1988 legte einer der ersten Computerschädlinge – nach seinem Entwickler Morriswurm getauft – einen guten Teil des damals mit etwa 60'000 Computern noch recht übersichtlichen Internets lahm. Als Folge davon kam die Idee auf, zukünftigen Sicherheitsvorfällen im Internet mit Computer Emergency Response Teams (CERTs) zu begegnen. Diese Teams aus Computerfachleuten sollten immer dann zum Einsatz kommen, wenn wieder jemand sein Unwesen im Internet treibt und der dadurch verursachte Schaden möglichst schnell eingedämmt werden muss. Als bereits ein Jahr später die erste Ransomware der Geschichte – der Aids-Trojaner – die Runde machte, war das eine weitere Bestätigung für die Notwendigkeit des Aufbaus von CERTs.

Den Teams aus IT-Security-Fachleuten wurde allerdings schnell klar, dass sie alleine oft nur wenig ausrichten konnten. Um Gegenmassnahmen zu Angriffen koordinieren zu können, die über Landesgrenzen hinweg abliefen, mussten sich die CERTs vernetzen. Aber auch ein anderer Faktor war entscheidend für den Austausch: Um die eigene Infrastruktur effizient schützen zu können, musste jedes Spezialistenteam möglichst schnell über neue Sicherheitsvorfälle von anderen lernen. Bereits 1990 wurde dazu das weltumspannende "Forum of Incident Response and Security Teams", kurz FIRST, gegründet. Sein Ziel: Den Austausch zwischen CERTs weltweit ermöglichen und unterstützen. Sein Rezept: vernetzen, austauschen, Vertrauen aufbauen, kooperieren.

Heute – über dreissig Jahre später – hat sich die Bedrohungslage massiv verändert. Die Schäden durch Cyber-Kriminalität wachsen jedes Jahr, alleine für 2020 ist von weltweit mehr als einer Billion Dollar Schaden die Rede. Für Angreifer ein lukratives Geschäftsfeld, für IT-Security-Fachleute eine wachsende Herausforderung. Das Thema der "Trusted Communities" ist damit umso wichtiger geworden. Die Gründe sind die gleichen wie vor 30 Jahren: Schnell voneinander lernen und bei einem Vorfall effizient zusammenarbeiten.

So unterschiedlich Trusted Communities sind, die prinzipiellen Regeln für den Erfolg sind immer die gleichen: Teilnehmende müssen sich persönlich bekannt machen und sich in dem Kreis engagieren. Und Informationen dürfen nur unter den Bedingungen genutzt werden, wie sie vereinbart wurden. Viele dieser Communities sind ausserdem nicht öffentlich bekannt, und Einlass gibt es vielfach nur über eine Einladung und nach einer Sicherheitsüberprüfung. Und wie sonst auch im Leben, ist Vertrauen etwas, das sich nur langsam aufbaut, aber schnell zerstört werden kann.

Natürlich funktionieren Trusted Communities mit 8 oder 10 Teilnehmenden anders als solche mit über 500 Parteien. Dazu habe ich den Vorsitzenden von FIRST und Verantwortlichen bei Proton für die Sicherheit, Dr. Serge Droz, gefragt, welche Rolle die Kooperation in der Cybersicherheit, national wie international spielt: "Die globale Internetsicherheitsgemeinschaft ist sehr aussergewöhnlich: Wir teilen unsere Informationen und unser Wissen mit der Konkurrenz, denn wir haben einen gemeinsamen Gegner. Diesem Gegner ist es oftmals egal, wen er angreift, solange das Endergebnis für ihn stimmt. Damit ist klar, das Sicherheitsteams zusammenarbeiten müssen, wir haben schlicht keine Chance im Alleingang irgend etwas zu erreichen. Das gilt für private Firmen genauso, wie für Nationen. Auf den FIRST-Konferenzen tauschen sich meist Leute aus, die ähnlichen Organisationen angehören, sich also eigentlich gegenseitig konkurrieren. Der Grund ist klar: Man unterhält sich, weil man dieselben Probleme hat."

Ich habe Serge Droz ausserdem gefragt, welche Rolle Vertrauen spielt und wie man das in einem weltweiten Kontext erreichen kann:

"Vertrauen ist die Luft, die CERTs atmen. Ohne geht es nicht. Vertrauen ist eine menschliche Sache, wir können sie nicht automatisieren oder vertraglich herbeiführen. Incident Responders bilden Vertrauen durch gemeinsame Zusammenarbeit und sozialen Austausch. Wichtig ist ein gemeinsames Ziel. In unsere Gemeinschaft ist dies der Schutz der Internetnutzer. Verträge und NDAs spielen erfahrungsgemäss keine grosse Rolle. Wichtig ist jedoch, das Teams ein klares Rollenverständnis haben sowie Transparenz. Ein CERT beim Geheimdienst anzusiedeln, schafft kein Vertrauen. FIRST hat dazu einen Code of Ethics entwickelt, der Teams helfen soll, in einer Art und Weise zu handeln, die vertrauensbildend ist."

FIRST besteht heute aus 566 Teams weltweit. Auf den Konferenzen spürt man trotz aller geografischer Distanz ein sehr starkes Engagement für die gemeinsame Sache. Und dies ist wiederum die ideale Voraussetzung, um vertrauensvolle Beziehungen aufzubauen, die dann in kleineren Kreisen – oder eben in Trusted Communities － gezielt ausgebaut werden können. SWITCH ist seit 1995 aktives FIRST-Mitglied.

Frank Herberg arbeitet seit 2012 bei SWITCH und ist als Head of SWITCH-CERT (Commercial Sectors) verantwortlich für die Kundensektoren Banken, Industrie & Logistik sowie Energie.

Die Kolumne von Switch über Sicherheit erscheint 6 mal jährlich. Die Autoren äussern unabhängig ihre Meinung, die sich nicht mit der Redaktionsmeinung von inside-it.ch und inside-channels.ch decken muss.