0x00

Wer wir sind und was wir tun

GOVCERT.LU ist die zentrale Anlaufstelle für alle Arten von IT-Vorfällen, die eine Bedrohung für die Informationssysteme der nationalen Regierung und anderer als kritisch eingestufter öffentlicher oder privater Infrastrukturbetreiber darstellen könnten. Erfahren Sie mehr über unsere Missionen und finden Sie heraus, welche Tätigkeitsbereiche und Aufgaben in die Verantwortung von GOVCERT.LU fallen.

0x01

Unsere Mission

In unserer immer stärker vernetzten Welt werden Cyberangriffe immer zahlreicher und es wird zunehmend schwieriger, sie zu bekämpfen.

Dank seiner offenen Haltung gegenüber den Möglichkeiten und Herausforderungen der Informations- und Kommunikationstechnologien entwickelt sich Luxemburg zu einem Global Player im ICT-Bereich und stellt den Schutz vor Cyberangriffen immer mehr in den Vordergrund.

GOVCERT.LU ist sowohl auf nationaler als auch auf internationaler Ebene aktiv, um das Großherzogtum vor Cyberangriffen zu bewahren, ortsansässigen Unternehmen einen attraktiven, sicheren und zuverlässigen Standort zu garantieren und die Grundrechte und Privatsphäre der Bürger zu schützen.

Wir sind die zentrale Anlaufstelle für alle Arten von Cybervorfällen, die die Informationssysteme der Regierung und anderer als kritisch eingestufter öffentlicher oder privater Infrastrukturbetreiber gefährden könnten. In diesem Kontext bezieht sich der Begriff „kritisch eingestufte Infrastrukturen“ auf alle Einrichtungen, Systeme oder Teile davon, die zur Wahrung der lebenswichtigen Interessen oder Grundbedürfnisse der gesamten oder eines Teils der Bevölkerung des Landes unerlässlich sind.

Um die uns auferlegten Missionen erfüllen zu können, umfassen unsere Aufgaben sowohl klassifizierte als auch nicht klassifizierte Infrastrukturen auf unterschiedlichen Ebenen. Das GOVCERT.LU-Team ist also dafür verantwortlich, auf Vorfälle zu reagieren und entsprechende Maßnahmen einzuleiten, schwerwiegende Vorfälle frühzeitig zu erkennen und zu verhindern sowie eine bessere Koordinierung zwischen den staatlichen Akteuren bei der Bewältigung von Sicherheitsvorfällen zu gewährleisten.

Laut nationalem Gesetz ist GOVCERT.LU außerdem die offizielle Luxemburger Kontaktstelle für nationale sowie internationale staatliche Cyber Security Incident Response Teams – oder kurz CERTs.

Einerseits sind wir dafür zuständig, Informationen über Sicherheitsvorfälle, welche die Informations- und Kommunikationssysteme in Luxemburg betreffen, zu sammeln und zu verbreiten. Andererseits fungieren wir als Ansprechpartner im Bereich Cybersicherheit für alle natürlichen und juristischen Personen, Organisationen und Instanzen, sowohl auf nationaler als auch internationaler Ebene.

Erhält unser Team sicherheitsrelevante Informationen, trägt es die Verantwortung, diese an die unterschiedlichen CERTs des betroffenen Sektors weiterzuleiten. Sollte für diesen bestimmten Sektor kein CERT existieren, wendet sich GOVCERT.LU direkt an das Opfer des Angriffs. Außerdem stellt unser Team Informationen über spezifische Kontaktstellen innerhalb des jeweiligen Sektors zur Verfügung.

Darüber hinaus gibt es ein spezialisiertes Einsatzteam, welches als offizielle nationale Kontaktstelle für alle ausländischen militärischen CERTs fungiert und somit gewährleistet, dass bei Computerangriffen sowie umfangreichen Sicherheitsvorfällen, die die Netzwerke und Informationssysteme der Armee auf dem Gebiet des Großherzogtums betreffen, Überwachungs-, Erkennungs-, Alarmierungs- und Reaktionsmaßnahmen eingeleitet werden.

0x02

Reaktion auf einen Vorfall

GOVCERT.LU ist berechtigt, sich mit allen Arten von IT-Sicherheitsvorfällen zu befassen, die in einem Netzwerk, System oder Dienstleistungsbereich seiner Klientel vorkommen oder vorkommen könnten. Dabei ist es unerheblich, ob es sich um klassifizierte oder nicht-klassifizierte Informationen handelt.

