Kennzahlen (KPI, KRI, KCI) in der Informationssicherheit – Chancen und Nutzen
Alle wichtigen Kennzahlen im Bereich IT-Sicherheit einmal im Überblick
Wie kann sicherstellen, dass die getroffenen Sicherheitsmaßnahmen effektiv und effizient sind? Hierfür kommen dann sogenannte KPIs, KRI und KCI zum Einsatz. Der nun folgende Artikel soll Ihnen daher einmal einen interessanten Überblick über gängige Kennzahlen im Bereich der Informationssicherheit vermitteln.
Arten von Kennzahlen in der Informationssicherheit
Key-Performance-Indikatoren (KPI): KPIs messen die Leistungsfähigkeit des Informationssicherheitsmanagementsystems (ISMS) und zeigen an, wie erfolgreich ein Unternehmen die relevanten Maßnahmen und Prozesse umsetzt. Dies ist ausreichend für die ISO 27001.
Key-Risk-Indikatoren (KRI): KRIs überwachen Risiken und dienen als Früh- oder Spätindikatoren für potenzielle Risikobedingungen. Sie zeigen an, ob Veränderungen im Risikoprofil die definierten Toleranzgrenzen überschreiten und somit die Zielerreichung gefährden.
Key-Control-Indikatoren (KCI): KCIs zeigen an, wie effektiv das gewünschte Ziel innerhalb der Toleranzgrenzen erreicht wurde. Sie bewerten, wie gut die relevanten Maßnahmen und Prozesse umgesetzt werden.
Darstellung von Kennzahlen
Absolute Kennzahlen: Diese Kennzahlen sind durch eine einzelne Zahl zu einem bestimmten Zeitpunkt oder Zeitraum definiert. Beispiel: Anzahl der Sicherheitsvorfälle in einem Jahr.
Relative Kennzahlen: Diese Kennzahlen stellen zwei oder mehr Zahlen zueinander in Relation, um die benötigte Information zu gewinnen. Beispiel: Entwicklung der Sicherheitsvorfälle über einen Zeitraum.
Die wichtigsten Kennzahlen im Bereich der Informationssicherheit
Innerhalb der vergangenen Jahre sind weltweit eine Vielzahl von Standards im Bereich IT-Sicherheit entstanden. Dabei handelt es sich um folgende IT-Sicherheitsstandards:
| KPI | Definition | Bedeutung | Beispiel |
|---|---|---|---|
Incident Response Time |
Zeit, die benötigt wird, um auf einen Sicherheitsvorfall zu reagieren | Eine schnelle Reaktionszeit kann den Schaden minimieren und die Ausbreitung von Bedrohungen verhindern. | Die IT-Abteilung reagiert innerhalb von 30 Minuten auf einen Ransomware-Angriff und verhindert so die Verschlüsselung wichtiger Daten. |
Mean Time to Detect (MTTD) |
Durchschnittliche Zeit, die benötigt wird, um einen Sicherheitsvorfall zu erkennen | Ein niedriger MTTD-Wert weist auf ein effizientes Erkennungssystem hin, das Bedrohungen schnell identifiziert. | Ein Intrusion Detection System (IDS) erkennt einen unautorisierten Zugriff innerhalb von 10 Minuten nach Beginn des Angriffs. |
Mean Time to Resolve (MTTR) |
Durchschnittliche Zeit, die benötigt wird, um einen Sicherheitsvorfall zu beheben | Ein niedriger MTTR-Wert zeigt an, dass das IT-Sicherheitsteam effektiv bei der Lösung von Vorfällen ist. | Nach der Entdeckung eines Datenlecks behebt die IT-Abteilung das Problem und schließt die Sicherheitslücke innerhalb von 2 Stunden. |
Anzahl der Sicherheitsvorfälle |
Gesamtzahl der gemeldeten Sicherheitsvorfälle innerhalb eines bestimmten Zeitraums | Ein Anstieg der Vorfälle kann auf eine erhöhte Bedrohungsaktivität hinweisen, während ein Rückgang auf eine Verbesserung der Sicherheitslage deutet. | Im letzten Quartal wurden 15 Sicherheitsvorfälle gemeldet, während es im vorherigen Quartal 10 waren. |
