Diese Story ist aus der Kategorie Dienstleistungen und dem Dossier 20 Jahre SWITCH-CERTSicherheit und Stabilität

Die SWITCH-CERT-Story

2016 feiert das Computer Emergency Response Team (CERT) von SWITCH sein 20-jähriges Bestehen. Ein Rückblick.

Text: Anja Eigenmann, publiziert am 23.08.2016

20 Jahre – und erfolgreich wie eh und je: Das Computer Emergency Response Team (CERT) von SWITCH hat seit seiner Gründung energisch für die Cybersicherheit in der Schweiz gesorgt. Sein grösster Verdienst ist sicher, dass es – mit unermüdlichem Einsatz im Verborgenen – die Toplevel-Domain .ch nachweislich zu einer der sichersten weltweit und der sichersten in Europa gemacht hat.

Die Bildung des Computer Emergency Response Teams bei SWITCH war ein Prozess, der sich über verschiedene Stadien erstreckte, unter anderem die aktive Mitarbeit bei FIRST, dem Forum for Incident Response and Security Teams. Vor 20 Jahren wurde SWITCH-CERT anerkannt von CERT/CC, der Koordinationsstelle der CERTs an der Carnegie Mellon University in Pittsburgh, Pennsylvania/USA. Von da an hatte SWITCH Zugang zu den Informationen des internationalen "Web of Trust", was ihr den Weg zu einer Mitgliedschaft bei FIRST öffnete. Doch die Geschichte beginnt eigentlich schon viel früher. In einer Zeitreise zurück in die Vergangenheit zeigen wir die Entstehung, Entwicklung und die Höhepunkte von SWITCH-CERT auf – und entdecken ziemlich viele Gründe zum Feiern.

 
 

1988

  • Vorgeschichte: Robert T. Morris setzt den ersten Computerwurm frei. Der so genannte Morris-Wurm legt im Internet 6000 Computer lahm. Dies entspricht damals zehn Prozent sämtlicher Computer im Netz. Pikanterweise ist Morris der Sohn des Chefwissenschaftlers des National Computer Security Centers, einem Teil der National Security Agency (NSA). Der 23-Jährige wurde von der Universität geworfen und mit einer Busse von 10'000 US$ bestraft. Als Folge des Morris-Wurms wurde das erste CERT (Computer Emergency Response Team) am Software Engineering Institute der Carnegie Mellon University in Pittsburgh/USA gegründet.
 

1989

  • Die erste Ransomware taucht auf, der Aids-Trojaner. Bei Ransomware werden Betroffene mit Geldforderungen für die Freigabe ihrer Computerdaten erpresst. Der Aids-Trojaner wird via Floppy-Disks an die Abonnenten des "PC Business World"-Magazins und an die Empfänger von Post der WHO-Aids-Konferenz verbreitet. Nach einer Inkubationszeit verschlüsselt er sämtliche Dokumente auf dem System. Zusätzlich erscheint eine Notiz auf dem Bildschirm mit einer Kontonummer in Panama, auf die man 189 US$ überweisen soll für ein Entschlüsselungsprogramm.
 

1990

  • FIRST, das weltweite Forum for Incident Response and Security Teams, wird gegründet.
 

1991

  • Beginn des CERT-Bewusstseins: Die Stiftung SWITCH macht sich daran, Vorkehrungen für die Sicherheit im Datenübertragungsnetz zu treffen. Im Geschäftsbericht schreibt der damalige Geschäftsführer Peter J. Gilli: "Neben den quantitativen Anforderungen wird aber auch der Bedarf neuer Funktionen (z.B. Multimedia, Sicherheit) (...) weitere Investitionen erfordern."
 

1992

  • Hysterie im Cyberspace: Es wird erwartet, dass der Michelangelo-Virus eine digitale Apokalypse provozieren würde, indem er – gemäss Zitat des Sicherheitsexperten John McAfee – "die Daten auf fünf Millionen von Computern löschen" würde. Die Schäden stellten sich später als minimal heraus. McAfee erklärte, er sei vom Interviewer gezwungen worden, eine Zahl zu nennen und er habe "zwischen fünftausend und fünf Millionen" gesagt, was aber nicht so wiedergegeben worden sei.
 

