Suchen

Metriken für CISOs, Teil 1 Warum CISOs andere Kennzahlen benötigen

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Security-Metriken sind bei CISOs beliebt und gehasst zugleich. Zum einen erhöhen sie die Transparenz in der Security, zum anderen will die Geschäftsleitung den CISO daran messen. Wichtig ist es, die richtigen Metriken zu nutzen, auch für die Automatisierung in der Security. In einer Mini-Serie nennen wir Kennzahlen, die in keiner Security-Abteilung fehlen sollten.

Kennzahlen und Metriken für die Security sollten dem CISO bei der Steuerung und Kontrolle helfen, das Management informieren und bei der Security-Automation genutzt werden können.
Kennzahlen und Metriken für die Security sollten dem CISO bei der Steuerung und Kontrolle helfen, das Management informieren und bei der Security-Automation genutzt werden können.
(© everythingpossible - stock.adobe.com)

Mangelnder Überblick und Kontrolle verringern die IT-Sicherheit in deutschen Unternehmen, so eine Tanium-Umfrage unter CIOs und CISOs. Das wird zum Beispiel dann deutlich, wenn man sich das Patch-Management ansieht. 94 Prozent der von Tanium befragten deutschen CIOs und CISOs gaben an, dass ein wichtiger Patch nicht wie angenommen auf allen Geräten im Unternehmen installiert wurde und sich somit eine Sicherheitslücke ergab.

47 Prozent der deutschen befragten CIOs und CISOs stehen vor Herausforderungen, weil andere Abteilungen und Führungskräfte nicht verstehen, wie wichtig widerstandsfähige Technologien für das Geschäft sind. 35 Prozent der Befragten sehen Herausforderungen in der Zusammenarbeit mit anderen Abteilungen, weil diese in Silos arbeiten und so kein umfassender Überblick möglich ist. Dies verringert ebenfalls die Sicherheit.

Offensichtlich benötigen CISOs mehr Informationen über die Security-Verfahren, aber auch über die Sicherheitslage in den Bereichen und Abteilungen. Nicht zuletzt benötigen IT-Sicherheitsverantwortliche die richtigen Informationen, um an ihre Geschäftsleitung berichten zu können. Das obere Management erwartet zunehmend auch selbst greifbare Daten zur Security, um die Arbeit des CISOs und die Sicherheitslage bewerten zu können. Compliance-Anforderungen wie die Datenschutz-Grundverordnung (DSGVO) haben dieses Interesse der Geschäftsleitung an Security-Informationen spürbar gesteigert.

Aus gutem Grund lautet eine Empfehlung aus dem CISO-Benchmark von Cisco: Legen Sie Sicherheitsbudgets anhand von Messwerten fest und nutzen Sie Risikobewertungen im Rahmen Ihrer Beschaffungs-, Strategie- und Managemententscheidungen.

Automatisierung fängt mit Messen an

Auch in der Security gilt der „Dreisatz“ Messen, Steuern und Regeln. Von entscheidender Bedeutung ist dabei nicht nur, dass die Messung korrekt ist, sondern was überhaupt gemessen wird. Wenn die Security stärker automatisiert werden soll, sind die richtigen Messungen zwingende Voraussetzung.

„Es geht nicht länger um die Frage, wie wir mit Risiken umgehen und Sicherheit für unser Unternehmen gewährleisten“, so der Gartner Research Vice President Katell Thielemann. „Es geht jetzt darum, dass wir durch das Bewerten und Steuern von Risiken und Sicherheit auch neue Werte im Unternehmen schaffen. Demzufolge ist Automatisierung der beste Weg, um zum Fortschritt des Unternehmens beizutragen“, erklärte Katell Thielemann.

Im Idealfall sollten also Kennzahlen und Metriken für die Security gefunden werden, die dem CISO bei der Steuerung und Kontrolle helfen, die das Management informieren und die bei der Security-Automation genutzt werden können, jeweils natürlich in einer anderen Darstellung und Form.

Leider werden oftmals die falschen Kennzahlen bestimmt

Wenn man nicht die richtigen Kennzahlen wählt, kann dies zu der eingangs genannten fehlenden Übersicht und Kontrolle führen. So misst man vielleicht, wie schnell ein Patch installiert wurde, aber nicht, ob auch alle Endpoints beim Patchen erreicht wurden.

Wenn ein Tool für Anwendungssicherheit im Einsatz ist, gibt es mehrere Kennzahlen, anhand derer sich die Effizienz des Tools ablesen und optimieren lässt, so Veracode. Typischerweise achten Unternehmen dabei auf Faktoren wie Scan Rate, Flaw Density und Compliance. Allerdings verfolgen nur relativ wenige Anwender die sogenannte Fix Rate, obwohl diese ein wichtiger Indikator in Sachen Sicherheit ist. Die Fix Rate gibt an, wie lange es dauert, bis ein Team die Sicherheitslücken behebt, die bei Scans gefunden werden. Sie errechnet sich folgendermaßen: Fix Rate = Fixed Flaws / (Fixed + Open Flaws)

Betrachtet man die Fix Rate über einen gewissen Zeitraum, erkennt man die durchschnittliche Geschwindigkeit, mit der Sicherheitslücken geschlossen werden. Kennzahlen wie Scan Rate und Compliance sind zweifellos von hoher Bedeutung, doch die Fix Rate nimmt eine besonders wichtige Position ein, denn letztendlich reicht es nicht, Schwachstellen nur ausfindig zu machen – solange sie nicht behoben sind, bleiben sie ein Risiko, wie Veracode unterstreicht.

Security-Kennzahlen müssen zu Business-Metriken passen

Es gibt noch einen weiteren Grund, warum CISOs die eigenen Metriken nochmals anschauen sollten: Die richtigen Kennzahlen helfen nicht nur dem CISO, der Geschäftsleitung und der Security-Automatisierung, sie passen auch zu den anderen Metriken im Unternehmen.

Zweifellos hat Security viele Besonderheiten, die sich in eigenen Kennzahlen widerspiegeln, wie es in anderen Fachbereichen auch der Fall ist. Doch Security hat bekanntlich keinen Selbstzweck, es geht immer um den Erfolg des Unternehmens, den Schutz für die Gesellschaft und den Einzelnen.

Genau wie IT-Sicherheitsrisiken Teil der Unternehmensrisiken sind, müssen auch die Security-Kennzahlen Teil der Unternehmenskennzahlen sein, in jedem Fall müssen sie zu den Business-Metriken passen. Wenn also das Unternehmen mit Kennzahlen wie Customer Lifetime Value (CLTV), Net Promoter Score (NPS) und Customer Satisfaction Rate arbeitet, muss die Security dazu passende Kennzahlen haben.

Es stellt sich also die Frage, was einen Kunden zu einem dauerhaft wertvollen Kunden macht, wann Kunden wirklich zufrieden sind und wann sie ein Unternehmen weiter empfehlen. Security spielt dabei ohne Frage eine entscheidende Rolle. Ein Beispiel: Wenn die Webseite eines Unternehmens wegen einer DDoS-Attacke nicht mehr erreichbar ist oder über die Website Schadsoftware an die Besucher verteilt wird, werden die zuvor genannten Business-Kennzahlen sicherlich negativ beeinflusst.

In den folgenden Teilen dieser Serie werden verschiedene Kennzahlen näher betrachtet, die ein CISO kennen und nutzen sollte.

(ID:46052636)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research