Weltweite Verbesserung der Cyber-Resilienz

Wir leben in einer Zeit, in der Cyber-Bedrohungen alltäglich sind. Um unser digitales Ökosystem zu schützen, ist es unabdingbar, die vertrauensvolle Zusammenarbeit beim Management von Cyber-Sicherheitsvorfällen weiter zu fördern.

Text: Roland Eugster, publiziert am 29. Februar 2024

Silvio Oertli, Head of Switch-CERT (Computer Emergency Response Team) für die Schweizer Hochschulen und die Registry
Silvio Oertli, Head of Switch-CERT (Computer Emergency Response Team) für die Schweizer Hochschulen und die Registry. Er ist zudem Präsident des TF-CSIRT-Steuerungskomitees. Foto: Switch

Vor dem Hintergrund einer sich ständig verändernden Cyber-Bedrohungslandschaft spielen Cyber Security and Incident Response Teams (CSIRTs) eine Schlüsselrolle bei der Bewältigung und Eindämmung von Cyber-Sicherheitsvorfällen. Aus Anlass einer drei Jahrzehnte währenden internationalen Zusammenarbeit innerhalb einer globalen Gemeinschaft vertrauenswürdiger Fachpersonen in Europa organisierte die Open CSIRT Foundation Ende Februar 2024 eine gebührende Konferenz: die Open Cyber Security Conference. Um die historische Entwicklung der Task Force CSIRT zu erzählen, führte OCSC ein Gespräch mit Silvio Oertli, dem Präsidenten des TF-CSIRT-Steuerungskomitees.

Dieses Interview wurde ursprünglich auf https://www.ocsc.info/insights/news/30-years-a-look-at-the-tf-csirt-community/ in englischer Sprache veröffentlicht.

OCSC: Silvio, anlässlich des 30-jährigen Bestehens der TF-CSIRT Community, welches sind die wichtigsten Meilensteine in Bezug auf die Zusammenarbeit und die Auswirkungen innerhalb des Cyber Security and Incident Response Umfelds?

Silvio Oertli: Auch wenn ich noch nicht so lange in der Community bin, kann ich mir vorstellen, welche Meilensteine einen grossen Einfluss hatten auf die Art und Weise wie die Community heute zusammenarbeitet.

Wie öfters in der Geschichte, war der Anfang der Incident-Response-Community auf ein grösseres Ereignis zurückzuführen. Im Jahr 1989 zeigte der "Wank Worm"-Vorfall, von dem vor allem die NASA betroffen war, dass die Incident-Response-Teams ihre Zusammenarbeit und Kommunikation untereinander verbessern mussten. Als Antwort auf diese Frage entstand in den USA die Organisation FIRST, das Forum of Incident Response and Security Teams.

Die Idee von TF-CSIRT basierte auf dieser Idee, so dass sich 1993 einige CSIRT-Teams zusammenfanden und beschlossen, regelmässige Treffen abzuhalten. Die Treffen wurden von CERT-NL (SURFcert) und DFN-CERT initiiert. Als immer mehr Hochschulen das Internet an ihren Standorten einführten, etablierten sich die CSIRTs als eine nationale Forschungs- und Bildungsnetznetzwerk-Community in Europa. Damals wollte die Trans-European Research and Networking Association (TERENA), die Vorläuferin von GÉANT, ein zentrales EuroCERT schaffen, um das Zusammenwirken der Teams in Europa im Falle eines grösseren Vorfalls zu koordinieren und ein einheitliches Portfolio anzubieten. Bei einem Treffen in Paris im Jahr 2000 beschlossen die an EuroCERT beteiligten Teams ein anderes Vorgehen: Jedes Team sollte sein eigenes Ressort haben und auf freiwilliger Basis arbeiten. Man entschied sich also bewusst gegen eine zentrale Stelle, die alle Teams koordiniert und vollwertige, von den Mitgliedern unterstützte Dienste anbietet. Somit scheiterte die Idee eines zentralen EuroCERT. Meiner Meinung nach war dies notwendig, um das zu schaffen, was wir heute haben.

