10 Jahre CERT.at – ein Rückblick

Es ist wie bei den Masern, der Grippe oder anderen ansteckenden Krankheiten: Zunächst brechen sie bei einer Person in einem Dorf aus, dann steckt sich der Nachbar an, dann der Händler aus der nächstgrößeren Stadt und so geht es weiter. Gut, wenn es eine Stelle gibt, die früh informiert ist, die Bedrohung wahrnimmt und handelt – bevor sich die Krankheit weit verbreitet und sich nur noch mit größter Mühe bekämpfen lässt. Eine Stelle, die ÄrztInnen erklärt, wie sie die Krankheit behandeln, die Medikamente bereitstellt und die Bevölkerung aufklärt, wie sie sich schützen kann.

Für die Gesundheit im österreichischen Internet übernimmt CERT.at diese Funktion. CERT steht für „Computer Emergency Response Team“, quasi die schnelle Eingreiftruppe für Notfälle im Netz. Seit seiner Gründung vor zehn Jahren hat sich CERT.at von einer Stiftungs-Initiative zur Schaltzentrale für Cyber-Sicherheit in Österreich mit gesetzlichem Auftrag entwickelt.

Der lautet: Sorgt dafür, dass Angriffe auf IT-Netze möglichst schnell erkannt und bekämpft werden! Tragt die sicherheitsrelevanten Informationen der IT-Fachleute zusammen! Macht niemandem Angst; aber warnt die Öffentlichkeit vor den Sicherheitsrisiken und klärt die Internet-NutzerInnen auf, dass sie nicht allem blind vertrauen dürfen.

Denn eine gesunde IT-Infrastruktur ist entscheidend für das Wohl des Landes. Kritische Sektoren wie Energie- und Wasserversorgung, Banken, Krankenhäuser, Kommunikationstechnologie oder die Lebensmittelversorgung können ihre Aufgaben nur erfüllen, wenn die IT gegen Angriffe gewappnet ist. Auch alle anderen Sektoren der Privatwirtschaft sind vernetzt und von der Datenverarbeitung durchdrungen – und damit unser tägliches Leben.

Jeder Sektor für sich ist bereits äußerst komplex. Doch erschwerend kommt für die Sicherheit hinzu: Keiner ist nach außen abgeriegelt, alle sind über das Internet miteinander verbunden, in jeder Sekunde werden Millionen von Daten ausgetauscht. So könnten sich Angriffe schnell verbreiten.

Auch wenn jedes Unternehmen und jeder Sektor seine IT schützt, ist eine nationale Stelle nötig, bei der die Informationen zusammenlaufen. Denn nur in der Gesamtschau können sie ausgewertet werden, was eine schnelle Reaktion ermöglicht. Am Wiener Karlsplatz laufen die Fäden zusammen. Als unabhängige Plattform sammelt CERT.at Informationen zu Sicherheitsproblemen im österreichischen Internet, etwa zu infizierten PCs, zu manipulierten Webseiten oder fehlkonfigurierten Servern. All diese Informationen bündelt das Team, analysiert sie und identifiziert Bedrohungen. Es informiert umgehend die betroffenen Internet Service Provider (ISPs) oder EigentümerInnen der Domains, warnt andere SicherheitsexpertInnen und veröffentlicht Informationen zu größeren Attacken. Zudem geben die ExpertInnen Reports und Handlungsanleitungen heraus und beraten, wie sich die Gefahr bannen lässt. Damit ist CERT.at ein zentraler Teil der österreichischen IT-Sicherheitsstrategie.

Einnahmen aus der Domain-Verwaltung finanzieren die Netz-Sicherheit

Interessant ist die Entstehungsgeschichte von CERT.at. Im Jahr 1988, das Internet ist in Österreich noch hauptsächlich auf die Akademia beschränkt, koordiniert die Universität Wien die wenigen .at-Domains. Als deren Zahl rasant wächst, wird eine eigene GmbH gegründet, das „Network information center“, kurz nic.at. Das Center ist bis heute die offizielle Registrierungsstelle für alle Domains mit den Endungen .at, .co.at und .or.at – insgesamt sind es inzwischen über 1,3 Millionen.

Nic.at ist jedoch weder eine Regierungsstelle noch ein klassisches Unternehmen. Die Gesellschaft gehört der gemeinnützigen Internet Privatstiftung Austria (IPA), die den Ausbau, die Verbreitung und die Nutzung des Internets in Österreich fördert.

Und weil zur Förderung des Internets nicht zuletzt dessen Sicherheit gehört, gründete nic.at 2008 gemeinsam mit dem Bundeskanzleramt CERT.at. Das Team hat keinen privilegierten Zugang zu Informationen, greift nicht auf den Datenverkehr zu oder schneidet gar den Daten-Austausch mit. Es greift ausschließlich auf öffentlich verfügbare Informationen zurück oder geht Meldungen über sicherheitsrelevante Ereignisse nach.

