KomCERT, das "Computer Emergency Response Team" der regio iT GmbH

Vorbemerkung

Das KomCERT Mission Statement wird regelmäßig den realen Gegebenheiten, z.B. hinsichtlich des genutzten IP-Adressbereiches angepasst, so dass die geschriebene Version von der Version im Internet Abweichen kann. In diesen Fällen gilt immer die vom KomCERT im Internet veröffentlichte Version des Mission Statement.

Das Mission Statement beschreibt in Anlehnung an den RFC 2350 (Expectations for Computer Security Incident Response) die technische und organisatorische Schnittstelle zum KomCERT, dem „Computer Emergency Response Team" der regio iT. Die formalisierte Kurzdarstellung einer CERT-Struktur nach RFC 2350 hat sich als quasi-Standard etabliert und ist geeignet, um sich einen schnellen Überblick über die Schnittstellen und Dienstleistungen eines CERT zu verschaffen.


Mission Statement

Ziele und Aufgaben des KomCERT

Die Ziele und Aufgaben des KomCERT stellen sich wie folgt dar:

  • Bereitstellung einer zentralen organisatorischen und technischen Anlaufstelle für die Kunden des KomCERT in Bezug auf vorbeugende, reaktive und nachhaltige Maßnahmen bei Sicherheitsvorfällen in den dort genutzten bzw. in den im Verbund mit der regio iT genutzten IT-Systemen
  • Koordinierung und Unterstützung bei der Bearbeitung von IT-Sicherheitsvorfällen
  • Entwicklung und strukturierte Verteilung von vorbeugenden Handlungsempfehlungen zur Vermeidung von IT-Sicherheitsvorfällen bei den Kunden des KomCERT

Reaktion

Das KomCERT nimmt Meldungen über IT-Sicherheitsvorfälle entgegen, prüft, bewertet und dokumentiert den Sachverhalt und koordiniert und unterstützt die Bearbeitung von IT-Sicherheitsvorfällen.

Prävention

Das KomCERT betreibt sowie einen Warn- und Informationsdienst zu IT-Sicherheitsschwachstellen und akuten Bedrohungen als auch Informationssicherheitsmanagement, um die Kunden des KomCERT bei der Erstellung und Weiterentwicklung von IT-Sicherheitsstandards zu unterstützen.

Nachhaltigkeit

Die Kopfstelle des KomCERT führt Sicherheitsberatungen und Weiterbildungen im Bereich der IT-Sicherheit und des Datenschutzes durch. Des Weiteren werden in Zusammenarbeit mit anderen Sicherheitsbeauftragten des Zweckverband civitec im Arbeitskreis Informationssicherheit Richtlinien (Blaupausen) für die Verbesserung des Schutzes vor Cyber-Attacken entwickelt.

Warn- und Informationsdienst zu IT-Sicherheitsschwachstellen

Zielgruppe

Die Dienstleistungen des KomCERT richten sich an interne und externe Kunden aus den Kommunen und dem kommunalen Umfeld, z.B. Eigenbetriebe und sonstige Körperschaften des öffentlichen Rechts.

IP-Ranges

Dem Bereich des KomCERT sind folgende IP-Adressbereiche zugeordnet:

  • 195.243.56.0/24
  • 195.243.129.128/26
  • 62.214.95.184/29
  • 62.217.44.164/29
  • 62.217.46.128/27
  • 212.117.94.109/32
  • 91.102.136.0/21 (AS34928)
  • 91.102.141.0/24
  • 185.98.92.0/22
  • 194.99.73.0/24

Mitgliedschaften und Arbeitsgruppen

Die Mitglieder des KomCERT gründeten mit anderen Sicherheitsbeauftragten den Arbeitskreis Informationssicherheit (AKIS) und sind ständiges Mitglied. Ferner ist das KomCERT Mitglied des CERT-Verbund Deutschland und wird als offizielles CERT bei Trusted Introducers gelistet.

Zuständigkeiten und Befugnisse

Das KomCERT stellt zentrale Dienstleistungen für die Sicherheit der Informations- und Kommunikationstechnik seiner Kunden zur Verfügung. Das KomCERT berät und unterstützt bei IT-Sicherheitsvorfällen außerdem überprüfen es täglich das Lagebild, der Cybersicherheit und bietet einen Warn- und Informationsdienst zu IT-Sicherheitsschwachstellen und akuten Bedrohungen an.

