Sicherheit hoch 3 – drei Jahrzehnte DFN-CERT

Ein Netz wie das Deutsche Forschungsnetz ist mit seinen angeschlossenen Teilnehmern aus Forschung und Lehre heute noch viel mehr als damals ein attraktives Ziel. Es gibt interessante Dinge zu holen – und wenn es eben nur für Angreifer relevante Forschungsergebnisse sind, die ein paar Jahre früher zur Verfügung stehen als vor der offiziellen Veröffentlichung. Aber auch die schnellen Leitungen mit ihren großen Kapazitäten sind ein potenzielles Ziel, denn diese können für DDoS-Angriffe missbraucht werden. Welchen großen Stellenwert Cybersecurity heute hat, konnte man vor 30 Jahren vielleicht schon erahnen, aber nicht in voller Tragweite ermessen.

Gestern, heute und morgen – einfach unverzichtbar

Am 2. November 1988 erfuhren die Nutzenden des Internets sehr drastisch, was ein relativ simpler Computerwurm (eine sich selbstständig im Netzwerk durch Kopieren und Remote Execution verbreitende Malware) bewirken kann. Zehn Prozent der damals weltweit circa 70 000 Rechner wurden lahmgelegt. Vor allem die E-Mail-Server waren betroffen, sodass E-Mail als primäre Basiskommunikation nicht mehr zur Verfügung stand, und zwar im gesamten Internet. Computerviren gibt es schon seit Mitte der achtziger Jahre, das Konzept eines selbstreplizierenden Programms ist jedoch sehr viel älter und beschäftigte schon früh Forschende und Netzwerker. Und es wird in einer Zukunft, in der Artificial Intelligence eine immer größere Rolle spielt, wohl noch sehr viele Generationen beschäftigen.

Alles begann mit einem Computerwurm – für Hans-Joachim Mück und Klaus-Peter Kossakowski (von links): Foto aus einer Reportage des Hamburger Abendblatts vom 25. August 1993 anlässlich der DFN-CERT-Gründung. Foto: Lüttgen

Schon einen Monat nach dem Internetwurm gründete die Defense Advanced Research Projects Agency (DARPA), eine Behörde des Verteidigungsministeriums der Vereinigten Staaten, an der Carnegie Mellon University (Pittsburgh, PA, USA) „das“ CERT. Dieses CERT kümmerte sich in allererster Linie um das Internet, die damit vernetzten Rechner und bot weltweit seine Hilfe an. Mit der Verbreitung des Internets erkannten die ersten Nationalen Forschungsnetze und Regierungseinrichtungen die Notwendigkeit, eigene Ressourcen für den Fall der Fälle vorzuhalten.

Die Vorarbeiten zum DFN-CERT begannen im Sommer 1992. In Skandinavien war bereits 1991 und in den Niederlanden Anfang 1992 ein CERT gegründet worden. Mit den CERT-Gründungen wollte die Wissenschaftsgemeinschaft in Europa der wachsenden Unsicherheit in den immer größer werdenden Netzen entgegentreten. Die offene, von Vertrauen geprägte Kultur der Wertschätzung und Kooperation in Forschung und Lehre war und ist gefährdet – das hat sich mit geschäftsmäßig agierenden Cyberkriminellen und den politisch oder nationalstaatlich motivierten „State Actors“ nur noch deutlicher gezeigt. Und auch wenn Forschung und Lehre nicht als kritische Infrastruktur eingestuft werden, sind sie es doch – kritisch für den Erfolg einer Gesellschaft, kritisch für die Nachhaltigkeit sowie die Qualität des täglichen Lebens. Und so sind Freiheit und Offenheit auch dadurch gefährdet, dass wir diese zu unserem Schutz immer weiter einschränken müssen. Denn das ist nötig, um der Verpflichtung nachzukommen, die Daten der Studierenden, Lehrenden, Mitarbeitenden und Forschenden in den teilnehmenden Einrichtungen zu schützen.

Auf dem Postweg – Aktion Anti-Virus

Dass das DFN-CERT damals nach Hamburg kam, war ein Zusammenspiel verschiedener Faktoren. Hier gab es bereits eine kritische Masse an künftigen Fachleuten, sprich eine ganze Generation von Studierenden, die ab April 1988 die Vorlesungen von Prof. Dr. Klaus Brunnstein besuchten. Dieser bot als einer der ersten deutschen Professoren einen ganzen Zyklus IT-Sicherheitsthemen an, die über mehrere Semester gelehrt wurden. So erhielten viele Studierende an der Universität Hamburg eine gute Grundausbildung. Parallel gab es mit dem Virus-Test-Center (VTC) eine Gruppe von Studierenden, die sich konkret mit den praktischen Auswirkungen von Unsicherheit auseinandersetzten. Einige bekamen sogar unter strengsten Auflagen lokal vernetzte Workstations, um Malware auseinanderzunehmen. Andere beantworteten säckeweise Post, als Professor Brunnstein über die Tagesschau zusicherte, alle, die einen frankierten Rückumschlag
an das VTC schicken würden, bekämen eine Diskette mit einem selbst entwickelten Melissa-Anti-Virus. Und ja, er musste direkt nach dem Interview zu einer Konferenz ins Ausland. Viele dieser Studierenden sind bis heute überall in Sicherheitsfirmen zu finden. Allen gemein ist, dass sie mit diesem Thema gleichsam „infiziert“ wurden und fortan eine große Verantwortung trugen.

Die Widerstandsfähigkeit stärken – gemeinsam

Aber das DFN-CERT ist nicht nur eine Hamburger Erfolgsgeschichte, hier arbeiten Menschen aus dem In- und Ausland, darunter auch einige, die rein in Telearbeit tätig sind. Mit dem Start der DFN-Security-Operations kann das DFN-CERT nun noch mehr leisten. Denn durch die Auswertung von Sicherheitsereignissen sowohl lokal bei den Teilnehmern als auch bei den genutzten Dienste, können Vorfälle viel schneller erkannt und zum Teil auch abgewehrt werden. Dafür wurde auch der Bereich der „Cyber Threat Intelligence“ als eigenes Team mit eigenen Prioritäten und eigener Außenwirkung aufgebaut. Für uns und alle Teilnehmer gilt, dass wir die Verwundbarkeit wie schon immer insgesamt reduzieren müssen. Aber auch das Thema des Wiederanlaufs und der vollständigen Systemwiederherstellung müssen wir in den Fokus nehmen. Resilienz ist
dabei der neue Leitgedanke, den wir jetzt in vielen Kontexten hören. Diese Widerstandsfähigkeit ist extrem wichtig, damit komplexe Infrastrukturen nicht wie in einem Dominoeffekt zusammenfallen.