Informationssicherheit spielt eine immer größere Rolle, sowohl im eigenen Unternehmen als auch in der Kommunikation mit Kunden. Der Einsatz von Geld und Zeit sollte gut geplant sein, die Maßnahmen müssen an der richtigen Stelle wirken. Gute Kennzahlen überwachen, ob die umgesetzten Sicherheitsmaßnahmen wirken, und sie machen die Wirksamkeit gegenüber Kunden und Auditoren beweisbar. Dieser Artikel zeigt, wie Unternehmen durch gezielte Prozessmessung ihren Sicherheitsstand beurteilen und weiterentwickeln können.
Der Inhalt im Überblick
Sicherheit in Kennzahlen fassen?
Es reicht nicht aus, Informationssicherheit „nach Gefühl“ umzusetzen. Um die Wirksamkeit der Maßnahmen beweisen zu können, brauchen wir eindeutige Kennzahlen. Die eingesetzte Methode muss auf einer verlässlichen Basis vergleichbare Werte über einen längeren Zeitraum liefen können.
„If you cant‘ measure it, you can’t manage it.“ (Peter Drucker)
Die Messbarkeit soll dabei eine transparente Grundlage für Entscheidungen schaffen und im weiteren Verlauf durch Beobachtung der Kennzahlen den Nachweis der Wirksamkeit der Maßnahmen liefern. Kennzahlen bieten die Möglichkeit, die Effizienz unserer Anstrengungen zu bewerten und gezielt weiterzuentwickeln. Kennzahlen sind keine Momentaufnahme, sie sind der Input für einen kontinuierlichen Verbesserungsprozess. Die Informationssicherheit wird dadurch zu einem überprüfbaren Bestandteil der Unternehmensstrategie.
Die Kunst der guten Kennzahlen
Die Messbarkeit von Informationssicherheit beginnt mit der Festlegung von Kennzahlen, die auf spezifische Sicherheitsziele und Prozesse abgestimmt sind. Diese Kennzahlen, auch Key Performance Indicators (KPIs) genannt, bieten eine quantitative Basis, um die Effektivität und den Fortschritt der Sicherheitsmaßnahmen zu messen.
Gute Kennzahlen definieren daher keine abstrakten Ziele wie „mehr“, „weniger“ oder „besser“. Sie sind konkret, zählbar:
„Ich will von diesem fünf pro Jahr. Vier ist schon kritisch. Bei nur zwei nach 6 Monaten möchte ich sofort eine Warnung. Die Überprüfung soll vierteljährlich erfolgen. Für die Feststellung der Zahl ist diese Abteilung zuständig. Die Meldung erfolgt an den ISB.“
Die Ermittlung der Zahlen ist eine Bringschuld. Der ISB, oder wer auch immer, muss sie nicht abrufen. Sie werden geliefert. Allein das ist schon eine gute Kennzahl, die zeigt, ob das ISMS funktioniert:
Wie viele Zahlen wurden zum Termin geliefert?
- Zielwert: 100 % geliefert.
- Kritisch: alles unter 99 %.
- Eskalation: Zweimal hintereinander unter 75 % > Direkter Bericht an GF.
- Frequenz: vierteljährlich
- Datenquelle: Liste der Kennzahlen
- Feld Datum der Lieferung
- Feststellung durch den ISB
Die Ermittlung von Kennzahlen muss einfach und klar formuliert sein. Sonst funktoniert das nicht.
Wie zählt man Informationssicherheit?
Ein guter Indikator für Sicherheit ist die Einhaltung von Regeln. Compliance-Kennzahlen messen daher, inwieweit Sicherheitsrichtlinien und Standards eingehalten werden. Sie bieten einen Überblick, wie gut die internen Sicherheitsrichtlinien und -vorgaben umgesetzt sind und ob sie eingehalten werden. Bei einem etablierten ISMS könnten dies beispielweise die Vorgaben für die Durchführung von Risikobewertungen von Lieferanten und Dienstleistern sein.
Den Umgang mit Informationssicherheitsvorfällen messen
Sicherheitsrisiken und Schwachstellen zu identifizieren und zu bewerten, ist ein zentraler Teil der Sicherheitsstrategie.
Deshalb ist die Messung von Reaktionszeiten im Vorfalls-Management ein gute Informationsquelle. Wie lange dauert es, bis auf einen erkannten Sicherheitsvorfall eine Reaktion erfolgt? Wie lange dauert es, bis der Vorfall abschließend bearbeitet ist? Das muss nicht unbedingt die vollständige Lösung sein, der Abschluss kann auch ein Lösungskonzept sein, das mit angemessenen Ressourcen ausgestattet und genehmigt ist. Entscheidend ist, dass konkrete Reaktionszeiten definiert sind und keine Vorfälle „versickern“. Je kürzer die gemessenen Zeiten sind, umso besser dürfte der Incident-Response-Prozess organisiert und eingespielt sein.
