Suchen

IT-Sicherheit messbar machen Compliance-Standards beinhalten mögliche Kennzahlen für IT-Sicherheit

| Autor / Redakteur: Peter Graf, Ampeg / Stephan Augsten

Zu einer IT-Sicherheitsstrategie gehört die Auswahl geeigneter Maßnahmen zum Schutz der Daten. Zur Umsetzung einer Strategie gehören Ziele und Kennzahlen, mit denen sich der Erfüllungsgrad messen und eine Steuerung der IT-Sicherheit verwirklichen lässt. Leider wird darauf allzu oft verzichtet.

Firmen zum Thema

Um IT-Sicherheit zu messen, muss man für bestehende Maßnahmen und anvisierte Ziele sinnvolle Kennzahlen entwickeln.
Um IT-Sicherheit zu messen, muss man für bestehende Maßnahmen und anvisierte Ziele sinnvolle Kennzahlen entwickeln.
( Archiv: Vogel Business Media )

Mit spektakulären Angriffen drängen Hacker zurück ins öffentliche Bewusstsein. Allein in den letzten Monaten wurden PCs des australischen Parlaments und des französischen Finanzministeriums angezapft, die EU-Kommission attackiert und SSL-Zertifikate gestohlen.

Nicht umsonst investieren Regierungen weltweit in Cyber-Abwehrzentren. Aber auch Unternehmen haben allen Grund, ihre IT-Sicherheit weiter zu verbessern. Denn die Folgekosten von sicherheitsrelevanten Vorfällen steigen von Jahr zu Jahr.

Zu diesem Schluss kommt das Ponemon-Institut im Rahmen der jährlich aktualisierten Studie „German Cost of a Data Breach“ (PDF, 2,5 MB). Demnach kostete jede Datenpanne deutsche Unternehmen im Jahr 2010 im Durchschnitt 3,4 Millionen Euro. 2009 waren es noch durchschnittlich 2,6 Millionen, im Jahr 2008 weitere 200.000 Euro weniger.

Ziele und Kennzahlen für alle Ebenen

Viele Millionen Euro investieren Unternehmen jährlich in IT-Sicherheit. Diese fließen vor allem in technische Schutzvorkehrungen. Geringere Aufmerksamkeit erhält die Festlegung von konkreten Zielen und Prüfkriterien zur Qualitätsbewertung von IT-Sicherheit – denn diese scheinen ja nur zu offensichtlich: Die Daten müssen geschützt werden und wenn es zu keinen nennenswerten Vorfällen kommt, ist man sicher.

Dieser Ansatz scheint praktisch, weil er leicht umzusetzen ist. Er hat aber große Nachteile. Verantwortliche, die so verfahren, wissen meist nicht über den aktuellen Sicherheitsstatus ihres Netzwerks Bescheid, es herrscht keine Transparenz.

Wer IT-Sicherheit nach Gefühl steuert und auf eine fundierte Strategie mit messbaren Zielen und die Steuerung durch Kennzahlen auf allen Ebenen verzichtet, kann IT-Sicherheit nie aktiv verbessern. Er wird Sicherheitslücken immer erst dann erkennen, wenn sie durch einen Schaden offengelegt werden.

Aber welche konkreten Ziele und Kennzahlen eignen sich für die Steuerung der IT-Sicherheit? Vorschläge für mögliche Kennzahlen finden sich beispielweise in gängigen Compliance-Standards.

Inhalt

  • Seite 1: Ziele und Kennzahlen für alle Ebenen
  • Seite 2: Den Kennzahlen-Dschungel durchdringen
  • Seite 3: Reality-Check – Bestehende Kennzahlen prüfen

(ID:2051099)