Benchmark setzt Schutzmaßnahmen ins Verhältnis Mehr Sicherheit durch Kennzahlen

Autor / Redakteur: Ralf Nemeyer / Peter Schmitz

Um die Informationssicherheit in verschiedenen Organisationseinheiten und Abteilungen miteinander zu vergleichen und Entwicklungen über einen längeren Zeitraum zu beurteilen, bedarf es eines Kennzahlensystems, aber das ist oft leichter gesagt als getan.

Firma zum Thema

In der Unternehmens-IT lassen sich eine Vielzahl an Kennzahlen zur Informationssicherheit erheben, es ist für passende Benchmarks aber wichtig, schon im Vorfeld genau zu planen, welche davon wirklich sinnvoll sind.
In der Unternehmens-IT lassen sich eine Vielzahl an Kennzahlen zur Informationssicherheit erheben, es ist für passende Benchmarks aber wichtig, schon im Vorfeld genau zu planen, welche davon wirklich sinnvoll sind.
(Bild: XtravaganT - Fotolia.com)

Folgen Unternehmen bei der Einführung eines Kennzahlensystems dem in ISO 27004 definierten Ansatz, ist es schwierig einen allgemeingültigen Benchmark zu bestimmen und die Kennzahlen zu aggregieren. Denn dieser Standard besagt, dass die Schutzmaßnahmen in der Umgebung, in der sie wirken betrachtet werden sollen.

Bezogen auf verschiedene Abteilungen eines Unternehmens macht dieser Ansatz ein Benchmarking jedoch unmöglich. Computacenter hat ein Benchmarksystem entwickelt, das die Schutzmaßnahmen auf Basis von Managementprozessen wie Risikoanalyse, Audits, Sicherheitsvorfällen und Ausnahmeregelungen betrachtet, wodurch eine aussagefähige Betrachtung und Vergleichbarkeit der Informationssicherheit möglich ist.

ISO 27001 schreibt die Messung der Effektivität von Schutzmaßnahmen im Rahmen eines Information Security Management Systems (ISMS) vor. Ziel ist es, festzustellen, ob mit den vorhandenen Schutzmaßnahmen die definierten Sicherheitsziele zu erreichen sind. Damit soll der Managementebene anhand dieser Kennzahlen aufgezeigt werden, wie es um den Sicherheitsstatus einer Organisation bestellt ist, und eine Entscheidungsvorlage liefern, an welchen Stellen Handlungsbedarf besteht.

Benchmarks für Bezugspunkte

Die Ermittlung der Kennzahlen in der Informationssicherheit dient der Leitungsebene als wichtige Entscheidungsgrundlage über die Anwendung und Verbesserung von Schutzmaßnahmen. Managementverfahren dienen dazu, Informationen zu sammeln, die dann als Entscheidungsgrundlage für Verbesserungen dienen. Dazu gehören neben der Risikoanalyse (Notwendigkeit von Schutzmaßnahmen), die Revision sowie interne Audits (Implementierungsstatus von Schutzmaßnahmen), die Behandlung von Sicherheitsvorfällen (Wirksamkeit der Schutzmaßnahmen bei realen Bedrohungen) und Ausnahmeverwaltung (Beeinträchtigung der täglichen Betriebsprozesse durch Schutzmaßnahmen)

Kennzahlen der Informationssicherheit

Bei der Erhebung dieser Kennzahlen sind viele Faktoren zu betrachten. Zunächst müssen Unternehmen berücksichtigen, für welche Objekte wie beispielsweise Informationen, Policies, Gebäude oder Ressourcen Kennzahlen erhoben werden sollen. Nach ISO 27001 betrachtet man insbesondere „Controls“ bzw. „Groups of Controls“ (siehe ISO 25001 Kapitel 4.2.2.d). Anhand dieser Schutzmaßnahmen ist es möglich, Basis-Messwerte zu erheben. Bei einer Firewall kann dieser Messwert beispielsweise in der Anzahl der geblockten Verbindungen pro Tag liegen oder in den erlaubten Verbindungen.

