Kennzahlen für die Informationssicherheit

In den letzten Jahren sind deshalb mehrere Standards entstanden, die sich mit Sicherheitskennzahlen in der IT auseinandersetzen. In der Praxis haben sich drei Standards als relevant erwiesen.

ISO/IEC 27004 ist ein Standard der ISO/IEC 27000 Familie. Ziel des Standards ist es, Institutionen zu helfen, die Effektivität ihres ISMS und der zugehörigen Controls zu messen und damit systematisch zu verbessern. ISO/IEC 27004 setzt für die Entwicklung von Kennzahlen ein fundiertes Verständnis sowie eine korrekte Bewertung der Risiken in der Informationssicherheit voraus. Das Kennzahlensystem soll zuverlässige Informationen über die Risiken in der Informationssicherheit sowie den Status des implementierten ISMS bieten, um die Risiken bewerten zu können. Durch das Erheben von Sicherheitskennzahlen soll der aktuelle Informationssicherheitsgrad greifbar und darstellbar gemacht werden. Des Weiteren sollen das Einhalten und Erreichen von Informationssicherheitszielen überprüft und eventueller Handlungsbedarf aufgezeigt werden. Der dazu entwickelte und von ISO/IEC 27004 beschriebene Messprozess beinhaltet das Festlegen der Kennzahlen und das Erfassen der Daten, die erforderlich sind, um die Effektivität des ISMS und der umgesetzten Controls beurteilen zu können.

ISO 27001 spezifiziert im Annex B einige Beispielkennzahlen:

• B.1.1: ISMS-trained Personnel
• B.1.2: Information Security Training
• B.1.3: Information Security Awareness Policy Compliance
• B.2.1: Password Quality – manual
• B.2.2: Password Quality – automated
• B.3: ISMS Review Process
• B.4.1: Information Security Incident Management Effectiveness
• B.4.2: Corrective Action Implementation
• B.5: Frequency of Management Review
• B.6: Protection Against Malicious Software
• B.7: Physical Entry Control with Access Cards
• B.8: Log Files Review
• B.9: Management of Periodic Maintenance
• B.10: Security in Third Party Agreements

Der Einsatz eines geeigneten Steuerungsinstruments für die Aktivitäten der IT wird immer wichtiger, da die IT-Unterstützung für die Geschäftsprozesse ständig bedeutender und kritischer wird. Aus diesem Grund wurde Cobit („Control Objectives für Information and Related Technology“) als Steuerungsmodell der gesamten IT entwickelt. Cobit wird vom IT Governance Institut (ITGI) entwickelt und wurde ursprünglich von der Information Systems Audit and Control Association (ISACA) entwickelt. Im Gegensatz zu ISO 27004 werden bei Cobit alle IT-Prozesse betrachtet.

Ziele und Kennzahlen werden in Cobit auf drei Ebenen definiert

• IT-Ziele und Kennzahlen, die definieren, was ein Unternehmen von der IT erwartet
• Prozessziele und Kennzahlen, die definieren, was ein Prozess für die Unterstützung der Ziele in der IT liefern muss
• Aktivitätsziele und Kennzahlen, die festlegen, was innerhalb eines Prozesses geschehen soll, um die erforderliche Leistung zu erzielen und wie diese Leistung gemessen wird

Dazu werden zwei Messgrößen definiert

• Outcome Measure (früher KPI, Key Performance Indicator): Definieren Messgrößen, die dem Management aufzeigen, ob IT-Funktionen, –Prozesse, oder –Aktivitäten ihre Ziele erfüllt haben
• Performance Indicator (früher KGI, Key Goal Indicator): Definieren Messgrößen, die bestimmen, wie gut die Performance von IT-Funktionen oder –Prozessen hinsichtlich der Unterstützung der Zielerreichung ist

Wirksame Kennzahlen sollten laut Cobit folgende Eigenschaften aufweisen:

• Es sollte ein Gleichmaß an Aufwand und Aussagekraft herrschen
• Die Kennzahlen sollen intern vergleichbar sein (Zahlenwerte)
• Die Kennzahlen sollen extern vergleichbar sein (unabhängig von der Unternehmensgröße oder Branche)
• Es sollte besser wenige gute Kennzahlen als eine lange Liste an schlechten Kennzahlen geben
• Die Kennzahlen sollen einfach zu messen sein

Im Vergleich zu ISO 27004 ist Cobit komplexer, da ein größerer Bereich abgedeckt wird. Allerdings ist Cobit als Kennzahlensystem zur Bewertung der IT-Sicherheit auch weniger geeignet. Bei der Definition von Sicherheitskennzahlen könnte die Systematik von Cobit jedoch eine Hilfestellung sein.

