Security-Management

Eine KPI für Security

| Autor / Redakteur: Ralf Nemeyer* / Peter Schmitz

Die Kennzahlen jedes ISMS-Bereichs lassen sich als Balken- oder Spinnennetz-Diagramm darstellen. So lässt sich schnell für jeden Bereich erkennen, wie gut oder schlecht das Sicherheitsniveau des Unternehmens ist.
Die Kennzahlen jedes ISMS-Bereichs lassen sich als Balken- oder Spinnennetz-Diagramm darstellen. So lässt sich schnell für jeden Bereich erkennen, wie gut oder schlecht das Sicherheitsniveau des Unternehmens ist. (Bild: Computacenter)

Der Sicherheitsbeauftragte muss dem Vorstand regelmäßig Berichte über den aktuellen Sicherheitsstatus und notwendige Maßnahmen erstellen. Mit modernen Kennzahlensystemen, die klare KPIs (Key Performance-Indikatoren) ermitteln, klappt das das schnell, fundiert, umfassend und verständlich.

Viele Sicherheitsverantwortliche kennen das Problem: Sie können zwar bestimmen, welche Schutzmaßnahmen zur Erreichung der Sicherheitsziele erforderlich sind. Dabei lassen sich auch die Vorgaben des BSI zum IT-Grundschutz oder internationale Normen wie ISO/IEC 27001 einhalten. Aber wie lässt sich dem Management die Notwendigkeit von neuen Sicherheitsmaßnahmen auf einfache Weise darlegen? Schließlich hat der Vorstand in der Regel wenig Zeit, um sich in die Materie einzuarbeiten.

Eine Möglichkeit dafür bieten Kennzahlensysteme, die klare KPIs (Key Performance-Indikatoren) ermitteln. Ein solches bietet zum Beispiel die Norm ISO 27004 für Information Security Management Measurement. Sie hilft Unternehmen bei der Messung, Berichterstattung und systematischen Verbesserung der Effektivität eines ISMS, unter anderem in den Bereichen Richtlinien, Risikomanagement, Kontrollen und Prozesse. Dabei zeigt sie den Änderungs- und Verbesserungsbedarf. Die Norm besitzt jedoch einen gravierenden Nachteil: Aus den einzelnen Kennzahlen lässt sich keine aggregierte KPI für den Gesamt-Security-Status erzeugen. Doch gerade eine solche Zahl kann die Kommunikation mit dem Management deutlich erleichtern. Damit lässt sich auch die Qualität und Wirksamkeit der eingesetzten Security-Maßnahmen übersichtlich darlegen sowie über die Notwendigkeit weiterer Investitionen in die IT-Sicherheit diskutieren.

Schrittweise einführen

Um eine solche Gesamt-Kennzahl zu ermitteln, hat Computacenter eine Methode entwickelt. Diese basiert auf der Zuordnung von Schutzmaßnahmen und Managementverfahren wie z.B. Risikoanalysen, Audits, Sicherheitsvorfälle oder Exceptions. Fehlerfälle wie z.B. Audit Findings oder Sicherheitsvorfälle reduzieren die optimale Punktzahl von 100 Prozent. Das System lässt sich schrittweise von einer einfachen Excel-Übersicht bis hin zu datenbankgestützten Big-Data-Analysen einführen, in die auch Machine Generated Events wie z.B. Schwachstellen einbezogen werden. Damit können IT-Abteilungen mit wenig Aufwand erste Erfahrungen sammeln und die Lösung je nach Bedarf erweitern und verfeinern.

Zum Start empfiehlt es sich, die einzelnen Sicherheitsanforderungen im Unternehmen, zum Beispiel zur Content Security, Network Security oder Zugangskontrolle, zu gruppieren. In der Praxis kann dies innerhalb eines sogenannten Control Frameworks geschehen. Hierbei werden die Sicherheitsanforderungen über ein Control Backbone normalisiert und zusätzlich mit den regulativen Anforderungen sowie den Prozeduren des Betriebsmodells, in denen die Sicherheitsanforderungen umzusetzen sind, verknüpft.

Im nächsten Schritt erfolgt das Mapping dieser Sicherheitsanforderungen mit den Ergebnissen der implementierten Managementverfahren. Dazu gehören etwa Exception Management, Wirksamkeitsprüfungen, Risikoanalysen oder Sicherheitsvorfälle. Dadurch wird das Verbesserungspotential der einzelnen Sicherheitsanforderungen erkennbar. Falls zum Beispiel eine Firewall nicht ausreichend vor möglichen Gefahren schützt wird dies über einen Sicherheitsvorfall sichtbar oder ist ein Policy Statement nicht flächendeckend implementiert worden, kann dies durch ein Auditergebnis angezeigt werden. Ist die Umsetzung einer Sicherheitsanforderung aber aus technischen Gründen nicht möglich, zum Beispiel bei proprietären oder veralteten IT Systemen, gibt es eine Exception.

