CERT.at – Österreichs nationales CERT

Sketchnotes zu einem Vortrag über CERT.at bei der PrivacyWeek 2019

CERT.at ist das österreichische nationale Computer Emergency Response Team, das im Jahr 2008 gemeinsam mit dem GovCERT Austria vom Bundeskanzleramt (BKA) in Kooperation mit nic.at, der österreichischen Domain-Registrierungsstelle, als Projekt bei nic.at eingerichtet wurde. Als solches ist CERT.at der Ansprechpartner für IT-Sicherheit im nationalen Umfeld und ist für all jene Fälle zuständig, die nicht durch ein spezifischeres CERT (etwa ein Sektor-CERT) abgedeckt werden. Seit 2019 ist CERT.at außerdem das nationale CERT nach NIS Gesetz (siehe dazu Gesetzlicher Auftrag von CERT.at). Dadurch ist die Zusammenarbeit mit Betreibern wesentlicher Dienste, der kritischen Infrastruktur und relevanten staatlichen Einrichtungen noch enger geworden. Die oben abgebildete Grafik entstand als Sketchnotes bei einem Vortrag über CERT.at bei der PrivacyWeek 2019 und fasst unsere Arbeit bildlich zusammen.

CERT.at vernetzt andere CERTs (Computer Emergency Response Teams) und CSIRTs (Computer Security Incident Response Teams) aus den Bereichen der kritischen Infrastruktur und IKT, (Informations- und Kommunikationstechnologie) und gibt Warnungen, Hinweise auf konkrete Probleme und Tipps für Unternehmen und private Personen heraus. Bei Angriffen auf IKT auf nationaler Ebene koordiniert CERT.at die Reaktion auf den Vorfall und informiert die jeweiligen Netzbetreiber und die zuständigen, lokalen Security Teams. Das Team von CERT. at wird in erster Linie bei akuten Sicherheitsbedrohungen und -ereignissen aktiv.

Damit ist CERT.at in seinem Tätigkeitsfeld mit einer gesamt-österreichischen “Internet-Feuerwehr" gleichzusetzen, die laufendes Monitoring betreibt, Informationen weitergibt, sich effektiv national und international vernetzt und auf Bedrohungen reagiert. Parallel zu CERT.at wurde 2008, im Rahmen eines Public-Private-Partnerships mit dem Bundeskanzleramt, GovCERT Austria für den öffentlichen Sektor ins Leben gerufen. Seit 2017 besteht, in einer ähnlichen Kooperation des österreichischen Energiesektors mit CERT.at, auch das Austrian Energy CERT.

Darüber hinaus ist CERT.at auch für vorbeugende Maßnahmen, wie Früherkennung, Vorbereitung für Notfälle, Öffentlichkeitsarbeit und Beratung zuständig. CERT.at versteht sich als Kontaktpunkt für sicherheitsrelevante IKT-Ereignisse in Österreich und dient als vertrauenswürdige und anerkannte Informationsdrehscheibe. Das Team von CERT.at besteht derzeit aus neun Personen und wird von Robert Schischka geleitet. Eine wichtige Abgrenzung: CERT.at ist keine Ermittlungsbehörde und befasst sich daher nicht mit dem Thema der Strafverfolgung im Internet. Es hat kein Durchgriffsrecht auf die Netzwerkinfrastruktur Österreichs und kann bei Sicherheitsvorfällen nur koordinierend und beratend aktiv werden.

CERT-Beirat – Strategische Leitplanken

In seiner strategischen Ausrichtung wird CERT.at durch einen eigenen CERT-Beirat unterstützt. Dieser bringt als beratendes Organ Input in Bezug auf Sichtweisen und Themenvorschlägen ein. Die Mitglieder des Beirats repräsentieren dabei einen Querschnitt der Internet-Community in Österreich, fungieren als BotschafterInnen für CERT.at und stellen sicher, dass CERT.at im Sinne des ganzen Landes agiert.

Die Mitglieder des CERT-Beirates sind:

  • Ing. MSc. Franz Hoheiser-Pförtner (MAGWien)

  • Erich Albrechtowitz (BKA)

  • Ing. Clemens Möslinger, BA MSc (BKA)

  • Mag. Wolfgang Ebner (BMDW)

  • Mag. Markus Popolari (BMI)

  • Ing. Robert Scharinger, MBCS (Sozialministerium)

  • GenMjr. Mag. Helmut Habermayer, MSc (BMLV)

  • DI Philipp Blauensteiner (BVT)

  • Ing. Thomas Mandl (CDCE)

  • Univ. Prof. Dr. Nikolaus Forgo (Universität Wien)

  • Univ. Prof. Dr. Reinhard Posch (TU Graz)

  • Ing. Dr. iur Christof Tschohl (Research Institute & Co. KG

  • Christian Panigl (UniVie/ACOnet/VIX)

Vernetzung

CERT.at ist keine isoliert arbeitende Einrichtung, sondern vielmehr eine koordinierende und informierende Stelle, die bei Angriffen auf IKT Geräte sofort mit den jeweiligen Netzbetreibern und zuständigen Security Teams in Kontakt tritt. Ein ExpertInnen-Team, das im Falle des Falles Hilfe zur Verfügung steht und in enger Abstimmung mit anderen Beteiligten den österreichischen Teil des Internets von Problemen befreit – auf Basis eines freiwilligen Angebots.

