Mehr Sicherheit beim Betrieb von Informationstechnologie – Fachleute warnen vor Bedrohungen

Eine Störung oder die Nichtverfügbarkeit von Daten kann ganze Bereiche lahm legen – mit kaum zu beziffernden Folgen. Und das Bedrohungspotential ist gewachsen. Die beim Cybercrime eingesetzten Techniken werden – wie Dr. Stefan Grosse vom Bundesinnenministerium am 18. Oktober zum Auftakt einer internationalen Konferenz zu Sicherheitsaspekten beim Betrieb von Informationstechnologie an der Universität Stuttgart erläuterte – immer raffinierter.

Er warnte davor, Sicherheitsaspekte, die zwar heute meist bei der Entwicklung von Soft- und Hardware eine Rolle spielen, beim Betrieb von IT-Infrastrukturen auf die leichte Schulter zu nehmen. Das Thema finde immer noch zu wenig Beachtung, betonte auch James R. Lyle vom National Institute of Standards and Technology in den USA.

Stuttgarter Fachleute in Europa führend

Rund 150 Fachleute aus Wissenschaft, Industrie, der öffentlichen Verwaltung und Ermittlungsbehörden waren zu einer zweitägigen Konferenz „IT-Incident Management and IT-Forensics /IMF“ (Vorfallsmanagement und Forensik im Bereich der IT-Sicherheit) an die Universität Stuttgart gekommen. Dass diese Konferenz an die Universität Stuttgart geholt werden konnte, ist auf die Arbeit der Stabsstelle DV-Sicherheit der Universität Stuttgart (RUS-CERT) zurückzuführen, die für die Rechner- und Netzsicherheit an der Universität Stuttgart sorgt. Das RUS-CERT ist in den Bereichen der IT-Sicherheit, insbesondere der Vorfallsbearbeitung und der Frühwarnung, führend in der deutschen und europäischen Hochschullandschaft. Veranstalter der zweiten internationalen Konferenz dieser Art ist die Fachgruppe SIDAR (Security – Intrusion Detection And Response) der Gesellschaft für Informatik (GI e.V.) in Zusammenarbeit mit der GI.

IT-Forensics ausbauen

Insbesondere die Fähigkeit, auf Sicherheitsvorfälle angemessen zu reagieren und Notfallmaßnahmen zur Sicherstellung des Weiterbetriebs der angegriffenen Infrastruktur zu ergreifen, ist in den seltensten Fällen bei den betreibenden Organisationen vorhanden. Dies gilt umsomehr für die Kompetenz, die aufgezeichneten Spuren forensisch auszuwerten, um technische Erkenntnisse zur Verbesserung der Sicherheit zu gewinnen und gegebenenfalls eine juristische Verfolgung des Vorfalls einzuleiten (IT-Forensics). Die rasant wachsende Anzahl von Sicherheitsvorfällen macht jedoch den Erwerb genau dieser Fähigkeiten immer wichtiger.

Parallelentwicklung zusammenführen

Eines der wesentlichen Ziele der Konferenz ist neben der Vorstellung neuester Forschungsergebnisse und Technologien die Zusammenführung der Welten der IT-Forensik und der Incident Response. Zwar spielt die technische IT-Forensik auch in der meist durch Sicherheitsteams (CERTs oder CSIRTs) praktizierten Vorfallsbearbeitung eine Rolle, hat sich jedoch insbesondere bei Ermittlungsbehörden und in der Forschung als weitgehend eigener Zweig entwickelt. Umgekehrt hat die Incident Response bei auf Forensik spezialisierten Organisationen und Personen meist gar keine Bedeutung, so dass sich bislang wenig Berührungspunkte ergaben und sich zwei Welten teilweise sogar mit eigener Terminologie entwickelten.

Frühwarnsysteme verhindern Angriffe

Weitere Vorträge der Konferenz behandeln theoretische Bewertungen und praktische Erfahrungen bei der Etablierung und dem Betrieb von Sicherheitsteams. Neue und verbesserte Technologien für das praktische Vorfallsmanagement sowie proaktiver Dienste für CERTs werden ebenso vorgestellt wie fortgeschrittene Verfahren in der IT-Forensik. Auch die neuesten Entwicklungen zu Theorie und Praxis von Frühwarnsystemen wurden vorgestellt. So beobachten beispielsweise Mitar-beiter der Stabsstelle DV-Sicherheit der Universität Stuttgart im Rahmen der internen Frühwarnung Quantität und Qualität des Netzverkehrs und analysieren diese auf mögliche Angriffe. „So können kompromittierende Systeme innerhalb der Uni-Netze rasch erkannt und an weiteren Angriffen – auch gegen externe Systeme – gehindert werden“, erläuterte Oliver Goebel, IT-Sicherheitsbeauftragter der Uni Stuttgart. Die Konferenzteilnehmer empfahlen, dass Sicherheitsstandards für IT-Infrastrukturen und der IT-Forensik verstärkt auch in die entsprechenden Studiengänge an Hochschulen Eingang finden sollen. Dies ist bisher vor allem im Bereich der IT-Forensik nur in Ansätzen der Fall.

Weitere Informationen bei Oliver Goebel, Stabsstelle DV-Sicherheit der Universität Stuttgart unter Tel. 0711/685- 83678, e-mail: Goebel@CERT.Uni-Stuttgart.DE