“Strengthening the CERT Capacity and IT security readiness in Austria" (2016-AT-IA-0089)

image

CERT.at (mit Mutterfirma nic.at GmbH) hat beim Connecting Europe Facilities (CEF) Rahmenprogramm in der Kategorie “Cyber Security" im Jahr 2016 eine Förderung eingereicht. Ziel des 2016-AT-IA-0089 Programmes war es, vor allem nationale CERTs/CSIRTs fit für die NIS Richtlinie zu machen bzw. auf die NIS Richtlinie vorzubereiten. Es war somit möglich, Schwachstellen (unter Betrachtung der (damals) kommenden NIS Richtlinie) zu identifizieren und zu adressieren.

Eine der größten Herausforderungen, die CERTs/CSIRTs (bzw. die gesamte IT Security Industrie) betrifft, ist das Fehlen qualifizierten Personals. Das “Handling" von Security Incidents für den gesamten “Österreich" Bezug im Internet (zur Definition siehe Das IT-Sicherheitsjahr 2019) bedarf eigentlich immer mehr Personal, als vorhanden ist. Demnach war einer der Schwerpunkte die Automatisierung des Incident Handlings. Hierbei werden alle möglichen Data Feeds von Vorfällen (fast immer Open Source Intelligence, manchmal werden die Feeds nur mit nationalen CERTs geteilt) gesammelt, geholt, vorverarbeitet, gefiltert und mit weiteren Informationen angereichert. Die so gewonnenen angereicherten und bereinigten Data Feeds werden anschließend nach Netzwerkbetreiber gruppiert und täglich an diese ausgeschickt. Weitere Informationen dazu finden sich auf unserer Webseite sowie im Abschnitt Datenbasis.

Diese Automatisierung wurde im Rahmen des CEF Projekts im Zeitraum September 2017 bis September 2019 erfolgreich abgeschlossen. Alle Arbeiten wurden als Open Source auf der Plattform GitHub unter https://github.com/certtools/intelmq veröffentlicht und stehen damit allen CERTs/CSIRTs und anderen Interessierten zur Verfügung, vgl. dazu auch de Abschnitt über IntelMQ. Dem nicht genug, unsere Arbeit wurde von vielen verwendet und es gibt derzeit weltweit etwa 200 Installationen von IntelMQ von denen wir wissen (Stand Ende 2019).

Weitere Aspekte des CEF-2016-3 Projektes waren mehr Mitarbeiter für CERT.at (zeitlich befristet), die Erstellung eines NIS Meldeportals, Server-Hardware, Reisen zur Vernetzung mit anderen CERTs/CSIRTs und Trainings für CERT.at Mitarbeiter.