Kennzahlen und Metriken für Cybersicherheit im Überblick

Welche Metriken und KPIs gibt es für die IT-Sicherheit?

Zu viele Kennzahlen können Entscheider und Sicherheitsteams leicht überfordern. Es empfiehlt sich mit den Anspruchsgruppen intern und extern zu sprechen und die Bedarfe zu konkretisieren. Bestenfalls beginnt man mit drei bis vier Kennzahlen und entwickelt das eigene Dashboard kontinuierlich weiter.

Zu den gängigen Kennzahlen im Bereich Cybersicherheit zählen:

• Angriffsversuche vs. tatsächliche Sicherheitsvorfälle: Diese Kennzahl setzt die auftretenden Events, Alerts und Incidents ins Verhältnis zueinander. Dadurch ergibt sich ein allgemeiner Überblick der bestehenden Schwachstellen, der Stand der Vorbereitung und die Reaktion auf Angriffe.
• Mittlere Zeit bis zum Nachweis (MTTD, Mean Time to Detect): Diese gern genommene Metrik stellt dar, wie schnell ein Unternehmen einen Angriff erkennt. Je schneller die Erkennung, desto größer ist die Chance der Abwehr oder Eindämmung.
• Mittlere Zeit bis zur Antwort (MTTR, Mean Time to Respond): Noch einen Schritt weiter geht diese Metrik, die die Zeit bis zur Neutralisierung und Betriebsaufnahme darstellt. Denn je länger sich Ereignisse hinziehen, desto größer sind die Risiken und Kosten.
• Mittlere Zeit bis zur Eindämmung (MTTC, Mean Time to Contain): Diese Metrik bezieht sich auf die durchschnittliche Zeit, die benötigt wird, um alle Angriffsvektoren über alle Endpunkte hinweg auszuschalten und die Wahrscheinlichkeit eines weiteren Schadens zu minimieren.
• Nicht identifizierte Geräte im Netzwerk: Die Möglichkeit, nicht identifizierte Geräte zu erkennen und zu kennzeichnen, verringert die Wahrscheinlichkeit, dass jemand unbefugten Zugriff auf das Netzwerk hat, erheblich. Eine grundlegende Metrik des SEM (Security Event Management).
• Kadenz und Effektivität der Patches: Diese Metrik misst die Schwachstellen in Sachen Patches. Durch die Transparenz wird sichergestellt, dass Software-Patches schnell und effektiv angewendet werden.
• Wirksamkeit der Ausbildung/Security Awareness: Es ist wichtig, dass die Mitarbeiter wissen, wie sie auf Angriffe reagieren sollen. Die menschliche Firewall ist die beste Verteidigungslinie gegen Einbrüche und Ausfälle. Valide Metriken bieten beispielsweise die Erfolgsquoten von Phishing-Tests und eine dynamische Risikobewertung. Auch Einblicke in die Leistungsauswertung eines Schulungsprogramms gibt Aufschluss darüber, wie hoch der Aufklärungsgrad der Teilnehmer ist.
• MDM, Mobile Device Management: Kennzahlen aus den MDM stellen die Sicherheit der Identitäten, Geräte und Applikationen korreliert in Prozent dar. Eine Metrik wie der Microsoft Secure Score steigt durch Umsetzung empfohlener Einstellungen und Sicherheitsmaßnahmen.

„Um die Cybersicherheit mit Metriken und KPIs zu verbessern, sind valide Daten, eine gute Vorgehensweise sowie eine hohe Ausdauer erforderlich.“

Sven Hillebrecht, Adlon

Gerne werden Messkriterien aus Zertifizierungen und Kompendien von Instituten und Behörden als Grundlage herangezogen. Sie bieten neben Kriterien für einen Grundschutz auch Kennzahlen für die Entwicklung an:

• IT-Grundschutz nach BSI: Der BSI-Grundschutz legt pauschale Gefährdungen der IT dar. Aus drei Schutzbedarfskategorien und dem Grundschutz-Kompendium ergeben sich grundlegende Messwerte.
• ISO 27001 (und 27004): Die ISO-27000-Familie befasst sich mit Risiken der IT-Sicherheit und überprüft unabhängig die Informationssysteme auf deren Sicherheit und Anfälligkeit. Sie stellt internationale Sicherheitsstandards samt regelmäßiger Zertifizierung als Messprozess bereit.
• COBIT: COBIT („Control Objectives for Information and Related Technology“) hält ein Mess- und Steuerungsinstrument für sämtliche IT-Prozesse bereit. Im Gegensatz zu ISO unterstützt COBIT bei der Erstellung, Überwachung sowie Auswertung von IT-Geschäftsprozessen.

Darüber hinaus stellen übergeordnete Kennzahlen interessante längerfristige Indikatoren dar:

• Prozentanteil des Security-Budgets am IT-Budget: Diese Kennzahl befasst sich mit dem Verhältnis und bestenfalls mit der Entwicklung über einen Zeitraum. Experten sprechen davon, dass ein IT-Security-Budget bei zwischen 10 und 15 Prozent der Gesamtausgaben für IT liegen soll. Tendenz steigend.
• Benchmarks: Anhand unabhängiger Daten lässt sich eine Kennzahl bestimmen, wie ein Unternehmen im Vergleich zu anderen Unternehmen der Branche abschneidet. Beispielsweise zum Wettbewerb.

Die Wahl der angemessenen Cybersicherheitskennzahlen

Um die Cybersicherheit mit Metriken und KPIs zu verbessern, sind valide Daten, eine gute Vorgehensweise sowie eine hohe Ausdauer erforderlich. Es ist erwiesen, dass Unternehmen, die Kennzahlen nutzen, effizienter und kostengünstiger in Bezug auf die Cybersicherheit sind. Gesellschafter und Aktionäre schätzen Kennzahlen, die zeigen, wie die Verantwortlichen die Lage beurteilen und die IT-Sicherheit erhöhen. Dabei darf nicht vergessen werden, dass die Kennzahlen an die Unternehmensziele, an die IT-Strategieziele und an den Reifegrad der IT angepasst werden müssen. Zudem sollte die Zielgröße im Hinblick auf Größe und Branche angemessen bleiben. Zugegeben, KPIs und Metriken verringern das Risiko mitnichten, von schwerwiegenden Angriffen betroffen zu sein, fördern jedoch die Transparenz und Verbesserung der Resilienz.

Über den Autor:
Sven Hillebrecht ist General Manager des IT-Beratungsunternehmens Adlon.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.