Aufbau und Entwicklung des DFN-CERT

(Vorwort von Klaus-Peter Kossakowski anlässlich der 25. DFN-Konferenz "Sicherheit in vernetzten Systemen")

Seit mehr als 25 Jahren, vom 2. Januar 1993 an, gibt es das Computer Emergency and Response Team (CERT) im Deutschen Forschungsnetz (DFN). Es entstand aus der Erkenntnis, dass auch ein Netz wie das DFN, damals fast das einzige und ebenso wie heute das schnellste Internet in Deutschland, ein eigenes Sicherheitsteam haben sollte. Damals wie heute steht dieses Team den Anwendern und Betroffenen bei Sicherheitsproblemen zur Seite, leistet Unterstützung, koordiniert Aktivitäten und sorgt für Nachsorge bei kritischen Hinweisen auf befallene Rechner oder gestohlenen digitalen Identitäten.

 

Ein Netz wie das DFN mit seinen angeschlossenen Anwendern ist damals wie heute ein attraktives Ziel. Es gibt interessante Dinge zu holen, und wenn es eben nur ist, dass für Angreifer relevante Forschungsergebnisse ein paar Jahre früher als vor der offiziellen Veröffentlichung, verfügbar sind. Oder Angreifer möchten die schnelleren Leitungen mit ihren viel größeren Kapazitäten für DDoS-Angriffe nutzen. Und ja, auch in Forschungsnetzen werden manchmal Festplatten so verschlüsselt, dass niemand sie wieder entschlüsseln kann, selbst wenn die Bitcoins eingezahlt werden. Warum sollte es auch anders sein als im restlichen Internet, oder Lehrende und Forscher „immun“ gegen allgemeine Bedrohungen sein?

 

Die maßgebliche Ausschreibung, erarbeitet von Dr. Marcus Pattloch, war im Sommer 1992 herausgegeben worden. Dies geschah zeitgleich mit Gründung der ersten europäischen CERTs in Skandinavien (NORDUnet CERT) und den Niederlanden (heute SURFcert). In jedem größeren Netz erkannten die Verantwortlichen, das Un-Sicherheit nicht nur ein Ärgernis ist, sondern vor allem die offene, von Vertrauen geprägte Kultur von Wertschätzung und Kooperation in der Wissenschaft und in der Ausbildung gefährden würde.

 

Es sollte sich zeigen, dass es Not tat, etwas Sinnvolles und Konstruktives zu tun. Mit der Ausschreibung, der unermüdlichen Unterstützung und ständigen Auseinandersetzung durch und mit Dr. Pattloch als Projekt- und Dienstverantwortlicher sowie den damaligen Geschäftsführern Klaus Ullmann und Dr. Klaus-Eckhart Maass wurde dies möglich. Natürlich gibt es viel mehr Menschen, denen wir als DFN-CERT – und ich sehr persönlich – viel zu verdanken haben. Aber diese drei seien namentlich herausgehoben, stellvertretend für alle, aber nicht zuletzt auch aufgrund ihres bis heute prägenden Einflusses, ihrer Kreativität und dem Willen, zusammen den DFN, sein Netz und die DFN-Anwenderer sicherer zu machen!

 

Für viele, die sich heute mit Cyber Security befassen, gehört „Incident Management“ zu den ganz elementaren Aufgaben: Die Fähigkeit, zugesagte Dienste auch bei und trotz Angriffen aufrecht zu erhalten. Die Vertraulichkeit sensitiver Informationen sicherzustellen und zu verhindern, das Manipulationen an Daten oder Systemen die Reputation oder auch Leib und Leben von Menschen gefährden, ist anerkannte – quasi lebensnotwendige – Voraussetzung für jedwede Digitalisierung unserer Gesellschaft. Das DFN-CERT ist mit dieser kritischen Funktion unverzichtbar. Damals war das aber keine Selbstverständlichkeit, sondern eine Pioniertat.

