Alliance - Fotolia

Best Practices – so sollten Sicherheitsberichte verfasst werden

Der Sicherheitsbericht für das Management sollte unkompliziert und verständlich sein. Diese Tipps helfen beim Erstellen von Sicherheitsberichten.

Leitende Mitarbeiter erhalten Unmengen an Daten und Auswertungen, die in allen möglichen Berichten zusammengefasst sind. Dazu gehören Verkaufszahlen, Statusprüfungen des Betriebs, Inventarisierung, Finanzberichte und vieles mehr. Für einen leitenden Angestellten macht ein Sicherheitsbericht den Stapel Papier nur noch höher.

Den Sicherheitsbericht in ein richtiges Format zu bringen, ist ein Balanceakt zwischen zu viel und zu wenig Details. So ein Bericht ist eine starke Vereinfachung auf die Frage des Managements: „Sind wir sicher?“. Gleichzeitig sollte man die Manager nicht mit Details überhäufen, die die Kernaussage des Berichts nur verwässern.

Einen spannenden Sicherheitsbericht zu schneidern ist eine Herausforderung. Die Grundlage bilden die Werkzeuge, die die Security-Ereignisse messen. Es geht hier beispielsweise um die Anzahl der Datensicherheitsverletzungen und Viren, was genau geblockt wurde, was durch die Verteidigungsmaßnahmen geschlüpft ist und welche Schäden verursacht wurden. Außerdem ist wichtig, wie viele Stunden die Mitarbeiter für die IT-Sicherheit aufgewendet haben und welche Ressourcen dafür notwendig waren. Diese rohen Daten beziehen Sie aus den Log-Dateien, den Management-Konsolen und der guten alten Beobachtung.

Die Kunst liegt nun darin, die Daten in eine aussagekräftige Form zu bringen, die das Management informiert, in Kenntnis setzt und nicht zuletzt beeinflusst. Effizientes Reporting bedeutet, alle Security-Daten mit bekannten Business-Frameworks in Einklang zu bringen. Dabei müssen die kulturellen Sprachunterschiede zwischen IT und Management berücksichtigt werden. Sicherheitsverantwortliche wollen dem Management nicht nur die Informationen vorlegen, die sie sehen wollen, sondern auch solche, die sie sehen sollen.

Anpassen der Risikolebenszyklen

Bevor Sie einen Bericht ausformulieren, müssen Sie zunächst wissen, wo sich das Unternehmen oder die Projekte in Bezug auf den Lebenszyklus für Risiken befinden.

Risiken und Gefährdung ändern sich, wenn Sicherheitsprogramme und spezielle IT-Projekte reifen. Das Risiko steigt signifikant, wenn Projekte und Unternehmen durch die strategischen (Planung), taktischen (Installation und Einsatz) und betrieblichen (laufende Nutzung) Phasen gehen.

Die Gründe dafür liegen auf der Hand. Das Risiko während der Planung ist minimal. Systeme sind natürlich nicht erreichbar und keinen feindlichen Umgebungen ausgesetzt. Ein geringes Risiko besteht in dieser Phase natürlich auch, während das Thema Sicherheit in die Prozesse und Systeme implementiert wird. Das Risiko ist während des laufenden Betriebs natürlich am höchsten, da Systeme internen und externen Bedrohungen und potenziellem Missbrauch dauerhaft ausgesetzt sind.

Das Verständnis der Lebenszyklen der Risiken für Ihr Business ist entscheidend, um die Sicherheitsberichte richtig präsentieren zu können und die angemessene Sprache zu finden.

Strategisch: In dieser Stufe werden die Policies und Prozeduren entwickelt. Das bestimmt wiederum, welche Sicherheitsmaßnahmen in ein Projekt einfließen und es während des Betriebs begleiten. Das Risiko ist minimal, aber an dieser Stelle wird bestimmt, wie steil die Risikokurve künftig sein wird. Alles hängt von den Entscheidungen und Aktionen ab, die in dieser Phase ablaufen.

Taktisch: An dieser Stelle stellen Sie sicher, dass das Thema Sicherheit angemessen in Anwendungen, Prozesse und Prozeduren implementiert wird. Das Risiko ist vorhanden, aber kein aktuelles Problem. Projekt-Manager entscheiden hier über Plattformen, Anwendungen und Umgebungen. Jede Entscheidung hat allerdings Einfluss auf das Risikoprofil.

Betrieblich: Diese Stufe teilt sich in zwei Kategorien: Infosecurity Services und aktive Sicherheitslage. Bei den Infosecurity Services handelt es sich um das Tagesgeschäft, um die Sicherheit in einer Firma auf dem Laufenden zu halten. Die Zuständigen versuchen Risiken zu minimieren und zu reduzieren. Zu diesen Aufgaben gehören die Durchsicht der Firewall-Regeln, die Wartung IDS-Signaturen, das Kontrollieren des Zugriffs auf die Systeme, sowie das Management der Tokens und der kryptografischen Schlüssel für einen sicheren Zugriff von außerhalb.

