Risikoanalyse mit Methode

Ordnungsmerkmale

erschienen in: <kes> 2006^#1, Seite 74

Zusammenfassung: Der OCTAVE-Ansatz der Carnegie Mellon University führt über eine Risikobewertung gezielt zu effizienten Maßnahmen.

Ein wichtiger Teil einer aktiven IT-Schutzstrategie ist immer auch eine Risiko- und Bedrohungsanalyse. Standards wie der BS 7799 sehen dies sogar als zwingende Voraussetzung für eine Zertifizierung des Unternehmens an. Auch bei einer Business-Continuity-Planung sollte zuvor eine so genannte "Business Impact Analyse" (BIA) erfolgen.

Kennzeichen solcher Analysen ist es, systematisch geschäftliche Risiken mit den Schwachstellen in Beziehung zu setzen und daraus Maßnahmen zur Risikoverminderung oder -vermeidung abzuleiten. Geschäftliche Risiken zu kennen und zu bewerten war auch ohne IT schon immer unternehmerische Pflicht. Das Problem heute besteht darin, in einem immer schneller drehenden Karussell aus der Vielzahl technischer Verlockungen und Bedrohungen möglichst schnell diejenigen auszufiltern, die von hoher praktischer Bedeutung für das Unternehmen sind. Hierbei besteht die Gefahr, den Wald vor lauter Bäumen nicht zu sehen oder Risiken dort zu vermuten, wo keine sind.

Sucht man als IT-Sicherheitsverantwortlicher nach einer Methode, um gezielt solche Analysen durchzuführen, stellt man fest, dass es auf dem Markt ausgesprochen dünn aussieht. Zwar haben fast alle Sicherheitsanbieter Risiko- und Bedrohungsanalyse als Dienstleistung in ihrem Portfolio, es wird jedoch oft ein Geheimnis um die zugrunde liegende Methodik gemacht. Das ist zwar verständlich, aber dieses "Information Hiding" ist nicht unbedingt förderlich für die Sicherheit.

Außerdem sind IT-Sicherheitsanbieter oftmals eher technische als geschäftliche Spezialisten. Die Methoden, nach denen Berater oder Sicherheitsspezialisten vorgehen, sind mitunter enttäuschend. Zum einen scheint jeder Anbieter unter Risiko- und Bedrohungsanalyse etwas anderes zu verstehen, zum anderen steckt methodisch oft nicht allzuviel dahinter. Ein einfaches Abarbeiten vorgefertigter Word-Checklisten und Excel-Tabellen liefert an Analysequalität aber möglicherweise nicht immer, was man braucht, denn die Qualität steht dann in direkter Abhängigkeit von den Kenntnissen und der Tagesform der jeweiligen Spezialisten.

Was eine Methode liefern muss, ist eine reproduzierbare und übertragbare Vorgehensweise, die sich auch an spezielle organisatorische Anforderungen anpassen lässt. Auch bekannte Standards bieten in dieser Hinsicht bisher wenig: Das Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI) liefert auf vielen Seiten detaillierte und wertvolle Hinweise dafür, was es zu schützen gibt, gibt jedoch relativ wenig Anleitung dafür, wie man zu höherer Sicherheit gelangt. Auch die britischen Standards BS 7799 und ITIL helfen hier im Grunde wenig, geht es doch darin um die Beschreibung von Normen und Best Practices, aber nicht um deren Umsetzung.

Was die stringente Analyse von Informationsrisiken für das Geschäft erschwert, ist die kombinatorische Explosion von Risikofaktoren: Bedrohungen können sowohl unabsichtlich als auch absichtlich ausgelöst sein (Unachtsamkeit/Unwissen, Wettbewerb, kriminelle oder feindliche Aktivitäten), Gefahren können sowohl von innen als auch von außen kommen, und für jeden Bestandteil der Infrastruktur (Netze, Anwendungssysteme, Telefonanlagen, PCs, mobile Geräte) existieren andere Bedrohungsarten.

Um solchen Problemen beizukommen, braucht man wie erwähnt eine reproduzierbare und transparente Methode, mit der man Risiken und Bedrohungen abteilungsübergreifend und im Team untersuchen kann. Außerdem sollte die Informationssicherheit unternehmensweit nach einem einheitlichen Standard analysiert werden, um zu vergleichbaren Ergebnissen und abgestimmten Maßnahmen zu gelangen.

Hier bietet sich OCTAVE an, eine Methode, die an der US-amerikanischen Carnegie Mellon University entwickelt wurde. Sie soll Unternehmen einen praktischen und handhabbaren Zugang zur Risikoanalyse ermöglichen, der anders als andere Verfahren öffentlich zugänglich, transparent und "einleuchtend" ist. Das Akronym OCTAVE steht für "Operationally Critical Threat, Asset and Vulnerabiltity Evaluation", auf deutsch also etwa "Bewertung operativ kritischer Ressourcen, Bedrohungen und Schwachstellen".

