"Octave-Anwenderbericht"

Martin Ullrich, Universität Leipzig


Das Fallbeispiel beschreibt die praktische Anwendung der OCTAVE-Risikoanalyse in einem wichtigen Bereich, dem Personaldezernat, der Universität Leipzig. Die Motivation basierte auf den Anforderung des Datenschutzbeauftragten, einzelne Risikoanalysen je Verwaltungsverfahren zu erzeugen.

Für den OCTAVE-Ansatz werden nicht wie üblich die IT-Systeme als Ausgangspunkt gewählt, sondern (unternehmens-)kritischen Werte. Exemplarisch stehen dafür die Personaldaten mit personenbezogenen, sensiblen Daten.

Ziel der Sicherheitsanalyse war es, die IT-technische Umstellung auf mögliche Schwachstellen zu evaluieren und eine gute Einschätzung der Informationssicherheit zu geben. Das Ergebnis der Analyse brachte wertvolle Aussagen bzw. Handlungsempfehlungen hervor. Damit kann die IT-Sicherheit an der Universität Leipzig wesentlich verbessert werden.