Klaus-Peter Kossakowski: IT Incident Response Capabilities

 

Zur Person


Größere Projekte


IT Incident Response


Publikationen


PGP-Schlüssel


Impressum


Bibliographie zum Thema Incident Response: K

Die Arbeit  |  Teams  |  Konferenzen  |  Bibliographie

Autoren Kategorien

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z


 [Koltuksuz 1997]

An Institutional Approach to Incident Response Team Staff Education & Certification / Ahmet Koltuksuz (Izmir Institute of Technology, TR). - Vortrag auf dem 9. Computer Security Incident Handling Workshop in Bristol, UK., Juni 1997. - keine Referenzen. - 7 S.

Inhalt: Die Besetzung freier Stellen bei existierenden Computer-Notfallteams ist nicht einfach, da es bislang keine Ausbildung für diese Art Aufgabe gibt. Am Izmir Institute of Technology hat man ausgehend von dieser Sachlage am Information Systems Strategy And Security Laboratory einen Ausbildungsgang zum Masters Degree geschaffen. Der Beitrag informiert über Ausbildungsprogramm und die lokale Infrastruktur des Labors.

Schlagwort: Incident Handling : Ausbildung.


 [Koltuksuz 1998]

A Model for Structural Organization of Computer Security Incident Handling (CSIH) Agencies / Ahmet Koltuksuz (Izmir Institute of Technology, TR). - Vortrag auf der 10. Annual FIRST Conference on Computer Security Incident Handling and Response in Monterrey, Mexico, Juni 1998. - 11 Referenzen. - 5 S.

Inhalt: Ausgehend von den Beobachtungen, daß für Computer-Notfallteams immer weniger der ursprüngliche Name "Computer Emergency Response Team" zutrifft und das deren Arbeit über die letzten Jahre eine starke Verbesserung erfahren hat, wird die Entwicklungsstufe als "Policies and Standards" (nach Wood und Saari) eingestuft. Einer kurzen Analyse möglicher Ziele folgt eine knappe Beschreibung weiterer Charakteristika von hier als "Computer Security Incident Handling Agencies" benannten Teams. Ohne auf die Arbeit der IETF-WG GRIP [GRIP] einzugehen, wird der Ansatz vorgeschlagen, anhand von Zielen, Strategien, Policies, Standards, Taktiken und operativen Maßnahmen Teams zu strukturieren. Die Begriffe werden zwar erklärt, allerdings wird der Bezug zur Arbeit von Computer-Notfallteams nur durch jeweils ein kurzes Beispiel hergestellt. Danach werden zwei Abteilungen zur Entwicklung von Policies und zur Ausbildung als die wichtigsten als die wichtigsten Bestandteile eines Teams postuliert.

Schlagwort: Aufbau : Modell.


 [Kossakowski 1993]

The Need for an Evolving Infrastructure for Computer Security Incident Handling within Europe / Klaus-Peter Kossakowski (DFN-CERT, D). - Vortrag auf dem 1. Meeting of European CERTs and Interested Parties in Amsterdam, NL, Dezember 1993. - keine Referenzen. - 4 S.

Inhalt: In diesem Papier wurden zum ersten Mal das Konzept eines Europäischen Koordinationszentrum für Computer-Notfallteams vorgestellt und die grundlegenden Faktoren, die für die Gestaltung der Dienstleistung als auch die Zusammenarbeit mit europäischen und internationalen Teams zu berücksichtigen sind, analysiert.

Schlagwort: Kooperation : Europa.


 [Kossakowski 1994]

The DFN-CERT Experience : Building Up a New CERT Within Europe / Klaus-Peter Kossakowski (DFN-CERT, D). - Vortrag auf der JENC5/INET'94 in Prag, CS, Juni 1994. - 10 Referenzen. - 6 S.

Inhalt: Dieses Dokuments untersucht die praktischen Implikationen des DFN-CERTs - dem Computer-Notfallteam für das Deutsche Forschungsnetz. Die Erfahrungen und Probleme sowie die Erkenntnisse aus der bisherigen Tätigkeit werden dargestellt. Zusätzlich werden einige Vorschläge für die zukünftige Entwicklung von Computer-Notfallteams innerhalb Europas gegeben, wobei die Wichtigkeit einer kooperativen Vorgehensweise betont wird.

