Suchen

Metriken für CISOs, Teil 2 Welche Kennzahlen CISOs wirklich helfen

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Die Security muss in alle Abläufe integriert werden, so lautet eine bekannte Forderung. Trotzdem werden Business-Prozesse oftmals mit anderen Kennzahlen ausgewertet als Security-Prozesse. Das muss sich ändern, denn integrierte Kennzahlen helfen den CISOs genauso wie dem ganzen Unternehmen. Wir nennen Beispiele für passende Security-Kennzahlen.

Das Business wünscht sich KPIs (Key Performance Indicatoren), um den Unternehmenserfolg zu quantifizieren. Auch die IT-Sicherheit muss solche KPIs für sich entwickeln.
Das Business wünscht sich KPIs (Key Performance Indicatoren), um den Unternehmenserfolg zu quantifizieren. Auch die IT-Sicherheit muss solche KPIs für sich entwickeln.
(© Blue Planet Studio - stock.adobe.com)

Stellen Sie sich vor, Sie haben als CISO viel Zeit in den Management-Bericht zur Lage der Security im Unternehmen gesteckt. Sie legen den Bericht vor, die Geschäftsleitung wirft einen kurzen Blick darauf, bedankt sich und geht zum nächsten Thema über.

Eigentlich wollten Sie den Bericht nutzen, um für mehr Budget zu werben, aber Sie kommen gar nicht dazu. Scheinbar interessiert sich niemand für Ihr Reporting, trotz aller Mühe. Ein Grund könnte in den gewählten Kennzahlen liegen. Im Business wünscht man sich immer KPIs, also Key Performance Indicators, mit denen ein Unternehmen in der Regel seinen Erfolg definiert und bewertet, um Fortschritte bei der Erreichung seiner langfristigen Unternehmensziele zu erzielen.

Da stellt sich die Frage, was denn die langfristigen Unternehmensziele sind, und wie diese mit den Security-Zielen einhergehen. Wenn Sie zum Beispiel das Ziel verfolgen, dass alle Applikationen einen Security-Test durchlaufen haben, dass möglichst keine bekannten Schwachstellen offen sind oder dass alle Beschäftigten eine Sicherheitsschulung durchlaufen haben, dann ist die Bedeutung für das Unternehmen nicht für jeden auf den ersten Blick sichtbar, obwohl sie für Sie als CISO offenkundig ist.

Die Security muss deshalb auch bei den Kennzahlen noch stärker in die Business-Strategien integriert werden, mit deutlichen Vorteilen, wie eine aktuelle Studie zeigt.

Business-Driven Security auch in den Kennzahlen

Laut der PwC-Studie „Digital Trust Insights Survey“ erzielen Unternehmen, die einen unternehmensorientierten Cybersicherheitsansatz verfolgen, bessere Ergebnisse. Die globale Umfrage unter mehr als 3.000 Führungskräften und IT-Fachleuten weltweit ergab, dass die erfolgreichsten Unternehmen nicht nur Vorreiter bei der Cybersicherheit sind, sondern auch bessere Geschäftsergebnisse erzielen.

Zu den wichtigsten Verhaltensweisen, mit denen sich Vorreiter von ihren Mitbewerbern abheben, gehören die Ausrichtung ihrer Geschäfts- und Cybersicherheitsstrategien, ein risikobasierter Ansatz und die Koordinierung ihrer Teams, die Risiken managen. Die wichtigsten Ergebnisse der Digital Trust Insights-Umfrage von PwC verdeutlichen den Vorsprung, den Vorreiter in allen drei Bereichen haben:

  • 65 Prozent der Vorreiter sind der festen Überzeugung, dass ihr Cybersicherheitsteam in das Geschäft eingebettet ist, sich in die Geschäftsstrategie des Unternehmens einfügt und über eine Cybersicherheitsstrategie verfügt, die die geschäftlichen Erfordernisse unterstützt.
  • 89 Prozent der Vorreiter geben an, dass ihre Cybersicherheitsteams konsequent an der Bewältigung der mit der Geschäftstransformation oder digitalen Initiativen des Unternehmens verbundenen Risiken beteiligt sind.
  • 77 Prozent der Vorreiter sind der festen Überzeugung, dass ihr Cybersicherheitsteam ausreichend mit Führungskräften zusammenarbeitet, um ein Verständnis für die Risikobereitschaft des Unternehmens zu entwickeln.

