Weitere Kooperationen
Connecting Europe Facilities (CEF)
Abschlussbericht “Strengthening the CERT Capacity and IT security readiness in Austria" (2016-AT-IA-0089)
CERT.at (mit Mutterfirma nic.at GmbH) hat beim Connecting Europe Facilities (CEF) Rahmenprogramm in der Kategorie “Cyber Security" im Jahr 2016 eine Förderung eingereicht. Ziel des 2016-AT-IA-0089 Programmes war es, vor allem nationale CERTs/CSIRTs fit für die NIS Richtlinie zu machen bzw. auf die NIS Richtlinie vorzubereiten. Es war somit möglich, Schwachstellen (unter Betrachtung der (damals) kommenden NIS Richtlinie) zu identifizieren und zu adressieren.
Eine der größten Herausforderungen, die CERTs/CSIRTs (bzw. die gesamte IT Security Industrie) betrifft, ist das Fehlen qualifizierten Personals. Das “Handling" von Security Incidents für den gesamten “Österreich" Bezug im Internet (zur Definition siehe Das IT-Sicherheitsjahr 2019) bedarf eigentlich immer mehr Personal, als vorhanden ist. Demnach war einer der Schwerpunkte die Automatisierung des Incident Handlings. Hierbei werden alle möglichen Data Feeds von Vorfällen (fast immer Open Source Intelligence, manchmal werden die Feeds nur mit nationalen CERTs geteilt) gesammelt, geholt, vorverarbeitet, gefiltert und mit weiteren Informationen angereichert. Die so gewonnenen angereicherten und bereinigten Data Feeds werden anschließend nach Netzwerkbetreiber gruppiert und täglich an diese ausgeschickt. Weitere Informationen dazu finden sich auf unserer Webseite sowie im Abschnitt Datenbasis.
Diese Automatisierung wurde im Rahmen des CEF Projekts im Zeitraum September 2017 bis September 2019 erfolgreich abgeschlossen. Alle Arbeiten wurden als Open Source auf der Plattform GitHub unter https://github.com/certtools/intelmq veröffentlicht und stehen damit allen CERTs/CSIRTs und anderen Interessierten zur Verfügung, vgl. dazu auch de Abschnitt über IntelMQ. Dem nicht genug, unsere Arbeit wurde von vielen verwendet und es gibt derzeit weltweit etwa 200 Installationen von IntelMQ von denen wir wissen.
Weitere Aspekte des CEF-2016-3 Projektes waren mehr Mitarbeiter für CERT.at (zeitlich befristet), die Erstellung eines NIS Meldeportals, Server-Hardware, Reisen zur Vernetzung mit anderen CERTs/CSIRTs und Trainings für CERT.at Mitarbeiter.
CyberExchange (2017-EU-IA-0118)
Das von der europäischen Kommission unterstützte CyberExchange Projekt ist quasi das Erasmus-Äquivalent für nationale CERTs/CSIRTs der EU. MitarbeiterInnen können für drei Tage bis zu zwei Wochen in einem anderen CERT/CSIRT arbeiten und so die Vernetzung innerhalb der Community verbessern sowie das Teilen von Know-How vereinfachen. Dabei sind zwei Arten des Austausches möglich: Einmal in Form eines “Fellowships" bei dem eine Mitarbeiterin oder ein Mitarbeiter zu einem anderen CERT/CSIRT geschickt wird, um dort neue Fähigkeiten zu lernen und diese dann nach der Rückkehr auch zu Hause zu verbreiten. Andererseits sind auch sog. “Technical Assistance Visits" möglich, bei denen eine Person zu einem anderen CERT/CSIRT reist, um dort Wissen zu einem oder mehreren Tools zu vermitteln. CERT.at hat 2019 sowohl als sendende als auch empfangende Stelle an diesem Projekt mitgewirkt.
CERT.at entsandte im Oktober Sebastian Wagner im Rahmen eines “Technical Assistance Visits” für eine Woche an CERT.pl, das nationale CERT Polens. Beide Teams sind maßgeblich an der Entwicklung von Softwaretools zur automatisierten Verarbeitung von “IoCs" (“Indicators for Compromise", Verwundbarkeits- und Vorfallsdaten) beteiligt bzw. leiten sie. Während CERT.at die langjährige Open-Source Software IntelMQ betreut, hat CERT.pl deren Entwicklung “n6" (n6.readthedocs.io) 2018 als Open-Source freigegeben. Ziel des Besuches war es daher, sich gegenseitig über die Stärken und Schwächen, die unterschiedlichen Ausrichtungen und mögliche Synergien sowie Schnittstellen der beiden Projekte auszutauschen.