Verfügbarkeit: http://www.cert.dfn.de/pre99papers/eng/jenc5.html

Schlagwörter: Kooperation : Europa. - Team : DFN-CERT.


 [Kossakowski 1994a]

The DFN-CERT Project: The First 18 Months / Klaus-Peter Kossakowski (DFN-CERT, D). - Vortrag auf dem 6. Computer Security Incident Handling Workshop in Boston, Mass., Juli 1994. - 10 Referenzen. - 5 S.

Inhalt: Basierend auf einem anderen Vortrag: The DFN-CERT Experience: Building up a new CERT within Europe [Kossakowski 1994] wird hier der Schwerpunkt auf das DFN-CERT und die gewonnenen Erfahrungen gelegt.

Verfügbarkeit: http://www.cert.dfn.de/pre99papers/eng/6csihw1.html

Schlagwort: Team : DFN-CERT.


 [Kossakowski 1994b]

The European Situation : The Future of CSIH in Europe / Klaus-Peter Kossakowski (DFN-CERT, D). - Vortrag auf dem 6. Computer Security Incident Handling Workshop in Boston, Mass., Juli 1994. - 19 Referenzen. - 6 S.

Inhalt: Nur sehr wenige Beiträge gehen auf die Notwendigkeit der Kooperation und Unterstützung von Teams untereinander ein. Dies ist besonders in Europa wichtig, da hier die meisten Teams sehr klein sind. Aus diesem Grunde werden einige praktische Probleme zusammen mit möglichen Lösungsansätzen beschrieben. Um ein besseres Verständnis der aktuellen europäischen Situation zu erlauben, wird eine Zusammenfassung der bisherigen Entwicklung gegeben. Außerdem werden die Ergebnisse einer Befragung europäischer Netzwerke präsentiert, um daraus Rückschlüsse auf die zukünftige Entwicklung zu ziehen.

Verfügbarkeit: http://www.cert.dfn.de/pre99papers/eng/6csihw4.html

Anmerkung: Dieses Dokument schlägt die Schaffung einer "Special Interest Group Europe" innerhalb von FIRST vor, um die Kooperation der europäischen Teams zu verbessern. Ein weiterer Vorteil durch eine solche Gruppe besteht in der Möglichkeit, bestimmte Gesichtspunkte in das Mittelpunkt des Interesses zu rücken. Informationen über diese Gruppe sind über WWW zugänglich: http://www.cert.dfn.de/eng/csir/europe/

Schlagwörter: Kooperation : Europa ; Koordinierung.


 [Kossakowski 1994c]

The Funding Process: A Challenging Task / Klaus-Peter Kossakowski (DFN-CERT, D). - Vortrag auf dem 6. Computer Security Incident Handling Workshop in Boston, Mass., Juli 1994. - 2 Referenzen. - 4 S.

Inhalt: Eine der schwierigsten Aufgaben im Zusammenhang mit dem Aufbau eines neuen Teams ist die Sicherstellung der Finanzierung. Aus diesem Grund versucht dieses Dokument einige Gedanken und Erfahrungen zusammenzufassen, um anderen (vor allem neuen) Teams Hilfestellung zu bieten. Aus praktischer Sicht werden einige Probleme zusammen mit möglichen Ansätzen und Erfahrungen geschildert.

Verfügbarkeit: http://www.cert.dfn.de/pre99papers/eng/6csihw2.html

Schlagwort: Aufbau : Finanzierung.


 [Kossakowski 1995g]

The Role of Site Security Contacts / Klaus-Peter Kossakowski (DFN-CERT, D). - Vortrag auf dem 7. Computer Security Incident Handling Workshop in Karlsruhe, D, September 1995. - keine Referenzen. - 8 S.

Inhalt: Präventive Maßnahmen werden immer wieder von CERTs für den Kreis der betreuten Einrichtungen gefordert. Allerdings müssen solche Maßnahmen auch von den Teams selbst geleistet werden. Ein wesentlicher Schritt stellt die Definition von Site Security Contacts dar, weil sich dadurch eine erheblich vereinfachte Betreuung und Zusammenarbeit ergibt. Außer der Aufstellung damit in Verbindung stehender Policies kommt der Aufstellung geeigneter Prozeduren eine sehr große Bedeutung zu. Eine vielversprechende Möglichkeit ist die Schaffung eines Registrierungsprozesses für Site Security Contacts.

Schlagwörter: Aufbau : Constituency. - Incident Handling : Constituency.


