OCTAVE - Operational Critical Threat Asset and Vulnerability Evaluation

Die OCTAVE Methode zur Evaluation der IT-Sicherheit von Organisationen wurde an der amerikanischen Carnegie Mellon Universität in Zusammenarbeit mit dem CERT/CC entwickelt. Sie liefert als Ergebnis eine strategische Beurteilung und Planung für Informationssicherheit auf Basis einer Risikoanalyse. Für die Durchführung einer Risikoanalyse gemäß OCTAVE stellt das DFN-CERT entsprechende Formulare in Deutsch zur Verfügung.

DFN-CERT Leitfaden OCTAVE - Wie ist eine eigene Bewertung der IT-Sicherheit möglich?

Grundlage für jede aktive und angemessene Sicherheitsstrategie ist eine Risiko- und Bedrohungsanalyse, in der systematisch die betriebswirtschaftlichen Risiken mit Schwachstellen und Gefährdungen in Beziehung gesetzt werden, um daraus Maßnahmen zur Risikoverminderung bzw. –vermeidung abzuleiten. Dies gilt ganz besonders für den Teilaspekt der Informationssicherheit, der heute immer stärker Einfluss – direkt und indirekt – auf alle anderen Risiken einer Organisation nimmt. Wird überdies eine Zertifizierung auf Grundlage von ISO 27001 oder nach den deutschen BSI-Standards angestrebt, dann ist eine solche Analyse sogar zwingend erforderlich.

Inzwischen haben viele IT-Sicherheitsdienstleister die Durchführung einer Risiko- und Bedrohungsanalyse in ihrem Angebot. Die angewandten Methoden sind jedoch häufig nicht transparent und die zur Anwendung kommenden Maßstäbe unterscheiden sich in der Praxis sehr. Somit ist eine Reproduzierbarkeit oder auch nur Vergleichbarkeit in der Regel nicht gegeben. Allerdings ist auch festzustellen, dass die meisten Organisationen auf die Einbeziehung einer externen Expertise angewiesen sind, da diese über Methoden nicht vorgehalten wird (keine betriebswirtschaftliche Notwendigkeit, eine solche Stelle ständig zu besetzen) und die Erfahrung – dabei vor allem der Erfahrungsschatz aus der praktischen Arbeit in anderen, vergleichbaren Organisationen – herein geholt werden soll. Die Vergleichbarkeit ist auch dann ausschlaggebend, wenn die Ergebnisse verschiedener eigener Risikoanalysen (z. B. aus den Vorjahren) mit einem aktuellen Ergebnis verglichen werden sollen.

Damit für eine Organisation durch die Risikoanalyse und Sicherheitsbewertung ein qualifiziertes Ergebnis erzielt werden kann, müssen alle Beteiligten ihre Stärken in den Sicherheitsprozess mit einbringen. Erwartet wird ja gerade die zielgerichtete Umsetzung von Maßnahmen zur Absicherung kritischer Geschäftsprozesse, Vermeidung von Fehlinvestitionen und insgesamt eine tragfähige Umsetzung einschließlich Budgetplanung. Und dies kann nicht allein durch die IT-Sicherheitsverantwortlichen und technischen Administratoren geleistet werden. In manchen Fällen führen die Diskussionen vor und während der Risikoanalyse auch zu einem grundlegenden Wandel in der Einschätzung von Informationssicherheit. Ausgelöst wird dann gewissermaßen ein Paradigmenwechsel, durch den die Verantwortung für Informationssicherheit insgesamt neu geregelt wird.

