CSIRT.LI
Der Kurzname des Computer Security Incident Response Team Liechtenstein ist CSIRT.LI.
In der Rolle eines nationalen CSIRT innerhalb des europäischen NIS-Framework agiert das CSIRT.LI als internationaler Point of Contact (PoC) und fungiert als nationaler Koordinator für Cyber-Sicherheitsvorfälle. Das CSIRT.LI versteht sich in erster Linie als Drehscheibe, die weiss, wohin Informationen zu senden sind, um die Bereinigung von IT-Sicherheitsvorfällen zu unterstützen und zu erleichtern.
Kundenkreis des CSIRT.LI
Der Kundenkreis des CSIRT.LI wird in Art. 1 des Cyber-Sicherheitsgesetz (CSG) vom 04. Mai 2023 beschrieben und setzt sich aus Betreibern wesentlicher Dienste (kritische Infrastruktur) und Anbietern digitaler Dienste (im NIS-Kontext) zusammen, die für die liechtensteinische Bevölkerung von wesentlicher Bedeutung sind.
Aufgaben des CSIRT.LI
Nationale CSIRTs wie das CSIRT.LI dienen hauptsächlich als Ansprechpartner für die IT-Sicherheit im nationalen Kontext und sind mit anderen nationalen, als auch internationalen CSIRTs/CERTs vernetzt.
Die Meldungen von Sicherheitsvorfällen dienen als Grundlage für die Erstellung von Lagebildern sowie zum Zwecke der Ausgabe von Frühwarnungen und Alarmmeldungen an den Kundenkreis, damit diese Präventivmassnahmen einleiten und sich dadurch selbst schützen können sowie zum allfälligen Austausch mit nationalen und internationalen Behörden, damit diese ihre Aufgaben im eigenen Wirkungsbereich wahrnehmen und Bedrohungen abmildern oder bestenfalls ganz beseitigen können.
Des Weiteren beobachtet das CSIRT.LI fortlaufend die Bedrohungslandschaft und gibt regelmässig Warnmeldungen per E-Mail an Empfänger aus, die zum Kundenkreis des CSIRT.LI gehören und sich für den Erhalt registriert haben.
Die allgemeine Unterstützung der kritischen Infrastruktur zur Bewältigung eines Sicherheitsvorfalls erfolgt grundsätzlich über Beratung und Vermittlung von Fachexperten. Das CSIRT.LI übernimmt keine aktive Rolle bei der technischen Behebung oder Schadensminderung und tritt nicht in Konkurrenz zu Privatanbietern.
Über den gesetzlichen Auftrag hinaus dient das CSIRT.LI als Drehscheibe, Austausch- und Verbindungsstelle für die Bürger, die Wirtschaft sowie die öffentlichen Stellen.
Im finalen Ausbau soll über die kritische Infrastruktur hinaus, der Staat, die Wirtschaft und die gesamte Bevölkerung vom Vorhandensein einer liechtensteinischen Cyber-Hygiene-Stelle profitieren.
Kontaktaufnahme mit dem CSIRT.LI
Informationen zu E-Mail-Adressen, der Telefonnummer und Anschrift sowie den Möglichkeiten zur vertraulichen, verschlüsselten Kommunikation finden sich auf der Kontaktseite des CSIRT.LI.
Weitere Informationen
Gründung
Das CSIRT.LI wurde am 01. Juli 2023 gegründet und befindet sich seitdem im organisatorischen, technischen und prozessualen Auf- und Ausbau, wobei der Fokus auf die Erschliessung von qualitativ hochwertigen Informationsquellen liegt.
Derzeit werden Basisdienste (wie v.a. die Ersattung von Warnmeldungen und die allgemeine Unterstützung bei Sicherheitsvorfällen) mit den aktuell zur Verfügung stehenden Ressourcen bestmöglich ad hoc geleistet.
RFC 2350
Das für nationale CSIRTs übliche RFC 2350 Dokument enthält die grundlegendsten Informationen zum CSIRT.LI.
Im Kern handelt es sich um eine Zusammenfassung der Möglichkeiten zur Kontaktaufnahme und der vertraulichen Kommunikation mit dem CSIRT, Informationen zu den Aufgaben und Diensten, zum Kundenkreis und einiges mehr, in einem standardisiert strukturierten Format.
Unterschied zwischen CSIRT und CERT
Die Begriffe Computer Security Incident Response Team (CSIRT) und Cyber Emergency Response Team (CERT) sind äquivalent. CERT ist jedoch eine geschützte Trademark der Carnegie‐Mellon University (CMU).
CSIRT-Typen
Es ist wesentlich zu berücksichtigen, dass es verschiede Typen von CSIRTs gibt, die sich stark in ihrer Aufgabenstellung unterscheiden können. Die ENISA unterscheidet u.a. zwischen akademischen, kommerziellen, militärischen und Unternehmens-CSIRTs, CSIRT-Providern, CSIRTs der kritischen Infrastruktur und von Regierungen sowie nationalen CSIRTs (Quelle: https://www.enisa.europa.eu/publications/csirt-setting-up-guide).
Unternehmensinterne CSIRT- und IT-Sicherheits-Teams haben im Gegensatz zu nationalen CSIRTs Aufgaben, die sich auf die im Unternehmen eingesetzte Infrastruktur beziehen und sich auf technischer Ebene um die Bewältigung konkreter Sicherheitsvorfälle kümmern.
Ein nationales CSIRT ist kein Unternehmens-CSIRT und ersetzt ein solches auch nicht. Zwischen Unternehmens-CSIRTs bzw. IT-Sicherheits-Teams und dem nationalen CSIRT soll jedoch ein reger Austausch stattfinden.