Klaus-Peter Kossakowski: IT Incident Response Capabilities

 

Zur Person


Größere Projekte


IT Incident Response


Publikationen


PGP-Schlüssel


Impressum


Struktur der Arbeit

Die Arbeit  |  Teams  |  Konferenzen  |  Bibliographie

Struktur der Arbeit  |  Thesen  |  Abgrenzungen

Schwerpunkt der Arbeit ist die Erweiterung traditioneller Maßnahmen des Risiko-Managements um die notwendige Reaktion auf konkrete Angriffe - der Incident Response.

Dabei werden keine Modelle für den Betrieb entsprechender Computer-Notfallteams entwickelt, weder aus der Sicht der Theorie noch aus der der Betriebswirtschaft. Eine derartige Modellbildung verbietet sich im Rahmen der vorliegenen Arbeit, da die bis heute gewonnenen Erkenntnisse vor allem durch ein "Doing" geprägt sind: Die Praxis steht im Mittelpunkt aller Betrachtungen. Jedoch ist zu hoffen, daß - ausgehend von dieser in weiten Teilen deskriptiv angelegten Arbeit - eine Konkretisierung und Präzisierung der Diskussion stattfindet. Erst dadurch können im Rahmen betriebswirtschaftlicher Analysen entsprechende Geschäftsmodelle entwickelt werden. Gleichzeitig muß die Informatik beginnen, die neuen Aspekte des Risiko-Managements formal zu definieren und durch neue Methoden zu unterstützen.

Diese Arbeit möchte dafür als Ausgangspunkt und Plattform dienen. Sie beschreibt das heutige Wissen über Computer-Notfallteams und deren Dienstleistungen, ihre Vorteile und ihre Probleme. Sie entwickelt darüber hinaus Perspektiven für die weitere Entwicklung hin zu einer weltweiten Infrastruktur, für die Bearbeitung von Vorfällen und die Betreuung bei Angriffen. Gleichzeitig zeigt die Arbeit konkrete Punkte auf, durch die die weitere Entwicklung vorangetrieben, erleichtert oder ermöglicht werden kann.

  Kapitel 1 -- Einführung:

Ziel der Einführung ist es, die aktuelle Situation in Bezug auf Sicherheitslücken, deren Ursachen und Auswirkungen, quantitative und qualitative Aussagen zu Angriffen und Schäden sowie die Grundlagen des Incident Response Konzeptes darzustellen und zu bewerten. Zusammen mit der Festlegung wichtiger Begriffe wird hierdurch die Basis für die weitere Behandlung der Thematik in den folgenden Kapiteln geschaffen.
 

  Kapitel 2 -- Traditionelles Risiko-Management:

Bereits etablierte Techniken, Risiken zu bewältigen, gehören zur Ausbildung im Sicherheitsbereich. Sie beherrschen die heutigen Planungsprozesse, ohne daß in diesen Techniken das Incident Response Konzept bereits verwirklicht wäre. Um jedoch das Incident Response Konzept mit seinen Vorteilen verstehen zu können bzw. die Integration mit bestehenden Techniken sicherzustellen, müssen die traditionell etablierten Techniken zunächst untersucht werden.

Dabei wird im Rahmen der Arbeit keine detaillierte Risiko-Analyse oder die Erstellung eines Continuity Plans durchgeführt. Es wird auch nicht auf technische Sicherungsmaßnahmen eingegangen, die geeignet sind, Angriffe abzuwehren oder erheblich zu erschweren wie z. B. auf Firewalls, Intrusion Detection oder Kryptographie.
 

  Kapitel 3 -- Dienstleistungen und deren Prozesse:

These ist, daß Vorfälle (Incidents) immer auftreten werden und daher bewältigt werden müssen. Traditionelle Maßnahmen des Risiko-Managements zielen auf die Verhinderung von Einbrüchen bzw. allein auf die "Post-Mortem"-Erkennung von erfolgreichen Einbrüchen anhand der Log-File-Analyse und geben daher keine Hilfestellung, wenn die Maßnahmen tatsächlich versagen.

