Benchmark setzt Schutzmaßnahmen ins Verhältnis

Mehr Sicherheit durch Kennzahlen

| Autor / Redakteur: Ralf Nemeyer / Peter Schmitz

In der Unternehmens-IT lassen sich eine Vielzahl an Kennzahlen zur Informationssicherheit erheben, es ist für passende Benchmarks aber wichtig, schon im Vorfeld genau zu planen, welche davon wirklich sinnvoll sind.
In der Unternehmens-IT lassen sich eine Vielzahl an Kennzahlen zur Informationssicherheit erheben, es ist für passende Benchmarks aber wichtig, schon im Vorfeld genau zu planen, welche davon wirklich sinnvoll sind. (Bild: XtravaganT - Fotolia.com)

Um die Informationssicherheit in verschiedenen Organisationseinheiten und Abteilungen miteinander zu vergleichen und Entwicklungen über einen längeren Zeitraum zu beurteilen, bedarf es eines Kennzahlensystems, aber das ist oft leichter gesagt als getan.

Folgen Unternehmen bei der Einführung eines Kennzahlensystems dem in ISO 27004 definierten Ansatz, ist es schwierig einen allgemeingültigen Benchmark zu bestimmen und die Kennzahlen zu aggregieren. Denn dieser Standard besagt, dass die Schutzmaßnahmen in der Umgebung, in der sie wirken betrachtet werden sollen.

Bezogen auf verschiedene Abteilungen eines Unternehmens macht dieser Ansatz ein Benchmarking jedoch unmöglich. Computacenter hat ein Benchmarksystem entwickelt, das die Schutzmaßnahmen auf Basis von Managementprozessen wie Risikoanalyse, Audits, Sicherheitsvorfällen und Ausnahmeregelungen betrachtet, wodurch eine aussagefähige Betrachtung und Vergleichbarkeit der Informationssicherheit möglich ist.

ISO 27001 schreibt die Messung der Effektivität von Schutzmaßnahmen im Rahmen eines Information Security Management Systems (ISMS) vor. Ziel ist es, festzustellen, ob mit den vorhandenen Schutzmaßnahmen die definierten Sicherheitsziele zu erreichen sind. Damit soll der Managementebene anhand dieser Kennzahlen aufgezeigt werden, wie es um den Sicherheitsstatus einer Organisation bestellt ist, und eine Entscheidungsvorlage liefern, an welchen Stellen Handlungsbedarf besteht.

Benchmarks für Bezugspunkte

Die Ermittlung der Kennzahlen in der Informationssicherheit dient der Leitungsebene als wichtige Entscheidungsgrundlage über die Anwendung und Verbesserung von Schutzmaßnahmen. Managementverfahren dienen dazu, Informationen zu sammeln, die dann als Entscheidungsgrundlage für Verbesserungen dienen. Dazu gehören neben der Risikoanalyse (Notwendigkeit von Schutzmaßnahmen), die Revision sowie interne Audits (Implementierungsstatus von Schutzmaßnahmen), die Behandlung von Sicherheitsvorfällen (Wirksamkeit der Schutzmaßnahmen bei realen Bedrohungen) und Ausnahmeverwaltung (Beeinträchtigung der täglichen Betriebsprozesse durch Schutzmaßnahmen)

Kennzahlen der Informationssicherheit

Bei der Erhebung dieser Kennzahlen sind viele Faktoren zu betrachten. Zunächst müssen Unternehmen berücksichtigen, für welche Objekte wie beispielsweise Informationen, Policies, Gebäude oder Ressourcen Kennzahlen erhoben werden sollen. Nach ISO 27001 betrachtet man insbesondere „Controls“ bzw. „Groups of Controls“ (siehe ISO 25001 Kapitel 4.2.2.d). Anhand dieser Schutzmaßnahmen ist es möglich, Basis-Messwerte zu erheben. Bei einer Firewall kann dieser Messwert beispielsweise in der Anzahl der geblockten Verbindungen pro Tag liegen oder in den erlaubten Verbindungen.

Abb. 1: Zusammenhang zwischen den unterschiedlichen Elementen, die für die Erhebung von Security-Kennzahlen zur Informationssicherheit erforderlich sind.
Abb. 1: Zusammenhang zwischen den unterschiedlichen Elementen, die für die Erhebung von Security-Kennzahlen zur Informationssicherheit erforderlich sind. (Bild: Computacenter)

Da ein einziger Basis-Messwert nur eine beschränkte Aussagekraft für eine Kennzahl hat, werden unterschiedliche Werte über einen mathematischen Zusammenhang zu abgeleiteten Messgrößen kombiniert. Bei der Firewall zählt dazu die Anzahl der geblockten Verbindungen, die versucht haben, unberechtigter Weise über die Firewall zu kommunizieren. Zudem würden die erlaubten Verbindungen gezählt. Auf diese Weise können die Werte durch Division zu einem abgeleiteten Messwert kombiniert werden. Dieser Quotient ermöglicht so eine Aussage über das Verhältnis von geblockten zu erlaubten Verbindungen.

Dieser abgeleitete Messwert wird einem Indikator gegenübergestellt, der ein festgelegtes Sicherheitsziel bestimmt. Ist der abgeleitete Wert geringer als der Indikator, besteht kein Handlungsbedarf. Ist er aber höher, sind Maßnahmen einzuleiten. In diesem Fall sollten etwa die Anwender besser über Kommunikationsregeln informiert und sensibilisiert werden.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 39435080 / Risk Management)