Wichtige Erfolgsfaktoren für eine nachhaltige Risikoanalyse sind daher:

  • Anwendung einer einheitlichen und transparenten Methode, mit der durch ein Team übergreifend Risiken und Bedrohungen analysiert werden können, um zu reproduzierbaren und vergleichbaren Ergebnissen zu gelangen.
  • Maßgebliche Beteiligung durch Einforderung einer konkreten inhaltlichen Mitarbeit (Eigenanteil) aller Verantwortlichen, ihren jeweiligen Rollen entsprechend, um Kosten zu senken und die Akzeptanz der Ergebnisse zu erhöhen.
  • Beteiligung aller Entscheidungsebenen in einer Organisation (Management, Vertreter der Fachabteilungen, IT-Sicherheitsverantwortliche  und Administratoren).
  • Einbeziehung externer Expertise mit den Schwerpunkten Technologie, Qualitätssicherung und Moderation, wo dies notwendig ist.
  • Pragmatische Umsetzung der Ergebnisse, nicht nur ein Festhalten an der erfolgten Dokumentation des Ist-Zustands. Hierbei klar trennen zwischen Ad-hoc-Maßnahmen, die sofort umgesetzt werden müssen, wenn ein kritischer Punkt identifiziert wurde, und den kontinuierlichen Maßnahmen.
  • Etablierung von kontinuierlichen Prozessen zur Sicherstellung der Informationssicherheit, d. h. Informationssicherheit als Prozess.

Was unterscheidet OCTAVE von anderen Kriterienwerken bzw. Standards?

OCTAVE steht für „Operationally Critical Threat, Asset, and Vulnerability Evaluation“. Im deutschen kann man dies am besten frei als „Bewertung operativ kritischer Vermögenswerte, Bedrohungen und Schwachstellen“ übersetzen. Die Methode ist frei verfügbar und der Anwender wird mit Formblättern, Checklisten und Moderationsplänen unterstützt. Darüber hinaus wird durch die Anwendung von OCTAVE auch ein Migrationspfad in Richtung ISO 27001 (und damit auch zum BSI-Grundschutz) aufgezeigt. Im Gegensatz zu anderen Methoden kann OCTAVE also auch als Grundlage einer Zertifizierung dienen.

Die OCTAVE Methode liefert als Ergebnis eine strategische Beurteilung und Planung für Informationssicherheit auf Basis einer Risikoanalyse. Dabei wird der Schwerpunkt auf eine betriebswirtschaftliche Analyse der Risiken und Sicherheitsprozesse gelegt, nicht auf eine technologische Basis, wie bei den zuvor genannten Kriterienwerken:

Octave 2

OCTAVE ist grundsätzlich ein selbstgesteuerter Ansatz, mit dem die eigenen Mitarbeiter einer Organisation den Bedürfnissen für Informationssicherheit Rechnung tragen können. Die Umsetzung erfolgt durch ein bereichsübergreifendes Team, das allerdings überschaubar bleiben soll. Um eine wirksame Umsetzung zu realisieren, muss das Team eine gute Kenntnis von den Geschäfts- und Sicherheitsprozessen der Organisation besitzen. Das Team ist für die Durchführung verantwortlich und erhält hierfür ein explizites Mandat des Managements. Das Team sammelt dann alle relevanten Informationen und analysiert diese. Basierend auf den spezifischen betriebswirtschaftlichen Risiken der Organisation wird dann eine Sicherheitsstrategie entwickelt.

Obwohl OCTAVE grundsätzlich ein selbstgesteuerter Ansatz ist, wirkt sich in vielen Fällen eine Unterstützung durch Dritte vorteilhaft aus. Eine Einführung in die Methodik, die Schulung bzw. ein Coaching des OCTAVE Teams und letztendlich der KnowHow-Transfer tragen wesentlich zur Steigerung der Effizienz bei und ermöglichen darüber hinaus ein Benchmarking. Relevant ist auch die Abdeckung speziellen Know-Hows, das innerhalb der Organisation nicht unbedingt vorhanden sein muss. Diese und weitere Dienstleistungen können durch das DFN-CERT erbracht werden.

Weitere Informationen zum Ablauf einer OCTAVE-Analyse finden Sie hier.

