IT-Sicherheit messbar machen Compliance-Standards beinhalten mögliche Kennzahlen für IT-Sicherheit

Autor / Redakteur: Peter Graf, Ampeg / Stephan Augsten

Zu einer IT-Sicherheitsstrategie gehört die Auswahl geeigneter Maßnahmen zum Schutz der Daten. Zur Umsetzung einer Strategie gehören Ziele und Kennzahlen, mit denen sich der Erfüllungsgrad messen und eine Steuerung der IT-Sicherheit verwirklichen lässt. Leider wird darauf allzu oft verzichtet.

Firmen zum Thema

Um IT-Sicherheit zu messen, muss man für bestehende Maßnahmen und anvisierte Ziele sinnvolle Kennzahlen entwickeln.
Um IT-Sicherheit zu messen, muss man für bestehende Maßnahmen und anvisierte Ziele sinnvolle Kennzahlen entwickeln.
( Archiv: Vogel Business Media )

Mit spektakulären Angriffen drängen Hacker zurück ins öffentliche Bewusstsein. Allein in den letzten Monaten wurden PCs des australischen Parlaments und des französischen Finanzministeriums angezapft, die EU-Kommission attackiert und SSL-Zertifikate gestohlen.

Nicht umsonst investieren Regierungen weltweit in Cyber-Abwehrzentren. Aber auch Unternehmen haben allen Grund, ihre IT-Sicherheit weiter zu verbessern. Denn die Folgekosten von sicherheitsrelevanten Vorfällen steigen von Jahr zu Jahr.

Zu diesem Schluss kommt das Ponemon-Institut im Rahmen der jährlich aktualisierten Studie „German Cost of a Data Breach“ (PDF, 2,5 MB). Demnach kostete jede Datenpanne deutsche Unternehmen im Jahr 2010 im Durchschnitt 3,4 Millionen Euro. 2009 waren es noch durchschnittlich 2,6 Millionen, im Jahr 2008 weitere 200.000 Euro weniger.

Ziele und Kennzahlen für alle Ebenen

Viele Millionen Euro investieren Unternehmen jährlich in IT-Sicherheit. Diese fließen vor allem in technische Schutzvorkehrungen. Geringere Aufmerksamkeit erhält die Festlegung von konkreten Zielen und Prüfkriterien zur Qualitätsbewertung von IT-Sicherheit – denn diese scheinen ja nur zu offensichtlich: Die Daten müssen geschützt werden und wenn es zu keinen nennenswerten Vorfällen kommt, ist man sicher.

Dieser Ansatz scheint praktisch, weil er leicht umzusetzen ist. Er hat aber große Nachteile. Verantwortliche, die so verfahren, wissen meist nicht über den aktuellen Sicherheitsstatus ihres Netzwerks Bescheid, es herrscht keine Transparenz.

Wer IT-Sicherheit nach Gefühl steuert und auf eine fundierte Strategie mit messbaren Zielen und die Steuerung durch Kennzahlen auf allen Ebenen verzichtet, kann IT-Sicherheit nie aktiv verbessern. Er wird Sicherheitslücken immer erst dann erkennen, wenn sie durch einen Schaden offengelegt werden.

Aber welche konkreten Ziele und Kennzahlen eignen sich für die Steuerung der IT-Sicherheit? Vorschläge für mögliche Kennzahlen finden sich beispielweise in gängigen Compliance-Standards.

Inhalt

  • Seite 1: Ziele und Kennzahlen für alle Ebenen
  • Seite 2: Den Kennzahlen-Dschungel durchdringen
  • Seite 3: Reality-Check – Bestehende Kennzahlen prüfen

Kennzahlen-Dschungel durchdringen

Die Control Objectives zu ISO 27001, die Best Practices-Sammlung ITIL oder das IT-Governance-Framework CoBIT liefern Anregungen für die Festlegung von Kennzahlen – bleiben aber oft vage oder mischen unterschiedliche Arten von Kennzahlen. In einer Übersicht zu ITIL-Key Performance Indikatoren (KPI) für das IT-Security Management finden sich beispielsweise Kennzahlen, …

  • mit denen sich die Risikominimierung nachweisen lässt (Anzahl schwerwiegender sicherheitsrelevanter Vorfälle).
  • zur Prüfung, ob IT-Sicherheit überhaupt umgesetzt wird (Anzahl implementierter Präventiv-Maßnahmen).
  • die den Erfolg von konkreten Maßnahmen messen (Umsetzungsdauer Vorsorgemaßnahmen).

Hier muss der Security Officer erst einmal die für seine IT-Sicherheitsinfrastruktur passenden Kennzahlen auswählen und in eine vernünftige Hierarchie ordnen. Ein praktikabler Ansatz besteht darin, sich zur Bestimmung von Kennzahlen für alle Ebenen an den eigenen IT-Sicherheitsprozessen zu orientieren.

Ableitung strategischer Kennzahlen für die IT-Sicherheit

Der Return on Investment (ROI) im Bereich IT-Sicherheit besteht in der Minimierung der Risiken. Vereinfacht gesagt: Kommt es zu keiner Behinderung von Geschäftsprozessen, haben sich die Investitionen in die IT-Sicherheit gelohnt. Die „Anzahl an Vorfällen“ oder die „gesamte Ausfallzeit“ sind daher Kennzahlen, an denen sich die übergeordnete Zielerreichung überprüfen lässt. Damit lässt sich die IT-Sicherheit aber noch nicht gezielt steuern.

