Erfolgsmessung bei IT-Sicherheit

Netzwerke schützen

13.12.2012 | von Peter Graf
Ein Security Officer muss den Sicherheitsstatus seines gesamten Netzwerkes kennen. Es stellt sich die Frage, welche Kriterien man zu dessen Messung heranziehen kann. Wir haben uns auf die Suche gemacht.

Wie ist es möglich, Aussagen zum eigenen Security Level, also zum Status der eigenen IT-Sicherheit, zu treffen? Die Maßnahmen, die ein Unternehmen zum Schutz der eigenen Daten treffen kann, sind vielfältig. Dieser Beitrag soll vor allem einen Aspekt der IT-Sicherheit und die damit verbundene Erfolgsmessung betrachten: Die technische Absicherung von Netzwerken gegen Schadprogramme.

Messen ist wichtig

Peter Graf, Ampeg: "Die Anzahl der erkannten Malware oder eine Untersuchung der 'Cost per caught Virus' sind keine validen Messwerte für IT-Sicherheit."
Peter Graf, Ampeg: "Die Anzahl der erkannten Malware oder eine Untersuchung der 'Cost per caught Virus' sind keine validen Messwerte für IT-Sicherheit."
Foto: Ampeg

Viren, Würmer und Trojaner sind noch immer die breitenwirksamsten Waffen der Malware-Industrie. Um sich gegen eine Infektion zu schützen, installieren Sicherheitsverantwortliche Virenschutz- und Patch-Systeme. Updates mit Virenpattern und Patches sind die letzte und gleichzeitig eine der wirksamsten Hürden im Abwehrwall. Ist jedes System im gesamten Netzwerk mit aktuellen Virenpattern und den neuesten Patches versorgt, haben bekannte Schadprogramme wenig Chancen. Neue Schadprogramme werden heute relativ schnell entdeckt und entsprechende Updates werden zeitnah bereitgestellt. Allerdings führen Rollouts nicht immer dazu, dass alle Rechner in einem Unternehmensnetz alle Updates erhalten. Verzögerungen und Fehler im Rollout-Prozess aber Gang und Gäbe. Deshalb ist es nötig, den Sicherheitsstatus zu messen.

Je komplexer ein Netzwerk ist, desto höher die Wahrscheinlichkeit, dass Updates im Verteilprozess manche Systeme nicht oder viel zu spät erreichen. Dies mag an der Performance des Netzwerks liegen, an Rechnern oder Laptops, die zum Zeitpunkt des Rollouts nicht online sind, an technischen Störungen oder anderen Fehlern. Update-Störungen sind ein bekanntes Problem. Die Ergebnisse einer Umfrage , die der Sicherheitsanbieter Ampeg 2008 in Großunternehmen durchführen ließ, bestätigen das: Von den befragten Sicherheitsverantwortlichen wüßten über die Hälfte, dass es in ihrem Unternehmen vorkomme, dass manche Rechner gar nicht mit Pattern oder Patches versorgt würden. Im Falle von Fehlern, komme es zudem vor, dass die Rollout-Systeme dies nicht zurückmelden würden. Das bedeutet, Sicherheitsverantwortlichen können nicht sagen, ob und wo in ihrem Netzwerk Schwachpunkte entstehen.

IT-Sicherheit messen

  • Warum muss IT-Sicherheit gemessen werden? Sicherheits-Updates sichern Systeme gegen Malware ab, doch in komplexen Netzwerken passieren Fehler: Nicht alle Rechner erhalten jedes Update. Um in der Lage zu sein, die Lücken zu erkennen und proaktiv zu handeln, müssen Sicherheitsverantwortliche das Security Level aller Systeme am besten permanent messen.

  • Was kann konkret gemessen werden? Manche Unternehmen machen es sich einfach und messen Werte, die sich leicht erfassen lassen, zum Beispiel das Virenaufkommen. Den Sicherheitsstatus kann man daran nicht festmachen. Sinnvolle Key Performance Indikatoren sind zum Beispiel der "Erfüllungsgrad pro Rollout".

  • Wie misst man richtig? Messen findet aus strategischen Gründen statt. Die IT-Sicherheit soll verbessert werden. Dazu müssen Ziele definiert werden, denen die Leistung der Sicherheitssysteme genügen soll. Mittels "Security Level Management", einem Ansatz zur Qualitätssicherung für die IT-Sicherheit, können Unternehmen das Restrisiko für Malware-Infektionen messbar senken.

Diese Lücken können die Ursache für konkrete Malware-Infektionen sein, wie das Schadprogramm "Conficker" zeigt. Es sorgt seit Ende 2008 für Unruhe in den Sicherheitsabteilungen. Schon kurz nach dem Auftauchen des Programms im Oktober 2008, veröffentlichte Microsoft das sicherheitskritische Update "MS08-067", mit dem Unternehmen die betreffende Lücke schließen konnten. Ein viertel Jahr später konnte sich der Wurm trotzdem auf den Rechnern der Bundeswehr einnisten. Nach Angaben der Conficker Working Group waren bis zum Dezember 2010 immer noch mehr als 5.000.000 Rechner mit einer der diversen Conficker-Varianten infiziert. Es scheint unwahrscheinlich, dass große Unternehmen und Organisationen den Microsoft-Patch nicht ausgerollt haben. Sollten sie ihn dennoch ausgerollt haben, bleibt nur die Schlussfolgerung, dass durch Rollout-Fehler Lücken im Netzwerk geblieben waren.

Unternehmen, die in der Lage sind, den Sicherheitsstatus jedes einzelnen Rechners im Netzwerk zu erfassen, sehen wo Lücken sind und können diese sofort schließen. Alle anderen können nur reagieren, wenn die Schwachstellen durch eine Infektion evident geworden sind. Messbarkeit bedeutet Transparenz und Transparenz ist die Grundlage dafür, dass ein Unternehmen seinen Sicherheitsbetrieb verbessern kann. Deshalb ist die permanente und kontinuierliche Messung des eigenen Sicherheitsstatus so wichtig. Was aber definiert nun diesen "Sicherheitsstatus" eines Rechners? Welche konkreten Messgrößen beziehungsweise Key Performance Indikatoren (KPIs) können dazu herangezogen werden?

Newsletter 'CP Business-Tipps' bestellen!