 [Kossakowski 1995h]

New Activities of the DFN-CERT / Klaus-Peter Kossakowski (DFN-CERT, D). - Vortrag auf dem 7. Computer Security Incident Handling Workshop in Karlsruhe, D, September 1995. - keine Referenzen. - 4 S.

Inhalt: Bericht über neue Informationsdienste und erweiterte Veranstaltungen sowie über die verstärkte internationale Zusammenarbeit nach über drei Jahren praktischer Arbeit.

Schlagwort: Team : DFN-CERT.


 [Kossakowski 1996a]

Providing Incident Response Services / Klaus-Peter Kossakowski (DFN-CERT, D). - Tutorium auf der Open System Security Europe in London, GB, Februar 1996. - 5 Referenzen. - 42 S.

Inhalt: Ausgehend von dem Konzept der Computer-Notfallteams werden die Faktoren untersucht, die für ein eigenes Team sprechen und die erreichbaren Vorteile vorstellt. Dabei wird herausgestellt, daß die Integration mit anderen Maßnahmen des Risiko-Managements eine wichtige Voraussetzung für eine erfolgreiche Tätigkeit darstellt.

Im zweiten Teil werden alle Aspekte der Gründung eines neuen Teams untersucht, wobei die Notwendigkeit einer gründlichen Vorbereitung herausgestellt wird. Die zwei Zielrichtungen der Kommunikation, in Hinblick auf die betreuten Anwender aber auch in Hinblick auf das Management, werden getrennt untersucht und ihre Bedeutung für den Erfolg des neuen Teams herausgestellt.

Die operativen Aspekte werden im dritten und letzten Teil vorgestellt. Dabei wird allerdings die technische Bearbeitung konkreter Vorfälle oder Sicherheitslücken ausgespart.

Schlagwort: Aufbau : Tutorium.


 [Kossakowski 1996c]

Incident Response in the Aera of Information Warfare / Klaus-Peter Kossakowski (DFN-CERT, D). - Vortrag auf dem InfoWarCon V in Brüssel, B, Mai 1996. - 5 Referenzen. - 19 S.

Inhalt: Mit der zunehmenden Kommerzialisierung werden gezielte Angriffe auf Unternehmen über das Netzwerk möglich. Daneben zielen diese Angriffe eventuell auch auf Privatpersonen und ganze Gesellschaften. Solche Angriffe fallen unter den Begriff Information Warfare. Wie Computer-Notfallteams in diesem Umfeld agieren können bzw. welchen Einflüssen sie unterworfen sind, wird in diesem Vortrag untersucht. Außerdem werden Empfehlungen für ein Engagement von Unternehmen im Bereich des Incident Handlings gegeben.

Schlagwort: Auswirkungen : Information Warfare.


 [Kossakowski 1996e]

Commercialisation of Incident Response / Klaus-Peter Kossakowski (DFN-CERT, D). - Vortrag auf dem 8. Computer Security Incident Handling Workshop in San Jose, Calif., Juli 1996. - keine Referenzen. - 13 S.

Inhalt: Bisher waren alle Computer-Notfallteams, die eine koordinierende Rolle für mehrere unabhängige Organisationen innerhalb des Internet übernahmen, entweder als Projekt aufgesetzt, oder die Unterstützung wurde als Teil eines anderen Dienstes erbracht. Mit der zunehmenden Kommerzialisierung des Internet eröffnet sich auch ein Markt für die Art von Dienstleistung, die Computer-Notfallteams bieten. Bisher gibt es vor allem neue Anbieter, die diese Chance nutzen wollen. Für die existierenden Teams stellen sich dadurch schwerschwiegende Fragen, die auch ihre Existenz selbst in Frage stellen können. Die Darstellung dieser Probleme und die Untersuchung, was aus Sicht der betreuten Anwender wünschenswert ist, steht im Mittelpunkt des Vortrags. Des weiteren werden die Auswirkungen auf die Aufgabe des Incident Coordination untersucht; gestaltet sich hier die Frage nach einer Kommerzialisierung noch schwieriger, da hier die Interessen sehr vieler Beteiligten betroffen sind.

Schlagwörter: Auswirkungen : Kommerzialisierung. - Kommmerzialisierung : Möglichkeiten.


 [Kossakowski 1997]

From Incident Response to Incident Control Management / Klaus-Peter Kossakowski. - Vortrag auf dem 9. Computer Security Incident Handling Workshop in Bristol, UK., Juni 1997. - keine Referenzen. - 19 S.

