CERT vs. CSIRT vs. SOC: Die Unterschiede im Detail

CERT vs. CSIRT vs. CIRT: Wofür stehen die Kürzel?

Schauen wir uns zunächst die Begriffe an, die gängige Organisationsmodelle für Reaktionsteams auf Vorfälle beschreiben. Diese Definitionen sind jedoch mit Vorsicht zu genießen: Nur weil zwei Organisationen ihr Reaktionsteam als CSIRT bezeichnen, heißt das nicht, dass diese beiden Teams die gleichen Ziele oder Methoden verfolgen oder einer einheitlichen Definition entsprechen.

CSIRT steht für Computer Security Incident Response Team. CERT steht für Computer Emergency Response (oder Readiness) Team. Und CIRT kann entweder für Computer Incident Response Team oder, weniger häufig, für Cybersecurity Incident Response Team stehen. CSIRT, CERT und CIRT werden in der Praxis oft synonym verwendet. Tatsächlich sind CSIRT und CIRT fast immer nahezu gleichwertig; im Grunde sind sie synonym. Je nach Sprache oder Stil des Unternehmens oder aufgrund subtiler Unterschiede im organisatorischen Umfang kann ein Unternehmen das eine oder das andere bevorzugen.

Was ist CERT?

Der Begriff CERT wird zwar von vielen Unternehmen als Oberbegriff verwendet, ist aber seit 1997 in den USA eine eingetragene Marke der Carnegie Mellon University. Ein Problem bei der internen Verwendung des Namens CERT durch Organisationen ist, dass er verwirrend sein kann. Ist CERT als Synonym für CSIRT gedacht oder versucht die Organisation, etwas anderes zu vermitteln? Je nach Kontext kann beides zutreffen.

Das CERT der Carnegie Mellon University hat einen besonderen Schwerpunkt und eine besondere Nische, die es besetzt; es arbeitet als "...Partner von Regierung, Industrie, Strafverfolgungsbehörden und Hochschulen, um die Sicherheit und Widerstandsfähigkeit von Computersystemen und Netzwerken zu verbessern...". Ein CERT untersucht "...Probleme, die weitreichende Auswirkungen auf die Cybersicherheit haben, und entwickelt fortschrittliche Methoden und Werkzeuge."

In Deutschland existiert beispielsweise das CERT-Bund des BSI (Bundesamt für Sicherheit in der Informationstechnik). Dort heißt es: „Das Computer Emergency Response Team für Bundesbehörden, ist die zentrale Anlaufstelle für präventive und reaktive Maßnahmen bei sicherheitsrelevanten Vorfällen in Computer-Systemen.“

Nur weil zwei Organisationen ihr Reaktionsteam als CSIRT bezeichnen, heißt das nicht, dass diese beiden Teams die gleichen Ziele oder Methoden verfolgen oder einer einheitlichen Definition entsprechen.

Einige Organisationen spiegeln dies in der Art und Weise wider, wie sie den Begriff verwenden. Mit anderen Worten, sie verwenden den Begriff CERT, um zu verdeutlichen, dass sich der Schwerpunkt ihres internen Teams geringfügig von dem eines typischen CSIRT unterscheidet. Vielleicht legt das Team beispielsweise mehr Wert auf Partnerschaften mit anderen internen oder externen Teams und Organisationen, konzentriert sich stärker auf die Entwicklung von Methoden und Werkzeugen (zum Beispiel zur Vorhersage von Problemen, bevor sie auftreten) oder konzentriert sich mehr auf die Erforschung neuer Bedrohungen (zum Beispiel Methoden oder Techniken der Angreifenden). Der Begriff CERT, der auf diese Weise verwendet wird, konzentriert sich mehr auf die Verbesserung der Reaktion auf Zwischenfälle als Disziplin und nicht nur auf die eigene Organisation.

Andere Organisationen, die CERT verwenden, nutzen den Begriff als Synonym für CIRT oder CSIRT.

Was sind die Unterschiede zwischen CERT, CSIRT und CIRT?

Praktiker sollten verstehen, dass diese Begriffe von den Teams unterschiedlich verwendet werden. CERT-, CSIRT- und CIRT-Gruppen können als permanent besetzte Gruppe bestehen oder als Reaktion auf ein Ereignis ad hoc zusammengerufen werden. In jedem Fall konzentrieren sie sich fast immer auf die vier Phasen der Reaktion auf einen Vorfall, die im NIST „Computer Security Incident Handling Guide“ beschrieben sind. Beim BSI finden sich im Kontext des IT-Grundschutzes hierzu Informationen zur Behandlung von Sicherheitsvorfällen (PDF):

• Vorbereitung
• Erkennung und Analyse
• Eindämmung, Beseitigung und Wiederherstellung
• Maßnahmen nach einem Vorfall

Diese Phasen konzentrieren sich auf die Erkennung und Behebung von Sicherheitsvorfällen. Sie umfassen auch die Governance-Strukturen, die eine Organisation zur Vorbereitung auf Sicherheitsvorfälle einsetzt, sowie die Aktivitäten nach einem Vorfall, die zur Optimierung künftiger Maßnahmen dienen.