Um überhaupt messen zu können, müssen Security Policies und Prozeduren existieren, die dann bewertet werden können. Voraussetzung sind außerdem sinnvolle und möglichst leicht erhebbare Kennzahlen, die in einen Verbesserungsprozess eingebunden werden.

Kennzahlen können gut oder schlecht sein. Gute Kennzahlen sind aussagekräftig und einfach zu ermitteln. Schlechte Kennzahlen sind teuer und schwierig zu beschaffen und wenig aussagekräftig oder sogar irreführend. Die folgenden Kriterien können nach Sabine Kammerhofer zur Bewertung von Kennzahlen genutzt werden.

• Einfach: Die Kennzahl sollte einfach und schnell zu ermitteln sein. Viele Informationen können beispielsweise automatisiert durch ein SIEM oder aus Berichten erhalten werden. Grundsätzlich gilt, je einfacher die Daten einer Kennzahl ermittelt werden, desto effizienter sind diese Kennzahlen für eine Institution.
• Aussagekräftig: Die Aussagekraft beschreibt, ob aus der Kennzahl eine nützliche Information gewonnen werden kann. Wichtig sind Informationen die der Verbesserung der IT-Sicherheit dienen.
• Leicht verständlich: Die Kennzahl sollte einen erkennbaren Aussagegehalt besitzen und klar verständlich sein. Dabei ist die Zielgruppe der Kennzahl zu berücksichtigen, da diese die Kennzahl verstehen und korrekt interpretieren muss.
• Wiederholbar: Es sollte möglich sein, die Erhebung der Daten in regelmäßigen Abständen wiederholen zu können. Nur so werden Abweichungen über längere Zeiträume hinweg erkannt und die Wirkung von Maßnahmen kann nachvollzogen werden.
• Überprüfbar: Eine regelmäßige Überprüfung der Kennzahlen muss durchgeführt werden, um die Aktualität der Kennzahlen zu gewährleisten.
• Vergleichbar: Viele Kennzahlen können nur in Relation zueinander ihre Aussagekraft entfalten. Aus diesem Grund ist es wichtig, dass bei den Erhebungen der Kennzahlen die gleichen Zahlenwerte bzw. Datenquelle verwendet werden. Innerhalb einer Organisation ist primär die Vergleichbarkeit über die Zeit und nicht die Vergleichbarkeit mit anderen Unternehmen relevant.
• Zeitnah: Für eine aussagekräftige Kennzahl sollten nur aktuelle Daten ermittelt werden, damit etwaige Abweichungen frühzeitig erkannt werden können und möglichst rasch darauf reagiert werden kann.
• Zuverlässig: Es dürfen keine fehlerhaften oder falschen Daten für die Kennzahlen ermittelt werden. Aus diesem Grund ist es von Vorteil, wenn Daten automatisiert erhoben werden.
• Konkretisierbar: Die Kennzahlen sollten an die Geschäftsziele, an die Unternehmensgröße, an den Reifegrad der IT und an die Art des Unternehmens angepasst werden können, damit ein individuelles Kennzahlensystem entwickelt werden kann.
• Objektiv: Kennzahlen sollten objektiv erhoben werden können, da subjektive Aspekte einer Kennzahl die Gefahr einer Beeinflussung enthalten. Damit wird möglicherweise die Aussage einer Kennzahl verfälscht.
• Dokumentierbar: Die Ergebnisse der Messung sowie allgemeine Informationen zur Messung und Darstellung einer Kennzahl, wie beispielsweise der Berechnungsweg oder die Darstellungsform, sollten dokumentiert werden.

Eine mögliche Darstellung dieser Parameter kann beispielsweise in einem sogenannten Kennzahlensteckbrief erfolgen. Dieser Kennzahlensteckbrief enthält alle Informationen die zur Ermittlung, Berechnung und Bewertung einer konkreten Kennzahl erforderlich sind.

Wir haben Erfahrung in der Ermittlung aussagekräftiger und brauchbarer Kennzahlen zur Ermittlung der Informationssicherheit. Wir analysieren Ihre Infrastruktur und identifizieren für Sie sinnvolle Kennzahlen. Außerdem helfen wir Ihnen bei der Automatisierung der notwendigen Datensammlung und der Korrelation notwendiger Informationen.

Gerne helfen wir Ihnen auch bei der grafischen Aufbereitung und der Art der Präsentation Ihrer Kennzahlen für Ihr Management.