Abo
  • Services:
Anzeige
Deutschland muss noch ohne nationales Cert auskommen.
Deutschland muss noch ohne nationales Cert auskommen. (Bild: Citizen Corps/CERT/Public Domain)

Cert: Deutschland braucht ein unabhängiges digitales Notfallteam

Deutschland muss noch ohne nationales Cert auskommen.
Deutschland muss noch ohne nationales Cert auskommen. (Bild: Citizen Corps/CERT/Public Domain)

Bisher gibt es in Deutschland kein nationales Cert, dabei wäre es nicht schwer zu erschaffen. Ein neu geschaffenes Cert müsste jedoch eine klare Distanz zu Regierungsstellen wahren, um ernst genommen zu werden - eine lösbare Aufgabe.
Von Isabel Skierka und Mirko Hohmann

Ende des vergangenen Jahres versetzten Hinweise auf eine Kooperation zwischen dem FBI und einem der bekanntesten US-amerikanischen IT-Sicherheitsteams die Netzgemeinde in Aufruhr. Demnach sollen Forscher des renommierten Cert/CC dem FBI dabei geholfen haben, das Anonymisierungsnetzwerk Tor zu hacken. Kernaufgabe von Teams wie Cert/CC, sogenannten Computer Emergency Response Teams (Certs), ist es jedoch eigentlich, Computernetzwerke vor Sicherheitsvorfällen zu schützen.

Anzeige

Gerade Cert/CC gilt unter den Hunderten von Certs weltweit als zentrale Anlaufstelle für die transparente Offenlegung von Sicherheitslücken. Sollte es nun für das FBI eine Schwachstelle in der Tor-Software ausgenutzt haben, wirft das essentielle Fragen über die Kooperation von IT-Sicherheitsexperten mit staatlichen Akteuren wie Strafverfolgungsbehörden oder Geheimdiensten auf - vor allem, wenn solche Kooperationen auf Kosten der Internetsicherheit geschlossen werden. Auch die deutsche Politik muss diese Fragen aufgreifen und die Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des darin ansässigen Cert-Bunds klar definieren.

Internationaler Austausch über Sicherheit muss sein

Certs spielen im Bereich der IT-Sicherheit eine wichtige Rolle. Sie schützen nicht nur die Netzwerke einzelner Organisationen, sondern koordinieren die Lösung von IT-Sicherheitsvorfällen über Organisations- und Ländergrenzen hinweg.

Immer mehr Länder bauen nun nationale Certs auf, die die heimische Wirtschaft, Internetanbieter und manchmal auch Nutzer bei der Lösung von IT-Sicherheitsvorfällen unterstützen und relevante Informationen austauschen. Sie kooperieren mit inländischen Organisationen und Unternehmen und sind auch nationale Kontaktstelle für Certs aus dem Ausland.

Um globale Angriffe auf Computernetzwerke zu bekämpfen, müssen Experten Informationen wie Angriffsmuster, Schadsoftware-Proben, Daten über Schwachstellen oder Mittel und Taktiken zur Behebung von Sicherheitsvorfällen kontinuierlich international austauschen. Ein nationales Cert ist daher mittlerweile zu einem Grundbaustein für die effektive Koordination von IT-Sicherheitsmaßnahmen jedes Landes geworden.

Ein deutsches nationales Cert hätte eine Doppelrolle

Deutschland betreibt bisher noch kein nationales Cert, sondern nur eines, das für den Schutz von Regierungs- und Behördennetzwerken zuständig ist. Es heißt Cert-Bund und ist im BSI angesiedelt. Im Kontext der mit dem IT-Sicherheitsgesetz beschlossenen Meldepflicht könnte ein nationales Cert Teil der Meldestelle von IT-Sicherheitsvorfällen für Betreiber kritischer Infrastrukturen im BSI werden. Mit mehr Personal und zusätzlichen Kompetenzen ließe sich Cert-Bund zu einem nationalen Cert ausbauen. Als nationales Team würde Cert-Bund dann allerdings eine Doppelrolle erfüllen müssen.

