Trusted Communities für mehr Cyber-Sicherheit

Trusted Communities sind die teilweise unterirdisch verlaufenden Lebensadern der Cyber Security, die essentiell sind, um den Angreifern etwas Wirkungsvolles entgegenzusetzen.

Text: Frank Herberg, publiziert am 29.04.2021

1988 legte einer der ersten Computerschädlinge – nach seinem Entwickler Morriswurm getauft – einen guten Teil des damals mit etwa 60.000 Computern noch recht übersichtlichen Internets lahm. Als Folge davon kam die Idee auf, zukünftigen Sicherheitsvorfällen im Internet mit Computer Emergency Response Teams (CERTs) zu begegnen. Diese Teams aus Computerfachleuten sollten immer dann zum Einsatz kommen, wenn wieder jemand sein Unwesen im Internet treibt und der dadurch verursachte Schaden möglichst schnell eingedämmt werden muss. Als bereits ein Jahr später die erste Ransomware der Geschichte - der Aids-Trojaner - die Runde machte, war das eine weitere Bestätigung für die Notwendigkeit des Aufbaus von CERTs.

Den Teams aus IT-Security-Fachleuten wurde allerdings schnell klar, dass sie alleine oft nur wenig ausrichten konnten. Um Gegenmassnahmen zu Angriffen koordinieren zu können, die über Landesgrenzen hinweg abliefen, mussten sich die CERTs vernetzen. Aber auch ein anderer Faktor war entscheidend für den Austausch: Um die eigene Infrastruktur effizient schützen zu können, musste jedes Spezialistenteam möglichst schnell über neue Sicherheitsvorfälle von anderen lernen. Bereits 1990 wurde dazu das weltumspannende «Forum of Incident Response and Security Teams», kurz FIRST, gegründet. Sein Ziel: Den Austausch zwischen CERTs weltweit ermöglichen und unterstützen. Sein Rezept: Vernetzen, austauschen, Vertrauen aufbauen, kooperieren.

Heute – über dreissig Jahre später – hat sich die Bedrohungslage massiv verändert. Die Schäden durch Cyber-Kriminalität wachsen jedes Jahr, alleine für 2020 ist von weltweit mehr als einer Billion Dollar Schaden die Rede. Für Angreifer ein lukratives Geschäftsfeld, für IT-Security-Fachleute eine wachsende Herausforderung. Das Thema der «Trusted Communities» ist damit umso wichtiger geworden. Die Gründe sind die gleichen wie vor 30 Jahren: Schnell voneinander lernen und bei einem Vorfall effizient zusammenarbeiten.

Ein paar Beispiele für Trusted Communities:

Beispiel Sektor-CERTs: SWITCH betreibt Sektor-CERTs mit Trusted Communities für die Schweizer Hochschulen, Banken, Industrie und Logistik sowie den Energiesektor. Die Beteiligten kennen sich seit vielen Jahren und tauschen sich in regelmässigen Telkos und Meetings über die neusten Sicherheitsvorfälle in der Branche sehr offen und detailliert aus. Essentiell für den offenen Austausch ist, dass der Personenkreis übersichtlich bleibt und alle sich kennen, dass sie sich strikt an die vereinbarten Regeln halten und ihren Beitrag leisten.
Beispiel Security Researcher: Security Researcher und Malware Analysten haben es heute nicht mehr mit dem Morriswurm oder Aids-Trojaner zu tun. Moderne Malware und die dahinterliegende Infrastruktur sind ungleich komplexer. Als Einzelkämpfer kann dies niemand mehr für alle aktiven Malware-Familien erfassen. Die Fachleute können heute nur noch erfolgreich sein, wenn sie global in vertraulichen und geschlossenen «Listen» eng zusammenarbeiten. Dazu müssen sie sich über Jahre einen hervorragenden Ruf erarbeiten und kontinuierlich aktiv sein. Es hätte in einem solchen Kreis fatale Folgen, wenn jemand die anderen ausspioniert oder sich nicht an die Regeln hält.
Beispiel CERT-Foren: CERTs organisieren sich oft in geografischen und branchenspezifischen Foren. Auch hier steht der Austausch über - sowie die Kooperation während - akuter Sicherheitsvorfälle im Vordergrund. So entstehen beispielsweise während FIRST-Konferenzen kleinere Kreise von CERTs mit den gleichen branchenspezifischen Problemen, die dann einen engeren Austausch untereinander pflegen, als das in einem grösseren Forum möglich wäre. Und auch hier sind klare Regeln und aktive Mitarbeit notwendige Voraussetzungen.

