:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/30/3030b66cc91bdc748d53ddfa98603890/0114242796.jpeg "Der sichere Betrieb von SAP-Systemen erfordert die individuelle Absicherung des Systems und auch den sicheren Betrieb der gesamten SAP-Landschaft. (Bild: yingyaipumi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/9b/4b9b0e03c93f35253e7bdc638d8c1985/0114368367.jpeg ""Sichere Digitalisierung im Maschinenbau", ein Interview von Oliver Schonschek, Insider Research, mit Christoph Schambach von secunet Security Networks AG. (Bild: Vogel IT-Medien / secunet Security Networks AG / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/12/c212e1f2d8d9ec50fa8c1c40f8aecb22/0114324694.jpeg "Oft totgesagt und trotzdem quicklebendig: Passwörter sind trotz Alternativen noch immer allgegenwärtig und ein willkommenes Ziel für Cyberkriminelle. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/f1/6b/f16b94ff7c9056c68539d3beb864080f/0114259975.jpeg "CISOs verstehen menschenzentrierte Sicherheit in erster Linie als das, was man dazu auf dem Markt einkaufen kann: nämlich Awareness- und Phishing-Simulationen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security-Management Eine KPI für Security
Der Sicherheitsbeauftragte muss dem Vorstand regelmäßig Berichte über den aktuellen Sicherheitsstatus und notwendige Maßnahmen erstellen. Mit modernen Kennzahlensystemen, die klare KPIs (Key Performance-Indikatoren) ermitteln, klappt das das schnell, fundiert, umfassend und verständlich.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Viele Sicherheitsverantwortliche kennen das Problem: Sie können zwar bestimmen, welche Schutzmaßnahmen zur Erreichung der Sicherheitsziele erforderlich sind. Dabei lassen sich auch die Vorgaben des BSI zum IT-Grundschutz oder internationale Normen wie ISO/IEC 27001 einhalten. Aber wie lässt sich dem Management die Notwendigkeit von neuen Sicherheitsmaßnahmen auf einfache Weise darlegen? Schließlich hat der Vorstand in der Regel wenig Zeit, um sich in die Materie einzuarbeiten.
Eine Möglichkeit dafür bieten Kennzahlensysteme, die klare KPIs (Key Performance-Indikatoren) ermitteln. Ein solches bietet zum Beispiel die Norm ISO 27004 für Information Security Management Measurement. Sie hilft Unternehmen bei der Messung, Berichterstattung und systematischen Verbesserung der Effektivität eines ISMS, unter anderem in den Bereichen Richtlinien, Risikomanagement, Kontrollen und Prozesse. Dabei zeigt sie den Änderungs- und Verbesserungsbedarf. Die Norm besitzt jedoch einen gravierenden Nachteil: Aus den einzelnen Kennzahlen lässt sich keine aggregierte KPI für den Gesamt-Security-Status erzeugen. Doch gerade eine solche Zahl kann die Kommunikation mit dem Management deutlich erleichtern. Damit lässt sich auch die Qualität und Wirksamkeit der eingesetzten Security-Maßnahmen übersichtlich darlegen sowie über die Notwendigkeit weiterer Investitionen in die IT-Sicherheit diskutieren.
Schrittweise einführen
Um eine solche Gesamt-Kennzahl zu ermitteln, hat Computacenter eine Methode entwickelt. Diese basiert auf der Zuordnung von Schutzmaßnahmen und Managementverfahren wie z.B. Risikoanalysen, Audits, Sicherheitsvorfälle oder Exceptions. Fehlerfälle wie z.B. Audit Findings oder Sicherheitsvorfälle reduzieren die optimale Punktzahl von 100 Prozent. Das System lässt sich schrittweise von einer einfachen Excel-Übersicht bis hin zu datenbankgestützten Big-Data-Analysen einführen, in die auch Machine Generated Events wie z.B. Schwachstellen einbezogen werden. Damit können IT-Abteilungen mit wenig Aufwand erste Erfahrungen sammeln und die Lösung je nach Bedarf erweitern und verfeinern.
Zum Start empfiehlt es sich, die einzelnen Sicherheitsanforderungen im Unternehmen, zum Beispiel zur Content Security, Network Security oder Zugangskontrolle, zu gruppieren. In der Praxis kann dies innerhalb eines sogenannten Control Frameworks geschehen. Hierbei werden die Sicherheitsanforderungen über ein Control Backbone normalisiert und zusätzlich mit den regulativen Anforderungen sowie den Prozeduren des Betriebsmodells, in denen die Sicherheitsanforderungen umzusetzen sind, verknüpft.
