Sergey Nivens - Fotolia
Kennzahlen und Metriken für Cybersicherheit im Überblick
Die Berichterstattung von Kennzahlen stellt für Security-Verantwortliche mittlerweile ein wichtiger Teil ihrer Arbeit dar. Messbare Sicherheitsmaßnahmen helfen strategisch.
Cyberbedrohungen schweben wie das Damoklesschwert über den IT-Sicherheitsverantwortlichen. Es ist nicht mehr länger die Frage ob, sondern vielmehr wann es das eigene Unternehmen trifft und wie mit dem Angriffsszenario umgegangen wird. Aktive Prävention, ein IT-Risikomanagement und ein nachhaltiges Notfallmanagement bilden eine solide Basis. Doch wie sieht es mit der Transparenz aus? Der Weg zur Schaffung dieser ist meist unklar. Ziele in Form von Kennzahlen fördern die Effizienz, da vorhandene Ressourcen auf die wichtigen Maßnahmen und Initiativen gelegt werden. Daraus resultiert, dass Unternehmen, die Messgrößen für den Status quo der Sicherheit und deren Fortschrittsverfolgung einsetzen, nachweislich ein besseres Cybersicherheitsprogramm innehaben. Da überrascht es, dass fast vier von fünf Unternehmen der Überblick über ihr IT-Sicherheitsmanagement beziehungsweise ihre IT-Sicherheitsdienste fehlt.
Dabei wäre genau diese Transparenz samt Dokumentation für verantwortliche Experten hinsichtlich Effizienz entscheidend und kommt bei Gesellschaftern und Aktionären gut an.
Welche Metriken und KPIs gibt es für die IT-Sicherheit?
Zu viele Kennzahlen können Entscheider und Sicherheitsteams leicht überfordern. Es empfiehlt sich mit den Anspruchsgruppen intern und extern zu sprechen und die Bedarfe zu konkretisieren. Bestenfalls beginnt man mit drei bis vier Kennzahlen und entwickelt das eigene Dashboard kontinuierlich weiter.
Zu den gängigen Kennzahlen im Bereich Cybersicherheit zählen:
- Angriffsversuche vs. tatsächliche Sicherheitsvorfälle: Diese Kennzahl setzt die auftretenden Events, Alerts und Incidents ins Verhältnis zueinander. Dadurch ergibt sich ein allgemeiner Überblick der bestehenden Schwachstellen, der Stand der Vorbereitung und die Reaktion auf Angriffe.
- Mittlere Zeit bis zum Nachweis (MTTD, Mean Time to Detect): Diese gern genommene Metrik stellt dar, wie schnell ein Unternehmen einen Angriff erkennt. Je schneller die Erkennung, desto größer ist die Chance der Abwehr oder Eindämmung.
- Mittlere Zeit bis zur Antwort (MTTR, Mean Time to Respond): Noch einen Schritt weiter geht diese Metrik, die die Zeit bis zur Neutralisierung und Betriebsaufnahme darstellt. Denn je länger sich Ereignisse hinziehen, desto größer sind die Risiken und Kosten.
- Mittlere Zeit bis zur Eindämmung (MTTC, Mean Time to Contain): Diese Metrik bezieht sich auf die durchschnittliche Zeit, die benötigt wird, um alle Angriffsvektoren über alle Endpunkte hinweg auszuschalten und die Wahrscheinlichkeit eines weiteren Schadens zu minimieren.
- Nicht identifizierte Geräte im Netzwerk: Die Möglichkeit, nicht identifizierte Geräte zu erkennen und zu kennzeichnen, verringert die Wahrscheinlichkeit, dass jemand unbefugten Zugriff auf das Netzwerk hat, erheblich. Eine grundlegende Metrik des SEM (Security Event Management).
- Kadenz und Effektivität der Patches: Diese Metrik misst die Schwachstellen in Sachen Patches. Durch die Transparenz wird sichergestellt, dass Software-Patches schnell und effektiv angewendet werden.
