Wirkungslose IT-Notfallteams

Martin Schindler,

Die European Network and Information Security Agency (ENISA) stellt weltweit den IT-Notfallteams in einer Untersuchung schlechte Noten aus.

In dem neu vorgestellten Bericht der ENISA stellt die Behörde fest, dass es zwischen den einzelnen Computer Emergency Response Teams (CERT) keinen Datenaustausch gebe. Neben Standardformaten und Tools fehlten häufig nicht nur die Ressourcen sondern auch die Kompetenzen. Effektive Reaktionen auf Cyber-Bedrohungen seien so nur schwer möglich.

“Nationale CERT-Manager sollen bekannte Defizite abstellen, indem sie mehr externe Quellen für Informationen über Vorfälle und zusätzliche interne Tools zur Sammlung von Informationen nutzen, um die Lücken zu schließen”, so Udo Helmbrecht, Executive Director der ENISA, in einer Pressemitteilung.

Für die aktuelle Analyse befragte die Behörde 45 CERTs weltweit zur Erkennung von sicherheitsrelevanten Zwischenfällen in Netzwerken. Die Namen der befragten Teams teilte die ENISA jedoch nicht mit.

Laut Agris Belasovs, Operational Security Expert bei der ENISA, geben CERTs ihre Informationen auch häufig dann nicht weiter, wenn eine Infektion oder ein Angriff in die Zuständigkeit einer anderen CERT fällt. Rechtliche Bedenken und fehlendes Vertrauen sorgten für diesen Kommunikationsbruch.

In anderen Fällen könnten die CERTs zudem keinen Ansprechpartner nennen. “Einige CERTs möchten nicht preisgeben, dass sie solche Vorfälle erkennen können”, sagte Belasovs. “Einige Teams teilen nur ihre Daten, wenn sie eine vertrauensvolle Beziehung zu einem anderen Team aufgebaut haben.”

Ein rechtliches Problem ist auch der Austausch von IP-Adressen, die die europäische Datenschutzbehörde als Information einstuft, die die Identifizierung von Personen ermöglicht. Die Weitergabe solcher Informationen könnte damit gegen europäische Datenschutzgesetze verstoßen.

Die ENISA wies auch darauf hin, dass die zur Verfügung gestellten Daten unter Umständen keine hohe Qualität haben und Falschmeldungen, sogenannte False Positives, enthalten können. Zudem seien die Daten über Zwischenfälle manchmal nicht mehr aktuell oder basierten auf schwarzen Listen, die schnell veralteten.

Anfang der Woche hatte die ENISA auch bemängelt, dass kritische Infrastrukturen in Europa nicht ausreichend auf Cyberspionage-Angriffe vorbereitet seien. Konkret bezog sich die Behörde dabei auf Informationen stehlende Malware wie DuQu.