Beim Bundesamt für Informatik und Telekommunikation (BIT) hat im August nach einer Aufbauphase ein hochspezialisiertes IT-Security-Team die reguläre Arbeit aufgenommen. Nach internationalem Vorbild trägt das Team den Namen CSIRT (Computer Security Incident Response Team), wie der neusten Ausgabe der BIT-Kundenzeitschrift 'Eisbrecher' zu entnehmen ist. Das CSIRT des BIT ist rund um die Uhr in Bereitschaft und soll Cyberattacken auf die Bundesverwaltung registrieren, analysieren und bekämpfen.

Das BIT ist unter anderem für die Informatik der vier Departemente EJPD, EDI, EFD und UVEK zuständig. Organisatorisch gehört das CSIRT BIT zum Bereich IT-Sicherheit und Risikomanagement des BIT.

Das BIT will die Namen der vier Security-Experten des CSIRT aus Sicherheitsgründen nicht öffentlich nennen. Einer von ihnen sagt, dass es in der Bundesverwaltung praktisch täglich Malware-Alarm gibt. Mehrheitlich handle es sich bei den Vorfällen um Drive-by-Infektionen von Computern, deren Nutzer beim Surfen unbeabsichtigt und unbemerkt Schadsoftware von einer infizierten Website heruntergeladen haben.

Immer häufiger werden aber auch gezielte Attacken auf die Bundesverwaltung, wie etwa jene auf das EDA im Herbst 2009. In diesen Fällen erhalten einzelne Bundesangestellte E-Mails mit verseuchtem Dateianhang oder einem Link, der zu einer Website mit Schadsoftware führt. Nicht der Angriff auf das Aussendepartement, für welches das BIT nicht zuständig ist, sondern eine orchestrierte Viren-Attacke auf die Bundesverwaltung vor gut drei Jahren bewog das BIT, ein CSIRT ins Leben zu rufen.

Um über die aktuellen Gefahren und die neusten Tricks möglicher Angreifer auf dem Laufenden sein, arbeitet das CSIRT BIT eng mit bundesinternen Partnern wie der Melde- und Analysestelle Informationssicherheit (Melani) oder der Bundespolizei zusammen. Wie der 'Eisbrecher' schreibt, bilden auch "einschlägige Foren und Websites" sowie internationale Spezialisten eine wichtige Informationsquelle.

"Die Malware wird immer raffinierter und ändert sich rasch, die Anti-Viren-Software hinkt hinterher", erklärt der anonyme CSIRT-Mitarbeiter. Umso wichtiger sei es darum, die Schadsoftware genau zu eruieren. Gelingt dies, stellt das CSIRT den Code des Schädlings den Anbietern von Anti-Viren-Software zur Verfügung, damit diese ihre Programme aktualisieren können.

Das CSIRT fasst vierteljährlich in einem Bericht für die BIT-Geschäftsleitung und den Ausschuss Informatiksicherheit der Bundesverwaltung (A-IS) die aktuelle Bedrohungslage zusammen und gibt aufgrund der gewonnenen Kenntnisse Empfehlungen zur Verbesserung der IT-Sicherheit im Bund. So sperrte das BIT auf Anraten des CSIRT präventiv den Internetzugriff auf die Werbebanner verschiedener Anbieter, weil solche Banner gehäuft missbraucht wurden, um PCs zu infizieren.

"Auch das Deaktivieren von JavaScript im Adobe Reader hat sich als sehr nützlich erwiesen, um Drive-by-Infektionen zu verhindern", sagt der IT-Experte. (mim)