Bei der aktiven Sicherheitslage handelt es sich um die Reaktion auf externe Bedrohungen. Wir sprechen an dieser Stelle von Viren, Würmern und Einbrüchen. Weiterhin gehört die Wiederherstellung oder der Wiederaufbau nach Security-Vorfällen dazu. Administratoren müssen zum Beispiel Rootkits von kompromittierten Servern entfernen, einen Server nach einem Wurmbefall wiederaufbauen, Ports nach der Entdeckung von Schwachstellen schließen und so weiter.

In der betrieblichen Stufe sind die Risiken hoch, allerdings hängt das Risiko von internen und externen Kontrollen ab. Zu den internen gehören die Tiefe des Security-Schemas und die Präsenz von Sicherheitslösungen. Bei den externen sind Ausbrüche von Malware, die Möglichkeit, Code auszunutzen und das Fehlen von Patches gemeint. Während der betrieblichen Phase zahlt sich früherer Aufwand aus und Administratoren bewerten an diesem Punkt, inwiefern sich die Maßnahmen während der Planung als effizient erweisen. Notfalls sind Nachbesserungen bei der Security notwendig.

Vorgefertigte Berichte

Für das Management eines Unternehmens ist Zeit immer knapp. Man möchte Informationen in einfacher und verständlicher Form erhalten. Auf diese Weise kann man sich auf das Wichtigste konzentrieren. Sobald Problemzonen identifiziert sind, wollen sie weitere Informationen, damit sie das Problem verstehen und evaluieren können.

Möchten Sie zum Beispiel darüber berichten, inwiefern das Unternehmen konform zu Sicherheitsvorschriften, wie zum Beispiel dem Sarbanes-Oxley Act, oder zu Sicherheitsstandards wie ISO 17799 ist, dann würde der Bericht aus einem strategischen Gesichtspunkt präsentiert. Ähnlich dazu würde ein Bericht nach einer Infizierung mit einem Virus aus einer betrieblichen Perspektive vorgelegt.

Zusätzlich kann ein umfassender Sicherheitsbericht alle drei Stufen verbinden. Damit zeigen Sie, wie sich laufende Security-Maßnahmen und entsprechende Defizite auf die späteren Phasen eines Projekts oder eines laufenden Betriebs auswirken.

An dieser Stelle sollten Sie möglichst zwei Arten an Berichten präsentieren: Bewertung und Aktivitäten.

In einem Bewertungsbericht wird die grundlegende Frage beantwortet: „Sind wir sicher?“. Wirft das Management einen Blick auf einen Bewertungsbericht, dann sollten sie sowohl die Informationen bekommen, die sie benötigen, als auch solche, die sie Ihrer Meinung nach sehen sollen. Das Ziel ist nur die Probleme herauszustellen, die die Beachtung des Managements brauchen. Der Umfang der Information sollte genau richtig sein.

Jeder leitende Angestellte versucht immer alles Denkbare in Berichten unterzubringen, um die Effizienz zu beweisen, die Anstrengungen zu untermalen und auf die Anforderungen aufmerksam zu machen. Das sollte man vermeiden. So kurz und einfach wie möglich ist wesentlich besser. Setzen Sie auf prägnante Beschreibungen, um das Thema schnell auf den Punkt zu bringen. Klare und präzise Erklärungen beschreiben dann den jeweiligen Status. Versuchen Sie nicht, jede denkbare Permutation aufzuschreiben, sondern beschränken Sie sich bei einer Erklärung auf zwei oder drei Aufzählungspunkte.

Effizientes Reporting bedeutet, alle Security-Daten mit bekannten Business-Frameworks in Einklang zu bringen. Dabei müssen die kulturellen Sprachunterschiede zwischen IT und Management berücksichtigt werden.

Durch die Verwendung von Farbkodierungen erleichtern Sie Ihren Vorgesetzten das Leben ebenfalls. Die beliebteste Methode sind die klassischen Ampelfarben: Rot für Probleme (nicht zufriedenstellend, Handeln ist notwendig), Gelb für Bedenken (ist verbesserungswürdig und muss im Auge behalten werden) und Grün für zufriedenstellend. Bei Letzterem muss das Management nicht weiter tätig werden.

Der Bericht für die Aktivitäten geht im Detail auf den Bewertungsbericht ein. Sobald ein Manager auf einen Punkt mit Rot stößt, kann er den Bericht für die Aktivitäten konsultieren. Dort sieht er dann im Detail, wie sich eine Sache verbessern oder korrigieren lässt. Außerdem findet er dort, welche Ressourcen notwendig sind, um das gewünschte Ergebnis zu erreichen.

