Sysbus
ArtikelSecurity

Funktionsweise und Aufbau von Computer Emergency Response Teams (CERTs)

dcg

Die digitale Bedrohungslage entwickelt sich rasant – Unternehmen müssen schneller und gezielter auf Sicherheitsvorfälle reagieren. Ein gut aufgestelltes CERT (Computer Emergency Response Team) kann hierbei zum entscheidenden Schutzschild werden. Doch der Aufbau eines effektiven CERTs ist komplex und erfordert technisches Know-how, klare Prozesse und abgestimmte Teamstrukturen. Besonders für mittelständische Unternehmen stellt sich die Frage: selbst aufbauen oder spezialisierte Partner einbinden? TWINSOFT zeigt, wie beides sinnvoll kombiniert werden kann – für nachhaltige Cybersicherheit.

Autor/Redakteurin: Gereon Tillenburg, CEO der TWINSOFT GmbH & Co. KG/dcg

In einem CERT (Computer Emergency Response Team) arbeiten diverse IT-Security-Spezialisten an der Lösung konkret aufgetretener IT-Sicherheitsvorfälle. Dazu gehören die Verbreitung neuartiger Schadsoftware (Viren, Ransomware, etc.), das Bekanntwerden von Sicherheitslücken in Betriebssystemen und Applikationen und gezielte, gerade laufende Angriffe.

Das CERT hat üblicherweise folgende Aufgaben: Das Herausgeben von Warnungen, das Beseitigen von Sicherheitsrisiken, das Erteilen von Handlungsempfehlungen, das Analysieren von Vorfällen, das Betreiben eines Informations- und Warndienstes und das Anbieten von Lösungsansätzen. Üblicherweise werden CERTs von Organisationen aus unterschiedlichen Bereichen betrieben. Dazu gehören Unternehmen, Forschungseinrichtungen, Banken und Behörden. Normalerweise sind CERTs rund um die Uhr erreichbar, es existieren aber auch CERTs (wie etwa das Bürger-CERT (BSI – Digitaler Verbraucherschutz – sicherer Umgang mit Informationstechnik)), die sich darauf beschränken, Informationen bereit zu stellen und – beispielsweise mit einem Newsletter – vor aktuellen Vulnerabilities und Angriffen zu warnen.

Gereon Tillenburg, CEO der Twinsoft GmbH & Co. KG – Quelle: Twinsoft

Soll ein CERT dabei helfen, ein Unternehmen abzusichern, so muss es dazu in der Lage sein, angemessen auf auftretende Vorfälle und Probleme zu reagieren, ihre Ausbreitung zu verhindern und auf diese Weise Schäden zu minimieren. Dazu kommen noch Tätigkeiten wie die Schulung der Mitarbeiter in Sicherheitsfragen.

Es gibt auch Organisationen, die die Zusammenarbeit unterschiedlicher CERTs fördern (Building a common language to face future incidents – ENISA and European CSIRTs establish a dedicated task force — ENISA).

Der Aufbau eines CERTs

Um ein CERT einzurichten, sind diverse Schritte durchzuführen. Dazu gehören:

  1. Planung und Vorbereitung mit der Definition der Aufgabenbereiche und Ziele und der Bestimmung der Ressourcen (in Bezug auf Budget, Technologie und Personal).
  2. Aufbau des Teams: Es sollten mehrere unterschiedliche Experten mit unterschiedlichen Kenntnissen in das Team integriert werden, deren Verantwortlichkeiten und Rollen klar definiert sind und die auch regelmäßig geschult werden, um auf dem aktuellen Stand zu sein. Anschließend müssen die Werkzeuge des CERT eingerichtet werden, also Vulnerability-Scanner, Intrusion-Detection- und Intrusion-Protection-Systeme (IDS/IPS) sowie Lösungen für das Security Information and Event Management (SIEM) und Forensik-Werkzeuge.
  3. Etablierung von Prozessen und Verfahren: Es muss ein Incident-Response-Plan erstellt werden und es sind Prozeduren zu definieren, die bei unterschiedlichen Arten von Vorfällen abzuarbeiten sind. Darüber hinaus ist ein Ticket-System zum Verfolgen und Verwalten der Vorfälle einzurichten.
  4. Integration ins Unternehmen: Das CERT sollte über einen Mechanismus zum Berichterstatten an das Management verfügen und Zugang zu allen relevanten Unternehmensbereichen haben. Außerdem sollten Schnittstellen für die Zusammenarbeit mit anderen Sicherheits- und IT-Abteilungen geschaffen werden.
  5. Dokumentation und Richtlinien: Alle Verfahren und Prozesse, die mit dem CERT zusammenhängen, müssen dokumentiert werden. Zusätzlich ist es sinnvoll, für die Informationssicherheit verbindliche Richtlinien zu schaffen.
  6. Externe Zusammenarbeit: Der Beitritt zu Netzwerken für den Informationsaustausch ergibt ebenfalls Sinn.
  7. Kontinuierliche Verbesserung: Der Aufbau eines CERT muss als Prozess verstanden werden und alle Pläne, Prozesse und Verfahren sind ständig zu überprüfen und weiterzuentwickeln.

Wird das CERT als Dienstleistung angeboten, so fallen diverse dieser Schritte weg. Die Mitarbeiter sind bereits vorhanden und die Tools sollten ebenfalls einsatzbereit zur Verfügung stehen. Dennoch sind für jeden Kunden die Schritte der Planung (mit Aufgabenbereichen und Zielen), der Etablierung von Prozessen und Verfahren und der Dokumentation getrennt aufzuarbeiten.

Für einen umfassenden Incident-Response-Service müssen stets zahlreiche technische, organisatorische und personelle Voraussetzungen erfüllt werden. Ein vollständiges Emergency Team aufzubauen, bedarf einer großen Anstrengung. Deswegen kann es sinnvoll sein, einen beratenden Partner, wie beispielsweise TWINSOFT, mit ins Boot zu nehmen.

Direkter Link zu TWINSOFT: TWINSOFT

Das könnte dir auch gefallen

Mit SD-WAN in die Cloud: Vom Wegweiser zum Wegbereiter

gg

ThreatDown von Malwarebytes soll Endpunkte in Unternehmen sichern

dcg

Wenn Cyberkriminelle die Seiten wechseln: Der Einsatz von Ethical Hackers

gcg
Powered by  GDPR Cookie Compliance
Datenschutz-Übersicht

Diese Website verwendet Cookies, damit wir Ihnen die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in Ihrem Browser gespeichert und führen Funktionen aus, wie das Wiedererkennen von Ihnen, wenn Sie auf unsere Website zurückkehren, und hilft unserem Team zu verstehen, welche Abschnitte der Website für Sie am interessantesten und nützlichsten sind.