Gemeinsam für mehr Sicherheit

Das Forum of Incident Response and Security Teams (FIRST) ist eine weltweite Organisation, die es ihren Mitgliedern – Incident-Response-Teams aus aller Welt – ermöglichen will, wirksamer auf sicherheitsrelevante Ereignisse zu reagieren. Das Erfolgsrezept von FIRST basiert auf zwei wichtigen Voraussetzungen: Vertrauen und Zusammenarbeit. Wie und warum das funktioniert, erfahren Sie hier.

Text: Michael Hausding, publiziert am 06.04.2018

Die Mitglieder von FIRST sind Incident-Response-Teams aus dem Sicherheitsbereich wie SWITCH-CERT. Sie sind Teil von staatlichen Stellen, Unternehmen und Bildungsinstitutionen. Der Leitsatz von FIRST lautet «FIRST ist eine internationale Vereinigung zuverlässiger Incident-Response-Teams für IT-bezogene Ereignisse, die gemeinsam Vorfälle im Bereich der Computersicherheit bewältigen und entsprechende Präventionsprogramme fördern». Aus diesem Leitsatz lassen sich zwei wichtige Voraussetzungen für die erfolgreiche Bewältigung internationaler Sicherheitsvorfälle ableiten: Vertrauen und Zusammenarbeit. Zwischen Teams aus 84 verschiedenen Ländern Vertrauen herzustellen, ist eine der grössten Herausforderungen für die Vereinigung. Doch dieses Vertrauen ist wichtig, da es die Grundlage aller gemeinsamen Anstrengungen bildet. Die Arbeitsbeziehungen zwischen den Mitgliedern von FIRST gründen nicht auf Verträgen, sondern auf Vertrauen. Deshalb gilt auch ein besonderes Aufnahmeverfahren für Neumitglieder. Diese müssen je zwei "Unterstützer" finden, die die neuen Teams bei einem Besuch vor Ort beurteilen und überprüfen, dass die Neumitglieder die Anforderungen von FIRST erfüllen und in der Lage sind, sensible Informationen zu Sicherheitsvorfällen, die innerhalb der Vereinigung ausgetauscht werden, zu schützen. Der Auf- und Ausbau eines zuverlässigen Netzwerks, um über sichere Kanäle Informationen zu Sicherheitsvorfällen auszutauschen, gehört zu den strategischen Voraussetzungen, damit die FIRST-Mitglieder entsprechende Vorfälle bewältigen können.

Mitglied zu werden, ist nur der erste Schritt auf dem Weg zur echten Teilhabe innerhalb der FIRST-Gemeinschaft. Man trifft sich mit anderen Teams, arbeitet zusammen und beginnt, Vertrauen aufzubauen. Damit neue Teams die gleichen Kompetenzen erwerben und diese genauso weiterentwickeln können wie die bestehenden Teams, bietet FIRST seinen Mitgliedern ein Schulungs- und Weiterbildungsprogramm an. Auf der Schulungswebsite von FIRST werden zahlreiche von FIRST erarbeitete Kurse kostenlos angeboten. Neuen Teams kostenloses Schulungsmaterial bereitzustellen hilft zwar, diese weiterzubilden, aber das allein schafft noch kein Vertrauen. Deshalb bietet FIRST neuen und bestehenden Mitgliedern auch Präsenzschulungen vor Ort an. Der FIRST-Schulungsverantwortliche Serge Droz erklärt: "Bei einem Vorfall müssen Teams aus verschiedenen Regionen zusammenarbeiten. Dabei ist es wichtig, dass diese Teams aus aller Welt ein einheitliches Verständnis der jeweiligen Begriffe und Probleme haben, da die Bewältigung von Vorfällen sonst unmöglich wird. Deshalb gehört die Ausbildung zu den strategischen Aktivitäten von FIRST. Eine FIRST-Schulung muss aber dennoch mehr erreichen, als nur trockenes Wissen weiterzugeben." Die Ausbildenden, zu denen auch ich gehöre, sind Freiwillige aus dem Kreise der FIRST-Mitglieder. Wann immer Bedarf besteht, biete ich freiwillig FIRST-Schulungen an.

