Bedeutung
Ein Computer Emergency Response Team (CERT), deutsch Computersicherheits-Ereignis- und Reaktionsteam, ist eine Gruppe von IT-Security-Spezialisten, die bei der Lösung von konkreten IT-Sicherheitsvorfällen als Koordinator mitwirkt bzw. sich allgemein IT-Security befasst, Warnungen vor Sicherheitslücken herausgibt und Lösungsansätze anbietet.
Ausgangslage
Dringen Hacker in ein IT-System ein, herrscht höchste Alarmstufe. Es braucht ein schnelles, koordiniertes Vorgehen, nicht nur zwischen Technik und Organisation bzw. Management des betroffenen Unternehmens, sondern auch eine internationale Koordination der technischen Experten, die Vorfälle einschätzen und Lösungen bereithalten – weil die entsprechende Methode und die Hackergruppe bzw. kriminelle Organisation über alle nationalen Grenzen hinweg zuschlägt.
Für Einsätze bei einem Sicherheitsdurchbruch – sozusagen als «Betriebsfeuerwehr» – und den nötigen Austausch auf technischem Level sind CERT-Teams zuständig, die Computersicherheits-Ereignis- und Reaktionsteams. Ein synonymer Begriff ist CSIRT (Computer Security Incident Response Team). Er wird meist für Firmenteams verwendet.
In den CERTs arbeiten IT-Security-Experten, die laufend die Bedrohungslage monitoren, Warnungen und Ratschläge herausgeben. Ausserdem bieten CERTs sofortige Unterstützung im Krisenfall und forensische Untersuchungen an. Manche sind auf einen bestimmten Sektor oder Branche spezialisiert. Der Austausch unter den Expertinnen und Experten der CERTs weltweit erfolgt meist via Mailinglisten und über diverse staatliche und nichtstaatliche Organisationen.
Geschichte
Der erste bekannte Computerwurm namens Morris führte 1988 in den USA zur Gründung des ersten CERT am Software Engineering Institute an der Carnegie Mellon University (cert.org). Der Fall wurde damals heftig diskutiert und führte zu einem grösseren Sicherheitsbewusstsein von Unternehmen und Organisationen. Man könnte fast sagen: die Wurmkur war erfolgreich. Auch für den Studenten, der den Wurm angeblich versehentlich freigesetzt hatte: Er wurde nur zu einer Bewährungsstrafe und Bussgeld sowie 400 Stunden sozialer Arbeit verurteilt.
Deep Dive
CERT werden gerufen, wenn die eigenen Kräfte nicht mehr ausreichen, um einen Notfall zu bewältigen. Dazu müssen sie eng mit den Security Operations Centers (SOC) der betroffenen Unternehmen oder Organisationen zusammenarbeiten, die alle nötigen Informationen zur Bekämpfung der Eindringlinge bereithalten. Auch Abraxas unterhält ein SOC mit einem Security Incident and Events Management (SIEM) als technisches Herzstück sowie einem Ad-hoc-CERT, das im Krisenfall zusammentritt.
CERT sind inzwischen weltweit etabliert, zuweilen als feste Organisation, oft aber als lose Verbindung von Expertinnen und Experten, die sich über Mailinglisten austauschen und sich gegenseitig über aktuelle Bedrohungen und Lösungen austauschen. Diese flexible Organisation in einer Netzwerkstruktur ermöglicht ein schnelles Reagieren auf eine veränderte Bedrohungslage. Erkenntnisse aus lokalen Angriffen können so weltweit geteilt werden.
In der Schweiz gibt es zwei etablierte nationale CERT für kritische Infrastrukturen mit einer klar definierten Aufgabe und Zielgruppe, daneben auch private CERT, die für die eigene Organisation oder Dritte tätig sind.