Offensichtlich spielt hier eine gemeinsame Sprache dank passender Kennzahlen eine wichtige Rolle, um die Security-Ziele und die Business-Ziele eng zu verzahnen und abzustimmen.

Welche Kennzahlen das Management ansprechen

Kommen wir zurück zu der Situation, in der Sie als CISO dem Management einen mühsam erstellten Bericht vorgelegt haben. Welche Kennzahlen würden sich darauf befinden? Sind es Kennzahlen, die der Geschäftsleitung deutlich machen, dass Cyber-Risiken als Unternehmensrisiken zu betrachten sind und wie sich diese Risiken auswirken? Wenn nicht, werden die Kennzahlen innerhalb der Security-Organisation hilfreich sein, aber nicht zur Überzeugung und Information des Managements.

Betrachtet man zum Beispiel das Allianz Risk Barometer 2019, das die wichtigsten Unternehmensrisiken aufzeigt, erfährt man: Cyber-Risiken sind erstmals gleichauf mit Betriebsunterbrechung das größte Risiko für Unternehmen weltweit. Cyber-Risiken und Betriebsunterbrechungsrisiken sind zunehmend miteinander verknüpft, da Ransomware-Angriffe oder IT-Ausfälle oft zu Betriebs- und Serviceunterbrechungen führen. So sind Cybervorfälle laut Allianz Risk Barometer der am meisten gefürchtete Auslöser von Betriebsunterbrechungen (50 Prozent der Antworten), gefolgt von Feuer/Explosion (40 Prozent) und Naturkatastrophen (38 Prozent).

Diese Verknüpfung von Cyber-Risiken und Betriebsunterbrechung ist ein wichtiger Schlüssel bei der Wahl der richtigen Kennzahlen, denn hier trifft man die Sorgen der Geschäftsleitung, genau wie dies die Versicherungsgesellschaften tun.

Es gilt also, nicht bei Kennzahlen stehen zu bleiben wie Anzahl der gefundenen Sicherheitslücken, Anzahl der gescannten / getesteten Seiten oder Anzahl der behobenen kritischer Sicherheitslücken. Diese sind durchaus Kennzahlen für die Security, aber die Business-Sicht fehlt, sprich die Sicht auf die damit verbundenen Risiken für das Unternehmen.

Beispiele für greifbare Kennzahlen aus Business-Sicht

Mit den richtigen Kennzahlen wird Security für das Management relevant, und damit helfen die Kennzahlen jedem CISO, der die Geschäftsleitung zum Beispiel von einem höheren Security-Budget überzeugen muss.

Fehlalarme zum Beispiel können Betriebsabläufe stören, das Ziel muss es sein, solche False Positives zu minimieren. Entsprechend ist die Zahl der False Positives pro Tag durchaus ein Wert, der dem Management zugänglich ist, sofern die Erläuterung der Folge „Störung Betriebsablauf“ nicht fehlt.

Interessant ist auch der Schaden durch verlorene oder gestohlene Datenträger und Endgeräte, sofern klar wird, dass dies die Abläufe stört, und natürlich die Ausfallzeiten in der Produktion oder beim Online-Shop des Unternehmens durch Sicherheitsvorfälle, wobei jeweils die zeitliche Entwicklung eine Rolle spielt.

Auch für Sie als CISO sind diese zeitlichen Entwicklungen spannend, da Sie zum einen selbst den Handlungsbedarf leicht erkennen und zum anderen dadurch auch auf Ihren positiven Einfluss auf die Security im Unternehmen hinweisen können oder auf den Bedarf, möglichst schnell der Entwicklung gegen zu steuern, wozu zum Beispiel ein höheres Security-Budget notwendig sein kann.

(ID:46120364)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research