Ablauf einer OCTAVE-Analyse

Bei der OCTAVE Methode werden die folgenden Phasen unterschieden:

I. Ermittlung von Bedrohungsprofilen für Werte, die an Informationsverarbeitung und IT festzumachen sind
II. Identifizierung von Schwachstellen in der IT-Infrastruktur
III. Entwicklung der IT-Sicherheitsstrategie und deren Umsetzung

Diese Prozesse untergliedern sich, je nach Größe der Organisation, in fünf bis acht Schritte und weitere, nachgeordnete Aktivitäten. Dabei werden wichtige Vermögenswerte1 zu Objekten zusammengefasst. Ein Objekt kann dabei ein komplexes IT-System sein, wobei die technischen Einzelheiten (u. a. Server, Netzwerk, Arbeitsplätze) zunächst nicht im Vordergrund stehen. Allerdings werden auch Geschäftsprozesse, Verfahren oder Anweisungen als Objekte angesehen und behandelt, es geht also insgesamt um eine ganzheitliche Betrachtung.

Phase I: Ermittlung von Bedrohungsprofilen für Werte, die an Informationsverarbeitung und IT festzumachen sind

Der Schwerpunkt der ersten Phase liegt in der Auswertung der organisatorischen Aspekte. Zunächst definiert das Team die Bewertungskriterien, die später verwendet werden, um Risiken zu beurteilen. Anschließend werden die wichtigen Vermögenswerte identifiziert, in Objekten zusammengefasst und die aktuellen Sicherheitsmaßnahmen evaluiert.
Die Aufgaben werden allein vom Team durchgeführt, zusätzliche Informationen werden nur eingeholt, wenn es erforderlich ist. Aus den wichtigen Vermögenswerten oder Geschäftsprozessen werden dann hinsichtlich ihrer Bedeutung für die Organisation drei bis fünf ausgewählt und dann im Detail analysiert. Zuletzt definiert das Team die Sicherheitsanforderungen und definiert ein Bedrohungsprofil für jeden kritischen Vermögenswert.
Die OCTAVE Methode wurde entwickelt, um den Einstieg in eine strategische Beurteilung und Planung von Informationssicherheit zu unterstützen. Dabei wird bewusst darauf verzichtet, bei der ersten Anwendung von OCTAVE alle Vermögenswerte zu analysieren, dies muss im Rahmen des kontinuierlichen Sicherheitsprozesses nachgezogen werden.
Wichtige Fragestellungen in dieser Phase sind:

  • Welches sind die kritischen Vermögenswerte?
  • In welcher Beziehung stehen die Vermögenswerte zueinander?
  • Was sind die spezifischen Bedrohungen?
  • Was wird bereits unternommen, um diese Werte zu schützen?

Phase II: Identifizierung von Schwachstellen in der IT-Infrastruktur

Während dieser Phase erfasst das Analyseteam die IT-Infrastruktur, die in Bezug zu den kritischen Vermögenswerten steht. Der Schwerpunkt liegt dabei auf den Sicherheitsmaßnahmen, die durch die Betreiber der Infrastruktur getroffen worden sind.
Das Analyseteam ermittelt zuerst, wie die Mitarbeiter die IT-Infrastruktur nutzen, wenn auf kritische Vermögenswerte zugegriffen wird. Dies beinhaltet die Identifizierung der Schlüsselkomponenten und die für die Konfiguration und Betrieb verantwortlichen Personen.
Abschließend wird analysiert, ob durch die verantwortlichen Personen Sicherheitsmaßnahmen technisch umgesetzt wurden.
Wichtige Fragestellungen in dieser Phase sind:

  • Wie greifen die Mitarbeiter auf die kritischen Vermögenswerte zu?
  • Welche Komponenten der technischen Infrastruktur sind den kritischen Vermögenswerten zuzuordnen?
  • Was sind die technischen Schwachstellen?

Phase III: Entwicklung der Sicherheitsstrategie und deren Umsetzung

In der dritten Phase erfolgt eine Risikoanalyse auf Grundlage der vorangegangen Phase. Es werden die Schadenswirkungen und Eintrittswahrscheinlichkeiten der identifizierten Bedrohungen abgeschätzt. Darauf aufbauend wird eine Schutzstrategie für die kritischen Vermögenswerte entwickelt.
Anschließend werden geeignete Sicherheitsmaßnahmen ausgewählt und ein Umsetzungsplan erstellt.
Wichtige Fragestellungen in dieser Phase sind:

  • Was sind die Auswirkungen im Schadensfall?
  • Welche Maßnahmen werden benötigt, um den Bedrohungen entgegenzuwirken?
  • Welche Maßnahmen müssen unverzüglich / mittelfristig / langfristig ergriffen werden?
  • Welche Veränderungen sind im Sicherheitsmanagement erforderlich, um die Informationssicherheit kontinuierlich sicher zu stellen?

Auch wenn OCTAVE lediglich zum Zweck der Risikoanalyse eingesetzt wird, erhält man durch die ermittelten und bewerteten Risiken eine übersichtliche Informationsbasis, mit der  Fehlinvestitionen vermieden und Maßnahmen zielgerichtet umgesetzt werden können. In der letzten OCTAVE Phase wird zudem eine Strategie zur Unterstützung des zukünftigen Risikomanagement ausgearbeitet. Hiermit wird die wichtigste Grundlage für die Etablierung eines strategisch ausgerichteten IT-Sicherheitsmanagements bereitgestellt, ohne das ein Risikomanagement nicht möglich ist.

Kontakt zum DFN-CERT

Wenn Sie Interesse an der Durchführung einer OCTAVE-Analyse oder weitere Informationen erhalten möchten, dann schicken Sie bitte eine Mail an octave@dfn-cert.de