Leistungen des DFN-CERT

Unterlagen zu OCTAVE

Für die Durchführung einer Risikoanalyse gemäß OCTAVE stellt das DFN-CERT entsprechende Formulare in Deutsch zur Verfügung. Folgende Unterlagen werden registrierten DFN-Anwendern von uns in deutscher Sprache zur Verfügung gestellt:

  • OCTAVE - Arbeitsblätter
  • Ausführlicher OCTAVE-Leitfaden

Es handelt sich dabei nicht um eine wörtliche Übersetzung der amerikanischen Fassung, sondern um eine angemessene Umsetzung der Vorgehensweise. Ebenso werden ausschließlich die in Deutschland gebräuchlichen Fachbegriffe verwendet, um dem Anwender den Einstieg zu erleichtern und einen fließenden Übergang zu den BSI Standards zu ermöglichen. Im Hinblick auf eine mögliche ISO 27001 Zertifizierung wurden auch die Themenbereiche neu strukturiert und der internationalen Norm angepasst. Im Rahmen eines Pilotprojekts haben verschiedene Organisationen die OCTAVE-Arbeitsblätter des DFN-CERT verwendet. Das Feedback wurde entsprechend in die Arbeitsblätter eingearbeitet.

OCTAVE-Tutorium

Das DFN-CERT bietet zweimal pro Jahr ein eintägiges Tutorium "Risiko- und Bedrohungsanalyse mit der OCTAVE-Methode" an.Primäre Zielgruppe sind die Verantwortlichen für das Risiko- und IT-Sicherheitsmanagement einer Institution, die entweder selbst oder mit Unterstützung eine solche Analyse durchführen wollen und sich hierbei für die Verwendung von OCTAVE interessieren. Darüber hinaus besteht die Möglichkeit, individuelle Termine in Hamburg oder vor Ort zu vereinbaren, um die Mitglieder von Analyseteams und insbesondere die Leitungspersonen eines solchen Teams mit der Vorgehensweise vertraut zu machen und bei der Aufnahme der Tätigkeiten zu unterstützen.

Begleitung der Analyse durch das DFN-CERT

Die Vorbereitung und Moderation von Workshops vor Ort, Begleitung des Prozesses und die Aufbereitung von Ergebnissen kann durch das DFN-CERT alleine oder im Verbund mit Partnern unterstützt werden. Bei der Begleitung einer Risikoanalyse durch das DFN-CERT ist es uns besonders wichtig, die langfristige und nachhaltige Etablierung von Schlüsselprozessen zu fördern. Hierzu engagieren wir uns nachdrücklich in der Kommunikation mit den Verantwortlichen, so dass die für Informationssicherheit zuständigen Administratoren eine Stärkung ihrer Rolle sowie ein größeres Bewusstsein bei den Entscheidern erfahren. Wie die Erfahrung zeigt, ist dies für eine vertrauenswürdige, externe Stelle oft leichter möglich. Natürlich bleiben begrenzende Faktoren – zum Beispiel Ressourcen und Budgets – weiterhin bestehen.
Der Ansatz des DFN-CERT ist wie immer auf die „Hilfe zur Selbsthilfe“ ausgerichtet und konzentriert sich daher auf die Begleitung des eingesetzten Teams und die Zuarbeit in den Bereichen, in denen seine Expertise gefragt ist. Daraus ergibt sich als Konsequenz, dass die beauftragende Einrichtung intensiv das Thema bearbeitet und entsprechendes Knowhow aufbaut. Für die Planung und Durchführung einer Risikoanalyse nach OCTAVE wird ein Zeitraum von mindestens 12 Wochen angesetzt.
Auf Grundlage der im Pilotprojekt gemachten Erfahrungen haben wir drei Dienstleistungspakete zusammengestellt, um den unterschiedlichen Anforderungen der Institutionen gerecht zu werden. Darüber hinaus gibt es die Möglichkeit, die Erarbeitung spezieller Inhalte auf individueller Basis zu vereinbaren.