Umfassende Schutzmaßnahmen werden vor allem auf der operativen Ebene durchgeführt: Um die Anzahl an Vorfällen zu minimieren, ergreifen Unternehmen Maßnahmen, betreiben beispielsweise einen Virenschutz und ein Patch-Management, haben Firewalls oder Webfilter und führen Awareness-Schulungen von Mitarbeitern durch.

Um prüfen zu können, ob diese Maßnahmen erfolgreich sind und auf das Ziel der Risikominimierung einzahlen, müssen für jede Maßnahme messbare Ziele und Kennzahlen festgelegt werden. Nur dann lässt sich die Verbesserung der IT-Sicherheit transparent messen und der ROI wird in Bezug auf jede Maßnahme nachgewiesen.

Steuern mit Kennzahlen

Sinnvolle Kennzahlen zur Prüfung und Steuerung der Maßnahme „Virenschutz und Patch-Management“ sind also beispielsweise eine Prozentangabe zur erfolgreichen Verteilung neuer Updates im gesamten Unternehmensnetz oder kritischen Teilbereichen sowie die Dauer bis zur erfolgreichen Verteilung dieser Updates. Werden solche Werte für jedes Update und jedes System im Netzwerk gemessen, können Schwachpunkte sehr schnell erkannt werden und lassen sich beheben.

Beobachtet ein Security Officer zum Beispiel, dass Rollouts in einem bestimmten Netzwerkabschnitt nie vollständig funktionieren, kann er geeignete Maßnahmen in diesen Bereichen durchführen. Verbesserungen werden durch den Soll/Ist-Abgleich der Ziele und der gemessenen Werte sichtbar und nachweisbar. Der Security Officer kann schon beim nächsten Rollout sehen, dass das Restrisiko durch fehlende Updates gesunken ist.

Einen kontinuierlichen Prozess zur kennzahlenbasierten Steuerung von IT-Sicherheit beschreibt das Konzept des „Security Level Management“. Security Officer, die sich daran orientieren, schaffen ein professionelles System der Qualitätssicherung für ihre IT-Sicherheit.

Inhalt

  • Seite 1: Ziele und Kennzahlen für alle Ebenen
  • Seite 2: Den Kennzahlen-Dschungel durchdringen
  • Seite 3: Reality-Check – Bestehende Kennzahlen prüfen

Reality-Check – Bestehende Kennzahlen prüfen

Der Blick in die Praxis zeigt, dass sich einige Unternehmen immer noch mit Notlösungen behelfen. Oft ziehen sie aus Mangel an Ressourcen einfach zu erfassende Werte als Kennzahlen zur Messung von IT-Sicherheit heran.

Immer wieder wird in diesem Zusammenhang die „Anzahl der gefangenen Schadprogramme“ genannt. Aus dieser Zahl lässt sich der Sicherheitsstatus des eigenen Unter¬nehmensnetzes nicht ableiten.

Auch als Frühwarnsystem ist diese Zahl ungeeignet: Was sagt es aus, wenn die Zahl steigt? Dass mehr Schadprogramme kursieren? Dass die Filter besser geworden sind? Selbst wenn letzteres eine gültige Schlussfolgerung wäre, wüsste der Sicherheitsverantwortliche immer noch nicht, wie gut die Filter im Endeffekt sind.

Ebenso wenig genügen Stichproben bei einzelnen Systemen hinsichtlich der Pattern- oder Patch-Versorgung. Denn schon eine übersehene Lücke reicht aus, um Malware hereinzulassen. Wer IT-Sicherheit professionell betreiben will, kommt nicht darum herum, Transparenz hinsichtlich des Erfolgs aller Sicherheitsmaßnahmen zu schaffen.

Große Hürde: Mangelnde Ressourcen

Klar ist: Ein professionelles IT-Sicherheitsmanagement erfordert Ressourcen, sowohl finanzielle als auch personelle. Technische Lösungen müssen die Verantwortlichen bei der Schaffung von Transparenz und der Erfassung von Kennzahlen unterstützen.

Sind die Ressourcen nicht in ausreichendem Maße vorhanden, um eine kennzahlenbasierte Steuerung für alle Unternehmensbereiche einzuführen, dann können Pilotprojekte helfen. Gelingt es, für einen besonders kritischen Unternehmensbereich mit Zahlen nachzuweisen, dass die IT-Sicherheit mittels einer KPI-Steuerung verbessert werden konnte, sollte es auch gelingen, weitere Budgets für die Ausdehnung der Qualitätssicherung zu erhalten.

Presseausschnitte mit Berichten über prominente Schadprogramme wie Conficker oder Stuxnet mögen so manchen Vorstand dazu bringen, Ressourcen freizugeben. Wer aber schwarz auf weiß nachweisen kann, dass Maßnahmen an einer ganz bestimmten Stelle messbar Erfolg bringen, hat definitiv die besseren Argumente.

Inhalt

  • Seite 1: Ziele und Kennzahlen für alle Ebenen
  • Seite 2: Den Kennzahlen-Dschungel durchdringen
  • Seite 3: Reality-Check – Bestehende Kennzahlen prüfen

(ID:2051099)