GovCERT
Im Bundesamt für Cybersicherheit (BACS) unterstützt das CERT die Betreiberinnen und Betreiber von kritischen Infrastrukturen, die Verwaltung und den Wirtschaftsstandort Schweiz mit technischen Informationen zu aktuellen Cyberbedrohungen sowie bei der Bewältigung von Cybervorfällen. Zudem arbeitet das GovCERT eng mit den Polizeibehörden zusammen. Es liefert diesen ausserdem technische Analysen. Seit 2024 sind GovCERT und das Nationale Zentrum für Cybersicherheit (NCSC, ehemals MELANI) zu einer Fachstelle zusammengefasst.
Switch CERT
SWITCH betreibt seit 1994 ein CERT für das Schweiz Hochschulnetzwerk sowie staatliche Institutionen aus dem Forschungs- und Bildungssektor und privatwirtschaftliche Unternehmen aus den Bereichen Banking, Industrie, Logistik und Energie.
Neben den beiden nationalen CERTs existieren viele weitere Stellen und Gruppierungen, die ähnliche Funktionen übernehmen, etwa auf Stufe Kanton oder bei grösseren Unternehmen. Auch Abraxas betreibt innerhalb des hauseigenen SOC ein dediziertes Team aus IT-Sicherheitsspezialisten, die im Krisenfall auf den Plan treten, laufend Bedrohungen analysieren, vor Schwachstellen warnen und Schulungen durchführen.
Die CERT arbeiten über internationale Organisationen zusammen oder direkt mit anderen CERT, etwa dem U.S.-CERT oder dem CERT Bund in Deutschland.
Wichtige Organisationen
- CH-CERTs: Swiss CERT Community (loser Verbund nationaler CERT, Aufnahme via SWITCH CERT)
- SISA: Swiss Internet Security Alliance
- SCE: Swiss Cyber Experts
- CERT-ENISA: CERT der Europäischen Agentur für Netzwerk und Informationssicherheit
- Trusted Introducer: Europäische Datenbank von Computer Security Incident Response Teams
- TF-CSIRT: Task Force Computer Security Incident Response Teams, Europa
- FIRST: Forum of Incident Response and Security Teams
- EGC: European Government CERTs
Wirkung
CERTs sind ein wichtiges Element der Cybersicherheitskette, indem sie vor, während und nach Sicherheitsvorfällen aktiv sind: Sie betreiben – international vernetzt – Prävention, sind bei Angriffen an vorderster Front bei der Bekämpfung mit dabei und untersuchen Gründe und Urheber (IT-Forensik).
Die Arbeit der CERT weltweit stärkt die Resilienz von Unternehmen und Organisationen, indem diese auf bewährte Dispositive, Technologien und Methoden zurückgreifen können, um Angriffe abzuschlagen. CERT sind unverzichtbar, weil die Cyberabwehr ein Sensorium für die globale Bedrohungslage und technisches Wissen voraussetzt, gespiesen aus unzähligen erfolgreich zurückgeschlagenen Angriffen sowie geschützten Organisationen und Unternehmen.
Alle bisher erschienenen Buchstaben im digitalen ABC
-
A
wie Artificial Intelligence
Artificial Intelligence; abgek. AI,
engl. für dt. künstliche Intelligenz, abgek. KI -
B
wie Big Data
Big Data (von englisch big = gross und data = Daten)
-
B
wie Bug Bounty
Bug-Bounty-Programm (engl. sinng. Kopfgeld-Programm für Programmierfehler)
-
C
wie Cloud
Cloud, w.
-
C
wie CERT
CERT, Akronym für engl. Computer Emergency Response Team
-
D
wie Digitale Schweiz
1. Digitale Schweiz, w. (die digitale Transformation der Schweiz betreffend)
2. Nebenbedeutung: Teil des Markenversprechens von Abraxas. «Für die digitale Schweiz. Mit Sicherheit» -
E
wie E-ID
E-ID, w. (staatlich anerkannte, nationale elektronische Identität)
-
F
wie Firewall
Firewall, w.
engl. für Brandmauer -
G
wie Graphical User Interface
GUI, s. (Abk. für engl. Graphical User Interface)
-
H
wie Hermes
Hermes, m.
