:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/71/d1714e2bf277fe66c02fb54dcf490967/0111445786.jpeg "Smart TVs sind ungenügend abgesichert, ergab der IoT-Security-Landscape-Report von Bitdefender und Netgear. (Bild: Bildwasser - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/08/bc08b024279eb8e2cc17fdc771db674a/0111557394.jpeg "Wir zeigen, was Administratoren beim Testen von Backups beachten müssen und wie sie Backup-Tests effizient durchführen und automatisieren können. (Bild: Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Metriken für CISOs, Teil 1 Warum CISOs andere Kennzahlen benötigen
Security-Metriken sind bei CISOs beliebt und gehasst zugleich. Zum einen erhöhen sie die Transparenz in der Security, zum anderen will die Geschäftsleitung den CISO daran messen. Wichtig ist es, die richtigen Metriken zu nutzen, auch für die Automatisierung in der Security. In einer Mini-Serie nennen wir Kennzahlen, die in keiner Security-Abteilung fehlen sollten.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
Mangelnder Überblick und Kontrolle verringern die IT-Sicherheit in deutschen Unternehmen, so eine Tanium-Umfrage unter CIOs und CISOs. Das wird zum Beispiel dann deutlich, wenn man sich das Patch-Management ansieht. 94 Prozent der von Tanium befragten deutschen CIOs und CISOs gaben an, dass ein wichtiger Patch nicht wie angenommen auf allen Geräten im Unternehmen installiert wurde und sich somit eine Sicherheitslücke ergab.
47 Prozent der deutschen befragten CIOs und CISOs stehen vor Herausforderungen, weil andere Abteilungen und Führungskräfte nicht verstehen, wie wichtig widerstandsfähige Technologien für das Geschäft sind. 35 Prozent der Befragten sehen Herausforderungen in der Zusammenarbeit mit anderen Abteilungen, weil diese in Silos arbeiten und so kein umfassender Überblick möglich ist. Dies verringert ebenfalls die Sicherheit.
:quality(80)/images.vogel.de/vogelonline/bdb/1595700/1595766/original.jpg "Unternehmen müssen zu den wichtigsten IAM-Prozessen über genaue Kennzahlen verfügen. Bei Geschäftsprozessen ist das längst üblich. (gemeinfrei)")
Ahnungslosigkeit beim IAM
Der Weg zu verlässlichen IAM-Kennzahlen
Offensichtlich benötigen CISOs mehr Informationen über die Security-Verfahren, aber auch über die Sicherheitslage in den Bereichen und Abteilungen. Nicht zuletzt benötigen IT-Sicherheitsverantwortliche die richtigen Informationen, um an ihre Geschäftsleitung berichten zu können. Das obere Management erwartet zunehmend auch selbst greifbare Daten zur Security, um die Arbeit des CISOs und die Sicherheitslage bewerten zu können. Compliance-Anforderungen wie die Datenschutz-Grundverordnung (DSGVO) haben dieses Interesse der Geschäftsleitung an Security-Informationen spürbar gesteigert.
Aus gutem Grund lautet eine Empfehlung aus dem CISO-Benchmark von Cisco: Legen Sie Sicherheitsbudgets anhand von Messwerten fest und nutzen Sie Risikobewertungen im Rahmen Ihrer Beschaffungs-, Strategie- und Managemententscheidungen.
Automatisierung fängt mit Messen an
Auch in der Security gilt der „Dreisatz“ Messen, Steuern und Regeln. Von entscheidender Bedeutung ist dabei nicht nur, dass die Messung korrekt ist, sondern was überhaupt gemessen wird. Wenn die Security stärker automatisiert werden soll, sind die richtigen Messungen zwingende Voraussetzung.
„Es geht nicht länger um die Frage, wie wir mit Risiken umgehen und Sicherheit für unser Unternehmen gewährleisten“, so der Gartner Research Vice President Katell Thielemann. „Es geht jetzt darum, dass wir durch das Bewerten und Steuern von Risiken und Sicherheit auch neue Werte im Unternehmen schaffen. Demzufolge ist Automatisierung der beste Weg, um zum Fortschritt des Unternehmens beizutragen“, erklärte Katell Thielemann.
Im Idealfall sollten also Kennzahlen und Metriken für die Security gefunden werden, die dem CISO bei der Steuerung und Kontrolle helfen, die das Management informieren und die bei der Security-Automation genutzt werden können, jeweils natürlich in einer anderen Darstellung und Form.
