Zur Person
Größere Projekte
Seit der Gründung des ersten CERTs im Dezember 1988 gab es weltweit tausende von Sicherheitsvorfällen bei Rechnern und
Netzwerken. Um den damit verbundenen Bedrohungen zu begegnen, arbeiten
zahlreiche staatliche und private Organisationen auf allen fünf Kontinenten zusammen, um Informationen
auszutauschen und die Bewältigung von Vorfällen zu koordinieren.
Der Zusammenschluß dieser Organisationen, bekannt als FIRST, Forum of
Incident Response and Security Teams,
verbindet eine Vielzahl von
Computer-Notfallteams aus Verwaltung, Wirtschaft und Forschung sowie
Hersteller, Telekommunikations- und Internet-Service-Anbieter. FIRST mit heute mehr als 95 Mitgliedern
setzt es sich zum Ziel, deren Arbeit zu koordinieren und zu optimieren. Außerdem will man die Qualität der Dienstleistungen
und den Informationsaustausch verbessern. Nächstes großes Ereignis ist die
Weltkonferenz im
Juni 2002 auf Hawaii, USA.
Durch die Mitarbeit bei verschiedenen Task-Forces sowie durch Mitarbeit im
Programmkomitee sowie der Organisation von Podiumsdiskussionen
auf den Konferenzen unterstützt Klaus-Peter Kossakowski die
Arbeit von FIRST.
Außerdem wurde er 1997 in das Steering Committee gewählt und
1999 und 2001 in dieser Funktion auf zwei weitere Jahre wiedergewählt.
Seit 1992 wurden auch in Europa
immer mehr Computer-Notfall-Teams gegründet. Dabei erkannte man
die Notwendigkeit zu stärkerer Kooperation und Koordination.
Von herausragender Bedeutung ist die Bereitstellung von Kontaktinformationen.
Daher riefen u. a. Don Stikvoort (NL, vormals CERT-NL) und Klaus-Peter
Kossakowski eine Initiative ins Leben, die europäische
FIRST-Mitglieder und andere Interessierte zusammenführte.
Konsens war, daß in Europa kein neues FIRST notwendig sei. Spezifische
europäische Interessen sollten aber in einem eigenen Forum diskutiert
werden.
Aus der informellen Zusammenarbeit definierte eine
Task Force "CERTs in Europe"
die Anforderungen für das europäische CERT Coordination
Center, das von 1997 bis zum Herbst 1999
einen Pilotbetrieb zur
Verfügung stellte.
Ab Herbst 1999 werden die verschiedenen unterstützenden Funktionen
für Incident Response Teams durch die freiwillige Zusammenarbeit
im Rahmen der TERENA Working Group
CERT-COORD erbracht.
Inzwischen ist aus der freiwilligen Zusammenarbeit eine TERENA Task
Force (TF-CSIRT)
geworden. Ein erstes Ergebnis dieser Task Force ist TI - das europäische
CSIRT Verzeichnis (siehe im nächsten Abschnitt).
Ursprünglich war das "Web of Trust" zwischen verschiedenen CSIRTs
auf persönliche Kontakte der Mitarbeiter angewiesen. Doch mit der
Zunahme der Teams und häufigeren Wechseln bei den Mitarbeitern
wird diese Basis zunehmend unwichtiger. Die Einführung neuer Teams
durch "alte" Teams hat sich auch als schwierig erwiesen und skaliert
vor allem nicht.
Um in dieser Situation Abhilfe zu schaffen, wurde der "Trusted Introducer (TI)
Service" entwickelt. Das TI-Team sammelt detaillierte Informationen über
die verschiedenen CSIRTs und - wenn diese Informationen umfassend und aktuell
sind und von dem CSIRT die weitere Aktualisierung sichergestellt wird -
stuft gegebenenfalls einzelne CSIRTs als "Level 2" ein. Das ist natürlich
noch keine Garantie dafür, daß dieses Team in das "Web of Trust"
aufgenommen wird, aber es schafft zumindest eine objektivere Basis als
alle anderen verf&uuuml;gbaren Alternativen.
Mit den Worten des des originalen TI Berichtes, in dem der Service definiert
wurde:
Nachzulesen ist das alles in:
Seit dem 1. September 2000 "läuft" der Service, mehr Informationen unter
Mehr als 18 Jahre später sind fast 400 Teams bei TI registriert und mit SIM3
gibt es ein Zertifizierungsverfahren, das die Gedanken des Listings und der Akkreditierung
weiter treibt.
Forum of Incident Response and Security Teams - FIRST
CSIRTs in Europa
TI - the European CSIRT Directory
[...] "an empirical approach towards trust inside the European Incident Response scene � the
replacement of trust by expectations: used for introducing new teams into the scene and
stimulate existing ones to maintain their offerings."
