CyberExchange (2017-EU-IA-0118)

image

Das von der europäischen Kommission unterstützte CyberExchange Projekt ist quasi das Erasmus-Äquivalent für nationale CERTs/CSIRTs der EU. MitarbeiterInnen können für drei Tage bis zu zwei Wochen in einem anderen CERT/CSIRT arbeiten und so die Vernetzung innerhalb der Community verbessern sowie das Teilen von Know-How vereinfachen. Dabei sind zwei Arten des Austausches möglich: Einmal in Form eines “Fellowships" bei dem eine Mitarbeiterin oder ein Mitarbeiter zu einem anderen CERT/CSIRT geschickt wird, um dort neue Fähigkeiten zu lernen und diese dann nach der Rückkehr auch zu Hause zu verbreiten. Andererseits sind auch sog. “Technical Assistance Visits" möglich, bei denen eine Person zu einem anderen CERT/CSIRT reist, um dort Wissen zu einem oder mehreren Tools zu vermitteln. CERT.at wirkt als sendende als auch empfangende Stelle an diesem Projekt mit.

Die Covid-19 Pandemie hat diese Projekt massiv betroffen. Wir mussten Reisen absagen, die Mitarbeiter nach Luxemburg  und Zagreb geführt hätten.. In  der Hoffnung, dass die Reisebeschränkungen aufgehoben werden, wurde das Projekt mehrmals verlängert.  Leider hat sich bis Sommer 2021 keine Gelegenheit ergeben, weitere Besuche durchzuführen. Wir sind daher aus dem Projekt ausgestiegen.

“MeliCERTes 2” (SMART-2018-2014)

Ziel von MeliCERTes1 ist die Erstellung und Weiterentwicklung einer “Toolbox" für CERTs/CSIRTs, wobei der primäre Fokus auf nationalen CERTs/CSIRTs, die nach der EU-NIS-Verordnung Teil des CSIRTs Netzwerk sind, liegt. Besonderer Wert wird dabei auf die Verwendung von Open Source Lösungen gelegt, um Transparenz der Softwarefunktionalität, Kostenminimierung und die Weiterentwicklung dieser Tools zu gewährleisten. Am Ende soll eine Softwareplattform entstehen, die Kommunikation, Daten- und Wissensaustausch innerhalb des CSIRTs Netzwerks verbessert.

So werden über MeliCERTes beispielsweise neue Schnittstellen zwischen Systemen wie IntelMQ, MISP und anderen finanziert. Auf diesem Weg stärkt MeliCERTes die CERT/CSIRT- sowie die IT-Sicherheits-Gemeinschaft insgesamt.

Im Zuge von MeliCERTes entstandene Software und Dokumentation werden auf https://github.com/melicertes/ veröffentlicht.

Das Projekt erstellt damit einerseits eine Bestandsaufnahme und Erweiterung dessen, was aktuell von den nationalen CSIRTs der EU eingesetzt wird und andererseits eine “Blaupause" für neue CSIRTs. Mit deren Hilfe sind diese nicht nur schneller einsatzbereit, sondern stellen gleichzeitig sicher, dass sie auf Lösungen setzen, für die innerhalb des CSIRT Netzwerks bereits Expertise vorhanden ist und sie sich dementsprechend bei Problemen an andere CSIRTs wenden können.

MeliCERTes wird derzeit von einem Konsortium bestehend aus CERT.at, CERT.EE, CERT.pl, CIRCL, SK-CERT und Deloitte entwickelt.

SMART-2018-2014 ist die Fortsetzung des Projekts SMART 2015/1089, das 2015 ausgeschrieben und 2016 von einem Konsortium bestehend aus Capgemini, S-Cure und Intrasoft International gewonnen wurde. Details dazu finden sich hier. Die Ausschreibung zum aktuellen Projekt kann hier nachgelesen werden.