1993

  • Der Hacker Kevin Poulsen erlangt Bekanntheit, weil er zusammen mit Freunden das Telefonsystem einer amerikanischen Radiostation über lange Zeit manipuliert hat. Die Gang bewirkt, dass während eines Gewinnspiels nur sie anrufen kann. Sie streicht zwei Porsches, Ferien und 20'000 US$ Bargeld ein. Bereits 1988 war Poulsen wegen Telefonmanipulation und Verkauf von Militärgeheimnissen angeklagt worden, konnte aber fliehen. Schliesslich wurde er gefasst und musste für fünf Jahre ins Gefängnis.
 

1994

  • CERT-Aufbau: SWITCH holt den Sicherheitsexperten Hannes P. Lubich zwecks Aufbau einer Fachstelle für Sicherheitsfragen. Sie soll SWITCH-Kunden als Dienstleistung zur Verfügung stehen. Dazu der Tätigkeitsrapport im Geschäftsbericht: "Das SWITCH 'Computer Emergency Response Team' behandelte im Berichtszeitraum auf Anfrage mehrere Sicherheitsvorfälle bei SWITCH-Kunden, nahm ein Beratungsmandat wahr und informierte die SWITCH-Kunden kontinuierlich über bekanntgewordene Sicherheitsverletzungen."
 

1995

  • CERT-Etablierung: Hannes Lubich und Thomas Lenggenhager besuchen zum ersten Mal einen FIRST-Workshop, damals in Karlsruhe. SWITCH startete damit eine Mitarbeit bei FIRST mit dem Ziel, Mitglied dieser Organisation zu werden.
  • "Im Berichtszeitraum behandelte die Fachstelle für Sicherheitsfragen (SWITCH-CERT) mehr als 20 gemeldete Sicherheitsvorfälle bei Kunden von SWITCH. Zudem war das SWITCH-CERT im Rahmen einer Disziplinaruntersuchung als Gutachter tätig und nahm eine Reihe von Beratungsmandaten bei Neukunden und externen Organisationen wahr", wird im Geschäftsbericht vermeldet.
  • SWITCH trifft Sicherheitsvorkehrungen für den E-Mail-Verkehr: Der erste PGP-Key (Pretty Good Privacy) wird erstellt und signiert von Thomas Lenggenhager, Hannes P. Lubich und Christoph Graf.
 

1996

  • CERT-Go-Live: SWITCH-CERT wird von CERT/CC akkreditiert, der CERT-Koordinationsstelle an der Carnegie Mellon University in Pittsburgh, Pennsylvania. Von da an hat SWITCH Zugang zu den Informationen des internationalen "Web of Trust", was ihr den Weg zu einer Mitgliedschaft bei FIRST öffnet.
  • Hannes P. Lubich verlässt SWITCH. Im Geschäftsbericht steht: "Mitte 1996 wurde wegen des Weggangs von Hannes Lubich die Leitung von SWITCH-CERT Thomas Lenggenhager übertragen. Übers Jahr wurden insgesamt 30 Sicherheitsvorfälle bearbeitet; meist ging es darum, für ausländische CERTs Kontakte zu Organisationen in der Schweiz herzustellen oder umgekehrt. Eine dauernde Aufgabe von CERT ist die Weiterleitung von Sicherheitsbulletins, die die Kunden auf neue Probleme aufmerksam machen. Für einige Organisationen wurde auf ihren Wunsch ein Sicherheitscheck für ihr Netz gemacht. SWITCH-CERT wurde zur Teilnahme in der TERENA Technical Advisory Group (TAG) für die Etablierung einer europäischen Sicherheitskoordinationsstelle eingeladen.(...) SWITCH ist ebenfalls in der FIRST Task Force 1 vertreten."
  • SWITCH-CERT geht mit einer Website an die Öffentlichkeit.
 