Anstelle dieses geplanten Top-Down-Ansatzes wurde ein Peer-to-Peer-Netz zwischen den Teams gebildet. Das ist bis heute so geblieben. Diese Task Force (TF-CSIRT) wurde im Laufe der Jahre von TERENA und später von GÉANT sehr gut unterstützt. Die Community konnte wachsen, neue Teams aufnehmen und Schulungen für neue und alte Mitglieder dieser Community entwickeln. Jeder für sich, aber alle zusammen.

Obwohl TF-CSIRT aus den CSIRTs der NRENs gebildet wurde, war sie nie auf diese beschränkt. Von Anfang an arbeitete TF-CSIRT auch gerne mit anderen Organisationen zusammen. Dazu gehörten FIRST oder CERT/CC, so dass sich auch in verschiedenen Organisationen weltweit ein gemeinsamer Sinn für die Zusammenarbeit herausbildete.

Ein weiterer Meilenstein war die Gründung von ENISA im Jahr 2004, der Agentur der Europäischen Union für Cybersicherheit. 2016, mit dem Inkrafttreten der NIS-Richtlinie 1, wurde das "CSIRTs Network" eingerichtet. Es bestand aus den nationalen Teams der EU-Mitgliedstaaten und dem CERT-EU. Die Tatsache, dass nun jeder EU-Mitgliedstaat über ein CSIRT-Team verfügte, das mit Gleichgesinnten in diesem formellen Netzwerk verbunden ist, hat das Netzwerk erweitert und die Bearbeitung von Vorfällen noch einfacher gemacht. Viele dieser Teams waren bereits vor ihrem Beitritt zum CSIRT-Netzwerk Mitglieder von TF-CSIRT.

Im Jahr 2010 entwickelte die Community einen Auditierungs-Framework namens SIM3, um den Reifegrad des Managements von Sicherheitsvorfällen in Teams zu messen. Die TF-CSIRT-Community begann damit, ihre Teams anhand dieses Rahmens zu zertifizieren. Einerseits kann man damit zeigen, wie Fortgeschritten die Organisation ist. Aber da man sich alle drei Jahre neu zertifizieren lassen muss, zeigt es andererseits auch immer auf, wo man sich verbessern kann. Noch im Jahr 2010 hatte niemand erwartet, dass sich viele Teams zertifizieren lassen würden. Aber mehr und mehr taten es.

Der jüngste Meilenstein der TF-CSIRT-Community war im September 2022. Wir wandelten die Organisationsstruktur von einer Task Force als Teil von GÉANT in eine Stiftung um, die Open CSIRT Foundation. Dieser Schritt sollte es uns ermöglichen, der Community einen noch grösseren Nutzen zu bieten, indem wir den grossartigen Beitrag und die Unterstützung von GÉANT und RIPE NCC integrierten. Ja, wir nutzten den Umzug, um näher an die RIPE-Community heranzurücken. Denn wir stellten fest, dass sich uns neben akademischen, staatlichen und kommerziellen Teams immer mehr Teams von Internetdienstanbietern anschlossen.

Was sind die strategischen Prioritäten der TF-CSIRT-Community für die Zukunft? Und wie passen sie zu den globalen Trends im Bereich der Cybersicherheit und zu den neuen Herausforderungen, denen sich Incident Response Teams stellen müssen?

