Entwurf einer IT-Sicherheitsmetrik im Rahmen des IT-Controlling


Bachelorarbeit, 2016

92 Seiten, Note: 1.3


Leseprobe


Inhaltsverzeichnis

Abstract

1 Einleitung und Motivation

2 Begrifflichkeiten

3 IT-Governance und Risiko-Management

4 Kennzahlen / Kennzahlensysteme

4.1 Theoretischer Hintergrund
4.2 Kennzahlen im Management-Prozess
4.3 Anforderungen

5 Sicherheitskennzahlen - Standards

5.1 ITIL (IT Infrastructure Library)
5.2 COBIT
5.3 Normreihe ISO/IEC 27000
5.4 NIST-SP-800-55

6 Sicherheitskennzahlen
6.1 Anzahl und Schwere von Sicherheitsvorfällen
6.2 Schulung und Awareness
6.3 Verstöße gegen Sicherheits-Richtlinien
6.4 Vier-Augen-Prinzip und Rollentrennung
6.5 Notfall-Vorsorge
6.6 Umsetzungsgrad der Maßnahmen
6.7 Systemverfügbarkeit von IT-Services und -Systemen
6.8 Vulnerability-Assessment
6.8.1 Schwachstellen
6.8.2 Schwachstellenmanagement
6.8.3 CVE - Common Vulnerabilities and Exposures
6.8.4 Schwachstellen-Scanning
6.8.5 Vulnerability-Assessment Kennzahl
6.8.6 Patch-Management
6.9 Technische Policy
6.9.1 Nicht benötigte Server-Dienste
6.9.2 Prozess-Accounting
6.9.3 Privilegierte Accounts
6.9.4 Schwache Passwörter
6.9.5 Installierte Software
6.9.6 Sperre nach wiederholt falscher Kennworteingabe
6.9.7 Integrität von System-Dateien
6.10 Netzwerksicherheit
6.10.1 nicht autorisierter Zugriff
6.10.2 Firewall-Kennzahl

7 Vorgehensmodell
7.1 Anforderungsanalyse
7.2 Design
7.3 Implementierung
7.4 Test und Integration

8 Fallbeispiel

8.1 Vulnerability-Assessment Kennzahl
8.2 Technische Policy
8.3 Patch-Verteilung
8.4 Spitzen-Kennzahl für die IT-Sicherheit

9 Kritische Würdigung
9.1 Wirksamkeit vs. Wirtschaftlichkeit
9.2 Benchmarking
9.3 Kontinuität
9.4 Bedrohung vs. Schwachstelle

10 Résumé

Anhang A: vereinfachtes DuPont-Schema zur Berechnung des ROI

Anhang B: CNAs

Abkürzungsverzeichnis

Tabellenverzeichnis

Abbildungsverzeichnis

Literaturverzeichnis

Abstract

Wie in allen Management-Prozessen braucht man auch bei der Umsetzung von Maßnahmen in Verbindung mit der IT-Sicherheit die Möglichkeit, Entscheidungen möglichst gut fundiert treffen und im Nachgang auch hinsichtlich der Wirksamkeit bewerten zu können.

IT-Sicherheit ist mit - zum Teil sehr hohen - Kosten verbunden. Diese Kosten müssen zum einen wirtschaftlich unter Kosten/Nutzen-Gesichtspunkten zu rechtfertigen sein, zum anderen ist sicherzustellen, dass die Investitionen, die zur IT-Sicherheit getätigt werden, eine möglichst große Wirkung zeigen.

In fast allen Management-Bereichen werden heute Kennzahlen erhoben, die in komprimierter Form Sachverhalte widerspiegeln, die die Entscheidungsträger schnell und objektiv wahrnehmen müssen, um zu richtigen und langfristig wirtschaftlich richtigen Entscheidungen zu kommen. Betriebswirtschaftliche Kennzahlen sind heute fester Bestandteil in allen Management-Ebenen.

Diese Arbeit soll zeigen, auf welche Normen und Standards ein Informationssicherheits- Verantwortlicher, der die umgesetzten Maßnahmen bewerten und das Ergebnis dem Management berichten können möchte, zurückgreifen kann. Darauf aufbauend werden exemplarisch einige Kennzahlen gebildet. Der Schwerpunkt liegt hierbei eher auf technischen als organisatorischen Merkmalen, da die Bildung von organisatorischen Kennzahlen in der Literatur bereits recht gut beschrieben ist.

Die Normen und Standards folgen alle einem ähnlichen Vorgehen bei der Planung und Implementierung eines Kennzahlensystems zur IT-Sicherheit. Gerade technische Kennzahlen haben einen sehr engen Zusammenhang mit klassischen Systementwicklungen. Daher wird erläutert, wie zielgerichtet im Sinne eines Leitfadens vorgegangen werden kann, um ein Kennzahlensystem zu entwickeln, das eine Bewertung der Wirksamkeit von Maßnahmen auch wirklich zulässt.