Daneben leistet CERT.at umfangreiche Pressearbeit, um Bevölkerung und IT-Fachleute für Sicherheitsthemen zu sensibilisieren. Das Team steht JournalistInnen mit seiner Expertise zur Verfügung, berät Behörden und politische EntscheiderInnen.

Großes Vertrauen der IT-Sicherheitsbranche in CERT.at 

Um auch kleine Sicherheitslücken früh zu erkennen, sind die ExpertInnen auf Hinweise etwa von IT-AdministratorInnen aus Unternehmen angewiesen. Um die zu bekommen, ist es gut, dass CERT.at wie die IPA-Stiftung und nic.at gerade keine Regierungsstelle oder Behörde ist. Denn sonst müsste das Team Pflichtverletzungen und Sicherheitslücken nachgehen oder polizeiliche Ermittlungen anstoßen.

Aber CERT.at ist keine Ermittlungs- oder gar Strafverfolgungsbehörde. Keine Information leitet das Team ohne den erklärten Willen eines Unternehmens weiter. Berichte über Sicherheitslücken oder Beinahe-Einbrüche gibt es nur anonymisiert und aggregiert weiter. So muss kein Unternehmen befürchten, dass seine Informationen bei Behörden oder gar durch Medien bekannt werden, dass sein Ruf oder sein Aktienkurs Schaden nehmen oder gar Strafen drohen. Das würde vor allem Unternehmen aus sensiblen Branchen wie Banken, Telekommunikationsunternehmen oder aus der Energieversorgung davon abhalten, vertrauensvoll über ihre Probleme zu sprechen. Da sie von CERT.at keine negativen Konsequenzen befürchten müssen, sprechen sie sehr offen auch über Vorfälle in ihrer IT-Struktur.

Das ist wichtig. Denn gerade diese Informationen sind entscheidend, um aus vielen Informationsteilchen ein möglichst vollständiges Mosaik über Gefahren und Sicherheitslücken zusammen zu stellen. „Wir lernen ja gerade von den Details“, sagt CERT.at-Leiter Robert Schischka. „Weil die Unternehmen auf unsere Unabhängigkeit und Verschwiegenheit vertrauen können, erzählen sie viel eher, wenn etwas schiefgelaufen ist.“

Dass sich diese Unabhängigkeit auszahlt, zeigen die Erfolge in den zehn Jahren seit Bestehen des CERT.at-Teams:

  • DNS Poisoning a.k.a. „Kaminsky Bug” (US­-CERT VU#800113): Bereits 2008, kurz nach der Gründung von CERT.at, wurde eine schwerwiegende Lücke in der damaligen DNS-Software entdeckt. Über sog. DNS Cache-Poisoning konnten AngreiferInnen dabei falsche Antworten in DNS-Resolver einschleusen, sodass diese bei einer Anfrage IP Adressen von Geräten retournierten, die von den AngreiferInnen kontrolliert wurden.
    CERT.at warnte vor der Lücke, informierte und unterstützte Betroffene und veröffentlichte einen Bericht über den Vorfall.
  • Der Conficker Wurm: 2009, nur ein Jahr später, kam mit Conficker der nächste große Vorfall. Dieser Wurm verbreitete sich rasend schnell über eine Schwachstelle in Microsofts Windows RPC Dienst. Ein Patch war zwar zum Ausbruch bereits vorhanden, allerdings vielerorts noch nicht eingespielt. Obwohl der Wurm keine bösartige Schadsoftware nachlud, sondern sich „nur“ von selbst weiterverbreitete und sich auf zahlreichen Windows-Maschinen installierte, war dieses „harmlose“ Verhalten zum Zeitbruch des Ausbruchs nicht vorhersehbar. CERT.at konnte bei der Eindämmung des Problems helfen, indem es wiederholt Warnungen und Updates zu neuen Entwicklungen herausgab (siehe hier, hier, und hier), sowie Informationen zu Domänen, von denen der Wurm geladen wurde und fertige Konfigurationsfiles für Bind zur Verfügung stellte.
  • Anonymous: Die Teams von CERT.at und GovCERT.gv.at waren bei mehreren Fällen im aktiv bei der Vorfallsbehandlung im Einsatz: So etwa wurde vor Ort Hilfe bei der Forensik, der Absicherung und der Medienarbeit geleistet sowie der Prozess der dauerhaften Korrektur begleitet. In den anderen Fällen agierte CERT (sowohl CERT.at, als auch GovCERT.gv.at) als Koordinator im Hintergrund, um Erfahrungswerte zusammenzufassen und an Betroffene weiterzugeben. CERT.at veröffentlichte zu diesen Vorkommnissen zwei Special Reports, siehe hier und hier.
  • Eine Bedrohung die CERT.at kontinuierlich begleitet sind DDoS Angriffe, bei denen versucht wird, ein System durch möglichst viele Anfragen von verschiedenen Servern in die Knie zu zwingen. Die Gründe für DDoS Attacken sind sehr unterschiedlich und reichen von einfachen „Scherzen“ aus Langeweile bis hin zu politischen Aktivismus. In anderen Fällen sind die Motive wiederum krimineller Natur, wenn z.B. versucht wird ein Unternehmen zur Zahlung einer bestimmten Summe zu zwingen, indem bis dahin mit wiederholten Angriffen gedroht wird. Manchmal ist auch überhaupt kein Motiv erkennbar.
    Dementsprechend muss auf solche Attacken unterschiedlich reagiert werden – ein ganzes Security-Team tagelang zu beschäftigen, wenn sich im Endeffekt herausstellt, dass es sich um einen „Streich“ gehandelt hat, ist nicht wünschenswert; gleichzeitig darf eine ernsthafte Bedrohung nicht vorschnell unterschätzt werden.
    Einige Beispiele, bei denen CERT.at über DDoS-Angriffe informiert hat, finden sich hier, hier, hier, hier und hier.