 

Zwar war bereits fünf Jahre vorher, am 2. November 1988, den Benutzern des Internets sehr drastisch aufgezeigt worden, was ein relativ simpler Computer-Wurm (eine sich selbständig im Netzwerk durch Kopieren und Remote Execution verbreitende Art der Malware) bewirken kann. 10% der damals weltweit ca. 70.000 Rechner wurden lahmgelegt. Vor allem die E-Mail-Server waren betroffen, so dass E-Mail als primäre Basiskommunikation nicht mehr zur Verfügung stand, und zwar im gesamten Internet. Computer-Viren gab es damals schon seit Mitte der achtziger Jahre, das Konzept eines selbst­replizierenden Programms ist jedoch sehr viel älter und beschäftigte schon früh Forscher und Netzwerker (und wird es in der Zukunft im Zeitalter von maschinellem Lernen und Artificial Intelligence wohl noch sehr viel mehr, als uns allen lieb sein dürfte). John Brunner hatte das u.a. als „Tapeworms“ (ca. 1977) in seinem Roman „Der Schockwellenreiter“ beschrieben. Woher er diese Idee hat, entzieht sich leider meiner Kenntnis. Als ich ihm Mitte der 80er Jahre über­raschend in Hamburg begegnete, konnte ich in dem Science Fiction Antiquariat zwar noch schnell eine deutsche Version des Romans für ein Autogramm kaufen, aber ihn danach zu fragen? Ich war ich wohl zu überrascht, ihn zu fragen … leider!

 

Schon einen Monat nach dem Internet-Wurm wurde durch DARPA an der Carnegie Mellon University (Pittsburgh, PA, USA) „das“ CERT gegründet, das sich in allererster Linie um das Internet und die damit vernetzten Rechner kümmerte, und damit auch weltweit seine Hilfe anbot. Mit der steten Zunahme von Internet-Anschlüssen in anderen Ländern erkannten die ersten nationalen Forschungsnetze, aber auch Regierungseinrichtungen wie die NASA oder das US Department of Energy die Notwendigkeit, eigene Ressourcen für den Fall der Fälle vorzuhalten. Wichtig war vor allem dafür zu sorgen, dass Sicherheits­lücken geschlossen werden. Man bedenke, dass es die ersten Firewalls erst Anfang der neunziger Jahre gab. Wenn Sie sich heute vielleicht fragen, warum das so lange gedauert hat – überlegen Sie mal, wie lange es Autos ohne Sicherheitsgurte gab …

 

1992 gab es dann in Deutschland selbst ca. 70.000 Rechner im „deutschen“ Internet, doch nach dem Internet-Wurm und ähnlichen Aktionen im DECnet (WANK/OILZ, Namen, die man wahrscheinlich nur noch irgendwo auf verstaubten Internet-Seiten findet) war es relativ ruhig geworden – allerdings nicht sicherer. Und deswegen musste was passieren!

 

Das DFN-CERT war das erste Computer-Notfallteam für den deutschen Teil des Internets, doch gab es bereits vorher deutsche, studentische Arbeitsgruppen, die sich rund um Prof. Dr. Klaus Brunn­stein in Hamburg und Christoph Fischer in Karlsruhe gesammelt hatten, um der steigenden Bedrohung durch Computer-Viren etwas entgegenzusetzen. Diese arbeiteten eng mit dem BSI zusammen, das sich mit einem eigenen Referat dieses Themas annahm und darauf aufbauend z.B. die ersten Anforderungen an Firewall-Systeme im Behördenumfeld erarbeitete.

 

Aber warum kam das DFN-CERT nach Hamburg? Hier gab es wie bereits angesprochen eine kritische Masse. Uns, damit meine ich eine ganze Generation von Studierenden ab April 1988, hatten die Vorlesungen von Prof. Brunnstein, der als einer der ersten deutschen Professoren einen ganzen Zyklus von mehreren Semestern zu IT-Sicherheitsthemen anbot, mit einer guten Grund­ausbildung versehen. Parallel gab es mit dem Virus-Test-Center eine Gruppe von Studierenden, die sich konkret mit den praktischen Auswirkungen von Unsicherheit auseinandersetzten. Einige bekamen sogar, unter strengsten Auflagen, lokal vernetzte Workstations, um Malware auseinander zu nehmen. Andere beantworteten säckeweise Post, als Professor Brunnstein über die Tagesschau zusicherte, alle, die einen frankierten Rückumschlag an das VTC schicken würden, bekäme eine Diskette mit einem selbst entwickelten Michelangelo-Anti-Virus. Und ja, er musste direkt nach dem Interview zu einer Kon­ferenz ins Ausland, aber dadurch haben wir viel gelernt, glauben Sie mir.

 

Viele von uns sind bis heute überall in Sicherheitsfirmen zu finden, und allen gemein ist, dass wir mit diesem Thema gleichsam „infiziert“ wurden, und man uns – wenn auch nach strenger Ver­gatterung – viel anvertraute. Aber damit ist die eigentliche Frage noch nicht beantwortet. Denn ohne eine weitere Person, Dr. Hans-Joachim Mück, den ersten Leiter des DFN-CERTs, hätte es niemals einen „Hamburger“ Angebot gegeben. Er interessierte sich bereits damals für das Thema, wenn auch nicht ganz uneigennützig, weil es ihn damals schon umtrieb, was so mit seinen Systemen passierte, wenn er gerade nicht da war oder doch mal Feierabend machte. Und deswegen war es wohl kein Zufall, dass er die Zweitbetreuung meiner Diplomarbeit übernahm, die übrigens Computer-Würmer behandelte, was sonst?