  • Leistungspaket 1

Im Rahmen dieses Leistungspakets wird das Analyseteam bei der Planung und Vorbereitung des Projekts, sowie bei der Aufbereitung der Ergebnisse durch einen Mitarbeiter vom DFN-CERT vor Ort unterstützt. Die Durchführung der Risikoanalyse erfolgt in Eigenregie durch das Analyseteam. Das DFN-CERT übernimmt das Review der in den einzelnen Arbeitsschritten erstellten Dokumente und trägt durch eine Kommentierung, Klärung von offenen Fragestellungen und Bearbeitung von Teilaspekten zu einem erfolgreichen Projektergebnis bei. Darüber hinaus stehen die Mitarbeiter während der Projektlaufzeit telefonisch oder per E-Mail für Rückfragen zur Verfügung.

  • Leistungspaket 2

Dieses Leistungspaket entspricht hinsichtlich der Vorbereitungsphase, Projektabschluss und Support dem Vorgehen beim Leistungspaket 1. Jedoch  führt ein Mitarbeiter vom DFN-CERT die eigentliche Risikoanalyse gemeinsam mit den Mitgliedern des Analyseteams in fünf Workshops vor Ort durch.

  • Leistungspaket 3

In vielen Fällen ist es sinnvoll, die Evaluation und Verbesserung der eigenen Informationssicherheit in einer Organisation durch standardisierte, technische Prüfverfahren zu erweitern. Das DFN-CERT setzt neben der Hilfe bei der Reaktion auf Sicherheitsvorfälle gerade auf die vorbeugende Unterstützung bei der Durchführung und Verbesserung von Sicherheitsmaßnahmen, bietet aber auch individuelle Beratung und Unterstützung an. Dieses OCTAVE-Leistungspaket beinhaltet eine individuelle Systemanalyse vor Ort inklusive eines lokalen Penetrations-Tests (nur Standard-Systeme, d.h. Laptops, Clients, Server, keine SAP-Systeme, Hosts oder TK-Anlagen). Die dabei gewonnenen Erkenntnisse und Bewertungen ermöglichen es, die OCTAVE-Schritte S2.3 (Identifizierung von Bedrohungen) sowie S3.1 (Ermittlung der Zugangswege zu den kritischen Werten) und insbesondere S3.2 (Analyse der technischen Prozesse) mit fundierten und aktuellen Informationen zu füllen.
Zusätzlich wird eine Liste von Adhoc-Maßnahmen erstellt, die von der Organisation zur Aufrechterhaltung der IT-Sicherheit direkt umgesetzt werden muss bzw. es wird ermittelt, ob neue, zusätzliche Sicherheitsmaßnahmen eingesetzt werden müssen, um die Ausnutzung von existierenden und bisher nicht ausreichend abgedeckten Schwachstellen zu verhindern.
Außerdem wird auf systematische Fehler beim Betrieb der Systeme, soweit diese erkennbar sind, besonders eingegangen, um eine Anpassung der Prozesse vor Ort zu unterstützen. Die technische Analyse beinhaltet ein Kick-Off-Meeting zum Festlegen des Umfangs und der weiteren Vorgehensweise und wird mit einer Ergebnispräsentation und einem Bericht abgeschlossen.
Dieses Paket bietet sich vor allem in der Ergänzung zum Paket 2 an, zumal in diesem Fall die Präsentation im Rahmen des Workshops 4 erfolgen kann und hierdurch Aufwände eingespart werden.
Der OCTAVE-Anwender erhält somit detaillierte Informationen über den aktuellen Sicherheitszustand seiner IT-Systeme, ohne das hierfür das Expertenwissen über Prüfung und Bewertung vor Ort verfügbar sein müsste. Dadurch kann, abgesehen davon, dass die Informationen an sich wertvoll für die Organisation sind, sich das OCTAVE-Team auf die anderen Phasen und Schritte konzentrieren und somit effektiver arbeiten.

Weitere Informationen zum Ablauf einer OCTAVE-Analyse finden Sie hier.

Kontakt zum DFN-CERT

Wenn Sie Interesse an der Durchführung einer OCTAVE-Analyse oder weitere Informationen erhalten möchten, dann schicken Sie bitte eine Mail an octave@dfn-cert.de