Im nächsten Schritt erfolgt das Mapping dieser Sicherheitsanforderungen mit den Ergebnissen der implementierten Managementverfahren. Dazu gehören etwa Exception Management, Wirksamkeitsprüfungen, Risikoanalysen oder Sicherheitsvorfälle. Dadurch wird das Verbesserungspotential der einzelnen Sicherheitsanforderungen erkennbar. Falls zum Beispiel eine Firewall nicht ausreichend vor möglichen Gefahren schützt wird dies über einen Sicherheitsvorfall sichtbar oder ist ein Policy Statement nicht flächendeckend implementiert worden, kann dies durch ein Auditergebnis angezeigt werden. Ist die Umsetzung einer Sicherheitsanforderung aber aus technischen Gründen nicht möglich, zum Beispiel bei proprietären oder veralteten IT Systemen, gibt es eine Exception.
Excel-basierte Lösung
Nun werden in einer Excel-Tabelle die verschiedenen Sicherheitsanforderungen oder Controls in einer Spalte aufgelistet und in die entsprechenden ISMS-Bereiche wie Network Security, Physical Access, Remote Access, Patch Management, Backup, Securing Change Management, Device Life Cycle Management, IT Operations oder Application Development einsortiert. Das bedeutet, jeder ISMS-Bereich besteht aus ein bis mehreren Schutzmaßnahmen. Anschließend werden die Managementverfahren in die oberste Zeile geschrieben und mit jeder Schutzmaßnahme korreliert.
Bei einem Fehler oder Problem wie z.B. weiter oben aufgeführt zeigt diese Matrix mit Hilfe eines Punktesystems, in welchem Security-Bereich Verbesserungspotential besteht. Aus den entsprechenden Summen für alle Schutzmaßnahmen eines ISMS-Bereichs ergibt sich dann eine Prozentzahl, die als KPI dient.
Die Kennzahlen jedes ISMS-Bereichs lassen sich als Balken- oder Spinnennetz-Diagramm darstellen. Beim Balkendiagramm lässt sich sofort für jeden Bereich erkennen, ob das Unternehmen hier ein hohes Security-Level (grüner Bereich), ein ausreichendes Level (gelber Bereich) oder ein mangelhaftes Sicherheitsniveau (roter Bereich) aufweist. Das Spinnennetz-Diagramm stellt in einer kompakteren Form dar, wo das Unternehmen ein gutes, ausreichendes oder schlechtes Sicherheitsniveau besitzt.
Im letzten Schritt wird aus allen Prozentzahlen ein Mittelwert gebildet. Dieser gibt den Sicherheitsstatus für das gesamte Unternehmen an. Mit Hilfe dieses KPI kann der Sicherheitsbeauftragte dem Vorstand nun auf einen Blick den aktuellen Sicherheitsstatus darlegen. Bei Bedarf steht dann eine Drill-down-Möglichkeit in die verschiedenen Security-Bereiche bis zu den einzelnen Schutzmaßnahmen zur Verfügung.
Notwendige Maßnahmen vermitteln
Schon diese einfache Methode zeigt, an welchen Stellen im Unternehmen die Managementverfahren nicht sauber konfiguriert oder Schutzmaßnahmen lückenhaft sind. Die Notwendigkeit, diese entsprechend zu optimieren, lässt sich anhand der Kennzahlen dem Management schnell und einfach vermitteln.
Dabei kann ein solches KPI-System mit wenig Aufwand installiert werden. Es empfiehlt sich dabei, anfangs die Managementverfahren und Security Controls auf einen bestimmten Anwendungsbereich zu reduzieren, etwa einem mit strengen Audits. So lassen sich auch die Schutzmaßnahmen eingrenzen, um sehr schnell erste Ergebnisse zu erhalten.
Für ein solch einfaches System sollten Unternehmen mit einem Aufwand von etwa zwanzig Tagen für das erste Konzept rechnen. Jeweils fünf bis zehn Tage sind für die Integration der internen und externen Policies sowie der einzelnen Managementverfahren für jeden Security-Bereich einzukalkulieren. Standardisierte Excel-Vorlagen mit vorkonfigurierten Berechnungsmethoden, die sich einfach anpassen lassen, erleichtern dabei die Einführung.
Hat sich das Kennzahlensystem bewährt, lässt es sich schrittweise in ein umfangreiches datenbankbasiertes Tool überführen. Damit sind auch komplexe Berechnungen mit Hilfe von Big Data-Analysen möglich. Dabei bleibt das KPI-System mit anderen wie ISO 27004 kompatibel. Doch eines sollte die IT-Abteilung dabei berücksichtigen: Mit zunehmender Komplexität und größerem Umfang wird das Kennzahlensystem zwar genauer, aber auch unübersichtlicher und schwerer verständlich. Dies kann die Kommunikation mit dem Management erschweren, da die Ergebnisse weniger nachvollziehbar sind. Trotzdem bleibt der IT-Abteilung auch dann ein wichtiger Vorteil: die Ermittlung einer Gesamt-KPI.
* Ralf Nemeyer ist Principal Consultant Secure Information bei Computacenter.
(ID:44236588)
:quality(80)/p7i.vogel.de/wcms/e2/fa/e2fa3fb6dfcce8649ea43d1b85663d75/0113555225.jpeg "Zur erfolgreichen ISO 27001-Zertifizierung gelangt man in sechs Schritten. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")