IT-Sicherheit

Kennzahlen in der IT-Security

18.02.2019 von Gerald Spiegel
Fehlende Sichtbarkeit der Wirksamkeit von IT-Sicherheitsmaßnahmen geht oft mit unzureichender Prävention einher. Dabei gibt es genug Kennzahlen, um den Schutz von Informationen effizient zu gestalten.

In Zeiten stetig zunehmender Cyber-Attacken, die Unternehmen immer teurer zu stehen kommen, spielt IT-Sicherheit für das Business eine zentrale Rolle. Der Branchenverband Bitkom beziffert den Gesamtschaden (PDF) aus Cyber-Angriffen innerhalb der letzten zwei Jahre in Deutschland auf 43,4 Milliarden Euro. Daher sollte Security im Idealfall strategisch angegangen und durchgehend operativ begleitet werden.

Messbare Key Performance Indicators (KPI) und Key Risk Indicators (KRI) ermöglichen mehr Transparenz und Verbesserungspotenzial in der IT-Sicherheit.
Foto: rigsbyphoto - shutterstock.com

In der Realität steht sie aber oft vor einem Dilemma: Ist IT-Sicherheit gut organisiert, schützt sie IT-Infrastrukturen, Geräte und die Informationen im Unternehmen, aber niemand merkt es. Sie wird oft vor allem als Kostenfaktor empfunden und oft kostenintensive Verbesserungsmaßnahmen sind nur schwer zu vermitteln.

Ist nicht ersichtlich, wie wirksam IT-Sicherheitsmaßnahmen tatsächlich sind, wird die Prävention unterschätzt. Stattdessen reagieren Unternehmen oft erst, wenn Defizite in der IT-Sicherheit spürbar werden. Erst wenn sie versagt und ein "Ereignis" wie ein Sicherheitsleck oder verlorene Geräte eintritt, die im schlechtesten Fall eine offene Flanke in der Infrastruktur schaffen, bekommt IT-Sicherheit die nötige Aufmerksamkeit. Dann ist es aber meistens zu spät.

Warum IT-Sicherheit gemessen werden sollte

Daher sind Key Performance Indicators (KPI) und Key Risk Indicators (KRI) in der IT-Sicherheit wichtig. Sie zeigen nachprüfbar, dass sich der Chief Information Security Officer (CISO) in der Gestaltung und Kontrolle sowie der CIO in der Umsetzung um die bestmögliche Cyber-Security kümmern.

Zudem helfen diese Kennzahlen dabei, Schwachstellen in der IT-Sicherheit und den Prozessen aufzuspüren, um sie vor dem Ernstfall zu schließen. Sie erlauben kontinuierliche Rückschlüsse auf Defizite in den relevanten Organisationen und Abläufen, beispielsweise bei der Speicherung von Daten. Dezidierte Messdaten zeigen den Zusammenhang zwischen den Kosten und dem Sicherheitsniveau.

Ein hundertprozentiger Schutz ist nicht möglich. Unternehmen müssen also die Frage beantworten, bis zu welchem Prozentsatz sie eine hinreichende Sicherheit herstellen können. Dabei gilt es, vertretbare Kosten und Maßnahmen zu definieren, die weder die IT-Systeme noch die Mitarbeiter überfordern oder ausbremsen.

Systematisch und fortlaufend erhobene Daten erleichtern es auch, Compliance-Vorgaben einzuhalten. Sie helfen dabei, rechtskonforme Handlungen nachzuweisen, regulatorische Maßnahmen umzusetzen oder Haftungsfragen zu klären. Das gilt besonders in hochregulierten Branchen wie im Banken- oder Energiesektor. Hierfür stellen Metriken die richtigen Daten bereit und belegen zugleich die Wirksamkeit der Maßnahmen.

Allerdings: Jede IT-Infrastruktur liefert mehr Daten für diese Messungen, als benötigt werden. Hier kommen valide KPIs und KRIs ins Spiel.

Was kann gemessen werden?

Jedes durchschnittliche Unternehmensnetzwerk produziert automatisch fortlaufend große Mengen zählbarer Daten in hinreichender Qualität. Nahezu jede Aktivität hinterlässt dort nachvollziehbare Spuren. Darunter fallen unter anderem Logfiles aus dem Netzwerkverkehr, Protokoll- oder Konfigurationsdateien sowie Zeitstempel einzelner Dateien.

Weitere auswertbare Daten können auch mittelbar über Komponenten wie ein Intrusion Detection System (IDS) entstehen. Zudem gibt es Tools, die Daten aus dem laufenden System herausfiltern oder über Prüfsummen ermitteln, ob sich einzelne Dateien auffällig verändert haben und so Hinweise über die Integrität von Daten liefern können.

Als Drittes gehören Auskünfte der Mitarbeiter zu den messbaren Indikatoren. Self Assessments können zum Beispiel Aufschluss über die Security Awareness im Unternehmen geben. Kein automatisch erhobener, gemessener Wert der IT-Infrastruktur liefert diese Informationen und sie lassen sich auch nicht über (teil)automatisierte Maßnahmen verbessern. Hier gilt es, händisch auszuwerten.