Es müsste nicht nur für den Schutz von Regierungsnetzwerken zuständig, sondern auch eine unabhängige Anlaufstelle für Wirtschaft und Bürger bei IT-Sicherheitsvorfällen sein. Als eine dem BSI und damit dem Innenministerium unterstehende Regierungsorganisation könnte es diese Unabhängigkeit, insbesondere von Strafverfolgungsbehörden und Geheimdiensten, nicht unbedingt gewährleisten.

Im angemessenen rechtlichen Rahmen ist eine Zusammenarbeit zwischen Certs mit Regierungsakteuren zwar zu begrüßen. Certs kooperieren zum Beispiel weltweit immer häufiger mit Strafverfolgungsbehörden, um Onlinekriminelle zu fassen oder die Quellen von Schadsoftware auszuschalten. Komplizierter wird es aber, wenn Strafverfolgungsbehörden oder auch Geheimdienste Certs - wie im Fall von Cert/CC - unter Druck setzen, um deren technische Dienste oder Informationen zur Durchsetzung nationaler Sicherheitsinteressen einzusetzen.

Politische Interessen können auf Kosten der Netzwerksicherheit gehen 

eye home zur Startseite
oborgers 12. Jan 2016

Oder man besucht halt das https://www.buerger-cert.de/ ...... Es gibt bereits CERTs in...

Kleba 11. Jan 2016

Ich denke der Artikel stellt eine Diskussionsgrundlage für die Zukunft da. Wenn nun in...

StainBase 11. Jan 2016

Chaos Emergency Response Team

Friedrich.Thal 11. Jan 2016

in neu gegründeten Inteligenzbolzencentern, die sich durch nationales Kompetenzgerangel...

dabbes 11. Jan 2016

DIE Lösung... nee nicht wirklich.



Anzeige

Stellenmarkt
  1. LexCom Informationssysteme GmbH, München
  2. andagon GmbH, Köln
  3. Stadtwerke Augsburg Holding GmbH, Augsburg
  4. Deloitte, verschiedene Standorte


Anzeige
Spiele-Angebote
  1. (-46%) 26,99€
  2. ab 47,99€

Folgen Sie uns
       


  1. Krack-Angriff

    AVM liefert erste Updates für Repeater und Powerline

  2. Spieleklassiker

    Mafia digital bei GoG erhältlich

  3. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  4. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen

  5. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens

  6. Nvidia

    Shield TV ohne Controller kostet 200 Euro

  7. Die Woche im Video

    Wegen Krack wie auf Crack!

  8. Windows 10

    Fall Creators Update macht Ryzen schneller

  9. Gesundheitskarte

    T-Systems will Konnektor bald ausliefern

  10. Galaxy Tab Active 2

    Samsungs neues Ruggedized-Tablet kommt mit S-Pen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Flettner-Rotoren: Wie Schiffe mit Stahlsegeln Treibstoff sparen
Flettner-Rotoren
Wie Schiffe mit Stahlsegeln Treibstoff sparen
  1. Hyperflight China plant superschnellen Vactrain
  2. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  3. Honolulu Strafe für Handynutzung auf der Straße

Cybercrime: Neun Jahre Jagd auf Bayrob
Cybercrime
Neun Jahre Jagd auf Bayrob
  1. Antivirus Symantec will keine Code-Reviews durch Regierungen mehr
  2. Verschlüsselung Google schmeißt Symantec aus Chrome raus
  3. Übernahme Digicert kauft Zertifikatssparte von Symantec

Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. 30.000 US-Dollar Schaden Admin wegen Sabotage nach Kündigung verurteilt
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

  1. Krank im Kopf!

    mv1704 | 11:55

  2. Hyperloop

    cicero | 11:53

  3. Re: Darum wird sich Linux nie so richtig durchsetzen

    ve2000 | 11:52

  4. Re: Leider verpennt

    quineloe | 11:49

  5. Re: Empfehlung

    Lapje | 11:44


  1. 11:25

  2. 17:14

  3. 16:25

  4. 15:34

  5. 13:05

  6. 11:59

  7. 09:03

  8. 22:38


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel