Für die Geschäftsführung wichtige Security-Metriken

Warum Kennzahlen für die IT-Sicherheit von Bedeutung sind

Der Hauptgrund für die fortlaufende Beobachtung von Metriken zur Cybersicherheit ist das Verständnis der Gefährdung eines Unternehmens durch Sicherheitsrisiken. Auf diese Weise erhält man einen historischen Überblick über die aufgetretenen Sicherheitsereignisse und den Ort, an dem sie sich in IT-Netzwerken und -Systemen ereignet haben, sowie aktuelle Informationen darüber, wie effektiv Security-Tools, Prozesse und Teams funktionieren.

Die Überwachung von Metriken ermöglicht es den Sicherheitsteams auch, besser zu verstehen, wo Bedrohungsakteure aktuell versuchen, Zugang zur IT-Infrastruktur zu erhalten. Dieses Wissen hilft den Teams, Prioritäten zu setzen, wo Maßnahmen gegen laufende Angriffe ergriffen werden müssen, und eine Mischung aus Tools und Prozessen einzusetzen, die drohende Cyberbedrohungen stoppen können, bevor sie ein Unternehmen beeinträchtigen.

Schließlich sind Metriken und KPIs ein hervorragendes Instrument für die Festlegung künftiger Ziele und die Planung von Maßnahmen zur Verbesserung der Sicherheitsleistung. So können Sicherheitsverantwortliche beispielsweise tägliche oder wöchentliche Berichte mit verschiedenen Kennzahlen nutzen, um ihre Teams besser auf Cyberangriffe vorzubereiten - oder um bei Bedarf zusätzliche Aufmerksamkeit auf Bedrohungen und gefährdete Teile der Infrastruktur zu richten.

Nachfolgend haben wir zwölf Kennzahlen zur Cybersicherheit zusammengefasst, die Unternehmen im Auge behalten sollten.

1. Aufgedeckte Versuche, in das Unternehmen einzudringen

Die grafische Darstellung der Einbruchsversuche über einen bestimmten Zeitraum ist aus IT-Security-Sicht wahrscheinlich nicht unbedingt die wichtigste Statistik. Aber nur damit erhält die Geschäftsleitung ein genaues Bild der durchschnittlichen Zahl der Angriffe, denen das Unternehmen kontinuierlich ausgesetzt ist. Wenn die IT-Security gut funktioniert und kaum sicherheitsrelevante Vorfälle auftreten, geht die Geschäftsleitung ansonsten schnell davon aus, dass das Unternehmen nicht mehr länger im Fokus steht. Das ist ein immer wieder zu beobachtendes Problem. Wie in anderen Bereichen aus, tritt in der IT-Sicherheit durchaus das Präventionsparadox auf. Sie benötigen daher aussagekräftige Statistiken, die Ihren Standpunkt verdeutlichen. Diese Daten sind hilfreich, um die fortlaufende Existenz von Angriffsversuchen zu belegen und zu zeigen, dass sie im Laufe der Zeit in der Regel sogar zunehmen.

2. Anzahl der Sicherheitsvorfälle

Ein wichtiger Aspekt der Verwaltung der IT-Sicherheit ist die Überwachung, ob Änderungen an Tools und Prozessen zu Verbesserungen führen. Ein großer Teil des IT-Budgets wird häufig für die Cybersicherheit ausgegeben, so dass die verfolgten Kennzahlen zeigen sollten, dass das Geld sinnvoll eingesetzt wird. Das Sammeln von Daten über die Anzahl und die Häufigkeit von Sicherheitsvorfällen in bestimmten Zeiträumen kann CISOs und anderen Verantwortlichen für Cybersicherheit dabei helfen, sicherzustellen, dass die eingerichteten Schutzmaßnahmen einen positiven Einfluss auf den Schutz der digitalen Ressourcen eines Unternehmens haben.

3. Schweregrad der Vorfälle

Die Kenntnis des Schweregrads eines Cyberangriffs oder Datendiebstahls hilft bei der Priorisierung von Maßnahmen, um sicherzustellen, dass geschäftsschädigende Vorfälle nicht mehr auftreten. Anhand dieser Kennzahl lässt sich im Laufe der Zeit auch feststellen, ob neue Sicherheitstools oder aktualisierte Prozesse die Zahl der schwerwiegenden Vorfälle verringern.

