CERT (Computer Emergency Response Team)
Copyright © Shutterstock/dotshock
Was ist ein CERT?
Ein CERT (Computer Emergency Response Team) ist eine Expertengruppe, die Sicherheitsvorfälle von Computern bearbeitet. Alternative Namen für solche Gruppen sind das Computer Emergency Readiness Team und das Computer Security Incident Response Team. Der Name CERT wurde erstmals 1988 vom CERT-Koordinierungszentrum (CERT-CC) der Carnegie Mellon University (CMU) verwendet.
Die Abkürzung CERT des historischen Namens wurde von anderen Teams auf der ganzen Welt aufgegriffen. Einige Teams nahmen den spezifischeren Namen CSIRT (Computer Security Incident Response Team) an, um auf die Aufgabe hinzuweisen, Computersicherheitsvorfälle anstelle anderer technischer Unterstützungsarbeiten zu behandeln, und weil die CMU drohte, rechtliche Schritte gegen Einzelpersonen oder Organisationen einzuleiten, die ein anderes Team als CERT angesprochen hatten.
Nach der Jahrhundertwende entspannte sich die Position der CMU und die Begriffe CERT und CSIRT werden nun synonym verwendet. Die Geschichte von CERTs hängt mit der Existenz von Malware zusammen, insbesondere von Computerwürmern und Viren. Wann immer eine neue Technologie ankommt, folgt ihr Missbrauch nicht lange.
Da war der (Morris-)Wurm drin!
Der erste Wurm im IBM VNET wurde vertuscht. Kurz darauf traf am 1988 ein Wurm das Internet, als der sogenannte Morris-Wurm bekannt, einen guten Prozentsatz davon lahmte. Dies führte zur Bildung des ersten Computer-Notfallteams an der Carnegie Mellon University unter Vertrag der US-Regierung.
Mit dem massiven Wachstum der Nutzung von Informations- und Kommunikationstechnologien in den Folgejahren bezieht sich der mittlerweile generische Begriff, CERT / Computer Emergency Response Team” / “CSIRT” auf einen wesentlichen Teil der Strukturen der meisten großen Organisationen. In vielen Organisationen entwickelt sich das CERT zu einem Informationssicherheits-Operationszentrum.
Überwachung und Reaktion
Die CERT besitzen eine Reihe von Dienstleistungen, die ein Unternehmensvermögen vor wachsenden Cyberbedrohungen schützen.
Beispiele:
- Überwachung von Sicherheitslücken und Cyber-Bedrohungen
- Bedrohungsintelligenz:
- Recherche, Analyse und Datenkorrelation
- Ausbeutung von Bedrohungsinformationen
- Pflege einer sich ständig weiterentwickelnden Wissensdatenbank (Indicators of Compromise, IoC)
- Reaktion auf den Vorfall
- Forensik und digitale Untersuchung
- Malware-Analyse
Reaktion auf Bedrohungen
Die Reaktion auf Bedrohungen ist durch strukturierte Versuche gekennzeichnet, die Art und den Ursprung aktueller oder früherer Cyberbedrohungen aufzudecken.
Um eine effektive Reaktion auf Bedrohungen zu ermöglichen, müssen CERT- und CSIRT-Experten zunächst Protokolle für akzeptablen Datenaustausch und Online-Aktivitäten für jeden erstellen, der die Systeme eines Unternehmens nutzt. Dies hilft allen Parteien, potenzielle Bedrohungen und verdächtige Aktivitäten leichter zu erkennen.
Wenn eine akzeptable Aktivität klar definiert ist, kann jede Aktivität, die gegen diese Richtlinien verstößt, als Bedrohung angesehen werden. In diesem Fall sollten alle Informationen, die sich auf Bedrohungen beziehen, mit der Strafverfolgung des Bundes geteilt werden. Sowohl für Regierungsorganisationen als auch für private Einrichtungen ist die schnelle und effektive Verbreitung von Informationen in dem Moment, in dem ein Vorfall eintritt, der Schlüssel zur Ermittlung des Ursprungs der Bedrohung und zur Minderung des durch sie verursachten Schadens.
Mit solchen Protokollen ähnelt der Prozess der Untersuchung von Bedrohungen der Untersuchung von Computerforensikern. CERT- und CSIRT-Mitarbeiter sammeln Informationen zu Schwachstellen, an denen Verstöße auftreten, und dokumentieren und speichern Informationen, die als Beweis für böswillige Cyberaktivitäten dienen.
Sie haben noch Fragen?