Die Zusammenarbeit mit anderen Organisationen ist daher ein wichtiger Bestandteil der täglichen Arbeit von CERT.at: Diese reicht von den EU-Agentur für Cybersicherheit ENISA, internationalen Konzernen, über CERTs/CSIRTs in anderen Staaten, anderen Sicherheitsteams in Österreich, Universitäten, Fachhochschulen, Forschungseinrichtungen bis hin zu engagierten Privatpersonen. Siehe dazu auch Kooperationen und Networking.

Gesetzlicher Auftrag von CERT.at

Die Europäische Union hat die Notwendigkeit einer gemeinsamen Gefahrenabwehr längst erkannt. Mitte 2016 trat die NIS-Richtlinie in Kraft, die “Directive on Security of Network and Information Systems". Sie stellt einen einheitlichen Rechtsrahmen, innerhalb dessen jedes Land Kapazitäten für die Cyber-Sicherheit aufbauen muss. Zudem formuliert sie Mindestsicherheitsanforderungen und Meldepflichten für kritische Infrastrukturen und für Anbieter bestimmter digitaler Dienste wie Cloud-Services oder Online-Marktplätze.

Österreich hatte bereits 2013 eine IT-Sicherheits-Strategie vorgestellt, die viele Punkte der Richtlinie vorwegnahm. Eines ist jedoch neu: Die Richtlinie verlangt von jedem Land, dass es ein offizielles Computer-Notfallteam einrichtet. Damit hat das BKA als zuständige NIS-Behörde im April 2019 CERT.at betraut und einen gesetzlichen Auftrag erteilt, ohne ihre Unabhängigkeit und Vertraulichkeit anzutasten. Das zeigt eindrücklich die Rolle, die das Team für die IT-Sicherheit in Österreich spielt, um das Internet im Land gesund zu halten.

Fragebogen “Aufgaben eines nationalen CERTs"

“Was sind Ihrer Meinung nach Aufgaben eines nationales CERTs?" – Das ist die Frage, die wir im Rahmen der IT-Security-Konferenz DeepSec am 28. und 29. Dezember in Wien den BesucherInnen gestellt haben. Circa 30% davon haben ihre Einschätzung auf Fragebögen, die wir sowohl auf Deutsch als auch auf Englisch zur Verfügung stellten, mit uns geteilt. Zentrale Tätigkeiten, die wir als unser täglich Brot erachten, wie etwa die Arbeit als neutrale Informationsdrehscheibe, Koordination und aktive Benachrichtigungen, führten in der Zustimmung deutlich.

Top 10 Antworten mit “ja” auf die Umfrage

Tätigkeiten, die weniger Zustimmung erhielten sind aber Voraussetzung für oder Teil von anderen Aufgaben, was für Außenstehende nicht immer ersichtlich ist. Dies betrifft etwa Incident Response, Responsible Disclosure oder die Medienbeobachtung im Bereich der IT-Sicherheit.

Aus den Ergebnissen lässt sich auch ein klarer Wunsch nach der Herausgabe von Sicherheitsstandards und Empfehlungen durch nationale CERTs/CSIRTs ablesen.

Obwohl der Name “CERT" vermuten lässt, dass auch die Ausstellung von Zertifikaten (insbesondere TLS-Zertifikate) eine unserer Aufgabe sein könnte, wird dieser Bereich von keinem uns bekannten CERT abgedeckt. Der Vorschlag fand bei den Teilnehmenden ebenfalls kaum Zuspruch.

Die Idee eines solchen “Realitätsabgleichs" stieß nach einer Präsentation unserer Umfrage und deren Ergebnisse vor europäischen Partnern im CSIRTs Network auf Zustimmung und könnte bald im Ausland wiederholt werden.

Start der neuen Webseite

Nach dem 10-jährigen Jubiläum von CERT.at 2018 wurde 2019 das Projekt "Neue CERT Website" in Angriff genommen. Unser Webauftritt war mittlerweile schon ziemlich in die Jahre gekommen und sollte neben einem frischeren Design auch an das Layout und die Technologie der nic.at-Website herangeführt werden. Einer der Hauptbeweggründe dafür war auch die fehlende Kompatibilität des alten Layouts mit kleinen Bildschirmen wie beispielsweise auf Smartphones. Darüber hinaus – und dabei nicht minder wichtig – sollte mit der neuen Website auch den einzelnen Gründen für einen Besuch unserer Website Rechnung getragen werden. Gelöst wurde dies über die neue, sich vom Grundaufbau der restlichen Seiten deutlich abhebende, Homepage:

BesucherInnen finden hier also direkt Links zu Informationen

  • über CERT.at,

  • wie sie einen Sicherheitsvorfall melden können,

  • was zu tun ist, wenn sie eine E-Mail von uns erhalten haben und

  • zu aktuellen Vorgängen in der IT-Sicherheitsbranche.

Die bestehenden Informationskategorien “Warnungen", “Blog" und “Spezielles" wurden um eine weitere ergänzt: “Aktuelles". Diese deckt den Graubereich zwischen Warnung und Blog ab. Dabei geht es einerseits darum, Meldungen die (noch) nicht unsere Kriterien für eine Warnung1 erfüllen, aber kritisch genug erscheinen, bereits vor dem regulären End-of-Day zu verbreiten, und andererseits soll damit das Zeitfenster zwischen dem Finden einer potentiellen Warnung bis zu dessen Veröffentlichung überbrückt werden, also quasi eine Frühwarnung noch bevor Recherche und Ausformulierung des eigentlichen Warnings abgeschlossen sind.

  1. Eine Auflistung derselben finden Sie unter https://cert.at/de/meldungen/warnungen/.


<< Vorige Nächste >>