

8 CERT-Architektur Aufgaben / Strukturierung / Ressourcen Reaktive Aufgaben Reagieren Reaktion auf Angriffe, Vorfälle und Probleme. Die Entstehung größerer Schäden sowie die Ausbreitung der Vorfälle soll dabei verhindert werden. Response Team: Einbindung des SPOC Forensik Analysten Rechtsanwälte Kommunikations- und Presse-Profis September 2015 Uwe Hoppenz

9 CERT-Architektur Aufgaben / Strukturierung / Ressourcen Security Quality Management Verbessern Verbesserung der Sicherheit und des Risikomanagements Organisation Team: Aufbau, Kontrolle und QS des CERT Workshops Sensibilisierung Aus- und Weiterbildung CERT Kennzahlenerstellung Lagebilderstellung Organisationsinterne Gremienarbeit Gremienarbeit September 2015 Uwe Hoppenz

10 CERT-Architektur Problemfelder / Gegner Wirtschaftskriminalität Motivation: Geld, Schädigung von Konkurrenten, Patente Geheimdienste Motivation: Politische Vorteile, wirtschaftliche Abhängigkeiten, militärische Hintergründe Religiöse Fanatiker Motivation: Vorbereitung von Anschlägen, Rufschädigung, Propaganda, Auffinden von Aussteigern Welches Szenario kann eine Behörde auf Landesebene betreffen? September 2015 Uwe Hoppenz

11 CERT-Architektur Problemfelder / Gegner Ein konstruiertes Beispiel. Firma X aus dem Solarsektor ist für einen Konkurrenten interessant Die Konkurrenz interessiert sich für eventuelle Technologievorsprünge und die finanzielle Situation der Firma Neben dem Angriff auf die Firma X, ist die breite Informationsbeschaffung ein immer stärker wachsender Bereich Meldet Firma X Patente an? Patentamt Bemüht sich Firma X um Fördermaßnahmen? Wirtschaftsförderung, Wirtschaftsministerium, Finanzverwaltung, Finanzministerium Sind Gesetzesänderungen zum Vorteil von Firma X absehbar? Wirtschaftsministerium, Wirtschaftsverbände Hat Firma X ein größeres Bauvorhaben geplant? Bauaufsicht, Wirtschaftsministerium, Finanzbehörden, Finanzministerium Das Thema betrifft also viele Behörden! September 2015 Uwe Hoppenz

12 CERT-Architektur Problemfelder / Gegner Was zeichnet die potentiellen Angreifer aus? Die Angreifer agieren hochprofessionell Sie verfügen zum Teil über sehr große Ressourcen Dies zeigt sich in: Service Level Agreements (SLA s) für Angriffswerkzeuge hätte jeder gern bei den Produkten der täglichen Arbeit Arbeitsteilung bei der Software-Erstellung und Pflege wünschenswert für jede Software Qualitätsmanagement wer wünscht sich das nicht? Motivation hier bestehen im Behördenumfeld teilweise Nachholebedarf Damit treiben die Angreifer die CERTs in eine Problemzone: September 2015 Uwe Hoppenz

13 CERT-Architektur Problemfelder / Gegner Fast jedes CERT (Behörden-, wie Industrie-CERT!) kämpft permanent mit folgenden Themen: Sensibilisierung der Leitung Ziel: Unterstützung, Nähe zur Leitung Weisungsbefugnisse zur Durchsetzung der Aufgaben Ressourcenzuteilung im Vergleich zu den Angreifern zu gering Da bisher in den Behörden zu wenig passiert ist, bekommen CERTs meist zu wenig Unterstützung, Ressourcen und Weisungsbefugnisse! September 2015 Uwe Hoppenz

14 CERT-Architektur Standardisierung / Arbeitsteilung Wege zur Problemminimierung in Bezug auf Ressourcendefizit: Ressourcenschonende Arbeit durch Standardisierung der Arbeit Arbeitsteilung Zusammenarbeit Zusammenarbeit und Arbeitsteilung ist nur bei strikter Standardisierung möglich! September 2015 Uwe Hoppenz

