Schritt für Schritt

(1) Für wen eruieren Sie das Sicherheitsniveau?

Bevor Sie sich an die Arbeit machen, sollten Sie wissen, für wen die Ergebnisse bestimmt sind: Richten Sie sich etwa an den unternehmensweiten Sicherheitsbeauftragten, den IT-Chef, die Geschäftsführung oder an Externe? In jedem Fall müssen die Informationen so aufbereitet und formuliert werden, dass die Zielgruppe etwas damit anfangen kann.

(2) Welchen Zweck verfolgen Sie damit?

Ebenso wichtig ist, sich über die Beweggründe für die Ermittlungen im Klaren zu sein: Sollen die Ergebnisse ein Budget oder zusätzliche Mitarbeiter rechtfertigen, das Sicherheitsbewusstsein erhöhen oder Erfolge dokumentieren?

(3) Auf welche Metriken wollen Sie sich verlassen?

Kennzahlen, anhand derer sich Aussagen zum eigenen IT-Sicherheitsniveau treffen lassen, gibt es viele - sowohl technische Messgrößen (etwa die Zahl der SpamNachrichten oder der Security-bezogenen Anrufe beim Helpdesk) als auch administrative Metriken (etwa die Zahl der Benutzer, die sich in den vergangenen 90 Tagen nicht eingeloggt haben).

Auf folgende Kriterien ist bei der Auswahl zu achten: Die Metriken sollten ...

• sich an den Unternehmenszielen orientieren;

• sich für Trendanalysen eignen, sprich: Vergleiche zu anderen Betrachtungszeiträumen ermöglichen. Auf diese Weise lässt sich auch über längere Zeiträume hinweg erfassen, ob sich ein bestimmter Wert (etwa nach der Einführung eines Security-Tools) verbessert hat - und somit die Effektivität einer ergriffenen Maßnahme nachweisen. Nur objektive Kennzahlen eignen sich für Trendanalysen und die Definition von Zielen;

• beeinflussbar sein. Messen Sie nur, was Sie auch beeinflussen können. Die Zahl etwa der extern gegen die Firewall laufenden Angriffe zu messen bringt wenig, weil sich daran ohnehin nichts ändern lässt;

• kostengünstig zu erfassen sein: Die Kosten für die Erfassung der Werte müssen sich in Grenzen halten. Es rechnet sich nicht, wenn fünf Mitarbeiter eine Woche pro Monat damit beschäftigt sind, Tonnen von Papier oder endlose Log-Files zu durchforsten, um eine Kennzahl herauszufinden.

(4) Welche Tools liefern Ihnen die gewünschten Kennzahlen? Aus Firewalls, Intrusion-Detection- und DLP-Systemen, aber auch aus Log- oder Audit-Reports lassen sich Kennzahlen herausziehen, die zum Gesamtbild der IT-Sicherheit beitragen. Um jedoch einen Überblick über die Gesamtsituation und nicht nur über Teilbereiche zu erhalten, müssen die Security-Kennzahlen aus den verschiedenen Quellen gesammelt und zentral zusammengeführt werden. Für die rein technische Betrachtung bieten sich hierzu SIEM-Tools (Security Information and Event Management) und über IT-Security hinausgehend auch diverse Werkzeuge aus dem Bereich Governance Risk Compliance an.

(5) Wie sag ich`s meinem Vorstand? Überlegen Sie sich gut, wie Sie die Zielgruppe ansprechen, wer die Analyseergebnisse präsentiert und in welchem Rahmen - etwa in einer Vorstandssitzung oder einem Jahresbericht. Technikern, die in der Regel Kennzahlen aus Firewall-, Antivirus- und IDS-Systemen zusammentragen, fällt es oft schwer, diese Werte der Geschäftsleitung oder dem Vorstand gegenüber verständlich zu machen. Stellen Sie sich auf den jeweiligen Gesprächspartner ein und bereiten Sie die Informationen entsprechend auf. Ansonsten kann es passieren, dass die Präsentation - trotz an sich hieb- und stichfester Zahlen - nicht zum gewünschten Ergebnis führt. Quelle: Gartner