 

Als Leiter des Rechenzentrums der Informatik an der Universität Hamburg und starker Verfechter der zunehmenden Vernetzung im DFN und in Hamburg erkannte Dr. Mück intuitiv die Bedeutung eines DFN-CERTs, als er die Ausschreibung sah. Er glaubte, dass es für den Verein von langfristiger, strategischer Bedeutung sein würde, sich nicht nur selbst gegen Angreifer wehren zu können, in dem Sicherheitsinformationen schnell und zielgerichtet an die richtigen Ansprechpartnerinnen und -partner als Hilfe zur Selbsthilfe verteilt werden. Sondern auch die Experten zur Verfügung zu haben, und die Chancen, die sich daraus ergeben, nutzen zu können, würde viel Gutes bewirken. Zurückblickend weiß ich bis heute nicht, was an dem im Herbst 1992 abgegebenem Angebot für mich schwerer war: Dr. Mück zufriedenzustellen, parallel mit der Diplomarbeit fertig zu werden – oder eben das Angebot abzugeben, das ausgewählt wurde.

 

Für mich war es jedenfalls ein großen Glück, direkt nach Abschluss meines Diploms beim Start des DFN-CERTs dabei sein zu dürfen. Dessen erste Aktion war dann allerdings ganz profan, einen mit alten, ausrangierten Möbeln gefüllten Kellerraum unter dem RZ zu leeren und aufzumöbeln – für die nächsten acht Jahre blieben die CERTlinge die Kellerkinder im Haus D.

 

Und während die Forschungsaufgabe war, den Stand der Technik zu erfassen, den Bedarf abzufragen, mögliche Aufgaben zu identifizieren und Lösungsansätze zu entwickeln, geschah parallel etwas, was in dieser Form – glaube ich – keiner vorhergesehen hatte: Wir wurden gebraucht!

 

Schon bevor das erste Jahr zu Ende war, waren wir im „Service-Modus“. Das hat sehr viel verändert und die genannten Initiativen und vieles mehr erst möglich gemacht. Die ersten richtigen „Incident Handler“ waren dann ab Sommer 1993 Uwe Ellermann und Stefan Kelm, beide wie ich aus dem VTC kommend, sowie Wolfgang Ley, der von der TU Clausthal nach Hamburg kam. Zusammen starteten wir dann auch die DFN-PKI (1996) und das Hochgeschwindigkeits-Firewall-Labor (1997). Das Konzept ging auf!

 

Da wir aber als CERT nicht im Elfenbeinturm sitzen gehören die Kooperation mit vergleichbaren Organisationen und Verbänden noch heute zu unseren wichtigsten Aufgaben. Tatsächlich sind wir nicht nur Mitglied in etlichen Verbänden, sondern gestalten diese auch seit vielen Jahren aktiv mit, z.B.

 

Wir haben aber immer auch investiert und Lösungen gefunden, die man so nicht einkaufen konnte: entweder weil sie zu teuer waren, oder weil sie im DFN nicht skalierten. Lieber suchten wir nach einer intelligenten und cleveren Lösung, die unter dem Strich auch viel Geld spart. Heute sind wir mit ca. fünfzig Mitarbeiterinnen und Mitarbeitern fünfundzwanzig mal so viele wie am Anfang. Wir arbeiten immer noch sehr eng mit allen Hamburger Hochschulen zusammen, denn wir brauchen immer Nachschub an guten Leuten! Aber zum Glück haben wir heute auch viele Kolleginnen und Kollegen, die eben nicht aus dem VTC kommen und ihre Perspektiven und Expertisen einbringen und uns bereichern!

 

Über all die Jahre sind wir uns selbst, unserer besonderen Rolle und unseren Zielen im Kern treu geblieben:

Wir sind ein wertorientierter Dienstleister mit eingespielten Teams und viel individuellem Know-How, der sich immer wieder neu orientiert, um Trends aufzunehmen oder auf Herausforderungen zu reagieren. Für den DFN, seine Anwender und unsere weiteren Kunden sind wir der verlässliche Partner für mehr Sicherheit und Datenschutz.

 

Danke an die, die das alles möglich gemacht haben!

Danke an die, die das durch Ihre Arbeit jeden Tag möglich machen!