Constituency-Portal NG („tuency“)

image

Das “Constituency-Portal” ist ein Kontaktmanagementtool mit Self-Service Funktionen und ist direkt mit der Authentifizerungslösung Keycloak integriert. Dadurch können die vorhandenen Login-Daten bei weiteren Diensten genutzt werden. Die Software verbessert und erweitert außerdem die Adressierung unserer täglichen E-Mailbenachrichtigungen an NetzbetreiberInnen über Probleme in deren Netzen.

Die Sofware “tuency” wird aktuell durch unseren Partner Intevation GmbH (ansässig in Osnabrück, Deutschland) als freie Software entwickelt. Der Code kann auf gitlab eingesehen werden.

Das Projekt wird teilweise durch CEF 2018-AT-IA-0111 (siehe oben) finanziert.

AWAKE (2020-AT-IA-0254)

image

In diesem Projekt geht um das Thema Lagebild: wie kann man eine Einschätzung der aktuellen Sicherheitslage erstellen und wie kann man dieses am besten kommunizieren. Primär geht es hier um die drei Ebenen in der Cybersicherheitsstrategie der EU (technisch: CERTs, operativ: CyCLONe, strategisch), die sich in Österreich gut abbilden lassen. Bei uns im CERT, auf der technische Ebene, geht es um die Details, was die (technischen) Bedrohungen sind, was aktuell ausgenutzt wird und was wo verwundbar ist. In Österreich ist die operative Ebene die entsprechende NIS Behörde im Innenministerium (bis Dezember 2021 hatte das CSC im BVT diese Rolle, danach das NIS Büro in der Sektion IV) wo es primär um die Auswirkungsdimension geht. Wir tauschen uns fallbezogen und laufend im Rahmen der OpKoord (siehe NIS-Gesetz) aus. Das wollen wir mit diesem Projekt verbessern.

Einerseits geht es um die Aufbereitung der bereits im CERT vorhandenen Daten, die aber in diversen Systemen verteilt sind. So etwa könnten Informationen zu einer DDoS-Kampagne auf folgende Systeme verteilt sein: Ticketsystem, OSINT, nationale und internationale IM-Systeme und MISP. Eine zentrale Suche über alle diese Systeme soll die Frage nach "Was wissen wir zu Thema X?" umfassend beantworten können. Ein automationsgestütztes Clustering kann dann zu einem funktionalen User-Interface führen, in dem unser Analyst einen Lagebericht zusammenstellen und manuell ergänzen kann. Diese soll dann über ein bidirektionales Interface mit der operative Ebene geteilt werden können.

Andererseits geht es auch um das aktive Einholen von Statusberichten durch Umfragen. Hier können wir stark auf die Vorarbeiten aus dem ACCSA Projekt zurückgreifen. Das dort entwickelte Koord-Tool kann genau das: eine dauerhaft laufende Webumfrage, bei der sich die Fragen und Antworten mit der Zeit ändern dürfen, und wo jeweils eine aktuelle Zusammenfassung der Ergebnisse angezeigt wird. Im Nachhinein kann man sich auch anzeigen lassen, was der Wissensstand zu bestimmten Zeitpunkten war.

Beiden Modi gemeinsam ist die theoretische Möglichkeit, das System nicht nur als Brücke zwischen Layern, sondern auch im gleichen Layer zwischen geografischen Einheiten zu verwenden. Wir denken an, dass damit auch eine Aggregation der Information von EU Mitgliedstaaten auf EU Ebene möglich sein sollte.

 JTAN (2020-EU-IA-0260)

image

Das Joint Threat Analysis Network Projekt ist eine Kooperation mehrer CERTs in der EU. Für uns ist primär die R&D Abteilung der nic.at eingebunden. Es geht für uns darum, Risikofaktoren für Domains zu entwickeln.

Mitarbeit an Forschungsprojekten

Wir starten demnächst mit den Projekten SHIFT und CYBERMONOLOG.


  1. Der Name leitet sich von der altgriechischen Gottheit namens “Melikertes" (gr. Μελικέρτης) ab, dessen Aufgabe das sichere Geleit von Schiffen in den Hafen war.