Best Practices für CERTs So erhalten Sie ein besseres Security-Lagebild

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Cyberangriffe auf Behörden und Verwaltungen haben deutlich zugenommen. Die Computer Emergency Response Teams (CERTs) stehen unter Druck und versuchen der Bedrohungslage Herr zu werden. Doch ihnen fehlen Werkzeuge und Informationsquellen, um die Vielzahl der Sicherheitswarnungen schneller priorisieren und bearbeiten zu können. Sandboxing kann hierbei eine wichtige Hilfe sein.

Firmen zum Thema

Sandboxing kann CERTs bei der Abwehr von Cyberattacken eine große Hilfe sein.
Sandboxing kann CERTs bei der Abwehr von Cyberattacken eine große Hilfe sein.
(Bild: Pete Linforth / Pixabay )

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet jeden Tag die Bedrohungslage, die von neuen Schadprogrammen, erweiterten Angriffsmethoden oder gezieltem Vorgehen von Tätern für die Behörden ausgeht. Die Zahl der Cyberattacken auf Behörden steht denen auf Unternehmen nicht nach. So sind auch Verwaltungen in der letzten Zeit Opfer von Ransomware-Angriffen geworden, wie der Lagebericht des BSI zeigt.

Die Behörden-CERTs arbeiten auf Hochtouren, um die Verfügbarkeit der Verwaltungssysteme und den Schutz der Daten der Bürgerinnen und Bürger sicherstellen zu können. Doch die CERTs können die sicherheitsrelevanten Daten und Security-Warnungen nicht so verarbeiten, wie sie es möchten.

Die EU-Agentur für Cybersicherheit ENISA hat europaweit Teams befragt, die für die Erkennung und Abwehr von Cyberangriffen zuständig sind. Laut Umfrage kann nur die Hälfte der Teams alle eingehenden Informationen verarbeiten, zudem werden nur Vorfälle mit hoher Priorität behandelt. 35% der Teams gaben an, dass sie zu viele Informationen erhalten, um richtig damit umzugehen, was dazu führt, dass einige Informationen ignoriert oder verworfen werden. Nur 15% der Teams kann die Menge an Informationen, die sie erhalten oder sammeln, vollständig verarbeiten.

Dabei gilt der unzureichende Kontext als die größte Lücke der verfügbaren Informationsquellen. Dies bedeutet zum Beispiel, es fehlen Details darüber, wie bestimmte Informationen erhalten wurden oder wie hoch das geschätzte Vertrauensniveau ist.

CERTs benötigen Tools und Informationsquellen

Wie die ENISA-Umfrage zeigt, wünschen sich die Behörden-CERTs sowohl Werkzeuge als auch bessere und weitere Datenquellen, um noch mehr Sicherheitswarnungen sammeln, verarbeiten und priorisieren zu können.

Zwar hat die Verfügbarkeit geeigneter Tools und Datenquellen in den letzten Jahren zugenommen, doch die befragten CERTs sehen weiterhin deutlichen Bedarf für eine Optimierung. Die Zahl der erfolgreichen, spät erkannten Cyberangriffe gibt ihnen leider recht. Viele sicherheitsrelevante Meldungen erreichen die CERTs nicht oder erst mit Verspätung.

Sowohl technisch als auch organisatorisch können die CERTs besser unterstützt werden, gerade bei der Sammlung der Sicherheitswarnungen aller betreuten Behörden-Systeme und Verwaltungsstellen. Auch innerhalb der CERTs gilt es, die Prozesse und Abläufe weiter zu verbessern, weg von manuellen Analysen der Security-Alerts hin zu automatisierter Sammlung, Aufbereitung und Analyse der sicherheitsrelevanten Daten.

Die Lösung: Zentrales Sandboxing

Viele CERTs vertrauen bereits auf Sandboxing, um zum Beispiel verdächtige Dateien gefahrlos analysieren zu können. Doch es kommt darauf an, die richtigen Sandboxes in geeigneter Form zu nutzen. So hilft es wenig und ist zudem kostspielig, im Netzwerk bei den verschiedenen Verwaltungsstellen mehrere Sandboxes zu implementieren. Die Analyseergebnisse müssen auch dann noch für das CERT eingesammelt und übergreifend ausgewertet werden. Auch Sandboxes, die in manuelle Prozesse eingebunden sind und die per Hand verdächtige Dateien aus einer Mail übertragen bekommen, bereiten zu viel Aufwand und kosten damit wertvolle Zeit bei der Erkennung und Abwehr.

Zentrale Sandboxes, die alle verdächtigen Nachrichten und Dateien erhalten, automatisiert untersuchen und die betroffenen Stellen ebenso informieren wie das CERT, sind eine große Entlastung. Sie reduzieren die Zeit, die die Prozesse zur Erkennung und Reaktion benötigen, und unterstützen die knappen Security-Personalressourcen im CERT. Zusätzlich bieten sich Services an, die dem CERT Threat Intelligence (Bedrohungsintelligenz) liefern können, die das interne Wissen über die Security-Lage deutlich erweitern können.

Es gibt also die Lösungen und Datenquellen, die die Behörden-CERTs benötigen, um die Digitalisierung der Verwaltung sicherer machen zu können.

(ID:47146936)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research