Excel-basierte Lösung

Nun werden in einer Excel-Tabelle die verschiedenen Sicherheitsanforderungen oder Controls in einer Spalte aufgelistet und in die entsprechenden ISMS-Bereiche wie Network Security, Physical Access, Remote Access, Patch Management, Backup, Securing Change Management, Device Life Cycle Management, IT Operations oder Application Development einsortiert. Das bedeutet, jeder ISMS-Bereich besteht aus ein bis mehreren Schutzmaßnahmen. Anschließend werden die Managementverfahren in die oberste Zeile geschrieben und mit jeder Schutzmaßnahme korreliert.

Bei einem Fehler oder Problem wie z.B. weiter oben aufgeführt zeigt diese Matrix mit Hilfe eines Punktesystems, in welchem Security-Bereich Verbesserungspotential besteht. Aus den entsprechenden Summen für alle Schutzmaßnahmen eines ISMS-Bereichs ergibt sich dann eine Prozentzahl, die als KPI dient.

Die Kennzahlen jedes ISMS-Bereichs lassen sich als Balken- oder Spinnennetz-Diagramm darstellen. Beim Balkendiagramm lässt sich sofort für jeden Bereich erkennen, ob das Unternehmen hier ein hohes Security-Level (grüner Bereich), ein ausreichendes Level (gelber Bereich) oder ein mangelhaftes Sicherheitsniveau (roter Bereich) aufweist. Das Spinnennetz-Diagramm stellt in einer kompakteren Form dar, wo das Unternehmen ein gutes, ausreichendes oder schlechtes Sicherheitsniveau besitzt.

Im letzten Schritt wird aus allen Prozentzahlen ein Mittelwert gebildet. Dieser gibt den Sicherheitsstatus für das gesamte Unternehmen an. Mit Hilfe dieses KPI kann der Sicherheitsbeauftragte dem Vorstand nun auf einen Blick den aktuellen Sicherheitsstatus darlegen. Bei Bedarf steht dann eine Drill-down-Möglichkeit in die verschiedenen Security-Bereiche bis zu den einzelnen Schutzmaßnahmen zur Verfügung.

Notwendige Maßnahmen vermitteln

Schon diese einfache Methode zeigt, an welchen Stellen im Unternehmen die Managementverfahren nicht sauber konfiguriert oder Schutzmaßnahmen lückenhaft sind. Die Notwendigkeit, diese entsprechend zu optimieren, lässt sich anhand der Kennzahlen dem Management schnell und einfach vermitteln.

Dabei kann ein solches KPI-System mit wenig Aufwand installiert werden. Es empfiehlt sich dabei, anfangs die Managementverfahren und Security Controls auf einen bestimmten Anwendungsbereich zu reduzieren, etwa einem mit strengen Audits. So lassen sich auch die Schutzmaßnahmen eingrenzen, um sehr schnell erste Ergebnisse zu erhalten.

Für ein solch einfaches System sollten Unternehmen mit einem Aufwand von etwa zwanzig Tagen für das erste Konzept rechnen. Jeweils fünf bis zehn Tage sind für die Integration der internen und externen Policies sowie der einzelnen Managementverfahren für jeden Security-Bereich einzukalkulieren. Standardisierte Excel-Vorlagen mit vorkonfigurierten Berechnungsmethoden, die sich einfach anpassen lassen, erleichtern dabei die Einführung.

Hat sich das Kennzahlensystem bewährt, lässt es sich schrittweise in ein umfangreiches datenbankbasiertes Tool überführen. Damit sind auch komplexe Berechnungen mit Hilfe von Big Data-Analysen möglich. Dabei bleibt das KPI-System mit anderen wie ISO 27004 kompatibel. Doch eines sollte die IT-Abteilung dabei berücksichtigen: Mit zunehmender Komplexität und größerem Umfang wird das Kennzahlensystem zwar genauer, aber auch unübersichtlicher und schwerer verständlich. Dies kann die Kommunikation mit dem Management erschweren, da die Ergebnisse weniger nachvollziehbar sind. Trotzdem bleibt der IT-Abteilung auch dann ein wichtiger Vorteil: die Ermittlung einer Gesamt-KPI.

* Ralf Nemeyer ist Principal Consultant Secure Information bei Computacenter.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44236588 / Mitarbeiter-Management)