1997

  • Das BAKOM (Bundesamt für Kommunikation) wird gegründet. Es reguliert neu die Tätigkeiten von SWITCH bezüglich .ch-Toplevel-Domain, auch im Bereich der Sicherheit.
  • Im SWITCH-Geschäftsbericht steht: "Die Anzahl der bearbeiteten Sicherheitsvorfälle blieb sich in etwa gleich. Dies, obwohl Hacker vermehrt Tools einsetzen, die automatisch ganze Netze nach bekannten und durch die Systemadministratoren nicht bereits geschlossenen Sicherheitslücken durchforsten. Da die meisten Vorfälle mehrere Länder involvieren, ist es wichtig, dass am 1. Mai 1997 EuroCERT den Betrieb als europäische Sicherheitskoordinationsstelle aufnahm."
 

1998

  • SWITCH wird Mitglied bei FIRST.
  • Christoph Graf wird Leiter von SWITCH-CERT.
 

1999

  • Netzwerkmissbrauch durch Spam und DDoS-Angriffe gehört zu den grossen Problemen an den Universitäten und hauptsächlichen Herausforderungen von SWITCH-CERT.
  • EuroCERT muss hauptsächlich wegen Finanzierungsproblemen eingestellt werden.
 

2000

  • TERENA hat Anfang 2000 einen Nachfolgedienst für EuroCERT ausgeschrieben. Unter dem Namen Trusted Introducer (TI) nahm er den Pilotbetrieb auf. Das Prinzip: Es werden Informationen über Sicherheitsteams gesammelt. Teams, die gewisse Kriterien erfüllen, werden mit dem Level-2-Status ausgezeichnet. SWITCH-CERT wird als TI gelistet.
  • Der Computerwurm Loveletter verbreitet sich ab dem 4. Mai explosionsartig und verursacht Schäden in der Höhe von geschätzten 15 Milliarden US$.
 

2001

  • Die Computerwürmer Code Red und Nimda halten die digitale Welt in Atem. Sie befallen innert kürzester Zeit hunderttausende Rechner. Wer die Empfehlungen von SWITCH-CERT befolgt, bleibt verschont.
  • SWITCH-CERT erreicht als eines der ersten CERTs Level-2-Status als Trusted Introducer (siehe auch 2000).
 

2002

  • Im Rahmen der Neuorganisation bildet SWITCH einen neuen Bereich Security für Sicherheitsaufgaben. Bereichsleiter wird Christoph Graf. Zuvor waren diese von Mitarbeitenden aus unterschiedlichen Bereichen bearbeitet worden. Die Dienstleistungen für die Kunden werden in Incident Handling, Beratung (Consulting) und Sicherheitslabor (Security Lab) eingeteilt.
 

2003

  • Gleich drei Würmer sorgen für Aufregung: SQL Slammer, Blaster und Sobig.F. Letzterer gehört noch heute mit geschätzten 37 Milliarden US$ zu den schädlichsten aller Cyberschädlingen.
  • SWITCH-CERT bietet eine neue Dienstleistung an: IBN (Internet Background Noise) visualisiert den Netzwerkverkehr und ermöglicht Rückschlüsse auf die Verbreitung neuer Viren und Würmer.
  • Die Security-WG wird gegründet.
 

2004

  • Ende des Jahres geht MELANI in Betrieb, die Melde- und Analyse-Stelle Informationssicherung des Bundes. SWITCH erbringt CERT-Dienstleistungen für MELANI.
  • SWITCH-CERT startet einen neuen Sicherheitsservice, der auf NetFlow-Daten basiert. Er alarmiert die Kunden, falls Systeme mit Viren und Würmern erkennbar befallen sind oder Aktivitäten zeigen, die auf einen Befall schliessen lassen. Möglich wurde dies durch die neuen Tools NfSen und NFDUMP, die ein SWITCH-CERT-Mitarbeiter entwickelt hat.
 

2005

  • Phishing erreicht die Schweiz: Internetkriminelle haben Hunderte manipulierter E-Mails versandt, um an die Login-Daten von Bankkunden zu gelangen. SWITCH-CERT wird im Auftrag von MELANI für einen geschlossenen Kundenkreis aktiv. Dabei beschäftigt es sich vor allem mit Phishing-Angriffe auf Schweizer Finanzinstitute. Es beginnt für den geschlossenen Kundenkreis technische Workshops durchzuführen. SWITCH steuert zudem technische Beiträge zu Informationen von MELANI an die interessierte Öffentlichkeit bei, zum Beispiel auch Videos.

