KomCERT, das "Computer Emergency Response Team" der regio iT GmbH
Vorbemerkung
Das KomCERT Mission Statement wird regelmäßig den realen Gegebenheiten, z.B. hinsichtlich des
genutzten IP-Adressbereiches angepasst, so dass die geschriebene Version von der Version im
Internet Abweichen kann. In diesen Fällen gilt immer die vom KomCERT im Internet veröffentlichte
Version des Mission Statement.
Das Mission Statement beschreibt in Anlehnung an den RFC 2350 (Expectations for Computer
Security Incident Response) die technische und organisatorische Schnittstelle zum KomCERT, dem
„Computer Emergency Response Team" der regio iT. Die formalisierte Kurzdarstellung einer
CERT-Struktur nach RFC 2350 hat sich als quasi-Standard etabliert und ist geeignet, um sich
einen schnellen Überblick über die Schnittstellen und Dienstleistungen eines CERT zu
verschaffen.
Mission Statement
Ziele und Aufgaben des KomCERT
Die Ziele und Aufgaben des KomCERT stellen sich wie folgt dar:
- Bereitstellung einer zentralen organisatorischen und technischen Anlaufstelle für die Kunden des KomCERT in Bezug auf vorbeugende, reaktive und nachhaltige Maßnahmen bei Sicherheitsvorfällen in den dort genutzten bzw. in den im Verbund mit der regio iT genutzten IT-Systemen
- Koordinierung und Unterstützung bei der Bearbeitung von IT-Sicherheitsvorfällen
- Entwicklung und strukturierte Verteilung von vorbeugenden Handlungsempfehlungen zur Vermeidung von IT-Sicherheitsvorfällen bei den Kunden des KomCERT
Reaktion
Das KomCERT nimmt Meldungen über IT-Sicherheitsvorfälle entgegen, prüft, bewertet und dokumentiert den Sachverhalt und koordiniert und unterstützt die Bearbeitung von IT-Sicherheitsvorfällen.
Prävention
Das KomCERT betreibt sowie einen Warn- und Informationsdienst zu IT-Sicherheitsschwachstellen und akuten Bedrohungen als auch Informationssicherheitsmanagement, um die Kunden des KomCERT bei der Erstellung und Weiterentwicklung von IT-Sicherheitsstandards zu unterstützen.
Nachhaltigkeit
Die Kopfstelle des KomCERT führt Sicherheitsberatungen und Weiterbildungen im Bereich der IT-Sicherheit und des Datenschutzes durch. Des Weiteren werden in Zusammenarbeit mit anderen Sicherheitsbeauftragten des Zweckverband civitec im Arbeitskreis Informationssicherheit Richtlinien (Blaupausen) für die Verbesserung des Schutzes vor Cyber-Attacken entwickelt.
Warn- und Informationsdienst zu IT-Sicherheitsschwachstellen
Zielgruppe
Die Dienstleistungen des KomCERT richten sich an interne und externe Kunden aus den Kommunen und dem kommunalen Umfeld, z.B. Eigenbetriebe und sonstige Körperschaften des öffentlichen Rechts.
IP-Ranges
Dem Bereich des KomCERT sind folgende IP-Adressbereiche zugeordnet:
- 195.243.56.0/24
- 195.243.129.128/26
- 62.214.95.184/29
- 62.217.44.164/29
- 62.217.46.128/27
- 212.117.94.109/32
- 91.102.136.0/21 (AS34928)
- 91.102.141.0/24
- 185.98.92.0/22
- 194.99.73.0/24
Mitgliedschaften und Arbeitsgruppen
Die Mitglieder des KomCERT gründeten mit anderen Sicherheitsbeauftragten den Arbeitskreis Informationssicherheit (AKIS) und sind ständiges Mitglied. Ferner ist das KomCERT Mitglied des CERT-Verbund Deutschland und wird als offizielles CERT bei Trusted Introducers gelistet.
Zuständigkeiten und Befugnisse
Das KomCERT stellt zentrale Dienstleistungen für die Sicherheit der Informations- und Kommunikationstechnik seiner Kunden zur Verfügung. Das KomCERT berät und unterstützt bei IT-Sicherheitsvorfällen außerdem überprüfen es täglich das Lagebild, der Cybersicherheit und bietet einen Warn- und Informationsdienst zu IT-Sicherheitsschwachstellen und akuten Bedrohungen an.