15 CERT- Kooperation Standardisierung / Arbeitsteilung Wenn die Arbeit standardisiert ist, kann sie auch verteilt werden September 2015 Uwe Hoppenz

16 September 2015 Uwe Hoppenz

17 CERT- Kooperation CERT-Verbünde / Kooperationen Verbünde / Partner: Bundesamt für Sicherheit in der Informationstechnik (BSI) / CERT Bund: CERT-Bund (Computer Emergency Response Team für Bundesbehörden) ist die zentrale Anlaufstelle für präventive und reaktive Maßnahmen bei sicherheitsrelevanten Vorfällen in Computer-Systemen. Es ist beim BSI angesiedelt. Allianz für Cyber Sicherheit eine Initiative des BSI, die in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v. (BITKOM) gegründet wurde. Übernimmt Koordinierungs- und Informationsaufgaben für BSI, VCV und Industrie Verwaltungs CERT Verbund Gründung vom IT Planungsrat in der IS-Leitlinie festgelegt Im Rahmen des VCV tauschen die Landes-Verwaltungen Informationen und Lösungswege aus, um effektiver und schneller auf IT-Angriffe reagieren zu können September 2015 Uwe Hoppenz

18 CERT- Kooperation CERT-Verbünde / Kooperationen Verbünde / Partner: CERT Verbund Mehr als dreißig der großen Unternehmens-, kommerziellen, akademischen und Verwaltungs-CERTs auf Bundes- und Länderebene. Erfahrungsaustausch, enge Zusammenarbeit ENISA Ist auf der Ebene der Europäischen Union für Netz- und Informationssicherheit zuständig. Die Agentur unterstützt EU-Behörden und -Institutionen, fungiert als Forum für den Verfahrensaustausch und erleichtert die Kontakte zwischen EU-Institutionen und staatlichen Behörden. FIRST führende Organisation für Reaktion auf Vorfälle. Die Mitgliedschaft in FIRST verbessert proaktiven und reaktiven Möglichkeiten der Reaktion auf Sicherheitsvorfälle September 2015 Uwe Hoppenz

19 CERT- Kooperation CERT-Verbünde / Kooperationen Gebiete der Arbeitsteilung: Kommunikationswege Kommunikationsmittel Warnmeldungen Frühwarndienst Allgemeine Anfragen Sensorik und Prüfdienste Tool-Entwicklung (HoneySens Projekt des SAX.CERT) Kennzahlen Entwicklung und Verteilung Lagebild Sensibilisierung / Workshops / Ausbildung September 2015 Uwe Hoppenz

20 CERT- Kooperation CERT-Verbünde / Kooperationen Dienst / Aufgabengebiet VCV CV BSI / CERT Bund Cyber Allianz ENISA Kommunikationswege x x x x x x Kommunikationsmittel X X X X X X Warnmeldungen x x Frühwarndienst x x x x X Allgemeine Anfragen x x x Sensorik x x Prüfdienste x x Tool-Entwicklung x x x Lagebild x x x x x FIRST Sensibilisierung / Workshops / Ausbildung Kennzahlen Entwicklung und Verteilung x x x x x x x x x x September 2015 Uwe Hoppenz

21 CERT- Kooperation CERT-Verbünde / Kooperationen FAZIT / Ausblick: Standardisierung, Kooperationen und Arbeitsteilung sind unabdingbar für schlagkräftige CERT-Arbeit Das Aufrüsten auf beiden Seiten wird immer weiter gehen! Die Arbeitsweisen und die Schlagkraft von CERTs im Behörden- Umfeld verbessern sich stetig. Es besteht aber ein kontinuierlicher Ressourcenbedarf! Es wird immer ein Hase und Igel-Spiel geben. Wir wollen dabei der Igel sein! September 2015 Uwe Hoppenz

22 Sie finden uns unter: SAX.CERT im Staatsbetrieb Sächsische Informatik Dienste Riesaer Straße Dresden Telefon (+49) (0351) sax.cert@cert.sachsen.de September 2015 Uwe Hoppenz