Kennzahlen (KPIs) in der Informationssicherheit – Chancen und Nutzen

Alle wichtigen Kennzahlen im Bereich IT-Sicherheit einmal im Überblick

Stetig zunehmende Cyber-Attacken veranlassen immer mehr private sowie gewerbliche Nutzer von IT-Systeme, ihre individuelle IT-Sicherheitsstrategie zu überprüfen und gegebenenfalls anzupassen. Laut einer Studie des Branchenverbands Bitkom belief sich der gesamte, durch IT-Cyberangriffe verursachte Schaden in der Bundesrepublik Deutschland innerhalb der vergangenen zwei Kalenderjahre auf schwindelerregende 43,4 Milliarden Euro. Gerade in Anbetracht an die drohenden, finanziellen sowie Image-mäßigen Schäden spielt die IT-Sicherheit daher eine immer größere Rolle. Die strategische und operative Umsetzung von Informationssicherheit steht hier gewissermaßen unter dem Druck, etwaige Maßnahmen in puncto Effektivität und Nutzen messbar zu machen. Hierfür kommen dann sogenannte KPIs (oder auch: „Key-Performance-Indikatoren“) zum Einsatz. Der nun folgende Artikel soll Ihnen daher einmal einen interessanten Überblick über die momentan wichtigsten Kennzahlen im Bereich der Informationssicherheit vermitteln.

Die Top-10-Liste der wichtigsten Kennzahlen im Bereich der Informationssicherheit

Innerhalb der vergangenen Jahre sind weltweit eine Vielzahl von Standards im Bereich IT-Sicherheit entstanden. Dabei handelt es sich um folgende IT-Sicherheitsstandards:

  1. ISO 27001 (und 27004) – Mehr Infos zur ISO 27001
  2. Cobit – Mehr Infos zu Cobit
  3. Mean Time to Detect & Respond (auch „MTTD“ genannt)
  4. Mean Time to Resolve (auch „MTTR“ genannt)
  5. Mean Time to Contain (auch „MTTC“ genannt)
  6. Security Awareness
  7. Number of Events vs. Alerts vs. Incidents
  8. Höhe des individuellen IT-Security-Budgets in Prozent, gemessen am gesamten IT-Budget
  9. Anzahl der im Firmennetzwerk unbekannten Geräte
  10. Anzahl der schwerwiegenden Vorfälle innerhalb eines bestimmten Zeitraums

In den nun folgenden Unterabschnitten möchten wir Ihnen die oben genannten KPIs im Bereich der Informationssicherheit daher gern einmal detaillierter aufzeigen.

IT-Security KPI Nr. 1: ISO 27001 (und 27004)

ISO 27001 und ISO 27004 sind Teil der ISO 27000-Familie und stellen internationale Sicherheitsstandards gemäß der ISO (oder auch: „International Organization for Standardization“) dar. Speziell die Varianten der Klasse 27000 befassen sich mit Risiken der IT-Sicherheit und überprüfen die Infosec Systeme auf deren Sicherheit und Anfälligkeit. Ein standardisierter und offizieller Messprozess sowie eine regelmäßige Zertifizierung durch anerkannte und unabhängige Prüforgane sorgt für die umfassende Wichtigkeit dieses KPIs.

IT-Security KPI Nr. 2: Cobit

Cobit (oder auch: „Control Objectives for Information and Related Technology“) stellt ein Steuerungsinstrument für IT-Sicherheitsaktivitäten dar. Es unterstützt bei der Erstellung, Überwachung sowie Auswertung von Geschäftsprozessen im Infosec Bereich. Im Gegensatz zur oben genannten ISO-Norm werden bei Cobit sämtliche IT-Prozesse betrachtet.

IT-Security KPI Nr. 3: Mean Time to Detect & Respond

Unter dem Begriff Mean Time to Detect & Response (oder kurz: „MTTD“) ist die durchschnittliche Zeitspanne zu verstehen, die zwischen dem Eintreten eines IT-Sicherheitsrisikos und dessen Erkennung liegt. Quasi handelt es sich um die Zeitspanne zwischen Incident-Vorfall und Ticket-Erstellung bei der IT-Abteilung.

IT-Security KPI Nr. 4: Mean Time to Resolve

Unter dem Begriff Mean Time to Resolve (oder kurz: „MTTR“) ist wiederum die durchschnittliche Zeitspanne zu verstehen, die es benötigt, bis ein aufgrund von IT-Cyberangriffen ausgefallenes System wiederhergestellt wird. Dabei handelt es sich also um eine Messgröße für Reparatur und Wartung durch IT-Sicherheitssysteme.

IT-Security KPI Nr. 5: Mean Time to Contain

Unter dem Begriff Mean Time to Contain (oder kurz: „MTTC“) ist die durchschnittliche Zeitspanne zu verstehen, die es benötigt, bis alle Vorfälle im Bereich Infosec erkannt und eingedämmt werden. Damit beschreibt MTTC die Schnelligkeit der IT-Sicherheit.