Abb. 1: Zusammenhang zwischen den unterschiedlichen Elementen, die für die Erhebung von Security-Kennzahlen zur Informationssicherheit erforderlich sind.
Abb. 1: Zusammenhang zwischen den unterschiedlichen Elementen, die für die Erhebung von Security-Kennzahlen zur Informationssicherheit erforderlich sind.
(Bild: Computacenter)
Da ein einziger Basis-Messwert nur eine beschränkte Aussagekraft für eine Kennzahl hat, werden unterschiedliche Werte über einen mathematischen Zusammenhang zu abgeleiteten Messgrößen kombiniert. Bei der Firewall zählt dazu die Anzahl der geblockten Verbindungen, die versucht haben, unberechtigter Weise über die Firewall zu kommunizieren. Zudem würden die erlaubten Verbindungen gezählt. Auf diese Weise können die Werte durch Division zu einem abgeleiteten Messwert kombiniert werden. Dieser Quotient ermöglicht so eine Aussage über das Verhältnis von geblockten zu erlaubten Verbindungen.

Dieser abgeleitete Messwert wird einem Indikator gegenübergestellt, der ein festgelegtes Sicherheitsziel bestimmt. Ist der abgeleitete Wert geringer als der Indikator, besteht kein Handlungsbedarf. Ist er aber höher, sind Maßnahmen einzuleiten. In diesem Fall sollten etwa die Anwender besser über Kommunikationsregeln informiert und sensibilisiert werden.

Einheitliches Managementverfahren

In der IT-Umgebung einer Organisation ist es also möglich, eine Vielzahl an Kennzahlen zur Informationssicherheit zu erheben. Es ist daher notwendig, im Vorfeld zu definieren, welche Kennzahlen wirklich sinnvoll sind. Einzeln betrachtet können alle Kennzahlen zu punktuellen Verbesserungen der betreffenden Controls in ihrer spezifischen Umgebung beitragen. Allerdings ergibt sich auf diese Weise kein vollständiges Bild der Informationssicherheit.

Eine Aggregation der Kennzahlen ist nicht möglich bzw. sinnvoll, da die Zahlen untereinander in keiner Beziehung stehen. Zudem können oftmals sogar die Einheiten unterschiedlich angegeben sein, beispielsweise in „Prozent“ oder „pro Monat“, so dass solche Kennzahlen nicht sinnvoll vergleichbar sind.

Außerdem ist es zweifelhaft, ob es mit dem beschriebenen Modell in einem Konzern oder einer Branche möglich ist, einen einheitlichen und für alle sinnvollen Benchmark zu entwickeln. Denn die Messung von bestimmten Kennzahlen in Unternehmen A kann in Unternehmen B völlig überflüssig sein. In diesem Fall ist es notwendig, auf Basis einer Risikoanalyse andere Schutzmaßnahmen zur Auswahl der Kennzahlen heranzuziehen.

Framework definiert zentrale Aspekte

Tabelle 1: Register zur Ermittlung von Informationssicherheitskennzahlen auf der Grundlage von Managementverfahren.
Tabelle 1: Register zur Ermittlung von Informationssicherheitskennzahlen auf der Grundlage von Managementverfahren.
(Bild: Computacenter)
Zur Erreichung der zuvor genannten Aufgabenstellung ist es sinnvoll, innerhalb eines Konzerns oder einer Branche über ein Framework für ein vereinheitlichtes Managementverfahren sorgen. Es gibt Aufschluss darüber, ob eine Schutzmaßnahme neu einzuführen, zu verbessern oder zu modifizieren ist.