Anzahl der Fehlalarme (False Positives) |
Anzahl der legitimen Aktivitäten, die fälschlicherweise als Sicherheitsvorfälle identifiziert wurden | Eine hohe Anzahl von Fehlalarmen kann zu „Alarmmüdigkeit“ führen und die Effizienz des Sicherheitsteams beeinträchtigen. | Das IDS meldet täglich 5 Fehlalarme, die jeweils manuell überprüft werden müssen, was die Effizienz des Teams reduziert. |
Patch-Management-Effizienz |
Prozentsatz der Systeme, die innerhalb eines bestimmten Zeitrahmens mit den neuesten Sicherheitspatches aktualisiert wurden | Effektives Patch-Management reduziert die Anfälligkeit für bekannte Sicherheitslücken. | 95% der Unternehmenssysteme werden innerhalb von 48 Stunden nach Veröffentlichung eines neuen Patches aktualisiert. |
User Awareness Training Teilnahmequote |
Prozentsatz der Mitarbeiter, die an Schulungen zur IT-Sicherheit teilgenommen haben | Gut geschulte Mitarbeiter sind weniger anfällig für Social Engineering und andere Angriffe. | 80% der Mitarbeiter haben im letzten Jahr an einem Phishing-Simulationstraining teilgenommen. |
Erfolgsquote von Penetrationstests |
Prozentsatz der Penetrationstests, bei denen keine kritischen Sicherheitslücken gefunden wurden | Eine hohe Erfolgsquote deutet auf eine starke Sicherheitslage hin. | Von den letzten 5 durchgeführten Penetrationstests wurden 4 ohne kritische Sicherheitslücken bestanden. |
Compliance-Rate |
Prozentsatz der IT-Sicherheitsmaßnahmen, die den festgelegten Compliance-Standards entsprechen | Hohe Compliance-Raten sind oft ein Indikator für ein gut geführtes Sicherheitsprogramm. | Die IT-Abteilung hat eine 98%ige Übereinstimmung mit den ISO 27001-Anforderungen. |
Kosten der Sicherheitsvorfälle |
Direkte und indirekte Kosten, die durch Sicherheitsvorfälle entstehen | Die Minimierung dieser Kosten ist entscheidend für den finanziellen Schutz des Unternehmens. | Im letzten Jahr entstanden durch Sicherheitsvorfälle Kosten in Höhe von 200.000 Euro, verglichen mit 300.000 Euro im Vorjahr. |
Number of Events vs. Alerts vs. Incidents |
Setzt alle auftretenden Events, Alerts und Incidents ins Verhältnis zueinander | Ermöglicht die Unterscheidung zwischen harmlosen Ereignissen, Warnungen und tatsächlichen Sicherheitsvorfällen. | Im letzten Monat wurden 1000 Events, 100 Alerts und 10 Incidents registriert. |
Höhe des individuellen IT-Security-Budgets in Prozent |
Verhältnis des IT-Security-Budgets zum gesamten IT-Budget | Empfohlenes Ziel: 10-15% des gesamten IT-Budgets sollten für IT-Security ausgegeben werden. | Das IT-Security-Budget beträgt 12% des gesamten IT-Budgets. |
Anzahl der im Firmennetzwerk unbekannten Geräte |
Anzahl aller sich im Netzwerk befindlichen Geräte, die nicht identifiziert wurden | Unbekannte Geräte stellen ein enormes Sicherheitsrisiko dar. | Im Firmennetzwerk wurden 5 unbekannte Geräte identifiziert. |
Anzahl der schwerwiegenden Vorfälle innerhalb eines bestimmten Zeitraums |
Anzahl der schwerwiegenden Sicherheitsvorfälle innerhalb eines bestimmten Zeitraums | Schwerwiegende Vorfälle sollten von einem guten Sicherheitssystem idealerweise verhindert werden. | Es gab 3 schwerwiegende Vorfälle im letzten Jahr. |
Qualität von Kennzahlen
- Objektiv: Kennzahlen sollten objektiv erhoben werden können, um die Gefahr von Beeinflussungen zu minimieren.
