Klaus-Peter Kossakowski: Größere Projekte

 

Zur Person


Größere Projekte


IT Incident Response


Publikationen


PGP-Schlüssel


Glossar


Impressum



 Forum of Incident Response and Security Teams - FIRST

Seit der Gründung des ersten CERTs im Dezember 1988 gab es weltweit tausende von Sicherheitsvorfällen bei Rechnern und Netzwerken. Um den damit verbundenen Bedrohungen zu begegnen, arbeiten zahlreiche staatliche und private Organisationen auf allen fünf Kontinenten zusammen, um Informationen auszutauschen und die Bewältigung von Vorfällen zu koordinieren.

Der Zusammenschluß dieser Organisationen, bekannt als FIRST, Forum of Incident Response and Security Teams, verbindet eine Vielzahl von Computer-Notfallteams aus Verwaltung, Wirtschaft und Forschung sowie Hersteller, Telekommunikations- und Internet-Service-Anbieter. FIRST mit heute mehr als 95 Mitgliedern setzt es sich zum Ziel, deren Arbeit zu koordinieren und zu optimieren. Außerdem will man die Qualität der Dienstleistungen und den Informationsaustausch verbessern. Nächstes großes Ereignis ist die Weltkonferenz im Juni 2002 auf Hawaii, USA.

Durch die Mitarbeit bei verschiedenen Task-Forces sowie durch Mitarbeit im Programmkomitee sowie der Organisation von Podiumsdiskussionen auf den Konferenzen unterstützt Klaus-Peter Kossakowski die Arbeit von FIRST. Außerdem wurde er 1997 in das Steering Committee gewählt und 1999 und 2001 in dieser Funktion auf zwei weitere Jahre wiedergewählt.

 CSIRTs in Europa

Seit 1992 wurden auch in Europa immer mehr Computer-Notfall-Teams gegründet. Dabei erkannte man die Notwendigkeit zu stärkerer Kooperation und Koordination. Von herausragender Bedeutung ist die Bereitstellung von Kontaktinformationen. Daher riefen u. a. Don Stikvoort (NL, vormals CERT-NL) und Klaus-Peter Kossakowski eine Initiative ins Leben, die europäische FIRST-Mitglieder und andere Interessierte zusammenführte.

Konsens war, daß in Europa kein neues FIRST notwendig sei. Spezifische europäische Interessen sollten aber in einem eigenen Forum diskutiert werden.

Aus der informellen Zusammenarbeit definierte eine Task Force "CERTs in Europe" die Anforderungen für das europäische CERT Coordination Center, das von 1997 bis zum Herbst 1999 einen Pilotbetrieb zur Verfügung stellte.

Ab Herbst 1999 werden die verschiedenen unterstützenden Funktionen für Incident Response Teams durch die freiwillige Zusammenarbeit im Rahmen der TERENA Working Group CERT-COORD erbracht.

Inzwischen ist aus der freiwilligen Zusammenarbeit eine TERENA Task Force (TF-CSIRT) geworden. Ein erstes Ergebnis dieser Task Force ist TI - das europäische CSIRT Verzeichnis (siehe im nächsten Abschnitt).

 TI - the European CSIRT Directory

Ursprünglich war das "Web of Trust" zwischen verschiedenen CSIRTs auf persönliche Kontakte der Mitarbeiter angewiesen. Doch mit der Zunahme der Teams und häufigeren Wechseln bei den Mitarbeitern wird diese Basis zunehmend unwichtiger. Die Einführung neuer Teams durch "alte" Teams hat sich auch als schwierig erwiesen und skaliert vor allem nicht.

Um in dieser Situation Abhilfe zu schaffen, wurde der "Trusted Introducer (TI) Service" entwickelt. Das TI-Team sammelt detaillierte Informationen über die verschiedenen CSIRTs und - wenn diese Informationen umfassend und aktuell sind und von dem CSIRT die weitere Aktualisierung sichergestellt wird - stuft gegebenenfalls einzelne CSIRTs als "Level 2" ein. Das ist natürlich noch keine Garantie dafür, daß dieses Team in das "Web of Trust" aufgenommen wird, aber es schafft zumindest eine objektivere Basis als alle anderen verf&uuuml;gbaren Alternativen.

Mit den Worten des des originalen TI Berichtes, in dem der Service definiert wurde:

[...] "an empirical approach towards trust inside the European Incident Response scene the replacement of trust by expectations: used for introducing new teams into the scene and stimulate existing ones to maintain their offerings."