Tritt beispielsweise ein Sicherheitsvorfall auf, so lässt sich dieser stets mit einer Schutzmaßnahme assoziieren und es können Vermutungen darüber angestellt werden, ob die Schutzmaßnahme unzureichend war. Wurde eine Schutzmaßnahme im Rahmen einer Revisionsprüfung als ungenügend befunden, lassen sich Aussagen darüber treffen, ob diese nicht wie konzipiert umgesetzt ist. Besteht ein erhöhtes Risiko, können Unternehmen ableiten, dass die Schutzmaßnahme noch nicht ausreichend ist. Auf diese Weise kann ein Register (siehe Tabelle 1) erstellt werden.

Tabelle 2: Register zur Ermittlung von Informationssicherheitskennzahlen mit abgeleiteten Messwerten, Indikatoren und dem Hinweis auf einen Handlungsbedarf.
Tabelle 2: Register zur Ermittlung von Informationssicherheitskennzahlen mit abgeleiteten Messwerten, Indikatoren und dem Hinweis auf einen Handlungsbedarf.
(Bild: Computacenter)
Jeder Eintrag in das Register zur Ermittlung von Kennzahlen über die Informationssicherheit liefert Basis-Messwerte gemäß Abbildung 1. Liegt beispielsweise ein erhöhtes Risiko vor, wie bei Maßnahme 3, so kann man von einer maximalen Punktzahl (im Beispiel könnte dies eine „3“ sein, da wir es mit drei Managementverfahren zu tun haben) einen Wert abziehen. Diese Basis-Messwerte können jetzt pro Schutzmaßnahme zu den abgeleiteten Messwerten kombiniert werden. Diesem Wert wird ein Indikator gegenübergestellt, der Aufschluss über den Handlungsbedarf gibt (siehe Tabelle 2).

Maßnahmen gruppieren

Abb. 2: Beispiel einer Erhebung von Informationssicherheitskennzahlen auf der Grundlage von Managementverfahren und Aggregation durch Gruppierung von Einzelmaßnahmen.
Abb. 2: Beispiel einer Erhebung von Informationssicherheitskennzahlen auf der Grundlage von Managementverfahren und Aggregation durch Gruppierung von Einzelmaßnahmen.
(Bild: Computacenter)
Das Benchmarksystem von Computacenter gibt dem Management Aufschluss darüber, ob und an welchen Stellen ein Handlungsbedarf besteht. Anhand der Auswertung sind alle Ergebnisse ins Verhältnis gesetzt. Dadurch können Maßnahmen gruppiert und die Erhebung des gesamten Registers in unterschiedlichen Managementeinheiten durchführt werden.

Der blaue Bereich in Abbildung 2 zeigt den Ist-Status, der sich aus Incidents, Audits und Risikoanalysen zusammensetzt. Ringsum sind die unterschiedlichen Sicherheitsstandards zur Informationssicherheit gelistet.

Ralf Nemeyer ist Principal Consultant Secure Information bei Computacenter.
Ralf Nemeyer ist Principal Consultant Secure Information bei Computacenter.
(Bild: Computacenter)
Die Abbildung zeigt beispielsweise den Standard „ISMS IT-Betrieb“. Der abgeleitete Messwert, wird durch die blaue Fläche repräsentiert und ist im grünen Bereich zu finden. Der Indikator zeigt auf, dass in diesem Fall kein Handlungsbedarf besteht. Im Gegensatz dazu befindet sich der Sicherheitsstandard „ISMS Umgebungssicherheit“ gemäß dem abgeleiteten Messwert im roten Bereich, es müssen also Maßnahmen für die Erhöhung der Umgebungssicherheit eingeleitet werden.

Die Voraussetzung dafür ist ein sorgfältig umgesetztes ISMS. Nur so lässt sich die Gesamtsumme der Schutzmaßnahmen genau benennen. Denn mit dem vollständigen Satz an Schutzmaßnahmen kombiniert mit dem vollständigen Satz an Managementverfahren erhalten Organisationen ein Benchmarksystem, das in Kombination mit einem Dashboard zu höherer Effizienz beim Sicherheitsmanagement führt.

(ID:39435080)