GOVCERT.LU unterstützt seine Klienten mit einer Reihe von reaktiven sowie proaktiven Diensten im Bereich der ICT-Sicherheit und koordiniert alle Aktivitäten in Bezug auf IT-Vorfälle innerhalb seiner Klientel. In diesem Sinne bietet das Expertenteam Unterstützung, Hilfe und Ratschläge in allen Phasen des Vorfallmanagements:

  • Klassifizierung des Vorfalls (Triage)
    • Feststellen, ob tatsächlich ein Vorfall eingetreten ist
    • Bestimmen der Relevanz des Vorfalls
  • Koordinierung der Reaktionen auf den Vorfall
    • Bestimmung der Ursache des Vorfalls (ausgenutzte Sicherheitslücken)
    • Kontaktieren möglicher anderer involvierter Stellen
    • Förderung des Kontakts mit anderen Klienten und/oder nötigenfalls der zuständigen Strafverfolgungsbehörde
    • Koordinierung der Reaktion auf einen (verteilten) Denial-of-Service-Angriff
    • Übermitteln eines Berichts an andere CSIRTs
    • Nötigenfalls Warnung der Benutzer
  • Lösung des Vorfalls
    • Sicherheitslücken schließen
    • Sicherheit des Systems gewährleisten und es vor möglichen Folgen des Vorfalls schützen
    • Evaluieren, ob die Ergebnisse bestimmter Reaktionen im Verhältnis stehen zu den anfallenden Kosten und möglichen Risiken, besonders Aktionen, die auf eine mögliche Strafverfolgung oder ein Disziplinarverfahren hinauslaufen: Sammeln von Beweisen, Verfolgen eines Vorfalls, Fallen stellen für Eindringlinge usw.
    • Statistiken erstellen über Vorfälle, die die Klientel betreffen, und in Folge die Klientel informieren, damit sie sich besser gegen bekannte Angriffe schützen kann
    • Beweismittel aus einem betroffenen Computersystem sammeln, aufbewahren, dokumentieren und analysieren, um die nötigen Systemaktualisierungen zu bestimmen, sowie die zur Sicherheitsgefährdung führenden Ereignisse rekonstruieren
0x03

Proaktive Dienste

Unsere proaktiven Aktivitäten zielen darauf ab, die Auswirkungen von Cyberangriffen auf Systeme oder Netzwerke zu erkennen und zu minimieren. Wir sind dafür zuständig, die Mitglieder und Partner unserer Klientel frühzeitig zu alarmieren, um ihre Netzwerke zu schützen und möglicherweise zu verhindern, dass sie zu einem Angriffsziel werden.

In diesem Zusammenhang bietet unser Team von Cybersecurity-Experten eine umfassende Palette von Dienstleistungen und Sicherheitslösungen an:

  • Anti-Phishing-Mitteilungen und Schließung schädlicher Websites
  • Erkennen gefährdeter (infizierter) Systeme
  • Melden gestohlener Benutzerdaten
  • Melden gezielter Schadsoftware-Angriffe
  • Allgemeine sicherheitsrelevante Meldungen (nichtöffentlich)
  • Entwicklung von Sicherheitstools
  • Analyse von Schadsoftware
  • Hinweis auf Schwachstellen
0x04

Nationaler Notfallplan

Im Fall einer gravierenden technischen Schwachstelle oder eines Cyberangriffs, welcher das Informationssystem des privaten und öffentlichen Sektors in großem Ausmaß beeinträchtigen könnte, wird der nationale Notfallplan aktiviert. Dies bedeutet, dass sämtliche Leitungsorgane einberufen werden, um unverzüglich auf den Vorfall reagieren zu können und sofortige adäquate Gegenmaßnahmen einzuleiten.

Ab diesem Zeitpunkt initiiert und koordiniert der Krisenstab alle Aktionen und stellt sicher, dass alle notwendigen Maßnahmen ergriffen werden, um den Schaden so gut und so schnell wie nur möglich abzuwenden.

Der Direktor des staatlichen CERT (GOVCERT.LU) ist Mitglied dieses Krisenstabs und führt außerdem den Vorsitz der Cyber Risk Assessment Unit (CERC). Diese hat zur Aufgabe, alle kritischen nationalen sicherheitsrelevanten Vorfälle und Bedrohungen im Bereich der Computer- und Netzsicherheit zu überwachen und den Krisenstab diesbezüglich ständig auf dem Laufenden zu halten.

Die Cyber Risk Assessment Unit besteht aus einem Team von Experten, welches eine verstärkte Überwachung und Schwachstellenanalyse im Rahmen des nationalen Notfallplans gewährleistet. Je nach Art des Angriffs identifiziert sie potenzielle Angriffsziele und stellt sicher, dass jegliche bedrohten Informationssysteme aktualisiert und geschützt werden können.

Wenn sich ein Angriff bestätigt, hat die Einheit die Möglichkeit, Schutzmaßnahmen einzuleiten und präventive Maßnahmen zu ergreifen, um so potenzielle Angriffsziele vor möglichen Schäden zu bewahren. Wenn notwendig, hat sie sogar die Möglichkeit, ein bestimmtes Angriffsziel teilweise oder vollständig zu isolieren.

Im Fall einer schwerwiegenden Cyber-Bedrohung informiert die Regierung die Öffentlichkeit über die Website www.infocrise.lu.