Das Forum of Incident Response and Security Teams (FIRST) ist eine weltweite Organisation, die es ihren Mitgliedern – Incident-Response-Teams aus aller Welt – ermöglichen will, wirksamer auf sicherheitsrelevante Ereignisse zu reagieren. Das Erfolgsrezept von FIRST basiert auf zwei wichtigen Voraussetzungen: Vertrauen und Zusammenarbeit. Wie und warum das funktioniert, erfahren Sie hier.
Die Mitglieder von FIRST sind Incident-Response-Teams aus dem Sicherheitsbereich wie SWITCH-CERT. Sie sind Teil von staatlichen Stellen, Unternehmen und Bildungsinstitutionen. Der Leitsatz von FIRST lautet «FIRST ist eine internationale Vereinigung zuverlässiger Incident-Response-Teams für IT-bezogene Ereignisse, die gemeinsam Vorfälle im Bereich der Computersicherheit bewältigen und entsprechende Präventionsprogramme fördern». Aus diesem Leitsatz lassen sich zwei wichtige Voraussetzungen für die erfolgreiche Bewältigung internationaler Sicherheitsvorfälle ableiten: Vertrauen und Zusammenarbeit. Zwischen Teams aus 84 verschiedenen Ländern Vertrauen herzustellen, ist eine der grössten Herausforderungen für die Vereinigung. Doch dieses Vertrauen ist wichtig, da es die Grundlage aller gemeinsamen Anstrengungen bildet. Die Arbeitsbeziehungen zwischen den Mitgliedern von FIRST gründen nicht auf Verträgen, sondern auf Vertrauen. Deshalb gilt auch ein besonderes Aufnahmeverfahren für Neumitglieder. Diese müssen je zwei "Unterstützer" finden, die die neuen Teams bei einem Besuch vor Ort beurteilen und überprüfen, dass die Neumitglieder die Anforderungen von FIRST erfüllen und in der Lage sind, sensible Informationen zu Sicherheitsvorfällen, die innerhalb der Vereinigung ausgetauscht werden, zu schützen. Der Auf- und Ausbau eines zuverlässigen Netzwerks, um über sichere Kanäle Informationen zu Sicherheitsvorfällen auszutauschen, gehört zu den strategischen Voraussetzungen, damit die FIRST-Mitglieder entsprechende Vorfälle bewältigen können.
Mitglied zu werden, ist nur der erste Schritt auf dem Weg zur echten Teilhabe innerhalb der FIRST-Gemeinschaft. Man trifft sich mit anderen Teams, arbeitet zusammen und beginnt, Vertrauen aufzubauen. Damit neue Teams die gleichen Kompetenzen erwerben und diese genauso weiterentwickeln können wie die bestehenden Teams, bietet FIRST seinen Mitgliedern ein Schulungs- und Weiterbildungsprogramm an. Auf der Schulungswebsite von FIRST werden zahlreiche von FIRST erarbeitete Kurse kostenlos angeboten. Neuen Teams kostenloses Schulungsmaterial bereitzustellen hilft zwar, diese weiterzubilden, aber das allein schafft noch kein Vertrauen. Deshalb bietet FIRST neuen und bestehenden Mitgliedern auch Präsenzschulungen vor Ort an. Der FIRST-Schulungsverantwortliche Serge Droz erklärt: "Bei einem Vorfall müssen Teams aus verschiedenen Regionen zusammenarbeiten. Dabei ist es wichtig, dass diese Teams aus aller Welt ein einheitliches Verständnis der jeweiligen Begriffe und Probleme haben, da die Bewältigung von Vorfällen sonst unmöglich wird. Deshalb gehört die Ausbildung zu den strategischen Aktivitäten von FIRST. Eine FIRST-Schulung muss aber dennoch mehr erreichen, als nur trockenes Wissen weiterzugeben." Die Ausbildenden, zu denen auch ich gehöre, sind Freiwillige aus dem Kreise der FIRST-Mitglieder. Wann immer Bedarf besteht, biete ich freiwillig FIRST-Schulungen an.
Nach der Durchführung einer Grundausbildung in Ulan Batur 2016 bat mich Otgonpurev Mendsaikhan vom mongolischen CERT MNCERT/CC, 2017 einen Aufbaulehrgang durchzuführen. Gemeinsam mit Pawel vom CERT Polska leitete ich einen dreitägigen Weiterbildungskurs für die Mitglieder des MNCERT/CC und Incident-Response-Mitarbeitende vor Ort. Der Austausch mit erfahrenen Ausbildern, die ihr Wissen an die neuen Teams weitergeben, sei genau das Ziel, das mit den Schulungsprogrammen erreicht werden soll, sagt Serge Droz. "Die FIRST-Ausbildenden, die alle auf freiwilliger Basis tätig sind, tragen dazu bei, die Teilnehmenden in die Gemeinschaft zu integrieren und ihre umfassende Erfahrung mit ihnen zu teilen. Dies ist ein perfektes Beispiel dafür, dass das Motto 'Improving security together' (Gemeinsam für mehr Sicherheit) wirklich gelebt wird."
Um die Vorteile einer Mitgliedschaft bei FIRST hervorzuheben, habe ich Otgonpurev Mendsaikhan vom mongolischen CERT MNCERT/CC einige Fragen gestellt:
Über FIRST kommen wir direkt mit den verschiedenen Organisationen in Kontakt, die umfassendere Kompetenzen in der Bewältigung von solchen Vorkommnissen haben als wir. Wir lernen durch die Zusammenarbeit mit ihnen und nutzen FIRST als Möglichkeit, um uns selbst zu verbessern.
Neben den Qualitätssteigerungen, die wir direkt durch die Schulungen erzielen, ermöglichen es diese den örtlichen Incident-Response-Mitarbeitenden auch, sich gegenseitig kennenzulernen, was angesichts ihrer Vollzeitpensen und weiterer Verpflichtungen sonst nur schwer möglich wäre.
Meiner Meinung nach sind der Kapazitätsaufbau und finanzielle Stabilität die wesentlichsten Faktoren. Ich denke, dass die Entscheide und Massnahmen, die wir in den nächsten Jahren treffen, langfristig den Status der Informationssicherheit in der Mongolei bestimmen.
Ich denke, Präsenzanlässe wie die jährliche Generalversammlung von FIRST oder die Technischen Kolloquien (TC) sind grundlegend, um Beziehungen aufzubauen und ein zuverlässiges Netzwerk zu schaffen. Leider sind Veranstaltungen, die weite Reisen erforderlich machen – wie die Generalversammlung –, für neue und finanziell nicht so gut gestellte Organisationen wie uns zu teuer.