Computer Security Incident Response Team (CSIRT)

Ein Computer Security Incident Response Team, oder abgekürzt CSIRT, ist eine Organisation, die Informationen über Sicherheitsvorfälle sammelt, Analysen durchführt und auf Anfragen der Einsender reagiert. Ein CSIRT kann entweder dauerhaft eingerichtet oder nur in besonderen Situationen aufgestellt werden.

Es gibt eine Vielzahl unterschiedlicher CSIRTs. Interne CSIRTs sind Teil einer größeren Organisation wie Regierungen, Konzernen, Universitäten oder Forschungsnetzen. Nationale CSIRTS (sie gehören auch zu den internen CSIRTs) kümmern sich um die Reaktion auf Sicherheitsvorfälle, die ein ganzes Land betreffen. Die meisten internen CSIRTs treffen sich mehrmals im Jahr, um zum Beispiel Disaster-Recovery-Pläne zu erstellen. Dazu kommen weitere spontan einberufene Treffen, um auf aktuelle Vorfälle reagieren zu können.

Auch ein CERT (Computer Emergency Response Team) ist in der Regel ein CSIRT. In einem CERT werden meist die folgenden Positionen besetzt:

• Manager beziehungsweise Team Lead
• Stellvertretende Manager, Supervisor und Gruppenleiter
• Mitarbeiter für Hotline, Help Desk oder um Ersteinschätzungen durchzuführen
• Mitarbeiter, die direkt auf Vorfälle reagieren
• Mitarbeiter, die sich um Schwachstellen kümmern
• Mitarbeiter, die spezielle Situationen analysieren können
• Spezialisten für die wichtigsten Plattformen
• Trainer und Ausbilder
• Mitarbeiter, die aktuelle technische Entwicklungen verfolgen

Die von einem CSIRT jeweils angebotenen Dienste unterschieden sich zwischen den verschiedenen Organisationen. Ein IT-Security-Vorfall kann jederzeit aus einem bereits bemerkten oder einem vermuteten Ereignis entstehen. Beispiele dafür sind unter anderem DoS-Attacken (Denial of Service), unerlaubte Änderungen an Soft- oder Hardware oder auch Identitätsdiebstahl sowie Computerviren und Würmer, die in einem Netzwerk eingeschleust werden. Auch das Hacken in einem Netzwerk oder einem System kann als Angriff gewertet werden, außer es handelt sich dabei um von dem Unternehmen selbst angeheuerte so genannte White Hats. Diese helfen dabei, bislang unbekannte Schwachstellen aufzuspüren. Es kommt auch vor, dass diese gutwilligen Hacker Teil eines CSIRT sind. Dazu kommen weitere angebotene Dienste, die ein CSIRT möglicherweise neben der reinen Reaktion auf Vorfälle noch im Programm hat. Ein Beispiel ist das gezielte Training der Endanwender in Unternehmen.

Es gibt mehrere wichtige Variablen, mit denen sich ein CSIRT bewerten lässt. Besonders kritisch ist die Reaktionszeit auf einen Vorfall sowie die für den Aufbau, das Aufrechterhalten oder auch das Einsetzen eines CSIRTs. Ein schneller, gezielter und effektiver Einsatz hat meist erhebliche positive Auswirkungen, um den angerichteten Schaden an Finanzen sowie an Soft- und Hardware möglichst gering zu halten. Ein weiterer wichtiger Punkt ist die Fähigkeit eines CSIRTs, den Angreifern auf die Spur zu kommen, so dass sie durch die Behörden verfolgt und weitere Angriffe vermieden werden können. Darüber hinaus kann zu den Aufgaben eines CSIRT auch das Härten von Software und Infrastruktur zählen, so dass die Zahl der künftigen Vorfälle minimiert werden kann.

Es gibt mehrere alternative Begriffe für ein CSIRT. Die wichtigsten sind CIRC (Computer Incident Response Capability), CIRT (Computer Incident Response Team), IRC (Incident Response Center or Incident Response Capability), IRT (Incident Response Team), SERT (Security Emergency Response Team), SIRT (Security Incident Response Team) sowie das bereits erwähnte CERT. Interne CSIRTs verwenden oft einen dieser Begriffe in Verbindung mit einem bestimmten Identifikationsmerkmal. Das nationale CSIRT der Vereinigten Staaten heißt zum Beispiel US-CERT, das vom BSI (Bundesamt für Sicherheit in der Informationstechnik) betriebene CSIRT nennt sich dagegen CERT-Bund. Diese Organisation ist die zentrale Anlaufstelle für präventive und reaktive Maßnahmen bei sicherheitsrelevanten Vorfällen in Computersystemen der Bundesbehörden.