- Wirksamkeit der Ausbildung/Security Awareness: Es ist wichtig, dass die Mitarbeiter wissen, wie sie auf Angriffe reagieren sollen. Die menschliche Firewall ist die beste Verteidigungslinie gegen Einbrüche und Ausfälle. Valide Metriken bieten beispielsweise die Erfolgsquoten von Phishing-Tests und eine dynamische Risikobewertung. Auch Einblicke in die Leistungsauswertung eines Schulungsprogramms gibt Aufschluss darüber, wie hoch der Aufklärungsgrad der Teilnehmer ist.
- MDM, Mobile Device Management: Kennzahlen aus den MDM stellen die Sicherheit der Identitäten, Geräte und Applikationen korreliert in Prozent dar. Eine Metrik wie der Microsoft Secure Score steigt durch Umsetzung empfohlener Einstellungen und Sicherheitsmaßnahmen.
„Um die Cybersicherheit mit Metriken und KPIs zu verbessern, sind valide Daten, eine gute Vorgehensweise sowie eine hohe Ausdauer erforderlich.“
Sven Hillebrecht, Adlon
Gerne werden Messkriterien aus Zertifizierungen und Kompendien von Instituten und Behörden als Grundlage herangezogen. Sie bieten neben Kriterien für einen Grundschutz auch Kennzahlen für die Entwicklung an:
- IT-Grundschutz nach BSI: Der BSI-Grundschutz legt pauschale Gefährdungen der IT dar. Aus drei Schutzbedarfskategorien und dem Grundschutz-Kompendium ergeben sich grundlegende Messwerte.
- ISO 27001 (und 27004): Die ISO-27000-Familie befasst sich mit Risiken der IT-Sicherheit und überprüft unabhängig die Informationssysteme auf deren Sicherheit und Anfälligkeit. Sie stellt internationale Sicherheitsstandards samt regelmäßiger Zertifizierung als Messprozess bereit.
- COBIT: COBIT („Control Objectives for Information and Related Technology“) hält ein Mess- und Steuerungsinstrument für sämtliche IT-Prozesse bereit. Im Gegensatz zu ISO unterstützt COBIT bei der Erstellung, Überwachung sowie Auswertung von IT-Geschäftsprozessen.
Darüber hinaus stellen übergeordnete Kennzahlen interessante längerfristige Indikatoren dar:
- Prozentanteil des Security-Budgets am IT-Budget: Diese Kennzahl befasst sich mit dem Verhältnis und bestenfalls mit der Entwicklung über einen Zeitraum. Experten sprechen davon, dass ein IT-Security-Budget bei zwischen 10 und 15 Prozent der Gesamtausgaben für IT liegen soll. Tendenz steigend.
- Benchmarks: Anhand unabhängiger Daten lässt sich eine Kennzahl bestimmen, wie ein Unternehmen im Vergleich zu anderen Unternehmen der Branche abschneidet. Beispielsweise zum Wettbewerb.
Die Wahl der angemessenen Cybersicherheitskennzahlen
Um die Cybersicherheit mit Metriken und KPIs zu verbessern, sind valide Daten, eine gute Vorgehensweise sowie eine hohe Ausdauer erforderlich. Es ist erwiesen, dass Unternehmen, die Kennzahlen nutzen, effizienter und kostengünstiger in Bezug auf die Cybersicherheit sind. Gesellschafter und Aktionäre schätzen Kennzahlen, die zeigen, wie die Verantwortlichen die Lage beurteilen und die IT-Sicherheit erhöhen. Dabei darf nicht vergessen werden, dass die Kennzahlen an die Unternehmensziele, an die IT-Strategieziele und an den Reifegrad der IT angepasst werden müssen. Zudem sollte die Zielgröße im Hinblick auf Größe und Branche angemessen bleiben. Zugegeben, KPIs und Metriken verringern das Risiko mitnichten, von schwerwiegenden Angriffen betroffen zu sein, fördern jedoch die Transparenz und Verbesserung der Resilienz.
Über den Autor:
Sven Hillebrecht ist General Manager des IT-Beratungsunternehmens Adlon.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.