OCTAVE-Risikomanagement: Umfassende Methode zur Identifizierung und Steuerung von Informationssicherheitsrisiken

Die Bedeutung der Informationssicherheit in der digitalen Welt von heute ist für Unternehmen unbestreitbar. Um Risiken effektiv zu managen, ist der Einsatz einer geeigneten Risikobewertungsmethode entscheidend. In diesem Artikel dreht sich alles um die OCTAVE-Risikomanagementmethode. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) hat sich als wertvolles Instrument für das Risikomanagement in Organisationen etabliert.

Was ist OCTAVE-Risikomanagement?

Entwickelt vom Software Engineering Institute (SEI) der Carnegie Mellon University, ist OCTAVE eine Methode zur Risikobewertung im Bereich der Informationssicherheit. OCTAVE legt besonderen Wert darauf, dass die Mitarbeiter innerhalb einer Organisation am besten wissen, welche Sicherheitsanforderungen notwendig sind und welche Risiken vorliegen.
Es gibt viele Frameworks und Methoden für das Risikomanagement, aber OCTAVE bietet einen umfassenderen Ansatz. OCTAVE betrachtet alle Systeme, Anwendungen und Geschäftsprozesse innerhalb einer Organisation.

Die verschiedenen OCTAVE-Methoden: OCTAVE, OCTAVE-S und OCTAVE Allegro

Es gibt drei unterschiedliche OCTAVE-Methoden für den öffentlichen Gebrauch: OCTAVE, OCTAVE-S und OCTAVE Allegro. Jede Methode hat eine breite Anwendbarkeit. Organisationen sollten jedoch den Ansatz wählen, der am besten zu ihren Anforderungen für die Bewertung von Informationssicherheitsrisiken passt.

OCTAVE

Die OCTAVE-Methode richtet sich an große Organisationen mit 300 oder mehr Mitarbeitern und wird in Workshops durchgeführt. Sie besteht aus drei Phasen und wurde für Organisationen mit mehrschichtiger Hierarchie entwickelt, die zudem noch ihre eigene IT-Infrastruktur betreiben und Schwachstellenbewertungen durchführen können.

OCTAVE-S

OCTAVE-S ist für Organisationen mit etwa 100 oder weniger Mitarbeitern konzipiert und wird von einem Analyseteam durchgeführt, das über umfangreiches Wissen über die Organisation verfügt. Im Gegensatz zur OCTAVE-Methode ist OCTAVE-S stärker strukturiert und erfordert eine weniger umfangreiche Untersuchung der Informationsinfrastruktur.

OCTAVE Allegro

OCTAVE Allegro konzentriert sich hauptsächlich auf Informationsvermögenswerte im Kontext ihrer Nutzung, Speicherung, Transport und Verarbeitung sowie ihrer Anfälligkeit für Bedrohungen, Schwachstellen und Störungen. Diese Methode besteht aus acht Schritten, die in vier Phasen organisiert sind und sowohl in einem Workshop-ähnlichen Umfeld als auch von Einzelpersonen ohne umfangreiche organisatorische Beteiligung durchgeführt werden können.
In diesem Beitrag betrachten wir OCTAVE Allegro näher.

OCTAVE Allegro: Vier Phasen, acht Schritte

Die OCTAVE-Methodik umfasst acht aufeinander aufbauende Schritte, die in vier Phasen unterteilt sind:

Phase 1: Bestimmende Faktoren festlegen

Schritt 1: Kriterien zur Risikomessung etablieren.
In dieser Phase geht es darum, die Methoden und Bewertungskriterien für die Risikoanalyse innerhalb einer Organisation zu entwickeln und zu definieren. OCTAVE setzt auf eine qualitative Bewertungsweise und Messungen, ermöglicht jedoch den Einsatz quantitativer Verfahren für spezifische Elemente des gesamten Prozesses, wie etwa die Ermittlung von Eintrittswahrscheinlichkeiten und Folgen.

Phase 2: Vermögenswert-Profile erstellen

Schritt 2: Profil für Informationsvermögenswerte anlegen.
Während dieses Schrittes erarbeitet die Organisation ein Profil für ihre Vermögenswerte, welches eine Sammlung von Informationen umfasst, die den jeweiligen Vermögenswert charakterisieren – darunter zählen Aspekte wie Eigenschaften, Prioritäten, Auswirkungen auf die Organisation und dessen Wert. Das Profil beinhaltet zudem potenzielle Sicherheitsanforderungen, die für den Vermögenswert relevant sein könnten.

Schritt 3: Speicherorte für Informationsvermögenswerte ermitteln.
Der Speicherort eines Informationsvermögenswerts zeigt, wie Daten aufbewahrt, bearbeitet und übermittelt werden. Solche Speicherorte umfassen in der Regel Netzwerke und Systeme, sowohl solche, die von der Organisation selbst betrieben werden, als auch solche, die ausgelagert sind.

Phase 3: Gefahren erkennen

Schritt 4: Kritische Bereiche aufdecken.
In diesem Schritt werden mögliche Risikofaktoren erfasst und für die Erstellung von Gefahrenszenarien genutzt.

Schritt 5: Gefahrenszenarien ausfindig machen.
Im Rahmen von OCTAVE stellen Gefahrenszenarien verschiedene Kategorien von Beteiligten und die zugehörigen Gefahren jeder Kategorie dar. Üblicherweise werden diese Szenarien durch einen Gefahrenbaum ermittelt, der Beteiligte und Szenarien veranschaulicht.

Phase 4: Risiken identifizieren und reduzieren

Schritt 6: Risiken identifizieren.
In diesem Schritt werden Folgen, wie etwa Auswirkungen und Eintrittswahrscheinlichkeiten, ermittelt und bewertet, um das Risiko besser einschätzen zu können.

Schritt 7: Risiken auswerten.
Nachdem die Auswirkungen und Wahrscheinlichkeiten erfasst und bewertet wurden, erfolgt die Analyse der Risiken. In diesem Schritt entstehen Risikoeinschätzungen, die auf der Bewertung von Auswirkungen und Wahrscheinlichkeiten basieren. Dabei liegt der Fokus insbesondere auf den Auswirkungen, da die Bewertung vermögensorientiert ist.

Schritt 8: Minderungsmaßnahmen auswählen.
In diesem Schritt werden Strategien zur Risikominderung entwickelt, geprüft und vorgeschlagen.