Nach der Durchführung einer Grundausbildung in Ulan Batur 2016 bat mich Otgonpurev Mendsaikhan vom mongolischen CERT MNCERT/CC, 2017 einen Aufbaulehrgang durchzuführen. Gemeinsam mit Pawel vom CERT Polska leitete ich einen dreitägigen Weiterbildungskurs für die Mitglieder des MNCERT/CC und Incident-Response-Mitarbeitende vor Ort. Der Austausch mit erfahrenen Ausbildern, die ihr Wissen an die neuen Teams weitergeben, sei genau das Ziel, das mit den Schulungsprogrammen erreicht werden soll, sagt Serge Droz. "Die FIRST-Ausbildenden, die alle auf freiwilliger Basis tätig sind, tragen dazu bei, die Teilnehmenden in die Gemeinschaft zu integrieren und ihre umfassende Erfahrung mit ihnen zu teilen. Dies ist ein perfektes Beispiel dafür, dass das Motto 'Improving security together' (Gemeinsam für mehr Sicherheit) wirklich gelebt wird."

Um die Vorteile einer Mitgliedschaft bei FIRST hervorzuheben, habe ich Otgonpurev Mendsaikhan vom mongolischen CERT MNCERT/CC einige Fragen gestellt:

Wie hilft Ihnen Ihre Mitgliedschaft bei FIRST dabei, Sicherheitsvorfälle in der Mongolei zu bewältigen?

Über FIRST kommen wir direkt mit den verschiedenen Organisationen in Kontakt, die umfassendere Kompetenzen in der Bewältigung von solchen Vorkommnissen haben als wir. Wir lernen durch die Zusammenarbeit mit ihnen und nutzen FIRST als Möglichkeit, um uns selbst zu verbessern.

Worin besteht der grösste Vorteil von Präsenzschulungen für die Mitglieder des MNCERT/CC und andere Incident-Response-Mitarbeitende im Land?

Neben den Qualitätssteigerungen, die wir direkt durch die Schulungen erzielen, ermöglichen es diese den örtlichen Incident-Response-Mitarbeitenden auch, sich gegenseitig kennenzulernen, was angesichts ihrer Vollzeitpensen und weiterer Verpflichtungen sonst nur schwer möglich wäre.

Was ist für die weitere Entwicklung des MNCERT/CC am wichtigsten?

Meiner Meinung nach sind der Kapazitätsaufbau und finanzielle Stabilität die wesentlichsten Faktoren. Ich denke, dass die Entscheide und Massnahmen, die wir in den nächsten Jahren treffen, langfristig den Status der Informationssicherheit in der Mongolei bestimmen.

Durch welche sonstigen Massnahmen können Sie Ihr Netzwerk erweitern und Vertrauen innerhalb der FIRST-Gemeinschaft schaffen?

Ich denke, Präsenzanlässe wie die jährliche Generalversammlung von FIRST oder die Technischen Kolloquien (TC) sind grundlegend, um Beziehungen aufzubauen und ein zuverlässiges Netzwerk zu schaffen. Leider sind Veranstaltungen, die weite Reisen erforderlich machen – wie die Generalversammlung –, für neue und finanziell nicht so gut gestellte Organisationen wie uns zu teuer.

FIRST-Schulungswebsite

 

Über den Autor
Michael   Hausding

Michael Hausding

Michael Hausding studierte Computerwissenschaften an der Technischen Universität Darmstadt sowie Management, Technology and Economics an der ETH Zürich. Bevor er im November 2008 zu SWITCH stiess, arbeitete er für einen Managed Security Provider und einen Schweizer ISP. Als Sicherheitsexperte von SWITCH-CERT ist er heute auf DNS- und Domain-Missbrauch spezialisiert.

E-Mail

FIRST_logoW_lrg

FIRST (Forum of Incident Response and Security Teams) ist eine internationale Konföderation vertrauenswürdiger Teams, die sich gemeinsam mit Computersicherheitsvorfällen befassen und Programme zur Verhinderung solcher Vorfälle fördert. Als weltweit anerkannter Leader im Bereich Incident Response ermöglicht FIRST seinen Mitgliederteams, effektiver auf Sicherheitsvorfälle zu reagieren, indem sie Zugang zu Best Practices, Tools und vertrauenswürdiger Kommunikation mit den Mitgliedsteams bietet.

https://www.first.org/

Weitere Beiträge