Sicherheit messen!

Dieser Beitrag wurde am von in Allgemein, News veröffentlicht. Schlagworte: , .


Kennzahlensysteme zur Überwachung der Informationssicherheit

von Mechthild Stöwer

Mit steigenden IT-Sicherheitsrisiken gewinnt die Überprüfung der Güte des Sicherheitssystems an Bedeutung. Insbesondere das Management einer Unternehmung verlangt kompakte, aussagefähige Informationen über die Qualität des erreichten Sicherheitsniveaus und über die Effizienz der Sicherheitsprozesse, um Optimierungspotenziale zu identifizieren. Aber auch externe Partner, die mit Unternehmen und Behörden in einer Wertschöpfungskette verbunden sind, fordern verstärkt einen Nachweis über die Güte der Sicherheitsstrukturen und Prozesse.

Hinzu kommen regulatorische Auflagen für den Bereich der Informationssicherheit. Die genutzten „klassischen“ Instrumente zur Bewertung wie technische Systemscans oder externe und interne Audits, die ein Sicherheitssystem gegen Normen prüfen, beantworten wichtige Fragestellungen des Managements der Informationssicherheit dabei jedoch oft nicht ausreichend:

  • Wo gibt es Unternehmensteile, die Sicherheitsvorgaben nicht erfüllen? Wie groß sind die Abweichungen von Zielvorgaben?
  • Hat sich die die Informationssicherheit durch vorgenommene technische Investitionen oder organisatorische Maßnahmen erhöht? Wie groß ist die Verbesserung?
  • Wie entwickelt sich im Zeitablauf die Sicherheitsperformance? Tragen Sicherheitsmaßnahmen in bestimmten (kritischen) Bereichen zu einer nachhaltigen Optimierung bei?

Systemscans oder Audits, die ein Sicherheitssystem gegen Normen prüfen, beantworten wichtige Fragestellungen oft nicht.

Key Performance Indikatoren (KPI) zur Steuerung der Informationssicherheit
So ist es aus Managementsicht wünschenswert, zu beliebigen Zeitpunkten eine schnelle und kompakte Information über den Zielerreichungsgrad und eventuelle Abweichungen zu erhalten. Dazu werden üblicherweise Kennzahlen als gängige, erprobte und bewährte Messgrößen für die Erreichung von Zielen genutzt. Im Gegensatz zu Leitbildern oder anderen weniger scharf formulierten Zielgrößen vermitteln sie ein genaueres Bild über den Grad der Zielerreichung. Wie in anderen betriebswirtschaftlichen Bereichen auch sind es Controlling- und Steuerungsaufgaben, die den Wunsch nach IT-Security KPIs begründen, darüber hinaus sind KPIs jedoch auch ein wirksames und bewährtes Kommunikationsinstrument:

  • Maßzahlen schaffen Sichtbarkeit.
  • Sie unterstützen das Bewusstsein für IT-Sicherheitsfragen insbesondere durch eine akzeptierte Kommunikationsebene.
  • KPIs bieten den Rahmen für eine kontinuierliche Optimierung des Sicherheitssystems.

Darüber hinaus erfordert die Compliance zu den gängigen Standards der Informationssicherheit (wie die ISO 27001) die Nutzung von Sicherheitskennzahlen. Dies bedeutet, dass alle Unternehmen, die ihr Managementsystem der Informationssicherheit an internationalen Normen orientieren, ein System von KPIs aufbauen müssen.

Anforderungen an ein aussagefähiges Sicherheitskennzahlensystem
Es sprechen somit viele Gründe für die umfassende Nutzung von Metriken zur Reflektion der Güte des Sicherheitssystems. In der Praxis werden Kennzahlen bislang allerdings häufig nur rudimentär verwendet, denn es ist eine ausgesprochen anspruchsvolle Aufgabe, ein umfassendes Kennzahlenwerk aufzubauen. Während es für technische Fragestellungen noch relativ leichtfallen mag, ist die Generierung von Metriken für organisatorische Aspekte der Informationssicherheit mitunter sehr aufwendig. In der Praxis werden daher häufig Metriken genutzt, die einfach und kostengünstig zu erheben sind, die jedoch auch kaum Aussagekraft und Handlungsrelevanz besitzen.

Zudem müssen Kennzahlen normiert werden, um sie zu Kennzahlensystemen aggregieren zu können, und sie müssen einen sinnvollen Bezugspunkt haben, um Abweichungen von definierten Sollwerten und Veränderungen im Zeitablauf interpretieren zu können.

Aus diesen Anforderungen ergeben sich im Praxiseinsatz vielfältige Probleme. Insbesondere große, verteilt operierende Organisationen stehen vor der Herausforderung, aussagefähige Kennzahlen mit vertretbarem wirtschaftlichem Aufwand zu erheben. Dies erfordert in der Regel, dass sie automatisiert generiert werden können. Eine manuelle Erhebung ist kaum zu realisieren. Sollte dies für einen besonders interessierenden Tatbestand erforderlich sein, kann in der Regel nur mit Stichproben gearbeitet werden. Es sind somit geeignete Messverfahren und Systeme, die dies unterstützen, zu implementieren.