Es ist überaus klug, dass Unternehmen aus sicherheitsrelevanten Sektoren eigene CERTs gründen. Diese können sich auf spezifische Sicherheitsfragen ihrer Branche konzentrieren. Koordiniert und in die nationale Sicherheits-Architektur eingebunden wären sie wiederum über CERT.at. Im Fall der Energiebranche ist dies bereits geschehen: 2017 gründeten die Unternehmen das Austrian Energy CERT (AEC), das eng mit CERT.at zusammen arbeitet. Dieses Beispiel eines branchen-eigenen Teams wird auf internationalen Konferenzen mit großem Interesse verfolgt und soll künftig Schule machen. So wären etwa eigene CERTs der Sektoren Gesundheit, Finanzen und Telekommunikation sinnvoll.

Ein wichtiges Gremium für die österreichische IT-Sicherheit ist bereits heute der „Austrian Trust Circle“: VertreterInnen von rund 60 Unternehmen aus den sechs sicherheitsrelevanten Sektoren wie Finanzdienstleister, Energieversorger, Industrie, Transport, Gesundheit sowie von Internet-Providern treffen sich unter der Moderation des CERT.at regelmäßig. In vertraulichem Rahmen tauschen sie Informationen aus, um Gefahren zu erkennen und Abwehrstrategien zu entwickeln. Entscheidend ist auch hier das Vertrauen.

Auch im öffentlichen Sektor gibt es ein solches CERT – das GovCERT Austria unter der Federführung des Bundeskanzleramts, für das CERT.at als technischer Dienstleister arbeitet. GovCERT Austria widmet sich den IT-Sicherheitsfragen für Regierungen und Verwaltungen im Bund, in den Ländern und auf kommunaler Ebene.

Wichtige internationale Vernetzung

Kooperation ist für CERT.at auch international wichtig. Denn wie bei einer Epidemie bieten Landesgrenzen auch vor HackerInnen, Cyber-Kriminellen und –SpionInnen keinen Schutz. Die ExpertInnen stehen im ständigen Kontakt mit der weltweiten IT-Sicherheitsbranche und anderen nationalen CERTs. Sie sind in vielen internationalen Netzwerken aktiv, etwa dem Europäischen Dachverband TF-CSIRT, der FIRST und dem CSIRTs Network. Aus all diesen Quellen erhalten sie im Austausch Informationen, um Bedrohungen aus dem Ausland schnell zu erkennen.

Das international koordinierte Vorgehen bei Krisenfällen gehört ebenfalls zur CERT.at-Agenda. Um für diese Fälle bereit zu sein, nimmt CERT.at jedes Jahr an zahlreichen Konferenzen im nationalen, europäischen und internationalen Umfeld teil.

Gesetzlicher Auftrag von CERT.at

Die Europäische Union hat die Notwendigkeit einer gemeinsamen Gefahrenabwehr längst erkannt. Mitte 2016 trat die NIS-Richtlinie in Kraft, die „Directive on Security of Network and Information Systems“. Sie stellt einen einheitlichen Rechtsrahmen, innerhalb dessen jedes Land Kapazitäten für die Cyber-Sicherheit aufbauen muss. Zudem formuliert sie Mindestsicherheitsanforderungen und Meldepflichten für kritische Infrastrukturen und für Anbieter bestimmter digitaler Dienste wie Cloud-Services oder Online-Marktplätze.

Österreich hatte bereits 2013 eine IT-Sicherheits-Strategie vorgestellt, die viele Punkte der Richtlinie vorwegnahm. Eines ist jedoch neu: Die Richtlinie verlangt von jedem Land, dass es eine offizielle Meldestelle für Sicherheitsfragen einrichtet. Damit hat die Regierung seit April 2019 CERT.at betraut – und der einstigen Stiftungs-Initiative einen gesetzlichen Auftrag erteilt, ohne ihre Unabhängigkeit und Vertraulichkeit anzutasten. Das zeigt eindrücklich die Rolle, die das Team für die IT-Sicherheit in Österreich spielt. Um das Internet im Land gesund zu halten.

 


<< Vorige Nächste >>