Nur wirksame Messungen vornehmen
Einfach nur die Anzahl der neu identifizierten Schwachstellen während eines definierten Zeitraums zu zählen, ist keine wirksame Option. Die Kennzahl zeigt, wie viele Schwachstellen entdeckt wurden, aber ist „mehr“ oder „weniger“ besser? Der Trend, nämlich wie sich die Anzahl der identifizierten Schwachstellen entwickelt, ist schon interessanter. Deutliche Veränderungen in die eine oder die andere Richtung deuten darauf hin, dass entweder die Aufmerksamkeit bei der Identifikation von Schwachstellen sinkt, oder aber zu viele potentiell riskante Komponenten eingesetzt werden, die zu einem signifikanten Anstieg der Meldungen führen. Die Bewertung der Zahl ist aber schwierig.
Auch die Awareness ist messbar
Mitarbeiter spielen eine zentrale Rolle in der Informationssicherheit. Die KPIs im Bereich Awareness und Schulung messen, wie gut die Belegschaft auf Sicherheitsfragen vorbereitet ist.
Grundsätzlich ist der prozentuale Anteil der Mitarbeiter, die an Sicherheitsschulungen teilnehmen, daher ein guter Indikator für die Leistungsfähigkeit des ISMS. Datenschützer und Betriebsräte mögen mir verzeihen, aber wir müssen auch erfassen, ob bestimmte Mitarbeiter gar nicht an Schulungen teilnehmen. Denn erreichen wir mit unseren Maßnahmen zwar 99 % der Mitarbeiter, aber bestimmte Personen sind nie dabei, dann sind genau diese das Risiko.
Prozesse messbar machen
Informationssicherheit hängt in großem Maß davon ab, inwieweit wir uns überhaupt über Ziele, Aufgaben und Risiken im Klaren sind.
Deshalb ist es sinnvoll, Prozesse wie Risikoanalyse, Vorfalls-Management, Schulungen und Compliance-Überprüfung zu definieren und deren Performance regelmäßig anhand gesetzter Ziele zu evaluieren. Durch die kontinuierliche Erhebung und Analyse der festgelegten Kennzahlen lassen sich Schwächen in den Prozessen frühzeitig identifizieren.
Die Analyse der Reaktionszeit auf Sicherheitsvorfälle kann zeigen, ob der Incident-Response-Prozess effektiv genug ist oder Anpassungen erfordert. Die Risikoexpositionszeit, also die durchschnittliche Zeit, die eine identifizierte Schwachstelle unbehandelt bleibt, bevor sie behoben wird, ist leicht messbar und deshalb ein guter Indikator für die Leistungsfähigkeit unseres Vorfalls-Managements.
Die Feststellung, ob Risikobewertung, Schulungen oder Lieferantenaudits geplant werden und zum Termin auch wirklich stattfinden, zeigt, ob das ISMS seine Regelaufgaben erfüllt.
Automatisierung hilft
Mit modernen Tools und Technologien lassen sich viele Sicherheitsprozesse automatisieren. Zum Beispiel können Intrusion Detection Systems (IDS) und Vulnerability Scanner kontinuierlich Informationen liefern, die das Sicherheitsniveau des Unternehmens anzeigen. Automatisierung allein hat aber noch keine Beweiskraft, dazu gehören Überwachung, Auswertung und Berichte und ein klar definiertes Ziel.
Visualisierung und Berichterstattung
Ein messbarer Sicherheitsstand lässt sich gut in Dashboards darstellen. Die Visualisierung und eine regelmäßige Berichterstattung helfen, den erreichten Sicherheitsstand an Stakeholder und Management zu kommunizieren.
Der Status und die Verfügbarkeit von Awareness-Maßnahmen, eine grafische Darstellung der offenen und behobenen Schwachstellen, die Anzahl und Schwere der jüngsten Sicherheitsvorfälle und deren Status sowie die Ergebnisse der letzten Audits könnten im Intranet präsentiert werden. Das dokumentiert die Existenz, die Ziele und das Selbstverständnis des ISMS gegenüber den Mitarbeitern und macht es damit zu einem integralen Teil des Unternehmens.
Das Ziel erreichen
Zählbare Werte, wie Compliance-Kennzahlen, Reaktionszeiten und die Anzahl der sicherheitsrelevanten Vorfälle, ermöglichen eine transparente Beurteilung der Sicherheit und helfen, Entscheidungen auf einer quantitativen Basis zu treffen.
Kennzahlen können die Wirksamkeit der Sicherheitsmaßnahmen beweisen. Sie zeigen, ob die Sicherheitsprozesse tatsächlich funktionieren und rechtzeitig auf potenzielle Gefahren reagieren.
Durch das Festlegen und regelmäßige Evaluieren sinnvoller Kennzahlen wird die Informationssicherheit überprüfbar. Dies stärkt das Vertrauen der Kunden und Auditoren in das Sicherheitskonzept des Unternehmens. Die Automatisierung bestimmter Sicherheitsprozesse ermöglicht eine kontinuierliche Überwachung und sofortige Reaktion auf Risiken, was die Effizienz und Effektivität des Informationssicherheitsmanagements signifikant steigert. Langfristig wird dadurch auch die Resilienz des Unternehmens gegenüber neuen Bedrohungen erhöht.