KPIs für IT-Sicherheit
Es muss ein vordringliches Ziel eines jeden jedes Sicherheitsverantwortlichen sein, alle Systeme in seinem Netzwerk möglichst aktuell zu halten. Zu welchem Grad dieses Ziels erreicht wird, kann gemessen werden. Es ist möglich, nach jedem Rollout zu prüfen, ob alle beziehungsweise wie viele Rechner ein Virenpattern oder einen Patch auch tatsächlich erhalten haben. Ein gültiger Key Performance Indikator für die Update-Systeme wäre dementsprechend der "Erfüllungsgrad pro Rollout", der für jedes System im Netzwerk erfasst werden muss.
Ein weiterer wichtiger Indikator für den Sicherheitsstatus eines Netzwerks ist die Dauer von Rollouts. Vor dem Hintergrund einer permanent steigenden Anzahl von "Zero Day Exploits" ist es nicht nur wichtig, dass die Updates ihr Ziel erreichen, sondern auch, wie schnell sie das tun. Diese Einschätzung bestätigt auch die bereits zitierte Umfrage: Fast 70 Prozent der befragten Security Officer sind darin der Meinung, dass schon Verzögerungen der Pattern- oder Patch-Roll-Outs um wenige Stunden zu "einer relevanten zusätzlichen Bedrohung" führen würden. Virenpattern können sofort nach ihrer Veröffentlichung verteilt werden, was meist auch völlig automatisiert passiert. Patches werden von internen oder externen Computer Emergency Response Teams (CERT) auf ihre Systemverträglichkeit geprüft. Dieser Schritt kostet Zeit, so dass der Rollout danach umso schneller gehen muss.
- So schützen Sie Ihre Daten
Meistens sind es eigene Mitarbeiter oder Beschäftige von Partnerfirmen, die unternehmenskritische Daten mitgehen lassen. So können Sie sich davor schützen. - 1. Regeln für E-Mail-Kommunikation definieren:
Den Mitarbeitern muss klar sein, dass sie keine unternehmenskritischen Informationen über Web-Mail-Services oder andere ungesicherte Kanäle übertragen dürfen. Bei Bedarf sollten Unternehmen eine Data-Loss-Prevention-Lösung einsetzen. - 2. Datenverschlüsselung einsetzen:
Insbesondere Daten auf mobilen Rechnern und mobilen Speichermedien sollten grundsätzlich verschlüsselt werden, weil diese Geräte häufiger abhanden kommen. - 3. Starke Passwörter verwenden:
Die Zugangs-Codes zu Arbeitsplatzrechnern und Firmennetz sollten mindestens acht Zeichen sowie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wie $ oder % enthalten. Alle 45 bis 60 Tage sollten die Passwörter gewechselt werden. - 4. Regelmäßig Sicherheits-Audits durchführen:
Schwachstellen werden oft nur dann offenbar, wenn die internen IT-Sicherheitsmaßnahmen überprüft werden. Weil IT-Administratoren ungern selbst auf Lücken verweisen, sind externe Anbieter ratsam. - 5. IT-Sicherheits-Regelwerk erstellen und pflegen:
Wenn definiert wird, wer wann Zugang zu welchen Netzwerk-Segmenten, Anwendungen und Daten hat, lässt sich der Zugriff auf kritische Informationen, wie etwa Entwicklungsunterlagen, steuern, überwachen und nachvollziehen. - 6. Vertrauenswürdigkeit von Partnern prüfen:
Häufig benötigen Partner oder Lieferanten für ihre Dienste sensiblen Daten (Callcenter arbeitet mit Adressdaten). Im Zweifel sollten die externen Partner Sicherheitszertifizierungen etwa nach ISO 27000 nachweisen. - 7. System-Management konsequent umsetzen:
Benutzer-Accounts von Usern und Administratoren müssen sorgfältig gepflegt werden. Verlassen Mitarbeiter das Unternehmen, müssen Zugriffsrechte gelöscht werden. - 8. Auch Systemverwalter überwachen:
Geltende Compliance-Regeln und Datenschutzgesetze schreiben auch die Kontrolle des Administrators vor. - 9. Spezielle Sicherheitssysteme nutzen:
Data-Loss-Prevention-Systeme (DLP), Datenverschlüsselung sowie Lösungen, die den Zugang zu Daten und Systemen kontrollieren (Identity- und Access-Management), sind hilfreich. - 10. Die Gebäudesicherheit nicht vergessen:
Der Schutz vor Datenklau beginnt schon beim Zugang zum Firmengelände oder zu bestimmten Abteilungen. Lieferanten oder externe Mitarbeiter sollte nicht ohne Aufsicht in Abteilungen mit IT-Arbeitsplätze arbeiten.
Kein Messwert - aber für das Funktionieren des Sicherheitsbetriebs genauso wichtig - ist die Aktualität der Antiviren-Software und der dazugehörigen Scan-Engine. Deren Aktualität sollten Sicherheitsverantwortliche immer im Auge behalten. Vielfach wird die "End of Life-Meldung" des Herstellers der Schutzsoftware vom Security Management missachtet. Teilweise auch, weil veraltete Rechner-Hardware das Update auf die neue Software nicht erlaubt. Sind Software und Scan-Engine aber nicht aktuell, macht die Messung der restlichen KPIs nicht viel Sinn.