     

 

2006

  • Serge Droz wird Leiter im Bereich Security bei SWITCH.
  • Neil Long von Team Cymru, einem internationalen Zusammenschluss von IT-Security-Profis, besucht SWITCH und bezeichnet das Schweizer Hochschulnetz als überdurchschnittlich sicher. Tatsächlich kann SWITCH-CERT mittlerweile ein gehacktes,  bot-infiziertes System in der Regel innerhalb eines Arbeitstages erkennen und unschädlich machen.
  • Die NetFlow-Software-Tools NfSen und NFDUMP von SWITCH-CERT haben sich international etabliert und erfreuen sich grosser Beliebtheit.
 

2007

  • SWITCH tritt eigenständig mit erweiterten CERT-Dienstleistungen im Markt auf.
  • Eine neue Sicherheitsdienstleistung namens SWITCHguard schützt Halter von .ch-Domainnamen vor ungewollten Änderungen.
 

2008

  • Erste Banken unterzeichnen Verträge mit SWITCHcert.
  • Der Computerwurm Conficker, der noch Jahre später im Internet kursiert, wird erstmals gesichtet.
 

2009

  • Eine Studie des Sicherheitsdienstleisters McAfee bestätigt, dass .ch-Internetadressen zu den sichersten der Welt gehören.
  • SWITCH warnt die Inhaber von .ch-Domains per E-Mail vor dem Computerwurm Conficker und erklärt präventiv, was zu tun sei.
  • Domain-Betrüger versuchen, Inhaber von .ch-Domains abzuzocken. Sie behaupten, jemand wolle denselben Domain-Namen mit anderer Endung registrieren lassen. Dadurch sei der .ch-Domain-Name in Gefahr.
Kassensturzbeitrag über missbräuchliche Internetdomains aus dem Jahr 2009.
 

2010

  • SWITCH-CERT wird Kandidatin für die Zertifikation als Trusted Introducer bei TERENA (heute GÉANT).
  • Art. 14 f bis der Verordnung über die Adressierungselemente im Fernmeldebereich (AEFV) tritt in Kraft (heute ersetzt durch Art. 15 der Verordnung über Internet-Domains). Damit ist der Malwareprozess gesetzlich verankert. Er erlaubt SWITCH ein schnelles Abschalten verseuchter .ch-Webseiten. In seiner Art ist er pionierhaft. Er ist eine Voraussetzung dafür, dass sich die .ch-Toplevel-Domain zu einer der sichersten der Welt entwickelt.
Radiointerview mit SWITCH-Sicherheitschef Serge Droz zur Gesetzesänderung.
 
  • SWITCH veröffentlicht Videos aus Anlass des Swiss Security Days, den der Verein InfoSurance durchführt.

Video "Sichere Passwörter"
 

2011

  • SWITCH-CERT ist zertifiziert bei Trusted Introducer (siehe oben).
  • Das FBI kann die Autoren einer Malware namens DNS-Changer dingfest machen. Bei infizierten PCs wurde das DNS-System so verändert, dass der Benutzer ohne es zu merken auf andere Websites umgeleitet wird. Die DNS-Server wurden durch korrekt arbeitende Server ersetzt. Diese werden am 9. Juli 2012 definitiv abgeschaltet. SWITCH installierte aus diesem Grund eine Website, wo Internetuser testen konnten, ob ihr PC infiziert ist.
 

2012

  • Der Flashback-Trojaner infiziert Mac-Computer im grossen Stil. Weltweit sind 650'000 Mac-Rechner betroffen. Die Firma Dr. Web arbeitet in diesem Fall mit SWITCH zusammen. SWITCH informiert die Provider, damit diese wiederum die betroffenen Kunden angehen können.
 