Die bisherigen Ansätze zur Unterstützung Betroffener bei Angriffen und Sicherheitsproblemen sind ad hoc entstanden und willkürlich gewachsen. Das grundlegende Konzept ist erfolgreich, jedoch nur schwierig auf neue Anwendungsumgebungen zu übertragen oder konkret umzusetzen. Synergieeffekte mit etablierten Techniken gibt es quasi nicht. Durch die Definition geeigneter Dienstleistungen, die im Zusammenhang mit Vorfällen "Not tun", kann dieses Manko beseitigt werden. Ausgehend von der Definition notwendiger und geeigneter Dienstleistungen wird in diesem Kapitel dargestellt, wie die Prozesse eingebettet und realisiert werden können.
 

  Kapitel 4 -- Dienstleistungspakete:

Wie bereits an den Dienstleistungsangeboten etablierter Computer-Notfallteams abzulesen ist, werden einzelne Dienste als Teil eines Paketes angeboten. Hierfür gibt es eine Reihe von Gesichtspunkten, die bei der Aufstellung eines Dienstleistungskataloges sowie der Definition eines Paketes (für eine bestimmte Constituency) zu beachten sind.
 

  Kapitel 5 -- Internationale Infrastruktur:

Mit der Bereitstellung eines auf die Bedürfnisse der Klientel (Constituency) abgestimmten Dienstleistungskataloges ist ein wichtiger Schritt erreicht. Allerdings arbeiten Computer-Notfallteams typischerweise mindestens genauso viel mit anderen Teams zusammen wie mit Betroffenen oder Verantwortlichen aus der Constituency. Computer-Notfallteams sind aus verschiedenerlei Gründen auf Informationen und Kooperation angewiesen, woraus sich insbesondere aufgrund von Anforderungen wie Reaktionszeit, Vertraulichkeit, Qualität der Aussagen, etc. Besonderheiten ergeben, die typisch und problematisch zugleich sind. Ausgehend von der Schnittstellenproblematik zwischen Computer-Notfallteams und der Kooperation wird der Bogen hin zu einer Infrastruktur aufgezeigt, die eine effiziente und strukturierte Bearbeitung von Vorfällen und damit in Zusammenhang stehenden Informationen erlaubt.
 

  Kapitel 6 -- Implikationen und Empfehlungen:

In diesem Kapitel soll, losgelöst von der "technischen" Betrachtungsweise der vorhergehenden Kapitel, ein Blick "nach draußen" und "von draußen" gewagt werden. Diese Blickwinkel sind wichtig, da unabhängig von den Fragen der Dienstleistung zahlreiche Probleme gerade auch in Hinblick auf weltweite und öffentliche Netze unbeantwortet bleiben. Dies betrifft vor allem folgende Punkte wie Einflußmöglichkeiten auf die aktuelle Situation, Ausbildung und Professionalität, Aufbau neuer Teams, Sicherung der Qualität und Standardisierung der Dienstleistung sowie Auswirkungen des rechtlichen Umfeldes.
 

  Kapitel 7 -- Ausblick und Schlußbetrachtungen:

Aufgabe des abschließenden Kapitels ist es, im Rahmen einer Schlußbetrachtung über die Zukunft des Incident Response Konzeptes zu spekulieren sowie die sich aus dieser Arbeit ergebende Zielsetzungen für weitere Forschungsarbeiten aufzuzeigen. Auch werden Punkte angesprochen, die in dieser Arbeit nicht behandelt werden konnten, obwohl es einen interessanten Zusammenhang zu dem Thema "Incident Response" gibt.
 

  Anhänge:

In den Anhängen sind weiterführende Informationen zusammengestellt. Zusätzlich zu dem Literaturverzeichnis, das am Ende der Arbeit zu finden ist, wurden die für das Gebiet der "Incident Response" relevanten Dokumente in einer kommentierten Bibliographie erschlossen. Weitere Anhänge beinhalten eine Sammlung von Adressen und Referenzen existierender Computer-Notfallteams und Institutionen sowie die Programme bisheriger FIRST-Konferenzen. Ferner ist ein Glossar verwendeter Begriffe aus dem Umfeld von Computer-Notfallteams und eine Aufstellung der verwendeten Abkürzungen zu finden.
 

[Zurück zum Anfang]


Die hier wiedergegebenen Informationen sind der Doktorarbeit "Information Technology Incident Response Capabilities" entnommen, die im September 1999 am Fachbereich Informatik der Universität Hamburg vorgelegt wurde.
 


© 1998-2001 by Klaus-Peter Kossakowski, Germany.