4. Reaktionszeiten auf Vorfälle

Schnelligkeit ist von entscheidender Bedeutung, wenn es darum geht, Cyberbedrohungen zu erkennen und zu bekämpfen. Durch die Verfolgung der Reaktionszeiten auf Vorfälle können Sicherheitsmanager sehen, wie effektiv ihre Teams auf Warnungen reagieren und sich mit den Bedrohungen befassen. Anhand dieser Informationen können sich die Verantwortlichen darauf konzentrieren, die Reaktionszeiten zu verkürzen, wenn sie nicht schnell genug sind. Zusätzlich zur Überwachung der Reaktionen auf einzelne Bedrohungen wird die mittlere Reaktionszeit (MTTR, Mean Time to Respond) in der Regel als Durchschnittswert berechnet. Die mittlere Erkennungszeit (MTTD, Mean Time to Detect) ist ein ähnlicher Durchschnittswert für die Identifizierung von Angriffen und anderen Bedrohungen.

5. Zeiten für die Behebung von Vorfällen

Die schnelle Reaktion auf einen Sicherheitsvorfall ist nur die eine Seite der Medaille. Die andere ist die Zeit, in der Malware oder eine andere erkannte Bedrohung isoliert, unter Quarantäne gestellt und vollständig von den IT-Geräten entfernt werden kann. Einige Sicherheitsexperten verwenden in diesem Zusammenhang alternativ den Begriff MTTR (Mean Time to Remediate). Wenn sich die Zeit für die Behebung von Problemen verschlechtert, ist dies ein klares Zeichen dafür, dass Änderungen an einem Sicherheitsprogramm vorgenommen werden müssen.

6. Anzahl falsch positiver und negativer Ergebnisse

Im Bereich der Cybersicherheit kommen verschiedene Tools zum Einsatz, die die Erkennung von Malware oder verdächtigem Verhalten automatisieren und Sicherheitsteams vor Bedrohungen warnen. Diese Tools erfordern jedoch eine Feinabstimmung und regelmäßige Pflege, damit sie nicht fälschlicherweise Anomalien anzeigen, die wie eine Bedrohung aussehen, aber harmlos sind - oder echte Sicherheitsvorfälle übersehen. Die Verfolgung falsch positiver und negativer Meldungen hilft den Teams, festzustellen, ob die Tools richtig konfiguriert und eingestellt wurden.

7. Reaktionszeiten für Sicherheits-Updates und Patches

Es ist allgemein bekannt, dass eine der besten Methoden zum Schutz geschäftskritischer Software darin besteht, Betriebssysteme und Anwendungen zu patchen, sobald Fehlerkorrekturen von den Anbietern zur Verfügung gestellt werden. Die Verfolgung der Geschwindigkeit, mit der Security-Teams Software-Patches installieren, zeigt die Effektivität dieser wichtigen Praxis zur Risikovermeidung.

8. Ergebnisse der Schwachstellenbewertung

Tools zum Scannen von Schwachstellen führen Tests an IT-Systemen und Benutzergeräten durch, um festzustellen, ob sie gegen bekannte Schwachstellen gepatcht sind. Dabei können auch potenzielle Sicherheitsprobleme erkannt werden. Die von den Scans generierten Bewertungsergebnisse umfassen Listen neuer und noch offener Schwachstellen, Risikobewertungen, Verhältnis zwischen geprüften und nicht geprüften Schwachstellen und andere Datenpunkte. Diese Informationen können zusammen mit der Kennzahl für die Reaktionszeit auf Patches verwendet werden, um zu ermitteln, ob mehr Ressourcen zugewiesen werden sollten, um sicherzustellen, dass die Maßnahmen zur Verwaltung von Sicherheitslücken die Ziele erreichen.

9. Zugriffsberechtigungen für Anwendungen und Daten auf Nutzerebene

Die Verantwortlichen in den Unternehmen könnten davon ausgehen, dass die Bedrohungen für die Cybersicherheit größtenteils von außerhalb des Unternehmens kommen. In einigen Unternehmen zeigen jedoch Cybersecurity-Metriken zu internen Benutzern, dass Insider-Bedrohungen ein weitaus größeres Problem darstellen. Das Sammeln und Analysieren von Informationen über die Zugriffsrechte und den Anwendungs- und Datenzugriff von Mitarbeitern kann interne Sicherheitsprobleme sowie notwendige Änderungen der Benutzerzugriffskontrollen aufzeigen. Ganz davon zu schweigen, dass diese Transparenz aus Compliance-Gründen ohnehin notwendig ist.

10. Gesamtvolumen der erzeugten Daten

Auch wenn es sich dabei nicht um eine reine Sicherheitskennzahl handelt, kann die Erfassung der Datenmenge, die über das Unternehmensnetz generiert und versendet wird, von großem Wert sein, um potenzielle Bedrohungen zu erkennen und festzustellen, wie gut Sicherheitstools und -prozesse skaliert werden können. Allmähliche oder abrupte Veränderungen des Datenverkehrsvolumens können auf das Eindringen von Malware oder andere Arten von Cyberangriffen hinweisen. Diese Metrik kann auch dazu beitragen, den Bedarf an neuen oder verbesserten Sicherheitsmaßnahmen zu rechtfertigen. Sie macht deutlich - und das zu Recht -, dass mit zunehmender Netzwerknutzung auch mehr Geld für den Schutz des Netzwerks und der IT-Systeme bereitgestellt werden sollte.

