Klaus-Peter Kossakowski: IT Incident Response Capabilities
|
|||||||||||||||||
Zur Person
|
Struktur der Arbeit
Die Arbeit
|
Teams
|
Konferenzen
|
Bibliographie
Struktur der Arbeit
|
Thesen
|
Abgrenzungen
Schwerpunkt der Arbeit ist die Erweiterung traditioneller
Maßnahmen des Risiko-Managements um die notwendige Reaktion auf
konkrete Angriffe - der Incident Response.
Dabei werden keine Modelle für den Betrieb entsprechender
Computer-Notfallteams entwickelt, weder aus der Sicht der Theorie noch aus
der der Betriebswirtschaft. Eine derartige Modellbildung verbietet sich im
Rahmen der vorliegenen Arbeit, da die bis heute gewonnenen Erkenntnisse vor
allem durch ein "Doing" geprägt sind: Die Praxis steht im Mittelpunkt aller
Betrachtungen. Jedoch ist zu hoffen, daß - ausgehend von dieser in weiten
Teilen deskriptiv angelegten Arbeit - eine Konkretisierung und
Präzisierung der Diskussion stattfindet. Erst dadurch können im Rahmen
betriebswirtschaftlicher Analysen entsprechende Geschäftsmodelle entwickelt
werden. Gleichzeitig muß die Informatik beginnen, die neuen Aspekte des
Risiko-Managements formal zu definieren und durch neue Methoden zu
unterstützen.
Diese Arbeit möchte dafür als Ausgangspunkt und Plattform dienen. Sie
beschreibt das heutige Wissen über Computer-Notfallteams und deren
Dienstleistungen, ihre Vorteile und ihre Probleme. Sie entwickelt darüber
hinaus Perspektiven für die weitere Entwicklung hin zu einer weltweiten
Infrastruktur, für die Bearbeitung von Vorfällen und die Betreuung bei
Angriffen. Gleichzeitig zeigt die Arbeit konkrete Punkte auf, durch die die
weitere Entwicklung vorangetrieben, erleichtert oder ermöglicht werden
kann.
Ziel der Einführung ist es, die aktuelle
Situation in Bezug auf Sicherheitslücken, deren Ursachen und Auswirkungen,
quantitative und qualitative Aussagen zu Angriffen und Schäden sowie die
Grundlagen des Incident Response Konzeptes darzustellen und zu bewerten.
Zusammen mit der Festlegung wichtiger Begriffe wird hierdurch die Basis für
die weitere Behandlung der Thematik in den folgenden Kapiteln geschaffen.
Bereits etablierte
Techniken, Risiken zu bewältigen, gehören zur Ausbildung im Sicherheitsbereich.
Sie beherrschen die heutigen Planungsprozesse, ohne daß in diesen Techniken das
Incident Response Konzept bereits verwirklicht wäre. Um jedoch das Incident
Response Konzept mit seinen Vorteilen verstehen zu können bzw. die Integration
mit bestehenden Techniken sicherzustellen, müssen die traditionell etablierten
Techniken zunächst untersucht werden.
Dabei wird im Rahmen der Arbeit keine detaillierte Risiko-Analyse oder die
Erstellung eines Continuity Plans durchgeführt. Es wird auch nicht auf
technische Sicherungsmaßnahmen eingegangen, die geeignet sind, Angriffe
abzuwehren oder erheblich zu erschweren wie z. B. auf Firewalls, Intrusion
Detection oder Kryptographie.
These ist, daß
Vorfälle (Incidents) immer auftreten werden und daher bewältigt werden
müssen. Traditionelle Maßnahmen des Risiko-Managements zielen auf die
Verhinderung von Einbrüchen bzw. allein auf die "Post-Mortem"-Erkennung
von erfolgreichen Einbrüchen anhand der Log-File-Analyse und geben daher
keine Hilfestellung, wenn die Maßnahmen tatsächlich versagen.
