Für die Geschäftsführung wichtige Security-Metriken

IT-Sicherheitsmaßnahmen sind unverzichtbar. Jedermann weiß das. Viele IT-Security-Leiter stehen aber vor dem Problem, dass sie sich gegenüber der Geschäftsleitung für die von ihnen benötigten Ausgaben rechtfertigen müssen, um weiterhin für den Schutz des Unternehmens sorgen zu können. Das ist keine leichte Aufgabe und auch der Grund dafür, dass sie teils neue Wege finden müssen, um die Bedeutung ihrer IT-Security-Strategie für das Wohlergehen des gesamten Unternehmens zu belegen.

Das Ziel sollte dabei sein, diejenigen Metriken und Maßnahmen zur IT-Sicherheit hervorzuheben, mit denen sich die aktuelle Situation am besten beschreiben lässt. Nur zu technisch sollten Sie nicht werden. Werfen wir daher einen Blick auf die wichtigsten Cyber-Security-Metriken, mit denen Sie dem Vorstand die aktuelle Situation demonstrieren können.

Aufgedeckte Versuche, in das Unternehmen einzudringen. Die grafische Darstellung der Einbruchsversuche über einen bestimmten Zeitraum ist aus IT-Security-Sicht wahrscheinlich nicht unbedingt die wichtigste Statistik. Aber nur damit erhält die Geschäftsleitung ein genaues Bild der durchschnittlichen Zahl der Angriffe, denen das Unternehmen kontinuierlich ausgesetzt ist.

Wenn die IT-Security gut funktioniert und kaum sicherheitsrelevante Vorfälle auftreten, geht die Geschäftsleitung ansonsten schnell davon aus, dass das Unternehmen nicht mehr länger im Fokus steht. Das ist ein immer wieder zu beobachtendes Problem. Sie benötigen daher aussagekräftige Statistiken, die Ihren Standpunkt verdeutlichen. Diese Daten sind hilfreich, um die fortlaufende Existenz von Angriffsversuchen zu belegen und zu zeigen, dass sie im Laufe der Zeit in der Regel sogar zunehmen.

Häufigkeit von Vorfällen, Schweregrade, Reaktionszeiten und Zeiten bis zur Behebung. Die meisten Mitglieder der Geschäftsleitung sind an Verbesserungen bei der IT-Sicherheit interessiert. Immerhin geben sie Geld dafür aus. Die Zahlen sollten also belegen, dass ihre Gelder zum Vorteil des Unternehmens eingesetzt werden. Das Sammeln und Aufzeichnen von sicherheitsrelevanten Vorfällen, Informationen über ihren Schweregrad, Reaktionszeiten und die Zeiten, die es bis zu ihrer Behebung gedauert hat, sind also eine großartige Möglichkeit, um zu zeigen, dass die eingesetzten Werkzeuge und Mitarbeiter einen positiven Einfluss auf den Schutz des Unternehmens haben.

Schwachstellen und die zu ihrer Schließung benötigten Zeiten. Selbst Führungskräfte ohne technisches Hintergrundwissen verstehen, dass ein Unternehmen kritische Software möglichst schnell patchen muss, wenn Sicherheitslücken darin entdeckt werden. Daher sollten Sie dem Vorstand mit Zahlen belegen können, wie schnell Sie Anwendungen, Betriebssysteme und Tools auf den aktuellen Stand gebracht haben, nachdem die Hersteller neue Patches veröffentlicht haben. So beweisen sie, dass Sie auch brandaktuelle Schwachstellen im Griff haben.

Das Ziel sollte dabei sein, diejenigen Metriken und Maßnahmen zur IT-Sicherheit hervorzuheben, mit denen sich die aktuelle Situation am besten beschreiben lässt.

Anzahl der Nutzer im Unternehmen aufgeschlüsselt nach Anwendungen und Zugriffsberechtigungen. Die Mitglieder der Geschäftsleitung gehen möglicherweise immer noch von der falschen Annahme aus, dass die meisten IT-Security-Gefahren von außerhalb des Unternehmens kommen. Mit Ihren Zahlen können Sie daher belegen, dass Insider-Gefahren heutzutage oft ein viel größeres Risiko darstellen. Um diesen Punkt zu verdeutlichen, benötigen Sie Zahlen, die zeigen, dass der Verlust von Daten und ihr Diebstahl heute eher von den eigenen Mitarbeitern ausgehen.

Dafür benötigen Sie interne Metriken zu Datendiebstählen, Onboarding- und Offboarding-Zahlen sowie Statistiken über die Zugriffe der Mitarbeiter auf Anwendungen. Mit ihnen können Sie gegenüber der Geschäftsleitung auch den Investitionsbedarf für moderne Lösungen verdeutlichen, mit denen Sie die Risiken reduzieren können. Insbesondere Lösungen, die dem Zero-Trust-Ansatz folgen, sind für diese Zwecke gut geeignet.

Gesamtes Volumen an Daten, die durch das Unternehmen erstellt werden. Auch wenn die Gesamtheit aller durch das Firmennetz gesendeten Daten streng genommen kein sicherheitsrelevanter Wert ist, können diesen Zahlen jedoch von großer Bedeutung sein, wenn es um das künftige Budget geht. Veränderungen beim Traffic, seien sie nur leicht oder abrupt, können den Bedarf an neuen oder erweiterten Security-Tools rechtfertigen. Diese Zahlen tragen zu recht dazu bei, dass im Angesicht zunehmender Datenströme auch die Ausgaben erhöht werden, die zum Schutz dieses Wachstums benötigt werden.

Gruppenzwang. Eine der besten Möglichkeiten, um Ihre Anstrengungen im Bereich Cyber-Security zu belegen, ist der Vergleich zu anderen Firmen in Ihrer Branche. Viele Führungskräfte achten sehr genau auf die Konkurrenz. Daher kann es sinnvoll sein, sie darauf aufmerksam zu machen, wie sich der Wettbewerb beim Thema IT-Security verhält.

Viele Werkzeuge für Cloud-basierte Sicherheitsanalysen erlauben es, anonymisierte Daten zu erheben. Mit ihnen können Sie zeigen, wie sich andere Unternehmen in Ihrer Branche schlagen. Im gewissen Sinne ist dies ein Vergleich der Vergleiche, mit dem Sie den meist vorhandenen Wettbewerbswillen des Vorstands ansprechen, damit das eigene Unternehmen bei der IT-Security besser abschneidet.

Vorsicht vor vordefinierten „Vorstandsberichten“: Die meisten Sicherheitsanbieter ermöglichen es ihren Kunden, spezielle „Executive Reports“ zu erstellen, die für die Geschäftsleitung gedacht sind. Viele dieser Berichte sind jedoch sehr detailverliebt und zu technisch. Das führt dann dazu, dass sie nur überflogen oder gar nicht gelesen werden und die Erkenntnisse des IT-Security-Teams verloren gehen. Auch wenn vorgefertigte Berichte sehr viel Zeit sparen können, sollten sie nicht einfach auf Knopfdruck erstellt und an die nächste Leitungsebene geschickt werden. Stattdessen sollten Sie sich Gedanken darüber machen, welche Informationen der Vorstand benötigt. Das Bereitstellen von wichtigen sicherheitsrelevanten Daten für die Geschäftsleitung sollte daher niemals „von der Stange“ erfolgen.