Messgrößen in der Praxis
Welche Indikatoren nutzen Security Officer zur Messung von IT-Sicherheit in der Praxis? Im Folgenden betrachten wir zwei gängige Methoden der Erfolgsprüfung in der IT-Sicherheit.
Aus Gesprächen, die AMPEG mit Kunden und Interessenten geführt hat, ging hervor, dass es in vielen Unternehmen üblich ist, die Anzahl der "gefangenen" Schadprogramme zu erfassen, um den Nutzen der Investition zu belegen. Dieser Wert und seine Entwicklung lassen aber keine Aussagen über den Sicherheitsstatus zu. Er eignet sich vielmehr zur Schwachstellensuche, wenn er für unterschiedliche Netzwerksegmente oder auch einzelne Rechner eingesehen werden kann. Weißt ein Standort, Netzwerksegment oder Rechner signifikant mehr Schadprogramme auf als der Durchschnitt, so ist das ein Hinweis darauf, dass sich dort vielleicht ein Trojaner verbirgt, der andere Malware nachlädt. Diese Art der Suche nach "Schwarzen Schafen" macht allerdings nur Sinn, wenn die Überwachung permanent durchgeführt wird. Doch der Aufwand dafür ist ohne spezielle Tools hoch und so analysieren Unternehmen die Unterschiede im Virenaufkommen in den seltensten Fällen differenziert. Laut den Aussagen von Marktteilnehmern gilt die Gesamtentwicklung an gefangenen Viren oft als Indikator für die Güte des Sicherheitsnetzes. Hier muss klar gesagt werden: Die Anzahl der erkannten Malware oder eine Untersuchung der "Cost per caught Virus" sind keine validen Messwerte für IT-Sicherheit.
In vielen Unternehmen ist es gebräuchlich, den Erfolg von Rollouts zu prüfen. Von den befragten Sicherheitsverantwortlichen verlassen sich nur 34 Prozent allein auf ihre Update-Systeme und sind der Ansicht, dass die Sicherheit ihres Netzwerks auch ohne die explizite Kontrolle des Update-Erfolges nicht grundsätzlich in Gefahr ist. Von der prüfenden Mehrheit begnügt sich allerdings etwa ein Drittel mit Stichproben. Werden diese Stichproben immer an denselben, als besonders kritisch eingestuften Systemen vorgenommen, kann dies zu deren Absicherung beitragen. Ein Indikator zur Beurteilung der übergreifenden Sicherheitslage lässt sich aus Stichproben aber nicht ableiten. Dies dürfte den Sicherheitsverantwortlichen auch bewusst sein, doch aus Mangel an Personal oder geeigneten Tools wird auf eine permanente Erfassung relevanter Indikatoren verzichtet.