Inhalt: Ein Grund für die schwierige Arbeit von Computer-Notfallteams ist das Fehlen einer fundierten fachlichen Grundlage. Es gibt kein einheitliches Begriffsverständnis und keine Definition der Aufgaben oder Funktionen, die wahrgenommen werden. Ausgehend von einzelnen Ansätzen, die zu einer Verbesserung beitragen, wird der Ansatz eines Gesamtkonzepts vorgestellt, der Incident Control Management als neuen Oberbegriff einführt. Hierunter werden alle Aufgaben zusammengefaßt, die in einem direkten Zusammenhang mit Vorfällen stehen. Hierzu zählen auch bereits etablierte Aufgaben (z. B. die Arbeit von Ermittlungsbehörden), die jedoch erweitert oder angepaßt werden (müssen).

Schlagwort: Incident Handling : Forschung.


 [Kossakowski 1997a]

Information Sharing : The IRT Perspective / Klaus-Peter Kossakowski. - Vortrag auf dem 9. Computer Security Incident Handling Workshop in Bristol, UK., Juni 1997. - keine Referenzen. - 8 S.

Inhalt: Der Austausch von Informationen gehört zum Alltag von Computer-Notfallteams. Der Vortrag gibt eine Übersicht über die Faktoren, die den Austausch beeinflussen und vor allem dafür verantwortlich sind, daß der Austausch stark eingeschränkt ist. Genauer untersucht und hinterfragt wird die Motivation, um die Grundlage für Verbesserungen zu schaffen. In Bezug auf eine Verbesserung wird eine grundsätzliche Strategie vorgeschlagen.

Schlagwort: Kooperation : Informationsaustausch.


 [Kossakowski et al. 1999]

Responding to Intrusions / Klaus-Peter Kossakowski (CERT/CC, USA) ; Julia Allen (CERT/CC, USA) ; Christopher Alberts (CERT/CC, USA) ; Cory Cohen (CERT/CC, USA) ; Gary Ford (CERT/CC, USA) ; Barbara Fraser (CERT/CC, USA) ; Eric Hayes (CERT/CC, USA) ; John Kochmar (CERT/CC, USA) ; Suresh Konda (CERT/CC, USA) ; William Wilson (CERT/CC, USA). - Security Improvement Module CMU/SEI-SIM-006. - Pittsburgh, PA: Carnegie Mellon University, 1999. - 15 Referenzen. - 42 S.

Inhalt: Während viele Artikel und Beiträge zum Aufbau und den Problemen eines Computer-Notfallteams vorliegen, wird nur sehr wenig Hilfestellung bei der konkreten Bearbeitung von Vorfällen gegeben. Mit diesem Security Improvement Module wird versucht, alle Aktionen angefangen bei der richtigen Vorbereitung bis hin zu einem Post-Mortem-Meeting zu strukturieren. Dabei werden alle Schritte beschrieben, die für eine Organisation jeweils in einer bestimmten Aufgabenstellung notwendig und wichtig sind. Das Module konzentriert sich dabei explizit auf Vorfälle, die einen unberechtigten Zugriff auf Systeme beinhalten, viele der Schritte und Empfehlungen sind jedoch auch bei anderen Vorfällen direkt übertragbar bzw. anwendbar.

Es werden grundsätzlich verschiedene Phasen unterschieden, die parallel oder in einem bestimmten inhaltlichen Zusammenhang stehen:

  • Vorbereitung
    • Aufstellung der Policies
    • Vorbereitung auf technischer Ebene
  • Bearbeitung
    • Analyse
    • Kommunikation und Koordination
    • Dokumentation und Beweissicherung
    • Kurzfristige Lösungen zur Abwehr der Angreifer
    • Schutz vor unberechtigten Zugriffen
    • Wiederherstellung der Funktion betroffener Systeme
  • Nachsorge

Schlagwort: Incident Handling : Handbuch.

[Zurück zum Anfang]

 


Weitere Einträge der Bibliographie:
A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z


Die hier wiedergegebenen Informationen sind der Doktorarbeit "Information Technology Incident Response Capabilities" entnommen, die im September 1999 am Fachbereich Informatik der Universität Hamburg vorgelegt wurde.
 


© 1998-2001 by Klaus-Peter Kossakowski, Germany.