Circa

Was war CIRCA (Computer Incident Response Coordination Austria)?

CIRCA war eine Initiative der ISPA und des Bundeskanzleramtes, eine Kommunikationsinfrastruktur für die Netzwerk- und Sicherheitsverantwortlichen von IP-Netzbetreibern aufzubauen. Seit 2003 standen zwei Server zur Verfügung, um eine vertrauliche und geschützte elektronische Kommunikation zwischen den Teilnehmern zu ermöglichen. Der Server des privaten Sektors (ISPs und IP-Netzbetreiber) wurde von der ISPA betrieben, während der des öffentlichen Bereiches vom BKA (Bundeskanzleramt und Krisenmanagement) betreut wurde.

Neben der elektronischen Kommunikationsplattform in der Form von sicheren Mailinglisten gab es auch regelmäßige Arbeitstreffen (im Rahmen von 2 Arbeitsgruppen, einer im Bundeskanzleramt und einer bei der ISPA).

Ziel dieses österreichischen Sicherheitsnetzes war es, ein landesweites Frühwarnsystem gegen Würmer, Viren, DDOS-Attacken und andere Bedrohungsszenarien zu schaffen, welche die ISP-Infrastruktur ebenso wie andere IP-Netze und Kunden gefährden. Dies sollte sowohl aktiv (rechtzeitige Warnungen, Informationen, Beurteilung von Risiken, Information über mögliche Gegenmaßnahmen, internationale Verflechtung etc.) als auch reaktiv (Erkennen von versuchten Angriffen, Koordination von Gegenmaßnahmen, schneller Informationsaustausch und Alerts, etc.) geschehen.

Erfahrungen aus CIRCA

Die Initiative zu CIRCA im Jahre 2002 war innovativ und führte durch den Einsatz der Mitglieder zu einer Vernetzung der Sicherheitsverantwortlichen im Internetbereich. Auch abgesehen von den konkreten Ergebnissen war es sehr hilfreich, die relevanten Personen regelmäßig an einen Tisch zu bringen.

CIRCA war somit ein wichtiger und richtiger erster Schritt für die IT-Sicherheit in Österreich.

Aufbauend auf diesen wertvollen Erkenntnissen wollen wir nun einen nächsten Schritt wagen. Da CERT.at als Team schon existiert und für das zeitnahe und professionelle Reagieren auf IT-Security-Vorfälle zuständig ist, will CERT.at nun auch den Themen von CIRCA dedizierte Ressourcen zukommen lassen. Daher wurden sowohl von Seiten der ISPA, als auch des BKA die Agenden von CIRCA Mitte 2008 an CERT.at übergeben. Interimsmäßig wurde die CIRCA-Infrastruktur von CERT.at betrieben, mit Ende 2008 werden die Services (v.a. Mailinglisten) in das CERT.at-Portfolio integriert.

Kommunikation

Eine weitere Lektion aus CIRCA ist, dass der starke Fokus auf eine verschlüsselte Kommunikation den Zielen von CIRCA in der Praxis nicht dienlich war. Die Schlüsselverwaltung und die Konfiguration des Mailclients waren komplex, sowie der bürokratische Prozess der Zertifizierung hoch. Der Grad der Vertraulichkeit der de facto ausgetauschten Informationen stand in keinem Verhältnis zum Aufwand.

Die Organisation der Mailinglisten von CERT.at basiert somit auf den Erfahrungen von CIRCA:

  1. Informationen signiert aber unverschlüsselt verteilen
  2. Cleartext-Signaturen behindern nicht das Lesen einer Nachricht, auch wenn es Probleme mit dem Kryptografie gibt
  3. anstatt die Mailinglisten nach Ernsthaftigkeit des Vorfalles einzuteilen ("info", "warning", "alert") und deren Empfängerkreis stark einzuschränken, betreibt CERT.at offene Mailinglisten für technische und administrative Ankündigungen. CERT.at will damit die Einstiegshürde für den Empfang von Sicherheitswarnungen (die auch auf www.cert.at publiziert werden) möglichst weit senken.

Für Diskussionen steht weiterhin eine unmoderierte Liste mit eingeschränktem Teilnehmerkreis zur Verfügung.

Vertrauliche Nachrichten können dem CERT.at-Team direkt, und selbstverständlich auch verschlüsselt, übermittelt werden. CERT.at seinerseits kommuniziert, auch mit CIRCA-Teilnehmern, anderen CERTs und internationalen Partnerorganisationen, vornehmlich verschlüsselt und stellt so fallbezogen die jeweils notwendige Vertraulichkeit und Integrität sicher.

CERT.at als neutraler Nicht-Marktteilnehmer hofft, hiermit die Ideen von CIRCA mit neuem Leben zu füllen und sich auch einem weiteren Publikum zu öffnen.