CarmentiS Zusammenarbeit für Frühwarnung in Deutschland

CarmentiS ist ein Gemeinschaftsprojekt von Sicherheitsteams des deutschen CERT-Verbunds in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informatonstechnik (BSI): Die Erprobung eines Sensornetzes als Basis für ein nationales IT-Frühwarnsystem in Deutschland. CarmentiS entwickelt eine Sicherheits-Architektur, die relativ einfach und mit überschaubarem Aufwand umgesetzt werden kann. Dadurch sollen IT-Sicherheitsvorfälle besser erkannt, erfasst und bewertet werden. Teil des Projektes ist auch die Entwicklung verbesserter Ansätze zur Visualisierung und automatischen Erkennung neuer Bedrohungen.

Diese Daten werten betroffene Organisationen bislang nur in ihren eigenen Zuständigkeitsbereichen aus. Normalerweise werden Logdateien von Netzwerkkomponenten ausgewertet und spezielle Sensoren eingesetzt, um Anzeichen neuer Viren und Würmer zu registrieren, neue Trends zu erkennen und Angriffe abzuwehren. Dabei stehen technologische Ansätze (Sensornetze) im Vordergrund.

Der Nutzen dieses Vorgehens ist jedoch beschränkt, weil die Daten der einzelnen Organisationen nur selten miteinander verknüpft werden. Auch muss Frühwarnung mehr umfassen als lediglich die Abbildung des Ist-Zustandes durch ein Sensornetz.

Bei Kenntnis einer neuen Sicherheitslücke kann mit fast 100%-iger Wahrscheinlichkeit davon ausgehen, dass hier Angriffe erfolgen. Die reine Kenntnis der Lücken reicht daher für ein echtes Frühwarnsystem nicht aus; die Kernfragen lauten vielmehr:

• Wann wird ein Schadprogramm das erste Mal eingesetzt?
• Wo wird es eingesetzt?
• Wird es in einem Wurm zu finden sein?
• Kann man einen solchen Angriff automatisiert erkennen?

Wichtig ist die Analyse neuer Sicherheitslücken, um gezielt nach Anzeichen bislang unbekannter Angriffsverfahren suchen zu können. Dazu entwickelt CarmentiS eine organisationsübergreifende Plattform für die gemeinsame Auswertung, in die beliebige Sensornetze und Informationsquellen eingebunden werden können. Die Nutzer können die angereicherten und aufbereiteten Informationen durch geeignete Schnittstellen abrufen. Die unterschiedlichen Anforderungen und Sichtweisen der Nutzer werden dabei von vorne herein konzeptionell berücksichtigt.

Keine einzelne Organisation ist in der Lage, alle Daten für ein umfassendes Lagebild - geschweige denn für ein nationales IT-Frühwarnsystem - bereitzustellen. Deshalb verfolgt CarmentiS einen kooperativen Ansatz bei der Bereitstellung von Daten und Analyse. Die einzelnen Datenlieferanten (administrative Domänen) übermitteln dabei nur datenschutzrechtlich unbedenkliche Informationen. Das sind insbesondere Daten über unerwünschte Kommunikationsverbindungen, die von außen initiiert wurden und somit als Angriffe zu bewerten sind. Es werden grundsätzlich keine Bestands- und Nutzungsdaten oder Kommunikationsinhalte an die Frühwarnzentrale übermittelt.

Die durch die manuelle und automatische Auswertung gewonnenen Erkenntnisse werden in einzelnen Analysen zusammengefasst, mit weiteren Informationen verknüpft und zu einem Lagebild verdichtet. Dieses wird den verschiedenen Nutzergruppen (z.B. CERTs und operative Stellen auf nationaler Ebene) zugänglich gemacht. Dadurch wird die Betreuung der jeweiligen Zielgruppen durch "ihre" CERTs erheblich verbessert.

