IT-Sicherheit messbar machen

Compliance-Standards beinhalten mögliche Kennzahlen für IT-Sicherheit

Seite: 3/3

Firmen zum Thema

Reality-Check – Bestehende Kennzahlen prüfen

Der Blick in die Praxis zeigt, dass sich einige Unternehmen immer noch mit Notlösungen behelfen. Oft ziehen sie aus Mangel an Ressourcen einfach zu erfassende Werte als Kennzahlen zur Messung von IT-Sicherheit heran.

Immer wieder wird in diesem Zusammenhang die „Anzahl der gefangenen Schadprogramme“ genannt. Aus dieser Zahl lässt sich der Sicherheitsstatus des eigenen Unter¬nehmensnetzes nicht ableiten.

Auch als Frühwarnsystem ist diese Zahl ungeeignet: Was sagt es aus, wenn die Zahl steigt? Dass mehr Schadprogramme kursieren? Dass die Filter besser geworden sind? Selbst wenn letzteres eine gültige Schlussfolgerung wäre, wüsste der Sicherheitsverantwortliche immer noch nicht, wie gut die Filter im Endeffekt sind.

Ebenso wenig genügen Stichproben bei einzelnen Systemen hinsichtlich der Pattern- oder Patch-Versorgung. Denn schon eine übersehene Lücke reicht aus, um Malware hereinzulassen. Wer IT-Sicherheit professionell betreiben will, kommt nicht darum herum, Transparenz hinsichtlich des Erfolgs aller Sicherheitsmaßnahmen zu schaffen.

Große Hürde: Mangelnde Ressourcen

Klar ist: Ein professionelles IT-Sicherheitsmanagement erfordert Ressourcen, sowohl finanzielle als auch personelle. Technische Lösungen müssen die Verantwortlichen bei der Schaffung von Transparenz und der Erfassung von Kennzahlen unterstützen.

Sind die Ressourcen nicht in ausreichendem Maße vorhanden, um eine kennzahlenbasierte Steuerung für alle Unternehmensbereiche einzuführen, dann können Pilotprojekte helfen. Gelingt es, für einen besonders kritischen Unternehmensbereich mit Zahlen nachzuweisen, dass die IT-Sicherheit mittels einer KPI-Steuerung verbessert werden konnte, sollte es auch gelingen, weitere Budgets für die Ausdehnung der Qualitätssicherung zu erhalten.

Presseausschnitte mit Berichten über prominente Schadprogramme wie Conficker oder Stuxnet mögen so manchen Vorstand dazu bringen, Ressourcen freizugeben. Wer aber schwarz auf weiß nachweisen kann, dass Maßnahmen an einer ganz bestimmten Stelle messbar Erfolg bringen, hat definitiv die besseren Argumente.

Inhalt

  • Seite 1: Ziele und Kennzahlen für alle Ebenen
  • Seite 2: Den Kennzahlen-Dschungel durchdringen
  • Seite 3: Reality-Check – Bestehende Kennzahlen prüfen

(ID:2051099)