Allerdings gibt es hier Nuancen. Nicht jede Gruppe in jedem Unternehmen übernimmt dieselben Aufgaben. Einige Teams verwenden den Begriff CSIRT vielleicht in einer Weise, die mit den NIST-Richtlinien übereinstimmt, geben ihrer Tätigkeit aber eine eigene Note. Zum Beispiel könnte ein Unternehmen die Rolle seines CSIRT eher in den Richtlinien sehen, während ein anderes sich eher auf operative Fragen wie die Durchsicht von Protokolldateien und die Verfolgung von Aktivitäten im Netzwerk konzentriert.

Was ist ein SOC und wie unterscheidet es sich von CSIRTs, CERTs und CIRTs?

Ein Security Operations Center (SOC) ist ein weiterer Begriff, der im Zusammenhang mit Incident-Response-Teams verwendet wird. Ein SOC umfasst jedoch im Allgemeinen mehrere Aspekte der Cybersicherheit, während sich CSIRTs, CERTs und CIRTs speziell auf die Reaktion auf Vorfälle konzentrieren.

Der Aufgabenbereich eines SOC kann sowohl die Reaktion auf Zwischenfälle (ganz oder teilweise) als auch andere Aufgaben umfassen. Zum Beispiel kann ein SOC:

• Überwachungsmaßnahmen und -kontrollen umfassen (zum Beispiel ein System zur Erkennung von Eindringlingen, ein System zur Verhinderung von Eindringlingen, ein Ereignisverwaltungssystem für Sicherheitsinformationen/Sicherheitsinformationsmanagement);
• Beaufsichtigung der Auswertung von Betriebs- und Sicherheitstelemetrie und Informationserfassung; und,
• Verwalten von Aufgaben wie Identitätsmanagement und Autorisierung, Wartung von Firewall- und Filterregeln (sowohl Überprüfung als auch Änderungsverwaltung), Forensik und Untersuchungsunterstützung oder andere Aspekte der betrieblichen Sicherheit.

Die Überwachungstätigkeit eines SOC geht in der Regel über die Reaktion auf Vorfälle hinaus. Ein SOC kann Metriken erfassen und sammeln, um den Kundenservice oder die Servicebereitstellung zu unterstützen (zum Beispiel bei einem Anbieter von verwalteten Security-Diensten). Oder ein SOC kann die Managementberichterstattung unterstützen, zum Beispiel durch die Aufbereitung von Metriken und Daten zur Risikobewertung oder zur Unterstützung von Prüfungen. Ein SOC wird zwar häufig im Zusammenhang mit der Reaktion auf Vorfälle genannt, hat aber fast immer auch andere Sicherheitselemente in seinem Verantwortungsbereich. Ein SOC hat wahrscheinlich einen breiteren operativen Zweck und Umfang als ein CSIRT oder CIRT. Wenn es in einer bestimmten Organisation ein SOC gibt, fällt die Reaktion auf Zwischenfälle wahrscheinlich in den Aufgabenbereich des SOC als operative Sicherheitsfunktion. Auch hier hängen die Einzelheiten von der jeweiligen Organisation ab.

Wer sollte ein CERT/CSIRT/CIRT oder SOC einrichten?

Mit einem klaren Verständnis dieser Begriffe können Unternehmen feststellen, welche Art von Incident-Response-Team für sie geeignet ist und wie sie das Sicherheitsteam ihrer Wahl aufbauen. Die Wahl sollte auf den Zielen, der Struktur und der Nutzung der Ressourcen Ihres Unternehmens beruhen. Wenn beispielsweise der Bedarf an Überwachung im Vordergrund steht und Ihre Organisationsstruktur eine Zentralisierung an einem physischen oder logischen Standort zulässt, kann die Einrichtung eines SOC von Vorteil sein (zum Beispiel Skaleneffekte oder eine vereinfachte Berichtshierarchie). Ist Ihre Organisationsstruktur dagegen eher dezentralisiert oder aus anderen Gründen nicht für eine Zentralisierung der Überwachung und anderer Sicherheitsmaßnahmen geeignet, kann ein CSIRT sinnvoller sein.

Es ist wichtig, die relativen Vorteile beider Varianten zu bewerten, die Anforderungen Ihres Unternehmens zu verstehen und den für Ihr Unternehmen optimalen Ansatz zu wählen.