IT-Security KPI Nr. 6: Security Awareness

Unter Security Awareness ist im Bereich Infosec die Sensibilisierung von Mitarbeitern innerhalb der Bereiche IT-Sicherheit, Cybersecurity sowie Datenschutz zu verstehen. Diese Kennzahl gibt damit Aufschluss darüber, wie hoch der Aufklärungsgrad aller Beteiligten ist. Kennen Sie in diesem Zusammenhang bereits Lucy? Lernen Sie hier Lucy kennen.

IT-Security KPI Nr. 7: Number of Events vs. Alerts vs. Incidents

Im Bereich Informationssicherheit unterscheidet man grundsätzlich zwischen Events, Alerts und Incidents. Ein Event beschreibt ein Ereignis, welches eine kleinere (aber oftmals ungefährliche) Abweichung von der Norm darstellt. Wiederum stellt ein Alert eine Warnung dar, dass ein gewisses Risiko besteht. Ein Incident stellt nun ein konkretes Problem (zum Beispiel in Form eines Virusbefalls) dar – dieser KPI setzt alle auftretenden Events, Alerts und Incidents ins Verhältnis zueinander.

IT-Security KPI Nr. 8: Höhe des individuellen IT-Security-Budgets in Prozent, gemessen am gesamten IT-Budget

Diese Kennzahl befasst sich mit dem Verhältnis, welches das dedizierte IT-Security-Budget am gesamten IT-Budget von Organisationen ausmacht. Experten zufolge sollte der Zielwert für das IT-Security-Budget bei zwischen 10 und 15 Prozent der Gesamtausgaben für IT liegen.

IT-Security KPI Nr. 9: Anzahl der im Firmennetzwerk unbekannten Geräte

Unbekannte Geräte stellen ein enormes Sicherheitsrisiko dar, da diese entweder mit Schadsoftware infiziert sein können oder bereits durch unerlaubte Nutzer gehackt worden sein könnten. Werden diese nun in eine Organisation integriert, so können IT-Risiken schnell auf bereits bekannte Geräte überspringen. Dieser KPI befasst sich daher mit der Anzahl aller sich in einem abgeschlossenen System befindlichen Geräte, die bisweilen unbekannt sind.

IT-Security KPI Nr. 10: Anzahl der schwerwiegenden Vorfälle innerhalb eines bestimmten Zeitraums

Diese Kennzahl befasst sich wiederum mit der Anzahl der aufgetretenen Incidents innerhalb eines bestimmten Zeitraums. Unter Incidents sind schwerwiegende Vorfälle zu verstehen, die von einem guten Sicherheitssystem in der Regel abgewendet werden können – idealerweise noch bevor diese geschehen!

Wie kann ein umfassendes Programm für Sicherheitsmetriken entwickelt werden?

Ein individuell konzipiertes Programm für Sicherheitsmetriken, beziehungsweise Kennzahlen im Bereich der IT-Security stützt sich in der Regel auf die Einrichtung der folgenden Schritte:

  • Ziel- und Vorgabendefinition aller Kennzahlen
  • Entscheidung über die Art der verwendeten Kennzahlen
  • Etablierung von Methoden zur Erstellung geeigneter Kennzahlen
  • Festlegung von Benchmarks für die IT-Security
  • Einführung eines automatisierten Alarmierungs- und Berichtswesens
  • Organisation, Konzeption und Umsetzung eines Kennzahlenplans
  • Etablierung eines formalen Zyklus zur Aktualisierung des Kennzahlenplans

Fazit zum Thema Kennzahlen für IT-Sicherheit

Fakt ist: Kennzahlen im Bereich der Informationssicherheit sind schon längst kein Nebenschauplatz mehr! Sie stellen wichtige Metriken dar, um die individuelle IT-Sicherheit zu gewährleisten und um Privatpersonen, Selbstständige sowie Unternehmen vor großen finanziellen Schäden, beziehungsweise rechtlichen Risiken zu schützen. Sich mit dem Thema Kennzahlen für Informationssicherheit vertraut zu machen und ein individuelles Konzept für die Umsetzung dieser zu erstellen, ist damit längst schon obligatorisch! Zu viel Informationen auf einmal? Wir unterstützen Sie bei IT-Sicherheitsmanagement.

Mehr Informationen zum Thema Kennzahlen in der IT-Sicherheit finden Sie in unserem Download-Bereich.

NESEC besser kennenlernen

Neugierig, überzeugt. interessiert?

Vereinbaren Sie ein unverbindliches Gespräch mit einem unserer Mitarbeiter.
Wir sind gespannt, welche Herausforderungen Sie zur Zeit beschäftigen.
Beachten Sie auch unseren aktuellen Veranstaltungen und Webinare.

Erstgespräch

Mehr Informationen

13 + 6 =