Abbildung 1 : Schnittstellen in einem übergreifenden Frühwarnsystem

Die Kenntnise über die aktuelle Verteilung der Angriffsmethoden liefert wertvolle Beiträge für die Aussagekraft eines nationalen IT-Lagebilds. Die Zusammenführung von Sensordaten mit nachfolgender Analyse stellt einen hohen Mehrwert dar: sie ermöglicht die vergleichende Betrachtung der aktuellen Situation in den einzelnen Organisationen mit der durch die Frühwarnzentrale gebildeten nationalen Sicht. Veränderungen in der Verwendung bekannter Methoden lassen fundierte Aussagen über Trends zu. Ähnlich wie bei Portstatistiken, lassen verstärkt auftretende oder abnehmende Angriffssignaturen auf eine Veränderung der Bedrohungslage schließen. Dafür stellt CarmentiS erstmals Daten mit dem erforderlichen Detaillierungsgrad zur Verfügung.

Aufgrund eindeutiger Erkenntnisse, die noch möglichst Wenige betreffen, können Informationen zu verteilt werden, die vielen noch nicht Betroffenen helfen, Schlimmeres vermeiden.

Zusammengefasst leistet CarmentiS damit:

• Integration von Sensornetzen (Daten) und anderen Quellen (Informationen) in einem übergreifenden Informationsmanagement;
• Unterstützung eines verteilten Analystenteams bei der täglichen Arbeit durch die integrierte Sicht;
• Bereitstellung nutzergruppenspezifischer Auswertungen und Analysen zur Verbesserung von deren Sicherheit.

Für die Nutzer bietet CarmentiS:

• Trendanalysen;
• Vergleichende Betrachtungen mit Informationen anderer Systeme (z.B. aus Europa, USA und Asien) und eigenen Erkenntnissen;
• Identifizierung und Alarmierung bei ungewöhnlichen Ereignissen, neuer Schadsoftware, neuen Angriffsvektoren und aktuellen Angriffen.

Ausblick

Der Aufbau eines virtuellen Kompetenzzentrums, in dem Analysten übergreifend zusammenarbeiten, stellt den wichtigsten Meilenstein für das IT-Frühwarnsystem dar.

Schwerpunkte sind dabei die Etablierung einer kooperativen Analyse von Schwachstellen und Malware durch ein virtuelles Analystenteam und die Integration von Werkzeugen für eine automatische Analyse von Schadprogrammen. Auf einer solchen Basis kann dann eine automatisierte bzw. teilautomatisierte, zeitnahe Erstellung von Angriffssignaturen erfolgen.

Dazu bedarf es wirksamer Mechanismen zum Schutz der Interessen der Datenlieferanten (Vertraulichkeit). Für viele Auswertungen ist die Frage, welcher Rechner angegriffen wurde, nicht relevant. Allerdings ist es eine unwiederlegbare Tatsache der jahrzehntelangen CERT-Arbeit, das ein Angriff fast immer auf ein kompromittiertes System hinweist. Daher stehen Verfahren zur Pseudonymisierung von kritischen Daten ebenfalls im Fokus der Teams, die sich beteiligen. Ebenso die Suche nach Verfahren, die mit möglichst wenigen statistischen Daten Aufschluss geben können. Die Diskussion dieser Aspekte nimmt einen breiten Raum ein und wird mit allen Beteiligten - Angreifer ausgenommen - geführt.

Ein nachhaltiger Erfolg kann nur realisiert werden, wenn sich viele Organisationen an der Datenerfassung und Analyse beteiligen. Aktuell ist die Datenbasis für ein belastbares Lagebild noch nicht ausreichend. Daher können Dienste wie z.B. die Alarmierung einer breiten Nutzergruppe derzeit noch nicht zur Verfügung gestellt werden.

Weitere Informationen

• CarmentiS - Frühe Warnung im Deutschen Internet
  (Beitrag vom 14. DFN-CERT Workshop)
  (PDF, 1.381 KB)
• Frühe Warnung im Deutschen Internet - Kooperation im Bereich IT-Frühwarnung
  (PDF, 8 S., 386 KB)

Mehr über CarmentiS

Wenn Sie mehr über das Projekt erfahren möchten, schicken Sie eine E-Mail an info@carmentis.org.

CarmentiS - Frühwarnung in Deutschland Impressum | Datenschutz | Kontakt | Top Last changed: Oct, 2008 / JS Copyright © 2005-2007 by PRESECURE Consulting GmbH, Germany

Signed with PGP!