Postalische Adresse
KomCERT
regio iT gmbh
Mühlenstr. 51,
53721 Siegburg
Zeitzone
- Europa/Berlin, GMT +1 und
- Europa/Berlin, GMT +2 gemäß § 2 SoZV vom letzten Sonntag im März bis zum letzten Sonntag im Oktober
Telefon
+49 2241/999-1999
E-Mail-Adresse
komcert@regioit.de
öffentlicher Schlüssel (PGP/GPG)
Download (ASC-Datei)Fingerprint des öffentlichen Schlüssels
05BB FD79 1DC4 00A9 DD97 79FD 2489 011F 916B 8A5D
World Wide Web
https://komcert.regioit.de
Personelle Zusammensetzung des KomCERT
Das KomCERT setzt sich aus Beschäftigten verschiedener Abteilungen der regio iT gmbh zusammen.
Betriebszeiten
Das KomCERT ist über die o.g. Kontaktinformationen in der Regel während der Bürozeiten von
Montag-Donnerstag : 07:30 Uhr bis 15:30 Uhr
Freitag : 07:30 Uhr bis 13:00 Uhr
erreichbar (ausgenommen der ges. Feiertage Land NRW).
Sicherheitsvorfälle melden
Für eine korrekte und vollständige Erfassung von IT-Sicherheitsvorfällen sind dem KomCERT nach Möglichkeit mindestens die folgenden Informationen zu übermitteln:
- Kategorisierung
- Vorfallstyp
- Ausfall oder Einschränkung von Service
- Kurzer Titel
- Beschreibung des festgestellten IT-Sicherheitsvorfalls
- Anzahl der betroffenen Systeme
- Ob Ermittlungsbehörden eingeschaltet wurden
- Gefahr für das Verbandsnetz
- Kontakt der/des Meldenden
Vorfälle können über die Web-Seite des KomCERT in der Eingabemaske "Vorfallmeldung" gemeldet werden.
Schwachstellenmeldungen
Das KomCERT veröffentlicht ausschließlich Hinweise zu Sicherheitslücken in Hard- und Software-Installationen, welche sich im kommunalen Einsatz finden. Eine genaue Aufstellung kann beim KomCERT angefragt werden. Weitere Systeme bzw. Komponenten werden ausschließlich auf Anfrage von Kunden unter den oben genannten Kontaktdaten entgegengenommen.
Die Einstufung der Gefährdung des KomCERT kann von anderen CERTs abweichen und erfolgt nach folgenden Kriterien:
- niedrig: Die genannte Schwachstelle hat keine erheblichen Auswirkungen auf den Betriebsablauf bzw. es kommt zu einzelnen, kurzfristigen Störungen im Anwendungsbereich.
- mittel: Die Schwachstelle hat geringe Auswirkungen auf den laufenden Betrieb, stellt jedoch eine Gefährdung der Daten hinsichtlich Vertraulichkeit, Integrität und/oder Verfügbarkeit dar. Eine Ausnutzung erfolgt i.d.R. lokal und im Benutzerkontext.
- hoch: Die Schwachstelle kann durch eine(-n) lokale(-n) oder entfernte(-n) AngreiferIn ohne Authentisierung im Benutzerkontext genutzt werden und stellt eine erhebliche Gefährdung der Daten hinsichtlich Vertraulichkeit, Integrität und/oder Verfügbarkeit dar. Bei Client-Systemen erfordert die Schwachstelle von der/dem BenutzerIn zumindest eine Aktivität hinsichtlich des Öffnens einer Datei oder des Besuches einer kompromittierten Web-Seite.
- sehr hoch: Die Schwachstelle kann durch eine(-n) lokale(-n) oder entfernte(-n) AngreiferIn ohne Authentisierung ausgenutzt werden und ermöglicht diesem einen administrativen Zugriff. Die Schwachstelle stellt eine akute Gefährdung der Daten hinsichtlich Vertraulichkeit, Integrität und/oder Verfügbarkeit dar. Bei Client-Systemen erfordert die Schwachstelle von dem/der BenutzerIn eine Aktivität hinsichtlich des Öffnens einer Datei oder des Besuches einer kompromittierten Web-Seite.
- patch now: Die Schwachstelle kann durch eine(-n) lokale(-n) oder entfernte(-n) AngreiferIn ohne Authentisierung ausgenutzt werden und ermöglicht diesem einen administrativen Zugriff. Die Schwachstelle stellt eine akute Gefährdung der Daten hinsichtlich Vertraulichkeit, Integrität und/oder Verfügbarkeit dar. Eine Interaktion mit dem/der BenutzerIn ist nicht erforderlich und/oder die Lücke entspricht der Kategorie “Sehr hoch“ und wird bereits aktiv ausgenutzt.
Haftungsausschluss
Die vorliegenden Informationen werden auf einer informellen Basis bereitgestellt. Alle Angaben wurden mit größtmöglicher Sorgfalt zusammengestellt und geprüft. Eine Haftung oder Gewährleistung für Korrektheit und Vollständigkeit der hier enthaltenen Informationen oder für sich aus der Nutzung dieser Angaben ergebende Konsequenzen kann jedoch nicht übernommen werden.