11. Anzahl der Audits, Bewertungen und Penetrationstests

Das „Housekeeping“ der Cybersicherheit umfasst eine Reihe von Audits, Bewertungen, Penetrationstests und anderen Überprüfungen, die sicherstellen sollen, dass die Sicherheitsprozesse und -tools wie erwartet funktionieren. Es kommt jedoch häufig vor, dass IT-Sicherheitsteams mit den täglichen Aufgaben so überlastet sind, dass diese wichtigen Verfahren verzögert oder vergessen werden. Die Verfolgung ihrer Häufigkeit verschafft einen Überblick über diesen Aspekt der Cybersicherheit, so dass Sicherheitsmanager sicherstellen können, dass sie nicht auf der Strecke bleiben.

12. Bewertung der Sicherheit im Vergleich zu ähnlichen Organisationen

Mehrere Cloud-basierte Sicherheitsanalysetools bieten die Möglichkeit, anonymisierte Kennzahlen zur Cybersicherheit mit denen anderer Organisationen in derselben Branche zu vergleichen. In gewisser Weise ist dies eine „Metrik des Vergleichs von Metriken“. Ein solches Benchmarking hilft dabei festzustellen, ob das IT-Sicherheitsteam im Vergleich zu anderen Unternehmen der Branche auf dem richtigen Weg ist oder ob Anpassungen erforderlich sind.

Wie man den Prozess der Verfolgung von Metriken zur Cybersicherheit organisiert

Die Einsicht in wichtige Security-Metriken und -kennzahlen bringt einem Unternehmen wenig, wenn die Sicherheitsteams nicht wissen, wie sie diese zur Erreichung strategischer Ziele nutzen können. An dieser Stelle kommen wirksame Managementpraktiken ins Spiel. Um die gewünschten Ergebnisse im Bereich der Cybersicherheit mithilfe relevanter Echtzeit- und historischer Datenpunkte zu erzielen, sollten Sie die folgenden Best Practices anwenden:

• Definieren Sie Ihre Ziele und finden Sie dann heraus, welche Kennzahlen Ihnen helfen, Fortschritte zu erkennen. Allzu oft konzentrieren sich IT-Sicherheitsverantwortliche auf einzelne Metriken und KPIs und nicht auf die Ziele, die sie erreichen wollen. Das führt dazu, dass sie zwar gute Daten vor sich haben, aber nichts erreichen, weil sie sich keine Ziele gesetzt haben. Legen Sie stattdessen zunächst sinnvolle und umsetzbare Ziele fest. Sobald diese festgelegt sind, können die verschiedenen Messgrößen und Leistungsindikatoren ausgewählt werden, mit denen sich der Erfolg oder Misserfolg dieser Ziele am besten verfolgen lässt.
• Erstellen Sie ein Dashboard, um Metriken und KPIs stets im Blick zu behalten. Die Kombination von gut definierten Cybersicherheitszielen mit Möglichkeiten zur genauen Erfolgsmessung bringt wenig, wenn nur die Sicherheitsverantwortlichen die Metriken verfolgen. Sorgen Sie stattdessen dafür, dass dies eine Teamleistung ist. Die Entwicklung eines Dashboards für Metriken und KPIs, das das gesamte Sicherheitsteam zur Überwachung der Fortschritte nutzen kann, wird dazu beitragen, dass alle eingebunden und informiert sind.
• Seien Sie jederzeit bereit, Ziele, Messgrößen und KPIs zu verfeinern oder zu ändern. Gehen Sie nicht davon aus, dass Ziele, Kennzahlen und KPIs für die Cybersicherheit, die einmal festgelegt wurden, nie mehr geändert werden können. Gehen Sie stattdessen davon aus, dass alles im Laufe der Zeit angepasst werden muss, da sich die geschäftlichen Anforderungen und die zur Erfüllung dieser Anforderungen erforderlichen Sicherheitstools, Prozesse und Mitarbeiter zweifellos ändern werden. Der Zweck dieser Übung besteht darin, relevante Daten zur Verbesserung des Cybersicherheitsschutzes zu nutzen. Das Verständnis dafür, dass sich die Entwicklung des Unternehmens und die Umstellung auf andere Bereiche auf das auswirken, was strategisch wichtig ist, sollte den Prozess der Erstellung von Zielen und der Auswahl geeigneter Metriken und KPIs leiten.