1. Götterbote aus der griech. Mythologie, u. a. Gott des Handels, Begleiter der Toten in den Hades
2. frz. Familienunternehmen mit Sitz in Paris für Luxus-Modeartikel
3. Abk. für «Handbuch der Elektronischen Rechenzentren des Bundes, eine Methode zur Entwicklung von Systemen», offener Standard zur Führung und Abwicklung von IT-Systemen -
I
wie IoT
IoT, s.
Abk. für engl. Internet of Things -
J
wie Java
Java, s.
1. kleinste der Grossen Sundainseln (Indonesien)
2. systemunabhängige Programmiertechnologie, besonders für Anwendungen im Internet -
K
wie Kubernetes
Kubernetes, m.
1. Steuermann (altgriechisch)
2. Container-Orchestrierungssystem (Software) -
L
wie Latenz
Latenz, f.
1. Vorhandensein einer noch nicht sichtbaren Sache
2. Zeit zwischen Reiz und Reaktion (Physiologie)
3. symptomfreie Zeit zwischen Ansteckung und Ausbruch einer Krankheit (Medizin)
4. Zeit zwischen Anfrage und Antwort (IT) -
M
wie Malware
Malware, f.
Software, die in Computersysteme eindringen und dort Störungen oder Schäden verursachen kann -
N
wie New Work
New Work, n. od. f.
engl. für Neue Arbeit
Gesamtheit der modernen und flexiblen Formen der Arbeit bzw. der Arbeitsorganisation -
O
wie Outsourcing
Outsourcing, n.
engl. für Auslagerung
Übergabe von Aufgaben und / oder Strukturen eines Unternehmens an externe Dienstleister -
P
wie Proxy
Proxy, m.
engl. für Stellvertreter
ein Vermittler von Anfragen in Computernetzwerken -
Q
wie Quantencomputer
Quantencomputer, m.
Aus Qubits und Quantengattern aufgebauter Computer, der die Gesetze der Quantenmechanik ausnutzt. -
R
wie Redundanz
Redundanz, f.
Zusätzliche technische Ressourcen als Reserve (Technik) -
S
wie Software-as-a-Service
SaaS, (ohne Artikel)
Kurzwort für englisch Software-as-a-Service = Software als Dienstleistung -
T
wie Transport Layer Security
TLS, m.,
Kurzwort für englisch Transport Layer Security (= Transportschicht-Sicherheit) -
U
wie USV
USV, w.,
Abk. für Unterbrechungsfreie Stromversorgung -
V
wie VPN
VPN, n.,
Abk. für engl. virtual private network = virtuelles privates Netzwerk -
W
wie White-Hat-Hacker
White-Hat-Hacker, m.
Ein White-Hat-Hacker (Oder White Hat, engl. für Weisser Hut) ist ein ethischer Hacker für Computersicherheit. -
X
wie XSS (Cross-Site-Scripting)
XSS, s.
Abk. für engl. Cross-Site-Scripting; dieses webseitenübergreifendes Scripting ist eine Angriffsmethode von Cyberkriminellen. -
Y
wie Y2K
Y2K,
Numeronym für das Jahr-2000-Problem, engl. Year und 2K für 2 Kilo = 2000 -
Z
wie z/OS
z/OS,
seit 2001 im Einsatz stehendes Betriebssystem für IBM-Grossrechner
Über Bruno Habegger
Bruno Habegger ist Abraxas-Magazin-Autor und Senior Communication Manager. Er verfügt über eine langjährige Erfahrung im ICT- und Energie-Bereich als Journalist, Contentproduzent und Berater. Er war Präsident einer Regionalpartei und an seinem damaligen Wohnort acht Jahre Mitglied der Sicherheitskommission.