Das Hauptaugenmerk der Community liegt auf dem Austausch von Informationen, Techniken und Best Practices. Ich denke, dass es für eine Fachperson heute nicht mehr möglich ist, alles über Cybersicherheit zu wissen. Es ist viel wichtiger, dass sie jemanden kennt, die oder der jemanden kennt, die oder der bei einem Vorfall helfen kann. Ausserdem hilft der Austausch über begangene Fehler und die daraus gezogenen Lehren, dieselben Fehler nicht zu machen, sei es beim Aufbau eines Dienstes, während eines Vorfalls oder beim Versuch, etwas zu analysieren. Deshalb ist es zentral, dass Menschen nicht nur ihre Erfolge, sondern auch Misserfolge miteinander teilen. Aus diesem Grund haben wir bei unseren Meetings Schulungen und Workshops eingeführt, um Wissen auszutauschen. An diesen Meetings haben wir geschlossene Sessions für Mitglied-Teams, um über Misserfolge zu sprechen. Bei der TRANSITS-Schulung halten wir uns auch gerne an ein Freiwilligenmodell, so dass die Ausbildner aus der Community über den "Alltag des Incident Response" sprechen können.

Da nicht alle Teams über viele freie finanzielle Mittel verfügen, ist es eines unserer primären Ziele, unsere Treffen und Schulungen so erschwinglich wie möglich zu halten.

Zusammenarbeit ist für eine wirksame Incident Response unerlässlich. Wie arbeitet die TF-CSIRT-Community an der Vertiefung des Engagements und der Zusammenarbeit zwischen ihren Mitgliedern und möglicherweise auch mit anderen globalen Incident Response Einrichtungen?

In einer solchen Community ist es immer eine Herausforderung, das notwendige Vertrauen für eine gute Zusammenarbeit aufzubauen. Meistens wird diese Zusammenarbeit durch persönliche Kontakte zusammengehalten. Wir unterstützen diese Brücken gerne, indem wir bei unseren Treffen Zeit für soziale Interaktion einbauen. Es kann jedoch vorkommen, dass Teams in bestimmten Dingen nicht einer Meinung sind oder sich sogar gegenseitig misstrauen, weil ein Problem aufgetreten ist. Aus diesem Grund gibt es seit Beginn von TF-CSIRT ein formelles Streitschlichtungsverfahren, um miteinander zu sprechen und die Situation aufzulösen.

Inwieweit deckt sich der Auftrag von TF-CSIRT mit den Diskussionen und Initiativen, die auf der Open Cyber Security Conference im Mittelpunkt stehen? Kannst du darüber hinaus einige konkrete Erwartungen oder Ergebnisse nennen, die TF-CSIRT an dieser Konferenz im Hinblick auf das Knüpfen neuer Partnerschaften, den Wissensaustausch oder strategische Entwicklungen hat?

Wir freuen uns darauf, auf der Konferenz neue Leute kennenzulernen und unser Peer-to-Peer-Netzwerk zu erweitern. Wir hoffen, Vertretungen ähnlicher Initiativen aus der ganzen Welt zu begrüssen und ein Vertrauensverhältnis aufzubauen. Wir sind davon überzeugt, dass der Erfolg eines guten Incident Handlings heute das Ergebnis einer schnellen und guten Zusammenarbeit zwischen den Teams ist.

Links

Open CSIRT Foundation
GÉANT
TF-CSIRT
FIRST
SURFcert
DFN-CERT
EuroCERT
ENISA
RIPE NCC
TRANSITS

Cyber Security
Roland Eugster

Roland Eugster

Senior corporate communications specialist

Switch

Alle Beiträge ansehen

Insights aus unserem Alltag

NextGen Hero Award Cerrmony
Corporate

Wer wird Digital-Heldin und Digital-Held des Jahres?

AI-generated illustration of highly complex supply chains and the challenges for cyber security
Cyber Security

Cyber-Bedrohung Nummer 1: Die Lieferkette

Photo of the theam at Geneva Graduate Institute introducing Switch Verify
Digital Identity

«Switch Verify stärkt unser Image als innovative und professionelle

Esther Seidl-Nussbaumer is the new Lead Business Innovation & Product Management at Switch
Corporate

Esther Seidl-Nussbaumer ist neu Lead Business Innovation &

Interview photo of Alexandre Gachet new Chairmain of the Switch Foundation Council
Corporate

Alexandre Gachet ist der neue Stiftungsratspräsident von Switch

Two winners receive their awards on stage.
Innovation

Junge Talente gestalten die digitale Zukunft der Schweiz