OCTAVE - Operational Critical Threat Asset and Vulnerability Evaluation

Die OCTAVE Methode zur Evaluation der IT-Sicherheit von Organisationen wurde an der amerikanischen Carnegie Mellon Universität in Zusammenarbeit mit dem CERT/CC entwickelt. Sie liefert als Ergebnis eine strategische Beurteilung und Planung für Informationssicherheit auf Basis einer Risikoanalyse. Für die Durchführung einer Risikoanalyse gemäß OCTAVE stellt das DFN-CERT entsprechende Formulare in Deutsch zur Verfügung.

DFN-CERT Leitfaden OCTAVE - Wie ist eine eigene Bewertung der IT-Sicherheit möglich?

Grundlage für jede aktive und angemessene Sicherheitsstrategie ist eine Risiko- und Bedrohungsanalyse, in der systematisch die betriebswirtschaftlichen Risiken mit Schwachstellen und Gefährdungen in Beziehung gesetzt werden, um daraus Maßnahmen zur Risikoverminderung bzw. –vermeidung abzuleiten. Dies gilt ganz besonders für den Teilaspekt der Informationssicherheit, der heute immer stärker Einfluss – direkt und indirekt – auf alle anderen Risiken einer Organisation nimmt. Wird überdies eine Zertifizierung auf Grundlage von ISO 27001 oder nach den deutschen BSI-Standards angestrebt, dann ist eine solche Analyse sogar zwingend erforderlich.

Inzwischen haben viele IT-Sicherheitsdienstleister die Durchführung einer Risiko- und Bedrohungsanalyse in ihrem Angebot. Die angewandten Methoden sind jedoch häufig nicht transparent und die zur Anwendung kommenden Maßstäbe unterscheiden sich in der Praxis sehr. Somit ist eine Reproduzierbarkeit oder auch nur Vergleichbarkeit in der Regel nicht gegeben. Allerdings ist auch festzustellen, dass die meisten Organisationen auf die Einbeziehung einer externen Expertise angewiesen sind, da diese über Methoden nicht vorgehalten wird (keine betriebswirtschaftliche Notwendigkeit, eine solche Stelle ständig zu besetzen) und die Erfahrung – dabei vor allem der Erfahrungsschatz aus der praktischen Arbeit in anderen, vergleichbaren Organisationen – herein geholt werden soll. Die Vergleichbarkeit ist auch dann ausschlaggebend, wenn die Ergebnisse verschiedener eigener Risikoanalysen (z. B. aus den Vorjahren) mit einem aktuellen Ergebnis verglichen werden sollen.

Damit für eine Organisation durch die Risikoanalyse und Sicherheitsbewertung ein qualifiziertes Ergebnis erzielt werden kann, müssen alle Beteiligten ihre Stärken in den Sicherheitsprozess mit einbringen. Erwartet wird ja gerade die zielgerichtete Umsetzung von Maßnahmen zur Absicherung kritischer Geschäftsprozesse, Vermeidung von Fehlinvestitionen und insgesamt eine tragfähige Umsetzung einschließlich Budgetplanung. Und dies kann nicht allein durch die IT-Sicherheitsverantwortlichen und technischen Administratoren geleistet werden. In manchen Fällen führen die Diskussionen vor und während der Risikoanalyse auch zu einem grundlegenden Wandel in der Einschätzung von Informationssicherheit. Ausgelöst wird dann gewissermaßen ein Paradigmenwechsel, durch den die Verantwortung für Informationssicherheit insgesamt neu geregelt wird.

Wichtige Erfolgsfaktoren für eine nachhaltige Risikoanalyse sind daher:

  • Anwendung einer einheitlichen und transparenten Methode, mit der durch ein Team übergreifend Risiken und Bedrohungen analysiert werden können, um zu reproduzierbaren und vergleichbaren Ergebnissen zu gelangen.
  • Maßgebliche Beteiligung durch Einforderung einer konkreten inhaltlichen Mitarbeit (Eigenanteil) aller Verantwortlichen, ihren jeweiligen Rollen entsprechend, um Kosten zu senken und die Akzeptanz der Ergebnisse zu erhöhen.
  • Beteiligung aller Entscheidungsebenen in einer Organisation (Management, Vertreter der Fachabteilungen, IT-Sicherheitsverantwortliche  und Administratoren).
  • Einbeziehung externer Expertise mit den Schwerpunkten Technologie, Qualitätssicherung und Moderation, wo dies notwendig ist.
  • Pragmatische Umsetzung der Ergebnisse, nicht nur ein Festhalten an der erfolgten Dokumentation des Ist-Zustands. Hierbei klar trennen zwischen Ad-hoc-Maßnahmen, die sofort umgesetzt werden müssen, wenn ein kritischer Punkt identifiziert wurde, und den kontinuierlichen Maßnahmen.
  • Etablierung von kontinuierlichen Prozessen zur Sicherstellung der Informationssicherheit, d. h. Informationssicherheit als Prozess.

