„Ist Sicherheit gut geplant, schützt sie Ihre Werte wie Infrastrukturen, Geräte und die Informationen im Unternehmen)“, so Ing. Alfred Gunsch, CDC und Geschäftsführer der siplan.gmbh „Aber niemand merkt es. Sie wird oft vor allem als Kostenfaktor empfunden und kostenintensive Verbesserungsmaßnahmen sind nur schwer zu vermitteln“
Wenn nicht ersichtlich ist, wie wirksam Sicherheitsmaßnahmen tatsächlich sind, wird die Prävention unterschätzt. Stattdessen reagieren Unternehmen oft erst, wenn Defizite spürbar werden. Erst wenn Sicherheitsplanung versagt und ein „Ereignis“ wie ein Sicherheitsleck oder verlorene Geräte eintritt, die im schlechtesten Fall eine offene Flanke schaffen, bekommt Sicherheit die nötige Aufmerksamkeit. Dann ist es aber meistens zu spät.
Kennzahlen helfen dabei, Schwachstellen in Prozessen aufzuspüren, um sie vor dem Ernstfall zu schließen. Sie erlauben kontinuierliche Rückschlüsse auf Defizite in den relevanten Organisationen und Abläufen, beispielsweise bei der Speicherung von Daten. Dezidierte Messdaten zeigen den Zusammenhang zwischen den Kosten und dem Sicherheitsniveau.
Systematisch und fortlaufend erhobene Daten erleichtern es auch, Compliance-Vorgaben einzuhalten. Sie helfen dabei, rechtskonforme Handlungen nachzuweisen, regulatorische Maßnahmen umzusetzen oder Haftungsfragen zu klären. Mit den richtigen KPI stehen die richtigen Daten bereit und belegen zugleich die Wirksamkeit der Maßnahmen.
Was kann gemessen werden?
- Aktivität: Jede Aktion hinterlässt nachvollziehbare Spuren, unter anderem in Logfiles aus dem Netzwerkverkehr, Protokoll- oder Konfigurationsdateien sowie Zeitstempel einzelner Dateien.
- Intrusion Detection System (IDS) und artverwandte Tools filtern Daten aus dem laufenden System heraus oder ermitteln über Prüfsummen, ob sich einzelne Dateien auffällig verändert haben und so Hinweise über die Integrität von Daten liefern.
- Auskünfte der Mitarbeiter zählen zu den messbaren Indikatoren. Befragungen geben Aufschluss zB über die Security Awareness im Unternehmen. Kein automatisch erhobener, gemessener Wert liefert diese Informationen und sie lassen sich auch nicht über (teil)automatisierte Maßnahmen verbessern. Hier gilt es, händisch auszuwerten.
Die relevante ISO 27001 empfiehlt Management-Systeme, liefert also weder geeignete Messpunkte noch schlägt sie passende Handlungen vor. Vielmehr verweist sie auf die Norm ISO 27004 (Best-Practice-Empfehlungen). Es gilt also, die wichtigsten Implikationen im eigenen Netzwerk zu kennen und Erfahrungen mit Normabweichungen und geeigneten Gegenmaßnahmen zu haben. Beides steht in Unternehmen unter Umständen jedoch nicht von Haus aus zur Verfügung. Es kann es daher sinnvoll sein, unsere erfahrenen Berater zu beauftragen, die dann vor Ort im Dialog die Risiken analysieren und Metriken sowie Schwellenwerte definieren. Anhand derer erarbeiten sie mit dem Unternehmen einen tragfähigen Katalog an Gegenmaßnahmen.
„Ein hundertprozentiger Schutz ist nicht möglich“, so Gunsch, „Unternehmen müssen die Frage beantworten, bis zu welchem Prozentsatz sie eine hinreichende Sicherheit herstellen können“. Dabei gilt es, vertretbare Kosten und Maßnahmen zu definieren, die weder die Systeme noch die Mitarbeiter überfordern oder ausbremsen.