2013

  • Am 10. Januar 2013 findet eine massive Distributed-Denial-of-Service (DDoS)-Attacke auf die .ch Nameserver statt. SWITCH ergreift rechtzeitig Massnahmen. Dadurch blieben alle .ch-Webseiten jederzeit erreichbar.
  • Der Verantwortliche für den Blackhole-Exploitkit wird in Russland verhaftet.
  • Die Parlamentsdienste der Eidgenossenschaft beziehen neu SWITCH-CERT-Dienstleistungen. Ausserdem verlassen sich nun sechs wichtige Schweizer Banken auf SWITCH-CERT.
  • Strafverfolgungsbehörden – in der Schweiz KOBIK – fahren weltweit eine erfolgreiche Attacke gegen Zero-Botnet, das gegen 2 Millionen Computer fernsteuerte. Die Experten von SWITCH-CERT sind massgeblich daran beteiligt.
 

2014

  • SWITCH ist Gründungsmitglied der Swiss Internet Security Alliance, SISA. Das Ziel des Verbundes ist, die Schweiz zum saubersten Internet-Land der Welt zu machen.
  • Die Sicherheitslücken Heartbleed und Shellshock halten die Netzwelt in Atem.
  • SWITCH erhält für ihr Informationssicherheits-Managementsystem ihrer Registry die ISO27001-Zertifizierung.
  • Um der Phishingflut zu begegnen, führt SWITCH einen Phishingprozess ein, analog zum Malwareprozess (siehe 2010).
  • Der GameOver-Zeus-Trojaner wird in einer Takedown-Aktion praktisch vollständig gestoppt. Er wurde zum Ausspähen seiner Opfer genauso eingesetzt wie für DDoS-Attacken und Verbreitung von Spam.
 

2015

  • SWITCH gewinnt den CENTR Award für die Sicherheit ihrer Registry.
  • Die auf Internet-Analysen spezialisierte US-Firma Architelos attestiert SWITCH in einer Studie, dass .ch in Europa die sicherste Toplevel-Domain ist.
  • Das SWITCH-CERT entwickelt eine neue Schutzmethode für Schweizer Hochschulen, bekannt als DNSfirewall, mit welcher der Zugriff auf "bösartige" Internetadressen unterbunden wird.
SWITCH-Mitarbeiter Matthias Seitz bei der Präsentation der DNSfirewall an der TNC 16 in Prag.
  • Security ist nicht mehr nur ein Team, sondern ein Geschäftsbereich von SWITCH.
  • SWITCH startet zusammen mit der SISA, Hostern und Providern eine Sensibilisierungskampagne für die Öffentlichkeit namens "Safer Internet".
  • Auf Betreiben von SWITCH-CERT wird CH-CERTs gegründet, ein Zusammenschluss von Sicherheitsexperten zwecks regelmässigen Austauschs über Sicherheitsthemen.
 

2016

  • Die Sicherheitskoryphäe Mikko Hyppönen gibt SWITCH die Ehre als Keynote Speaker am Domain Pulse in Lausanne

Story mit Video: Mikko Hyppönen im Gespräch mit dem SWITCH-Sicherheitsexperten Serge Droz am Domain Pulse 2016 in Lausanne.
  • Martin Leuthold wird Leiter des Bereichs Security.
  • Malwarebestückte Werbebanner auf Schweizer Zeitungswebsites halten die User in Atem.
  • Zusammen mit MELANI, SISA und weiteren Playern veranstaltet SWITCH den Ransomware-Day zur Sensibilisierung der Öffentlichkeit gegenüber dieser grassierenden Form der Internetkriminalität (siehe auch 1989).
  • SWITCH-CERT feiert sein 20-jähriges Bestehen.
Über den Autor
Anja   Eigenmann

Anja Eigenmann

Seit 2012 ist Anja Eigenmann bei SWITCH tätig, heute als Redaktorin für Online- und Printmedien. Sie startete mit einer journalistischen Ausbildung und hat später einen Master of Advanced Studies in Business Communications zugefügt. Unter anderem war sie als Chefredaktorin sowie Beraterin tätig und hat einen Lehrgang in Online-Redaktion geleitet.

E-Mail
Weitere Beiträge