CarmentiS ist ein Projekt, in dem Teams des deutschen CERT-Verbunds die Basisinfrastruktur für ein deutsches IT-Frühwarnsystem erproben. Diese erlaubt zeitnah die Erkennung und Bewertung von akuten Bedrohungen. Zugleich dient CarmentiS als Testbed zur Erprobung neuer Ansätze und Strategien zur Visualisierung und automatischen Erkennung neuer Bedrohungen.

Bisher gibt es solche Auswertungen nur für den eigenen Zuständigkeitsbereich. So werden z. B. Logdateien von Netzwerkkomponenten ausgewertet und spezielle Sensoren eingesetzt, die Anzeichen neuer Viren und Würmer registrieren, um neue Trends zu erkennen und Angriffen entgegen zuwirken. Außerdem stehen technokratische Ansätze (Sensornetze) im Vordergrund. Allerdings erfolgt nur vereinzelt eine Verknüpfung der bei verschiedenen Organisationen vorliegenden Informationen, und so bleibt auch der Nutzen beschränkt.

Frühwarnung kann und darf jedoch nicht primär ein ausgeprägtes Sensorennetz sein, mit dem lediglich der Ist-Zustand ermittelt wird. Ein zentraler Aspekt ist die Analyse neuer Sicherheitslücken, um gezielt nach Anzeichen von neuen Angriffsverfahren suchen zu können. Die Verknüpfung dieser Metainformation mit automatisch erfassten Daten stellt die eigentliche Herausforderung dar.

Mit CarmentiS wird daher eine organisationsübergreifende Plattform für die gemeinsame Auswertung entwickelt, in der beliebige Sensornetze und Informationsquellen eingebunden werden können. Dies hilft, die Betreuung der jeweiligen Zielgruppen durch "ihre" CERTs erheblich zu verbessern. Die angereicherten und aufbereiteten Informationen werden dabei direkt durch geeignete Schnittstellen den Nutzern zugänglich gemacht, wobei von vorne herein die unterschiedlichen Anforderungen und Sichtweisen der Empfänger konzeptionell berücksichtigt werden.

Abbildung 1 : Schnittstellen in einem übergreifenden Frühwarnsystem

Zusammengefaßt leistet CarmentiS damit:

• Integration von Sensornetzen (Daten) und anderen Quellen (Informationen) in einem übergreifenden Informationsmanagement;
• Unterstützung eines verteilten Analystenteams bei der täglichen Arbeit durch die integrierte Sicht;
• Bereitstellung nutzergruppenspezifischer Auswertungen und Analysen zur Verbesserung deren Sicherheit.

Ausblick

Der Aufbau eines virtuellen Kompetenzzentrums, in dem Analysten übergreifend zusammenarbeiten, stellt dabei vielleicht den wichtigsten Meilenstein für den Aufbau eines IT-Frühwarnsystems dar. Ein nachhaltiger Erfolg kann eben nur realisiert werden, wenn dies als gemeinsame Aufgabe verstanden wird und sich viele Organisationen an der Datenerfassung und Analyse beteiligen.

Hierzu müssen aber wirksame Mechanismen vorliegen, die eigenen Interessen zu schützen. Daher stehen Verfahren zur Pseudonymisierung von kritischen Daten ebenfalls im Fokus der Teams, die sich beteiligen. Ebenso die Suche nach Verfahren, die mit möglichst wenigen statistischen Daten Aufschluss geben können. Für viele Auswertungen ist eine genaue Kenntnis, welcher Rechner angegriffen wurde, nicht relevant. Allerdings ist es eine unwiederlegbare Tatsache der jahrzehntelangen CERT-Arbeit, das ein Angriff fast immer auf ein kompromittiertes System hinweist. Es ist daher nicht überraschend, das die Diskussion dieser Aspekte einen breiten Raum einnehmen wird, die mit allen Beteiligten - Angreifer ausgenommen - geführt werden muss.

Detailliertere Informationen des Systems werden in Kürze hier verfügbar sein.