- Aussagekräftig: Die Kennzahl sollte nützliche Informationen liefern, die zur Verbesserung der IT-Sicherheit beitragen.
- Einfach: Kennzahlen sollten einfach und schnell zu ermitteln sein, idealerweise automatisiert.
- Vergleichbar: Kennzahlen sollten über die Zeit vergleichbar sein, um Trends zu erkennen.
- Zuverlässig: Die erhobenen Daten müssen fehlerfrei und korrekt sein.
- Wiederholbar: Die Erhebung der Daten sollte regelmäßig wiederholt werden können.
- Konkretisierbar: Kennzahlen sollen an Geschäftsziele und Unternehmensgrößen angepasst werden können.
- Dokumentierbar: Die Ergebnisse und der Berechnungsweg der Kennzahlen sollten dokumentiert werden.
Standards für Security Kennzahlen
ISO 27001 und 27004
ISO 27001 und ISO 27004 sind Teil der ISO 27000-Familie und stellen internationale Sicherheitsstandards gemäß der ISO (oder auch: „International Organization for Standardization“) dar. Speziell die Varianten der Klasse 27000 befassen sich mit Risiken der IT-Sicherheit und überprüfen die Infosec Systeme auf deren Sicherheit und Anfälligkeit. Ein standardisierter und offizieller Messprozess sowie eine regelmäßige Zertifizierung durch anerkannte und unabhängige Prüforgane sorgt für die umfassende Wichtigkeit dieses KPIs.
Cobit
Cobit (oder auch: „Control Objectives for Information and Related Technology“) definiert Kennzahlen auf drei Ebenen: IT-Ziele, Prozessziele und Aktivitätsziele. Es ist komplexer als ISO 27004, da es einen größeren Bereich abdeckt, aber auch weniger geeignet für die Bewertung der IT-Sicherheit.
NIST Special Publication 800-55
Diese Publikation beschreibt die Entwicklung, Auswahl und Implementierung von Kennzahlen in der IT-Sicherheit in sieben Phasen, einschließlich der Identifizierung von Stakeholdern und der Definition von Zielen und Zielvorgaben.
VDA-ISA / TISAX
Dieser Katalog enthält Anforderungen an die Informationssicherheit, basierend auf ISO/IEC 27001, und verwendet ein Reifegradmodell zur Bewertung der Umsetzung von Maßnahmen. Beispiele für KPIs umfassen Schulung zur Informationssicherheit und Schutz vor Schadsoftware.
Wie kann ein umfassendes Programm für Sicherheitsmetriken entwickelt werden?
Ein individuell konzipiertes Programm für Sicherheitsmetriken, beziehungsweise Kennzahlen im Bereich der IT-Security stützt sich in der Regel auf die Einrichtung der folgenden Schritte:
- Ziel- und Vorgabendefinition aller Kennzahlen
- Entscheidung über die Art der verwendeten Kennzahlen
- Etablierung von Methoden zur Erstellung geeigneter Kennzahlen
- Festlegung von Benchmarks für die IT-Security
- Einführung eines automatisierten Alarmierungs- und Berichtswesens
- Organisation, Konzeption und Umsetzung eines Kennzahlenplans
- Etablierung eines formalen Zyklus zur Aktualisierung des Kennzahlenplans
Fazit zum Thema Kennzahlen für IT-Sicherheit
Fakt ist: Kennzahlen im Bereich der Informationssicherheit sind schon längst kein Nebenschauplatz mehr! Sie stellen wichtige Metriken dar, um die individuelle IT-Sicherheit zu gewährleisten und um Privatpersonen, Selbstständige sowie Unternehmen vor großen finanziellen Schäden, beziehungsweise rechtlichen Risiken zu schützen. Sich mit dem Thema Kennzahlen für Informationssicherheit vertraut zu machen und ein individuelles Konzept für die Umsetzung dieser zu erstellen, ist damit längst schon obligatorisch! Zu viel Informationen auf einmal? Wir unterstützen Sie bei IT-Sicherheitsmanagement.
Mehr Informationen zum Thema Kennzahlen in der IT-Sicherheit finden Sie in unserem Download-Bereich.