Was unterscheidet OCTAVE von anderen Kriterienwerken bzw. Standards?

OCTAVE steht für „Operationally Critical Threat, Asset, and Vulnerability Evaluation“. Im deutschen kann man dies am besten frei als „Bewertung operativ kritischer Vermögenswerte, Bedrohungen und Schwachstellen“ übersetzen. Die Methode ist frei verfügbar und der Anwender wird mit Formblättern, Checklisten und Moderationsplänen unterstützt. Darüber hinaus wird durch die Anwendung von OCTAVE auch ein Migrationspfad in Richtung ISO 27001 (und damit auch zum BSI-Grundschutz) aufgezeigt. Im Gegensatz zu anderen Methoden kann OCTAVE also auch als Grundlage einer Zertifizierung dienen.

Die OCTAVE Methode liefert als Ergebnis eine strategische Beurteilung und Planung für Informationssicherheit auf Basis einer Risikoanalyse. Dabei wird der Schwerpunkt auf eine betriebswirtschaftliche Analyse der Risiken und Sicherheitsprozesse gelegt, nicht auf eine technologische Basis, wie bei den zuvor genannten Kriterienwerken:

Octave 2

OCTAVE ist grundsätzlich ein selbstgesteuerter Ansatz, mit dem die eigenen Mitarbeiter einer Organisation den Bedürfnissen für Informationssicherheit Rechnung tragen können. Die Umsetzung erfolgt durch ein bereichsübergreifendes Team, das allerdings überschaubar bleiben soll. Um eine wirksame Umsetzung zu realisieren, muss das Team eine gute Kenntnis von den Geschäfts- und Sicherheitsprozessen der Organisation besitzen. Das Team ist für die Durchführung verantwortlich und erhält hierfür ein explizites Mandat des Managements. Das Team sammelt dann alle relevanten Informationen und analysiert diese. Basierend auf den spezifischen betriebswirtschaftlichen Risiken der Organisation wird dann eine Sicherheitsstrategie entwickelt.

Obwohl OCTAVE grundsätzlich ein selbstgesteuerter Ansatz ist, wirkt sich in vielen Fällen eine Unterstützung durch Dritte vorteilhaft aus. Eine Einführung in die Methodik, die Schulung bzw. ein Coaching des OCTAVE Teams und letztendlich der KnowHow-Transfer tragen wesentlich zur Steigerung der Effizienz bei und ermöglichen darüber hinaus ein Benchmarking. Relevant ist auch die Abdeckung speziellen Know-Hows, das innerhalb der Organisation nicht unbedingt vorhanden sein muss. Diese und weitere Dienstleistungen können durch das DFN-CERT erbracht werden.

Weitere Informationen zum Ablauf einer OCTAVE-Analyse finden Sie hier.

Leistungen des DFN-CERT

Für die Durchführung einer Risikoanalyse gemäß OCTAVE stellt das DFN-CERT entsprechende Formulare in Deutsch zur Verfügung. Folgende Unterlagen werden registrierten DFN-Anwendern von uns in deutscher Sprache zur Verfügung gestellt:

  • Checklisten und Arbeitsblätter
  • Dokumentation
  • Beispiel

Es handelt sich dabei nicht um eine wörtliche Übersetzung der amerikanischen Fassung, sondern um eine angemessene Umsetzung der Vorgehensweise. Ebenso werden ausschließlich die in Deutschland gebräuchlichen Fachbegriffe verwendet, um dem Anwender den Einstieg zu erleichtern und einen fließenden Übergang zu den BSI Standards zu ermöglichen. Im Hinblick auf eine mögliche ISO 27001 Zertifizierung wurden auch die Themenbereiche neu strukturiert und der internationalen Norm angepasst. Im Rahmen eines Pilotprojekts haben verschiedene Organisationen die OCTAVE-Arbeitsblätter des DFN-CERT verwendet. Das Feedback wurde entsprechend in die Arbeitsblätter eingearbeitet. Unser Angebot wird durch einen Workshop abgerundet, der eine „Einführung in die Risikoanalyse auf Basis von OCTAVE“ gibt.

Kontakt zum DFN-CERT

Wenn Sie Interesse an der Durchführung einer OCTAVE-Analyse oder weitere Informationen erhalten möchten, dann schicken Sie bitte eine Mail an octave@dfn-cert.de