Sollte sich zum Beispiel herausstellen, dass die vier hauptsächlichen Probleme beim Coding liegen, dann besteht wohl Handlungsbedarf bei der Qualitätssicherung. Ebenfalls adressieren unter Umständen bessere Schulungen für die Entwickler und Projekt-Manager die Problematik. Ähnlich verhält es sich, wenn in den Berichten überwiegend Einbruchsversuche und Kosten für das Wiederherstellen von kompromittierten Systemen auftauchen. Dann rechtfertigt das wahrscheinlich die Kosten für bessere Security-Maßnahmen.

In den Aktivitätsberichten heben Sie außerdem Ihre besonderen Leistungen hervor. Darüber hinaus stellen Sie hier Metriken und Erklärungen für die Bereiche zur Verfügung, die verbesserungswürdig sind. In diesem Bericht können Sie über die Anzahl der abgewehrten Viren schreiben, die geflickten Schwachstellen erwähnen und die erkannten und gestoppten Einbruchsversuche herausstellen.

Weiterhin berichten Sie über die zahlreichen Routineaufgaben, die Ihre Security-Abteilung am laufenden Band durchführt. Dazu gehören das Zurücksetzen von Passwörtern, Wartung der Zugriffskontrolle, ausgestellte Tokens und so weiter. Dies belegt den Wert der Sicherheitsstrategie und ist auch ein Beweis, dass sich die Investitionen rentieren. Das gilt vor allen Dingen, wenn die Daten im Zusammenhang mit früheren Kosteneinschätzungen für Bedrohungen und Security-Vorfällen stehen.

Aktivitätsberichte müssen nicht so kurz und strikt organisiert wie die Bewertungs-Reports sein. Hier lassen sich eher Details erläutern. Sie sollten darin so viele Informationen unterbringen, wie Sie für notwendig halten. Auf diese Weise ist das Management optimal informiert, in Kenntnis gesetzt und beeinflusst.

Berichte zu Trends

Neben den routinemäßigen Statusprüfungen gibt es auch periodische Berichte zu den Trends. Dazu rechnen die Experten Daten aus den Berichten für die Bewertung und Aktivitäten hoch, die aus den Projekten und Abteilungen stammen. Auf diese Weise können Sie Trends beim Thema Sicherheit identifizieren. Ebenso lassen sich künftige Security-Probleme prognostizieren.

Gibt es beispielsweise in diversen Abteilungen eine Erhöhung bei den Infizierungen mit Viren, dann könnte das darauf hinweisen, dass dort die Virensignaturen nicht aktualisiert werden. Eine Anomalie bei den Anfragen für das Zurücksetzen von Passwörtern könnte auf zu strikte Richtlinien bei den Passwörtern hinweisen. Übertragen Sie solche Statistiken in Trends, dann fördert das möglicherweise Sicherheitsprobleme zutage. Vielleicht steigen die Risiken und somit sind bessere Kontrollmechanismen notwendig.

Wenn Sie die Änderungen in den periodischen Berichten verfolgen, können Sie die entsprechenden Fortschritte ablesen. So kann man nachvollziehen, wie Probleme korrigiert werden und die allgemeine Sicherheit sich verbessert.

Die Statistiken dienen aber nicht nur dazu, damit Sie diese nach oben weitergeben. Sie können sie darüber hinaus verwenden, um Feinjustierungen bei den Richtlinien und Prozeduren vorzunehmen. Das gilt beispielsweise für die Updates bei Antivirenlösungen. Ist eine signifikante Zunahme bei Infizierungen zu erkennen, kann eine Ursache die Frequenz der Signatur-Updates sein. Trudeln viele Beschwerden über Verbindungsabbrüche oder holprige Anwendungen ein, dann müssen Sie vielleicht bei den Richtlinien der Firewall nachbessern.

Berichte zu den Trends helfen den Managern, Prioritäten zu setzen. Weiterhin lassen sich so Ressourcen optimal zuweisen. Beispiele sind Bereiche im Netzwerk, die die meisten Schwachstellen aufweisen und die größten Risiken für das Business bergen.

Nichts lässt sich verallgemeinern

In jeder Firma werden verschiedene Unternehmenskulturen gepflegt. Das gilt auch für den Betrieb und die Erwartungen. Diese Variablen wirken sich stark darauf aus, auf welche Weise das Management Informationen und Berichte zur Sicherheit erhalten wollen.

Die hier vorgestellten Punkte sind lediglich ein Leitfaden, wie Sie Daten organisieren und präsentieren können. Das Verständnis über Firmenkultur, Ziele und Prioritäten ist wichtig. Fragen Sie Ihren Vorgesetzten, wie er die Informationen gerne aufbereitet hätte.

Unabhängig von diesen Differenzen müssen Sie die Risiken und Daten verstehen. Dann können Sie einfach zu verstehende Informationen in Ihre Sicherheitsberichte packen. Das ist wiederum wichtig, um die Entscheider zu korrekt zu informieren.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über IT-Sicherheits-Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close