Nachzulesen ist das alles in:

[Kossakowski, Stikvoort 2000] A Trusted CSIRT Introducer in Europe - An empirical approach towards trust inside the European Incident Response scene - the replacement of trust by expectations  / Klaus-Peter Kossakowski ; Don Stikvoort. - Amersfoort, NL: M&I/Stelvio, 2000. - [Commissioned by TERENA]

Seit dem 1. September 2000 "läuft" der Service, mehr Informationen unter

http://www.ti.terena.nl

 IETF Arbeitsgruppen SSH und GRIP

  IETF
RFC

 
Neben den vielen Standardisierungsbemühungen der IETF (Internet Engineering Task Force) im Bereich der Protokolle und Anwendungen werden andere Themen behandelt. Zwei Arbeitsgruppen, in denen Klaus-Peter Kossakowski seit 1995 - u. a. als Co-Chair bzw. Contributing Author - tätig ist, sind SSH (Site Security Handbook) und GRIP (Guidelines and Recommendations for Incident Processing).

Die SSH Working Group hatte das Ziel, den RFC 1244 - das besagte Site Security Handbook aus dem Jahr 1991 - zu aktualisieren:

[RFC1244] Site Security Handbook / P. Holbrook ; J. Reynolds (Hrsg.). - Request For Comments 1244 / For Your Information 8. - Juli 1991.

 

 
Nachdem Ende 1995 die Arbeit aufgenommen wurde, dauerte es wegen der großen Informationsmenge, die gesichtet und kategorisiert werden mußte, bis September 1997, den Teil für Systemadministratoren neu zu schreiben.

[RFC2196] Site Security Handbook / Barbara Y. Fraser (Hrsg.). - Request For Comments 2196. - September 1997.

Da dieser RFC sehr ausführlich sein mußte, wurde ein zweiter RFC geschrieben, der besser auf den Leserkreis der Anwender zugeschnitten werden konnte - das Users' Security Handbook. Nach der Ver"offentlichung hatte die Arbeitsgruppe ihr Ziel erreicht und ihre Tätigkeiten eingestellt.

[RFC2504] [Guttman et al. 1998] Users' Security Handbook / E. Guttman ; L. Leong ; G. Malkin. - Request For Comments 2504. - Februar 1999.

Die GRIP Working Group beschritt Neuland. Ausgehend von der Unzufriedenheit mit verschiedenen Computer-Notfallteams 1994 und 1995 forderte die IETF von den CERTs klare Aussagen über ihre Dienstleistungen. In der Arbeitsgruppe wurde ein Vorlage entworfen, wie am besten die Dienstleistung für alle anderen dargestellt werden kann. Jedes CERT kann seine Informationen anhand dieser Vorlage zusammenstellen und so die Erwartungen, die an das Team gestellt werden, von Anfang an klar bestimmen.

1997 wurde der erste RFC fertiggestellt, die Arbeiten gehen jedoch weiter, da andere Gruppen - vor allem Internet-Service-Provider und Hersteller - bei Vorfällen eine wesentliche Rolle spielen. Besonders wichtig hierbei ist, daß für die Dokumente eine Anerkennung als "Best Current Practice" angestrebt wird.

[RFC2350] Expectations for Computer Security Incident Response / Nevil Brownlee ; Erik Guttman. - Request For Comments 2350. - Juni 1998.

Die Informationen über den aktuellen Stand und den Fortgang der Arbeiten sind im Archiv der Arbeitsgruppe zusammengefaßt:

http://www.kossakowski.de/grip/

[Zurück zum Anfang]

 
 CSIRT Handbook

Ein Computer-Notfallteam allein kann zwar "seiner" Klientel helfen, doch nur in der Zusammenarbeit vieler Teams mit ihren eigenen Bereichen liegt der Schlüssel zum Erfolg. Dazu müssen jedoch genügend Teams, die ihre Arbeit ausreichend dokumentieren, gegründet werden.

Im Sommer 1996 entstand die erste Idee für einen Bericht, der dieses leisten sollte. Moira West-Brown (CERT Coordination Center), Don Stikvoort und Klaus-Peter Kossakowski trafen sich im Laufe des Jahres zum Kick-Off. Noch im Zeitplan wurde im Herbst 1997 die erste Version für das Review fertig und an 20 Personen verschickt.

Da Don Stikvoort und der Autor dieser Seiten zum Ende des Jahres ihre jeweiligen Teams verließen, zog sich Erstellung eines Handbuchs bis in den Sommer 1998 hin.

[West-Brown et al. 1998] Handbook for Computer Security Incident Response Teams (CSIRTs) / Moira J. West-Brown ; Don Stikvoort ; Klaus-Peter Kossakowski. - CMU/SEI-98-HB-001. - Pittsburgh, PA: Carnegie Mellon University, 1998.

© 1998-2001 by Klaus-Peter Kossakowski, Germany.