Der Anspruch von OCTAVE ist es, gezielt dort Schwachstellen ausfindig zu machen und Maßnahmen zu entwerfen, wo es das Unternehmen am meisten schmerzt. Wo andere Ansätze wie etwa das deutsche Grundschutzhandbuch einen eher breiten "ganzheitlichen" Ansatz verfolgen, geht OCTAVE schnell in die Tiefe: Die Vorstellung der OCTAVE-Entwickler ist es, Verbindungen zwischen "Assets" (geschäftlichen Wertobjekten) und Risiken zu identifizieren und die Maßnahmen zur Risikominderung gezielt darauf auszurichten.

Ein Team, das nach OCTAVE verfährt, wird durch ein stets gleich ablaufendes Vorgehen aus drei Phasen geleitet (s. a. <kes> 2005#4, S. 15):

• Phase 1 dient zur Identifikation der betrieblichen Wertobjekte, die es zu schützen gilt (sog. Assets). Da diese Aufgabe einen starken geschäftlichen Bezug hat, sind Geschäftsleitung und Fachabteilungen in dieser Phase tonangebend.
• Phase 2 ist technisch orientiert: Hier werden Schwächen in den geschäftlich kritischen Infrastrukturen – und zwar nur in diesen – identifiziert und bewertet. Hierzu werden vor allem Techniker benötigt, die sich in dieser Infrastruktur auskennen.
• Phase 3 baut auf Basis dieser beiden Elemente einen Plan auf, wie die kritischen Infrastrukturen zu schützen sind. Diese Ergebnisse sind sehr strukturiert und haben für alle Teilnehmer einen hohen Wiedererkennungswert.

Eine Risikoanalyse mit OCTAVE durchzuführen ist eher eine organisatorische als eine technische Aufgabe; das bedeutet vor allem Teamwork und Gruppen-Diskussionen. Dank "mitgelieferter" stringenter Moderationspläne lassen sich solche Meetings nach Erfahrung des Autors recht schlank gestalten. Wer nach OCTAVE arbeitet, kann auch in einer größeren Organisation binnen 4–6 Wochen zum Ergebnis kommen. Das limitierende Element ist dabei nicht so sehr der Arbeitsaufwand, sondern eher schon die Schwierigkeit, gemeinsame Termine zu finden.

Die vier möglichen IT-Bedrohungsarten Datenverlust, Verfälschung von Informationen, Betriebsunterbrechung und Informationsdiebstahl analysiert OCTAVE systematisch durch klassische Risikoprofile in Baumform. Dies hilft in den Arbeitsgruppen systematisch Bedrohungen zu entwirren und herauszufischen, was wirklich Bedeutung hat. Am Ende stehen – je nach Anzahl der analysierten Assets – mehrere klar strukturierte und bewertete Bäume möglicher Bedrohungen und Gegenmaßnahmen.

Informationsrisiken, die einem Unternehmen wirklich gefährlich werden können, kommen selten alleine durch Fehler der Technik, böswillige Übergriffe (wie Phishing) oder Fehlbedienung zustande. Auch Unternehmen, die gegen Internet- und E-Mail-Missbrauch, Malware, Spam und anderes bereits eine Vielzahl von Maßnahmen einsetzen, sehen nach Erfahrung des Autors in der OCTAVE-Systematik eine willkommene Ergänzung, weil es ihnen ermöglicht, die vorhandenen Maßnahmen zu filtern und zu kanalisieren.

Damit ist extrem viel gewonnen: Man hat die Basis, um auf einem von sechs möglichen Praxisfeldern Maßnahmen vorzubereiten. Dabei gehen aktive und passive Maßnahmen Hand in Hand: Sicherheitstraining und Aufklärung, Strategien, laufendes Sicherheits-Management, Security-Policies, kooperative Sicherheitspraktiken und informationstechnische Katastrophenvorsorge.

Im Kern sollten Organisationen nach einer Lernphase in der Lage sein, OCTAVE eigenständig einzusetzen. Zum Erlernen der Anwendung – das erfordert eine gewisse Disziplin – ist für Teams ein anfänglicher Aufwand von circa 4–6 Wochen "Learning by Doing" erforderlich. Weil technische Risikoanalyse nicht zum Kerngeschäft der meisten Unternehmen gehört, kann hier der Einsatz von Beratern durchaus Vorteile mit sich bringen. Deren Aufgabe reduziert sich gegenüber anderen Projekten bei OCTAVE auf wenige Punkte: Vorbereitung und Moderation von Workshops, Begleitung des Prozesses und Aufbereitung von Ergebnissen.

Unternehmen, die in Deutschland OCTAVE bisher praktizieren, tun dies meist auf konkreten, genau abgegrenzten Feldern; die Vorteile gegenüber breit angelegten Strategien liegen dabei auf der Hand. Ein Industrieunternehmen, das beispielsweise verhindern wollte, dass Informationen über brandneue Produkte und Modelle verfrüht an die Öffentlichkeit geraten, kam mit OCTAVE relativ schnell und erfolgreich zu neuen gezielten Maßnahmen – in diesem Projekt wurde OCTAVE als eine sinnvolle Ergänzung zu bereits existierenden Standards und Verfahren eingesetzt. Andere Unternehmen sehen es eher als ein Mittel zu einer initialen Analyse der IT-Risiken, etwa in Zusammenhang mit einer Business-Continuity-Planung oder beispielsweise einer ISO-27001-Zertifizierung. (Johann Krakl)

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006^#1, Seite 74