:quality(80)/images.vogel.de/vogelonline/bdb/1064500/1064577/original.jpg "Die Kennzahlen jedes ISMS-Bereichs lassen sich als Balken- oder Spinnennetz-Diagramm darstellen. So lässt sich schnell für jeden Bereich erkennen, wie gut oder schlecht das Sicherheitsniveau des Unternehmens ist. (Computacenter)")
Security-Management
Eine KPI für Security
Leider werden oftmals die falschen Kennzahlen bestimmt
Wenn man nicht die richtigen Kennzahlen wählt, kann dies zu der eingangs genannten fehlenden Übersicht und Kontrolle führen. So misst man vielleicht, wie schnell ein Patch installiert wurde, aber nicht, ob auch alle Endpoints beim Patchen erreicht wurden.
Wenn ein Tool für Anwendungssicherheit im Einsatz ist, gibt es mehrere Kennzahlen, anhand derer sich die Effizienz des Tools ablesen und optimieren lässt, so Veracode. Typischerweise achten Unternehmen dabei auf Faktoren wie Scan Rate, Flaw Density und Compliance. Allerdings verfolgen nur relativ wenige Anwender die sogenannte Fix Rate, obwohl diese ein wichtiger Indikator in Sachen Sicherheit ist. Die Fix Rate gibt an, wie lange es dauert, bis ein Team die Sicherheitslücken behebt, die bei Scans gefunden werden. Sie errechnet sich folgendermaßen: Fix Rate = Fixed Flaws / (Fixed + Open Flaws)
Betrachtet man die Fix Rate über einen gewissen Zeitraum, erkennt man die durchschnittliche Geschwindigkeit, mit der Sicherheitslücken geschlossen werden. Kennzahlen wie Scan Rate und Compliance sind zweifellos von hoher Bedeutung, doch die Fix Rate nimmt eine besonders wichtige Position ein, denn letztendlich reicht es nicht, Schwachstellen nur ausfindig zu machen – solange sie nicht behoben sind, bleiben sie ein Risiko, wie Veracode unterstreicht.
:quality(80)/images.vogel.de/vogelonline/bdb/1584700/1584735/original.jpg "CISOs brauchen inzwischen gute Argumente für mehr Budget in der IT-Sicherheit. (gemeinfrei)")
Der CISO und der Stellenwert der Security
Warum CISOs das Security-Marketing verändern müssen
Security-Kennzahlen müssen zu Business-Metriken passen
Es gibt noch einen weiteren Grund, warum CISOs die eigenen Metriken nochmals anschauen sollten: Die richtigen Kennzahlen helfen nicht nur dem CISO, der Geschäftsleitung und der Security-Automatisierung, sie passen auch zu den anderen Metriken im Unternehmen.
Zweifellos hat Security viele Besonderheiten, die sich in eigenen Kennzahlen widerspiegeln, wie es in anderen Fachbereichen auch der Fall ist. Doch Security hat bekanntlich keinen Selbstzweck, es geht immer um den Erfolg des Unternehmens, den Schutz für die Gesellschaft und den Einzelnen.
Genau wie IT-Sicherheitsrisiken Teil der Unternehmensrisiken sind, müssen auch die Security-Kennzahlen Teil der Unternehmenskennzahlen sein, in jedem Fall müssen sie zu den Business-Metriken passen. Wenn also das Unternehmen mit Kennzahlen wie Customer Lifetime Value (CLTV), Net Promoter Score (NPS) und Customer Satisfaction Rate arbeitet, muss die Security dazu passende Kennzahlen haben.
Es stellt sich also die Frage, was einen Kunden zu einem dauerhaft wertvollen Kunden macht, wann Kunden wirklich zufrieden sind und wann sie ein Unternehmen weiter empfehlen. Security spielt dabei ohne Frage eine entscheidende Rolle. Ein Beispiel: Wenn die Webseite eines Unternehmens wegen einer DDoS-Attacke nicht mehr erreichbar ist oder über die Website Schadsoftware an die Besucher verteilt wird, werden die zuvor genannten Business-Kennzahlen sicherlich negativ beeinflusst.
In den folgenden Teilen dieser Serie werden verschiedene Kennzahlen näher betrachtet, die ein CISO kennen und nutzen sollte.
(ID:46052636)
:quality(80)/images.vogel.de/vogelonline/bdb/1965900/1965920/original.jpg "CISOs schaffen Mehrwerte, indem sie die unter anderem sicherheitsrelevante Prozesse und die Einhaltung von Reglements rationalisieren. (gearstd - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1953500/1953596/original.jpg "Viele Unternehmen konzentrieren sich zu sehr auf die Erfüllung von Compliance-Anforderungen und nicht genug darauf, wirklich Sicherheit herzustellen. (BillionPhotos.com - stock.adobe.com)")