So funktioniert das CERT von Switch

CERT - das steht für "Computer Emergency Response Team". Wird ein Computersystem gehackt, ist schnelle Hilfe gefragt. Trifft ein solcher Angriff beispielsweise eine Hochschule oder Universität, kommt hier das CERT der Stiftung Switch ins Spiel. In den neu renovierten Büroräumlichkeiten an der Werdstrasse in Zürich kümmert sich das Team der Stiftung auf insgesamt vier Ebenen um die Bedürfnisse der Stiftungskundschaft.

Im dritten Stock analysiert das CERT mit Hilfe von Cyber Security Consultant Michael Fuchs unter der Leitung von Frank Herberg nicht nur Hackerangriffe auf die Kunden von Switch. Im hauseigenen Labor stehen auch mit Viren infizierte Computer, über die das CERT versucht, auf vordefinierte Systeme der Kunden zu gelangen. Diese Strategie dient dazu, eventuelle Schwachstellen zu erkennen und zu beheben.

Das hauseigene Labor des CERT von Switch. (Source: Netzmedien)

Das CERT im dritten Stock ist der relevante Anlaufpunkt, wenn es um nationale Computernetzwerke für Lehre und Forschung und deren Schutz geht. Switch baute im Jahr 1994 sein eigenes CERT auf, um auch für die Cybersicherheit seiner Kundschaft zu sorgen. Seither entwickelt das CERT "massgeschneiderte Security-Dienstleistungen für die Schweizer Hochschulen, überwacht das nationale Hochschulnetzwerk und schützt deren Nutzerinnen und Nutzer vor Internetangriffen sowie Datenmissbrauch", wie Michael Fuchs sagt. Inzwischen sei das Switch-CERT ein führendes und unabhängiges Kompetenzzentrum im Bereich Informationssicherheit und unterstütze auch die Domain-Registry von .ch und .li, die Finanzbranche, Industrie und Logistik sowie den Energiesektor.

25 Security-Expertinnen und -Experten

Das CERT von Switch ist gemäss Fuchs zusätzlich zum NCSC das einzige nationale CERT innerhalb der Schweiz. Derzeit untersuchen 25 Security-Expertinnen und -Experten den anfallenden Datenverkehr des National Research & Education Networks. An diesem sind rund 400'000 Benutzerinnen und Benutzer angehängt. Pro Sekunde werden ausserdem rund 250'000 Net-Flows automatisiert untersucht.

Für ein erfolgreiches Unternehmen ist grundsätzlich ein direkter und vertrauensvoller Draht zur Kundschaft von Vorteil - so auch bei dem CERT von Switch. Michael Fuchs versucht mit dem Team, jedem Kunden so gut und schnell wie möglich zu helfen. Wird das CERT etwa von einem Ransomware-Angriff in Kenntnis gesetzt, heisst es schnell handeln und erste Sofortmassnahmen ergreifen.

Malware aus dem Memory-Dump

Ein solcher Fall ist Fuchs besonders in Erinnerung geblieben. Er erklärt, dass der Kunde noch am gleichen Abend das betroffene Netzwerk offline nahm. "Aus einem Memory-Dump wurde die Malware extrahiert und in unserem Lab als Cobalt Strike klassifiziert", sagt Fuchs. Das Fachpersonal des CERT wusste sofort, was zu tun ist und reagierte entsprechend, indem es die Malware-Konfiguration eliminierte. Fuchs vermutet, dass der Angreifer durch einen vorhergehenden Spear-Phishing-Angriff an Kunden-Credentials gelangte und sich damit an einem Terminalserver anmelden konnte. Er bedauert jedoch nach eigener Aussage, dass der Initial-Access nicht eindeutig verifiziert werden konnte.

Auch wenn Cyberbedrohungen für Unternehmen beinahe zum Alltag gehören, ein CERT ist nach wie vor nichts alltägliches. Michael Fuchs hat einen kleinen Einblick in die Welt eines CERT geliefert. Diese Einrichtungen werden mit der steigenden Zahl an Cyberbedrohungen aber eine immer wichtigere Rolle spielen. Mithilfe eines CERT kann man versuchen, diesen präventiv entgegenzuwirken und sich und das eigene Unternehmen vor Cyberangriffen zu schützen.

Der Empfangsbereich des frisch renovierten Büros von Switch in Zürich. (Source: Netzmedien)

Sein neues Security Operations Center präsentierte kürzlich Axians in Arlesheim im Kanton Basel-Land. Mehr dazu erfahren Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.