[Kossakowski, Stikvoort 2000]
A Trusted CSIRT Introducer in Europe - An empirical approach towards
trust inside the European Incident Response scene - the replacement of trust
by expectations / Klaus-Peter Kossakowski ; Don Stikvoort.
- Amersfoort, NL: M&I/Stelvio, 2000.
- [Commissioned by TERENA]
https://www.trusted-introducer.org
IETF Arbeitsgruppen SSH und GRIP
|
IETF RFC |
Die SSH Working Group hatte das Ziel, den
RFC 1244
- das besagte Site Security Handbook aus dem Jahr 1991 - zu
aktualisieren:
Neben den vielen Standardisierungsbemühungen der
IETF (Internet Engineering Task Force)
im Bereich der Protokolle und Anwendungen werden andere Themen behandelt.
Zwei Arbeitsgruppen, in denen Klaus-Peter Kossakowski seit 1995 - u. a.
als Co-Chair bzw. Contributing Author - tätig ist, sind SSH
(Site Security Handbook) und GRIP (Guidelines and Recommendations for
Incident Processing).
[RFC1244]
Site Security Handbook / P. Holbrook ; J. Reynolds (Hrsg.).
- Request For Comments 1244 / For Your Information 8.
- Juli 1991.
Da dieser RFC sehr ausführlich sein mußte, wurde ein zweiter
RFC geschrieben, der besser auf den Leserkreis der Anwender zugeschnitten
werden konnte - das Users' Security Handbook. Nach der Ver"offentlichung
hatte die Arbeitsgruppe ihr Ziel erreicht und ihre Tätigkeiten
eingestellt.
Die GRIP Working Group beschritt Neuland. Ausgehend von der
Unzufriedenheit mit verschiedenen Computer-Notfallteams 1994 und 1995
forderte die IETF von den CERTs klare Aussagen über ihre
Dienstleistungen. In der Arbeitsgruppe wurde ein Vorlage entworfen,
wie am besten die Dienstleistung für alle anderen dargestellt
werden kann. Jedes CERT kann seine Informationen anhand dieser
Vorlage zusammenstellen und so die Erwartungen, die an das Team
gestellt werden, von Anfang an klar bestimmen.
1997 wurde der erste RFC fertiggestellt, die Arbeiten gehen jedoch
weiter, da andere Gruppen - vor allem Internet-Service-Provider und
Hersteller - bei Vorfällen eine wesentliche Rolle spielen.
Besonders wichtig hierbei ist, daß für die Dokumente
eine Anerkennung als "Best Current Practice" angestrebt wird.
Die Informationen über den aktuellen Stand und den Fortgang
der Arbeiten sind im Archiv der Arbeitsgruppe zusammengefaßt:
Nachdem Ende 1995 die Arbeit aufgenommen wurde, dauerte es wegen der
großen
Informationsmenge, die gesichtet und kategorisiert werden mußte,
bis September 1997, den Teil für Systemadministratoren neu
zu schreiben.
[RFC2196]
Site Security Handbook / Barbara Y. Fraser (Hrsg.).
- Request For Comments 2196.
- September 1997.
[RFC2504]
[Guttman et al. 1998]
Users' Security Handbook / E. Guttman ; L. Leong ; G. Malkin.
- Request For Comments 2504.
- Februar 1999.
[RFC2350]
Expectations for Computer Security Incident Response /
Nevil Brownlee ; Erik Guttman.
- Request For Comments 2350.
- Juni 1998.
http://www.kossakowski.de/grip/
![[Zurück zum Anfang]](arrow-u.jpg){kind=icon}
Ein Computer-Notfallteam allein kann zwar "seiner" Klientel helfen,
doch nur in der Zusammenarbeit vieler Teams mit ihren eigenen
Bereichen liegt der Schlüssel zum Erfolg. Dazu müssen jedoch
genügend Teams, die ihre Arbeit ausreichend dokumentieren,
gegründet werden.
Im Sommer 1996 entstand die erste Idee für einen Bericht, der
dieses leisten sollte. Moira West-Brown (CERT Coordination Center),
Don Stikvoort und Klaus-Peter Kossakowski trafen sich im Laufe des
Jahres zum Kick-Off. Noch im Zeitplan wurde im Herbst 1997 die erste
Version für das Review fertig und an 20 Personen verschickt.
Da Don Stikvoort und der Autor dieser Seiten zum Ende des Jahres ihre
jeweiligen Teams verließen, zog sich Erstellung eines Handbuchs
bis in den Sommer 1998 hin.
CSIRT Handbook
[West-Brown et al. 1998]
Handbook for Computer Security Incident Response Teams (CSIRTs) /
Moira J. West-Brown ; Don Stikvoort ; Klaus-Peter Kossakowski.
- CMU/SEI-98-HB-001.
- Pittsburgh, PA: Carnegie Mellon University, 1998.