Die bisherigen Ansätze zur Unterstützung Betroffener bei Angriffen und
Sicherheitsproblemen sind ad hoc entstanden und willkürlich gewachsen. Das
grundlegende Konzept ist erfolgreich, jedoch nur schwierig auf neue
Anwendungsumgebungen zu übertragen oder konkret umzusetzen. Synergieeffekte mit
etablierten Techniken gibt es quasi nicht. Durch die Definition geeigneter
Dienstleistungen, die im Zusammenhang mit Vorfällen "Not tun", kann dieses
Manko beseitigt werden. Ausgehend von der Definition notwendiger und
geeigneter Dienstleistungen wird in diesem Kapitel dargestellt, wie die
Prozesse eingebettet und realisiert werden können.
Wie bereits an den
Dienstleistungsangeboten etablierter Computer-Notfallteams abzulesen ist, werden
einzelne Dienste als Teil eines Paketes angeboten. Hierfür gibt es eine Reihe
von Gesichtspunkten, die bei der Aufstellung eines Dienstleistungskataloges
sowie der Definition eines Paketes (für eine bestimmte Constituency) zu
beachten sind.
Mit der Bereitstellung
eines auf die Bedürfnisse der Klientel (Constituency) abgestimmten
Dienstleistungskataloges ist ein wichtiger Schritt erreicht. Allerdings arbeiten
Computer-Notfallteams typischerweise mindestens genauso viel mit anderen Teams
zusammen wie mit Betroffenen oder Verantwortlichen aus der Constituency.
Computer-Notfallteams sind aus verschiedenerlei Gründen auf Informationen und
Kooperation angewiesen, woraus sich insbesondere aufgrund von Anforderungen wie
Reaktionszeit, Vertraulichkeit, Qualität der Aussagen, etc. Besonderheiten
ergeben, die typisch und problematisch zugleich sind. Ausgehend von der
Schnittstellenproblematik zwischen Computer-Notfallteams und der Kooperation
wird der Bogen hin zu einer Infrastruktur aufgezeigt, die eine effiziente und
strukturierte Bearbeitung von Vorfällen und damit in Zusammenhang stehenden
Informationen erlaubt.
In diesem Kapitel soll,
losgelöst von der "technischen" Betrachtungsweise der vorhergehenden Kapitel,
ein Blick "nach draußen" und "von draußen" gewagt werden. Diese
Blickwinkel sind wichtig, da unabhängig von den Fragen der Dienstleistung
zahlreiche Probleme gerade auch in Hinblick auf weltweite und öffentliche Netze
unbeantwortet bleiben. Dies betrifft vor allem folgende Punkte wie
Einflußmöglichkeiten auf die aktuelle Situation, Ausbildung und
Professionalität, Aufbau neuer Teams, Sicherung der Qualität und
Standardisierung der Dienstleistung sowie Auswirkungen des rechtlichen Umfeldes.
Aufgabe des
abschließenden Kapitels ist es, im Rahmen einer Schlußbetrachtung über die
Zukunft des Incident Response Konzeptes zu spekulieren sowie die sich aus dieser
Arbeit ergebende Zielsetzungen für weitere Forschungsarbeiten aufzuzeigen. Auch
werden Punkte angesprochen, die in dieser Arbeit nicht behandelt werden konnten,
obwohl es einen interessanten Zusammenhang zu dem Thema "Incident Response"
gibt.
In den Anhängen sind weiterführende Informationen
zusammengestellt. Zusätzlich zu dem Literaturverzeichnis, das am Ende der
Arbeit zu finden ist, wurden die für das Gebiet der "Incident Response"
relevanten Dokumente in einer kommentierten Bibliographie
erschlossen. Weitere Anhänge beinhalten eine Sammlung von Adressen und
Referenzen
existierender Computer-Notfallteams und Institutionen
sowie die
Programme bisheriger FIRST-Konferenzen. Ferner ist
ein Glossar verwendeter Begriffe aus dem Umfeld von Computer-Notfallteams
und eine Aufstellung der verwendeten Abkürzungen zu finden.
|
||||||||||||||||
Die hier wiedergegebenen Informationen sind der Doktorarbeit
"Information Technology Incident Response Capabilities" entnommen,
die im September 1999 am
Fachbereich Informatik
der Universität Hamburg
vorgelegt wurde.
|
|||||||||||||||||
|
© 1998-2001 by Klaus-Peter Kossakowski, Germany.