Der Besuch hat die Möglichkeiten zur Interoperabilität der Softwareprojekte und verwandter Programme gezeigt, was eine wertvolle Basis für die weitere Zusammenarbeit darstellt. Erste Früchte hat die Kooperation bereits getragen, da Anpassungen durchgeführt werden konnten, die den Weg für eine gemeinsame Nutzung einer Komponente frei gemacht haben.
Im November 2019 wurde Dimitri Robl von CERT.at für zwei Wochen zu CERT.hr, dem nationalen CERT Kroatiens, geschickt. Dort lernte er einerseits die Abläufe von Penetration-Tests kennen, da CERT.hr diese Service für gewisse Teile der kroatischen Contituency anbietet und andererseits bekam er einen Einblick in Planung, Ablauf und Ergebnisse der erfolgreichen Awarenesskampagne “Veliki Hrvatsi Naivci" (“Die großen kroatischen Naiven"). Zusätzlich tauschte er sich mit dem Incident Response Team von CERT.hr über Best-Practices und allgemeine Abläufe aus. Insgesamt hat der Aufenthalt das Vertrauen zwischen den beteiligten CERTs stark erhöht und das Ziel des Wissensaustauschs wurde voll erfüllt.
Außerdem kamen im November 2019 Jarosław Jedynak von CERT.pl und Raphaël Vinot von CIRCL1 zu CERT.at. Beide sind ihrem Fokus nach Programmierer und es ging bei ihren Besuchen primär darum, wie die von CERT.at, CERT.pl und CIRCL entwickelte Software reibungslos zusammenarbeiten kann, damit alle CERTs die Tools der anderen einsetzen können.
Beim Besuch von CERT.pl ging es verstärkt um das gegenseitige Kennenlernen der Tools der jeweils anderen, um mögliche Synergien ausfindig und dadurch nutzbar zu machen.
Mit CIRCL konzentrierte sich die Arbeit auf die Interoperabilität von IntelMQ und MISP, da beide Projekte bereits von vielen CERTs/CSIRTs in Europa (und außerhalb) eingesetzt werden, d.h. wohldefinierte Schnittstellen zwischen den beiden sind nicht nur für CERT.at und CIRCL nützlich.
Kickoff “Enhancing Cybersecurity in Austria" (2018-AT-IA-0111)
CERT.at reichte im Jahr 2018 als Anschlussprojekt an “Strengthening the CERT Capacity and IT security readiness in Austria" (CEF 2016-AT-IA-0089) ein weiteres EU Projekt “Enhancing Cybersecurity in Austria" (2018-AT-IA-0111) im Rahmen des Connecting Europe Facilities (CEF) Program ein, das ebenfalls wieder in vollem Umfang genehmigt wurde und eine 75%-ige Förderung der Kosten durch die Europäische Union beinhaltet. Die geplante Laufzeit ist von September 2019 bis August 2021.
Ausgebaut werden unter anderem sowohl die personellen Ressourcen, Trainings, Code-Weiterentwicklungen sowie auch der Ausbau der Server- und Sicherheitsarchitektur von CERT.at.
Das Projekt umfasst sowohl interne Weiterentwicklungen als auch Anpassungen an internationale Anforderungen im Rahmen der Zusammenarbeit der europäischen CERTs. So ist die Integration und Einbindung in “MeliCERTes", einem EU geförderten Projekt zur internationalen Kooperation der europäischen CERTs, ein integraler Teil des Projektes.
Ein besonderer Fokus liegt auch in der Forschung (Data Science) und der Automatisierung von vorhandenen Daten und dem Ausbau der eigenen Datenquellen für das Incident Management unter Beteiligung des Research & Development Teams (“R&D") der nic.at.
Zu guter Letzt wird auch die Weiterentwicklung von IntelMQ im internationalen Kontext und insbesondere auch in Kooperation mit CERT.pl’s “n6" Werkzeug gefördert.
Mitarbeit an Forschungsprojekten
InduSec
CERT.at nimmt am 2019 gestarteten Project InduSec der SBA Research teil. Dabei geht es vor allem darum, IT und OT in bezug auf Security auf einen gemeinsamen Level zu bringen. Mehr Informationen finden Sie auf der Webseite von SBA Research.
ACCSA (KIRAS)
CERT.at beteiligt sich an den Austrian Cyber Crisis Support Activities (ACCSA), die darauf abzielen, AkteurInnen im staatlichen Cyber-Krisenmanagement (CKM) auf Cyber-Krisen mit umfangreichen Schulungs-, Übungs- und Auswertekonzepten vorzubereiten und dadurch Reaktionszeiten und Fehlerraten im Falle einer echten Cyber-Krise zu verringern. Genaueres finden Sie auf der Webseite von KIRAS.
-
CIRCL ist das national CERT Luxemburgs.↩