Use Cases für Sicherheitskennzahlen
Projekte zur Spezifikation und Implementierung von Kennzahlen sind mit erheblichem Aufwand verbunden. Insbesondere die Bereitstellung von Systemen zur automatisierten Erhebung und zur Präsentation erfordern Investitionen in geeignete Lösungen. Darüber hinaus ist die kooperative Zulieferung von Bereichen außerhalb der IT-Sicherheitsorganisation erforderlich. Die bewirkt einen erheblichen Kommunikationsaufwand. Um Projekte zum Erfolg zu führen, ist daher ein klares Projektziel und ein definierter Pfad zur Zielerreichung unabdingbar. Die Zielgruppen für die KPIs und ihre Informationsanliegen müssen deutlich formuliert werden und alle spezifizierten KPIs müssen sich an ihren Anliegen orientieren. Daraus müssen gut kommunizierbare Use Cases und der Nutzen der KPIs zur Optimierung des IT-Sicherheitssystems abgeleitet werden. Dabei zeigt die Erfahrung bei der Durchführung von KPI Projekten, dass es sinnvoll ist, zunächst mit Pilotvorhaben zu starten, Erfahrungen zu sammeln und das KPI System dann sukzessive auszubauen und so zu skalieren, dass es auf geänderte Informationsanliegen angepasst werden kann.

Mögliche Use Cases können sein:

  • KPIs zu Überwachung von technischen und/oder organisatorischen Sicherheitsprozessen
  • Entwicklung von KPIs zur Optimierung von Compliance Verfahren
  • Spezifikation von Security Controls für vom Unternehmen fokussierte Phasen des Sicherheitsprozesses: Preventive – Detective – Corrective
  • Aufbau eines Systems zur Reflektion besonderer Bedrohungssituationen wie etwa der Überwachung von Risiken durch Ransomware
  • Ableitung von Metriken für die besonderen Informationsanliegen der Führungsebene, z.B. Reputationsoder Compliance-Risiken

Quellen für Sicherheitskennzahlen
Es findet sich inzwischen ein breites Angebot an Beispielen für Security KPIs:

  • Sicherheitsstandards (wie die ISO 27004 oder die Special Publication 800-55 des National Instituts of Standards and Technology) bieten Beispiele für Kennzahlenkonstrukte.
  • Branchenorientierte Anpassungen der Standards geben Hinweise für Kennzahlen. Hier kann TISAX als auf die Automobilbranche fokussierter Sicherheitsstandard mit einer Fülle von Beispielkennzahlen genannt werden.
  • Das Center for Internet Security gibt eine Übersicht über gängige, aus Security Controls abgeleitete Metriken (https://learn.cisecurity.org/cis-controlsdownload).
  • Darüber hinaus ist einschlägige Fachliteratur verfügbar, die sich mit der Anwendung und Definition von Sicherheitsmetriken beschäftigt.

Intern generierte Kennzahlen vs. Ratingsysteme
Um den Aufwand für ein internes Kennzahlensystem zu vermeiden, gibt es den pragmatischen Ansatz, die Güte des Informationssicherheitssystems durch ein Ratingsystem bewerten zu lassen. Diese Lösungen scannen von außen einzelne Schwachstellen des  Unternehmensnetzwerks und bilden daraus eine Kennzahl. Die Ergebnisse werden gewichtet und zu einer Kennzahl verdichtet.

Es gibt begründete Anwendungsfälle zur Nutzung dieser Ratingsysteme:

  • Die systematische Zusammenstellung der nach außen hin exponierten Schwachstellen gibt den IT-Sicherheitsverantwortlichen wichtige Hinweise auf die Güte des Sicherheitssystems.
  • Diese Ratings sind ggf. mit ergänzenden Detailanalysen ebenfalls sehr wertvoll, um das Sicherheitssystem von in einer Wertschöpfungskette verbundenen Partnern oder der Konkurrenz zu bewerten.
  • Für IT-Sicherheitsbeauftragte, die Verantwortung in einem Konzernverbund tragen, können diese Systeme eine Hilfestellung zur Steuerung von Tochterunternehmen bieten.
  • Das Rating hilft bei der Kalkulation des Risikos für eine Cyber Security Police.

Ratingsysteme können also einen wertvollen Beitrag zur Bewertung eines Sicherheitssystems  leisten. Sie ersetzen jedoch kein internes KPI-System. Um die IT-Risiken einer Unternehmung  abzubilden, müssen grundsätzlich die spezifischen Schutzbedürfnisse betrachtet und insbesondere das Schadenspotenzial von Sicherheitsverletzungen in die Analyse einbezogen werden.

Fazit
Um ein wirksames Managementsystem der Informationssicherheit in einem Unternehmen aufzubauen, müssen Kontrollmechanismen für ausgewählte, an den Risiken orientierte Sicherheitsmaßnahmen implementiert werden. Hierfür sind Key Performance Indikatoren ein geeignetes Instrument, das zudem die Kommunikation mit der Unternehmensleitung wirksam unterstützt. Aber auch andere Rollen im Sicherheitsmanagement profitieren von diesem Ansatz. Use Cases, die auf die besonderen Informationsanliegen fokussiert sind, helfen, Kosten und Nutzen gut zu balancieren.

Maßzahlen schaffen Sichtbarkeit, unterstützen das Bewusstsein für IT-Sicherheitsfragen und ermöglichen eine kontinuierliche Optimierung des Sicherheitssystems.

Mechthild Stöwer
Leiterin Security Management
Fraunhofer Institut für Sichere Informationstechnologie SIT

Das aktuelle Handelsblatt Journal

Mehr erfahren