Postalische Adresse

KomCERT

regio iT gmbh

Mühlenstr. 51,

53721 Siegburg

Zeitzone

  • Europa/Berlin, GMT +1 und
  • Europa/Berlin, GMT +2 gemäß § 2 SoZV vom letzten Sonntag im März bis zum letzten Sonntag im Oktober

Telefon

+49 2241/999-1999

E-Mail-Adresse

komcert@regioit.de

öffentlicher Schlüssel (PGP/GPG)

Download (ASC-Datei)

Fingerprint des öffentlichen Schlüssels

05BB FD79 1DC4 00A9 DD97 79FD 2489 011F 916B 8A5D

World Wide Web

https://komcert.regioit.de

Personelle Zusammensetzung des KomCERT

Das KomCERT setzt sich aus Beschäftigten verschiedener Abteilungen der regio iT gmbh zusammen.

Betriebszeiten

Das KomCERT ist über die o.g. Kontaktinformationen in der Regel während der Bürozeiten von

Montag-Donnerstag : 07:30 Uhr bis 15:30 Uhr
Freitag : 07:30 Uhr bis 13:00 Uhr

erreichbar (ausgenommen der ges. Feiertage Land NRW).

Sicherheitsvorfälle melden

Für eine korrekte und vollständige Erfassung von IT-Sicherheitsvorfällen sind dem KomCERT nach Möglichkeit mindestens die folgenden Informationen zu übermitteln:

  • Kategorisierung
  • Vorfallstyp
  • Ausfall oder Einschränkung von Service
  • Kurzer Titel
  • Beschreibung des festgestellten IT-Sicherheitsvorfalls
  • Anzahl der betroffenen Systeme
  • Ob Ermittlungsbehörden eingeschaltet wurden
  • Gefahr für das Verbandsnetz
  • Kontakt der/des Meldenden

Vorfälle können über die Web-Seite des KomCERT in der Eingabemaske "Vorfallmeldung" gemeldet werden.

Schwachstellenmeldungen

Das KomCERT veröffentlicht ausschließlich Hinweise zu Sicherheitslücken in Hard- und Software-Installationen, welche sich im kommunalen Einsatz finden. Eine genaue Aufstellung kann beim KomCERT angefragt werden. Weitere Systeme bzw. Komponenten werden ausschließlich auf Anfrage von Kunden unter den oben genannten Kontaktdaten entgegengenommen.

Die Einstufung der Gefährdung des KomCERT kann von anderen CERTs abweichen und erfolgt nach folgenden Kriterien:

  • niedrig: Die genannte Schwachstelle hat keine erheblichen Auswirkungen auf den Betriebsablauf bzw. es kommt zu einzelnen, kurzfristigen Störungen im Anwendungsbereich.
  • mittel: Die Schwachstelle hat geringe Auswirkungen auf den laufenden Betrieb, stellt jedoch eine Gefährdung der Daten hinsichtlich Vertraulichkeit, Integrität und/oder Verfügbarkeit dar. Eine Ausnutzung erfolgt i.d.R. lokal und im Benutzerkontext.
  • hoch: Die Schwachstelle kann durch eine(-n) lokale(-n) oder entfernte(-n) AngreiferIn ohne Authentisierung im Benutzerkontext genutzt werden und stellt eine erhebliche Gefährdung der Daten hinsichtlich Vertraulichkeit, Integrität und/oder Verfügbarkeit dar. Bei Client-Systemen erfordert die Schwachstelle von der/dem BenutzerIn zumindest eine Aktivität hinsichtlich des Öffnens einer Datei oder des Besuches einer kompromittierten Web-Seite.
  • sehr hoch: Die Schwachstelle kann durch eine(-n) lokale(-n) oder entfernte(-n) AngreiferIn ohne Authentisierung ausgenutzt werden und ermöglicht diesem einen administrativen Zugriff. Die Schwachstelle stellt eine akute Gefährdung der Daten hinsichtlich Vertraulichkeit, Integrität und/oder Verfügbarkeit dar. Bei Client-Systemen erfordert die Schwachstelle von dem/der BenutzerIn eine Aktivität hinsichtlich des Öffnens einer Datei oder des Besuches einer kompromittierten Web-Seite.
  • patch now: Die Schwachstelle kann durch eine(-n) lokale(-n) oder entfernte(-n) AngreiferIn ohne Authentisierung ausgenutzt werden und ermöglicht diesem einen administrativen Zugriff. Die Schwachstelle stellt eine akute Gefährdung der Daten hinsichtlich Vertraulichkeit, Integrität und/oder Verfügbarkeit dar. Eine Interaktion mit dem/der BenutzerIn ist nicht erforderlich und/oder die Lücke entspricht der Kategorie “Sehr hoch“ und wird bereits aktiv ausgenutzt.

Haftungsausschluss

Die vorliegenden Informationen werden auf einer informellen Basis bereitgestellt. Alle Angaben wurden mit größtmöglicher Sorgfalt zusammengestellt und geprüft. Eine Haftung oder Gewährleistung für Korrektheit und Vollständigkeit der hier enthaltenen Informationen oder für sich aus der Nutzung dieser Angaben ergebende Konsequenzen kann jedoch nicht übernommen werden.