So unterschiedlich Trusted Communities sind, die prinzipiellen Regeln für den Erfolg sind immer die gleichen: Teilnehmende müssen sich persönlich bekannt machen und sich in dem Kreis engagieren. Und Informationen dürfen nur unter den Bedingungen genutzt werden, wie sie vereinbart wurden. Viele dieser Communities sind ausserdem nicht öffentlich bekannt, und Einlass gibt es vielfach nur über eine Einladung und nach einer Sicherheitsüberprüfung. Und wie sonst auch im Leben, ist Vertrauen etwas, das sich nur langsam aufbaut, aber schnell zerstört werden kann.

Natürlich funktionieren Trusted Communities mit acht oder zehn Teilnehmenden anders, als solche mit über 500 Parteien. Dazu habe ich den Vorsitzenden von FIRST und Verantwortlichen bei Proton für die Sicherheit, Dr. Serge Droz, gefragt, welche Rolle die Kooperation in der Cyber-Sicherheit, national wie international spielt:

«Die globale Internetsicherheitsgemeinschaft ist sehr aussergewöhnlich: Wir teilen unsere Informationen und unser Wissen mit der Konkurrenz, denn wir haben einen gemeinsamen Gegner. Diesem Gegner ist es oftmals egal, wen er angreift, solange das Endergebnis für ihn stimmt. Damit ist klar, das Sicherheitsteams zusammenarbeiten müssen, wir haben schlicht keine Chance im Alleingang irgend etwas zu erreichen. Das gilt für private Firmen genauso, wie für Nationen. Auf den FIRST-Konferenzen tauschen sich meist Leute aus, die ähnlichen Organisationen angehören, sich also eigentlich gegenseitig konkurrieren. Der Grund ist klar: Man unterhält sich, weil man dieselben Probleme hat.»
Dr. Serge Droz, Vorsitzender von FIRST und Verantwortlicher bei Proton für die Sicherheit

Ich habe Serge Droz ausserdem gefragt, welche Rolle Vertrauen spielt und wie man das in einem weltweiten Kontext erreichen kann:

«Vertrauen ist die Luft, die CERTs atmen. Ohne geht es nicht. Vertrauen ist eine menschliche Sache, wir können sie nicht automatisieren oder vertraglich herbeiführen. Incident Responders bilden Vertrauen durch gemeinsame Zusammenarbeit und sozialen Austausch. Wichtig ist ein gemeinsames Ziel. In unsere Gemeinschaft ist dies der Schutz der Internetnutzer. Verträge und NDAs spielen erfahrungsgemäss keine grosse Rolle. Wichtig ist jedoch, das Teams ein klares Rollenverständnis haben sowie Transparenz. Ein CERT beim Geheimdienst anzusiedeln, schafft kein Vertrauen. FIRST hat dazu einen Code of Ethics entwickelt, der Teams helfen soll, in einer Art und Weise zu handeln, die vertrauensbildend ist.»
Dr. Serge Droz, Vorsitzender von FIRST und Verantwortlicher bei Proton für die Sicherheit

FIRST besteht heute aus 566 Teams weltweit. Auf den Konferenzen spürt man trotz aller geografischer Distanz ein sehr starkes Engagement für die gemeinsame Sache. Und dies ist wiederum die ideale Voraussetzung, um vertrauensvolle Beziehungen aufzubauen, die dann in kleineren Kreisen – oder eben in Trusted Communities － gezielt ausgebaut werden können. SWITCH ist seit 1995 aktives FIRST-Mitglied.

FIRST Code of Ethics