Ein wichtiger Aspekt für optimale IT-Sicherheit liegt im richtigen Maß zwischen Mess-Frequenz und Reduktion von Risiken auf der einen und den Investitionen und Kosten auf der anderen Seite. Daher gehört es zu einer tragfähigen Sicherheitsstrategie mit KPIs und KRIs, zu definieren, wie oft gemessen werden soll.

Als letztes braucht jede Sicherheitsstrategie ein angemessenes Reporting in Form von Cyber-Security-Dashboards. Dort gilt es, KPIs und KRIs aussagekräftig darzustellen und, wenn die Werte im roten Bereich landen, geeignete Gegenmaßnahmen vorzuschlagen.

Auf die Relevanz kommt es an

Aufgabe der IT-Sicherheit ist es, die relevanten Informationen aus dem steten Strom von Daten zu filtern. Interessant ist dabei beispielsweise, welche Verbindungen zu welcher Zeit zwischen internen Komponenten sowie mit externen Komponenten aufgebaut werden. Des Weiteren spielt es eine Rolle, welche Personen oder Anwendungen diese Verbindungen aufbauen und welche Kommunikationsprotokolle sie nutzten. Auch erfolgreiche und fehlgeschlagene Zugriffsversuche auf Datenbanken und Dateien gilt es festzuhalten.

Um den unternehmensspezifischen "Normalzustand" festzustellen, werden diese Informationen über längere Zeit gesammelt und aufgezeichnet. Das bildet die Grundlage, um Abweichungen automatisiert zu entdecken. Eine Risiko-Analyse kann helfen, Unstimmigkeiten zu priorisieren und Grenzwerte des noch Akzeptierbaren festzulegen. Da in der Regel große Datenmengen anfallen, empfiehlt es sich, Tools aus dem Business-Intelligence-Bereich zu nutzen, die auch minimale, möglicherweise bedrohliche Trends und Tendenzen erkennen können.

Zudem muss definiert werden, was passiert, wenn Unregelmäßigkeiten und Abweichungen vom Normalzustand festgestellt werden. Die Norm ISO 27001 bleibt hier sehr allgemein. Sie empfiehlt weder geeignete Messpunkte noch schlägt sie passende Handlungen vor, sondern verweist auf die Norm ISO 27004. Es gilt also, die wichtigsten Implikationen im eigenen Netzwerk zu kennen und Erfahrungen mit Normabweichungen und geeigneten Gegenmaßnahmen zu haben. Beides steht in Unternehmen unter Umständen jedoch nicht von Haus aus zur Verfügung.

Es kann es daher sinnvoll sein, erfahrene Berater und Dienstleister zu beauftragen, um die Risiken zu analysieren und Metriken sowie Schwellenwerte zu definieren. Anhand derer erarbeiten sie mit dem Unternehmen einen tragfähigen Katalog an Gegenmaßnahmen.

Daten als Treibstoff für Verbesserungen

Definierte und angewendete KPIs und KRIs können darüber hinaus die Basis von Service Level Agreements (SLAs) für die unternehmensweite IT-Sicherheit bilden. Sie beantworten zum Beispiel die Frage, wie lange Sicherheits-Patches warten können, die den laufenden Betrieb beeinträchtigen würden, ohne dass eine offene Flanke in der IT-Infrastruktur entsteht. Die richtigen Daten in der notwendigen Menge sind hier der Grundstoff für alle strategischen, taktischen und operativen Entscheidungen und Prioritäten, die am Ende der IT-Sicherheit zugutekommen.

Von statischer zu dynamischer Sicherheit

Unternehmen bewerten die Effizienz und Effektivität der IT-Sicherheit meist noch mit Audits. Die erfassen Security-Maßnahmen aber in der Regel nur punktuell zum Zeitpunkt X. Kontinuierliche Kontroll- und Steuerprozesse anhand von Kennzahlen ist selten, weil die KRIs fehlen.

In der Regel nutzen Unternehmen Kennzahlen, um zu bewerten, wie effizient ihre Prozesse sind. KRIs als Messgröße kontinuierlicher Sicherheit sind noch wenig verbreitet und auch nicht ganz leicht zu nutzen. Zwar läuft es im Grunde auf die Formel "Eintrittswahrscheinlichkeit x Schadenshöhe" hinaus, mangelt es aber an harten Daten, wird die exakte Berechnung schwierig. Das gilt umso mehr, wenn es um die Bewertung zukünftiger Risiken geht.

Integrieren Unternehmen KRIs in ihre IT-Security-Strategie, steht am Ende ein durchdachtes Sicherheitskonzept, das auf validen, nachvollziehbaren Kennzahlen basiert. Es versetzt die Verantwortlichen in die Lage, Risiken zu minimieren, den IT-Schutz zu optimieren und die dafür notwendigen Investitionen und Kosten auf einem erträglichen Niveau halten. Es ist ein dynamisches System, in dem die Strategie und alle mit ihr verbundenen Fragestellungen sowie Metriken und Schwellenwerte fortlaufend angepasst, korrigiert und verbessert werden können.

Bei all dem geht es darum, sich an einen Idealzustand anzunähern, den am Ende aber kein Unternehmen jemals erreichen wird. Auch das ist eine wertvolle Erkenntnis. "Es gibt keine Metrik, die sagen kann, wie sicher ein System im absoluten Sinn ist", sagt Mark Torgerson von den Sandia National Laboratories dazu. Und das ist absolut kein Widerspruch zu Kennzahlen und Metriken.