1 Einleitung und Motivation

Informationstechnik1 und somit auch die Sicherheit der Informationstechnik ist heute ein Thema, dem sich kaum ein größeres Unternehmen entziehen kann. Fallen IT-Systeme oder -Services aus oder werden Unternehmens-Informationen oder Daten abgegriffen oder manipuliert, hat das oftmals sehr weitreichende Folgen und kann sogar die Überlebensfähigkeit eines Unternehmens gefährden. Denn neben dem Ausfall der Geschäftsprozesse ist auch der Vertrauensverlust der Kunden zu nennen. Daher kommt kein Unternehmen, welches in größerem Maße moderne Informationstechnik nutzt, an Investitionen in die IT-Sicherheit vorbei. Es gibt viele Maßnahmen technischer und organisatorischer Art, die vor Angriffen, Fehlbedienung, Ausfällen und Störungen in Verbindung mit der Informationstechnik schützen, jedoch sind diese natürlich mit Kosten verbunden. [vgl. Laudon et al. 2010, S. 1014, 1015]

Ein in Verbindung mit Kennzahlen und Bewertungsprozessen gerne verwendete Slogan "if you can't measure it you can't manage it"2 vermag in aller Kürze auszudrücken, dass Kennzahlen in Management-Prozessen eine wichtige Rolle spielen.

Dies bedeutet in Verbindung mit dem Managen von IT-Sicherheit, dass man die Maßnahmen, die man ergriffen hat - und die mit Kosten verbunden sind - hinsichtlich der Wirksamkeit bewerten können möchte. So liegt es nahe, das Ergebnis der Maßnahmen zu messen und mittels Kennzahlen zum Ausdruck zu bringen.

In Deutschland bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) Kataloge zum Erreichen eines Grundschutzes an. Es fehlt aber an einem Rahmenwerk zum Messen der Sicherheit. Internationale Standards bieten hier mehr, woran sich ein InformationssicherheitsVerantwortlicher orientieren kann. In dieser Arbeit wird davon ausgegangen, dass die Grundschutzmaßnahmen des BSI bereits weitgehend umgesetzt sind und als weiterer Schritt ein metrisches System aufgebaut werden soll.

Der BSI-Grundschutz wurde Anfang der 90er Jahre entwickelt und stellt heute einen im deutschen Sprachraum weit verbreiteten Standard dar. Der Grundschutz teilt sich in die sogenannten Grundschutzkataloge auf. Diese verstehen sich als Bausteine im Sinne von Maßnahmen zur IT- Sicherheit. Die IT-Grundschutz-Kataloge beinhalten organisatorische, technische, personelle und infrastrukturelle Empfehlungen, die grundlegend für die Sicherheit aller Unternehmensdaten sind.

Die Umsetzung dieser Katalogmaßnahmen ist ausreichend für Prozesse, Daten und Infrastrukturen mit normalem Schutzbedarf. Der Schwerpunkt liegt auf technischen Maßnahmen. [vgl. Kersten et al. 2015, S. 5]

Es wird in dieser Arbeit also ein Leitfaden an die Hand gegeben, wie man aufbauend auf dem BSIGrundschutz die IT-Sicherheit im Unternehmen messen kann, so dass den Entscheidungsträgern nötige Informationen zum Managen der IT-Sicherheit zur Verfügung stehen.

2 Begrifflichkeiten

Im Folgenden werden einführend Begriffe erläutert, wie sie in dieser Arbeit zu verstehen sind, da viele Termini abhängig vom Kontext im Sprachgebrauch nicht immer eindeutig sind oder im Zusammenhang mit IT-Sicherheit nicht allgemein bekannt sind.

Controls: In der Literatur (z.B. COSO, COBIT) wird häufig von Controls gesprochen. Diese meinen meist die manuellen und automatisierten Maßnahmen, die Informationssysteme und Informationen schützen. Das Wort ist also in unserem Kontext meist synonym zu ITSicherheitsmaßnahmen. [vgl. Laudon et al. 2010, S. 1037]

Das Wort "controls" wird in den Normen und Standards zum einen im Sinne von Ma ß nahmen gebraucht und zum anderen im Sinne von Anforderungen, was einer wörtlichen Übersetzung näher kommt. Dies ist mitunter im deutschen Sprachgebrauch verwirrend. [vgl. Kersten et al. 2013, S. 42]

Grundschutz: Der IT-Grundschutz nach BSI umfasst Empfehlungen zur Herstellung einer Grundsicherheit für Organisationen. Das Grundschutzhandbuch des BSI ist erstmalig 1995 erschienen und verfolgt das Ziel, ein Standard-Sicherheitsniveau für IT-Systeme aufzubauen. Dies wird erreicht durch detaillierte IT-Sicherheitsmaßnahmen aus verschiedenen Bereichen, nämlich Technik, Organisation, Infrastruktur und Personal. Die Idee besteht darin, die IT-Sicherheit Schritt für Schritt modular zusammenzustellen. Der BSI-Sicherheitsprozess unterscheidet nach der Schutzbedarfsfeststellung. Der Grundschutz nach BSI ist bei niedrigem und mittlerem Schutzbedarf vorgesehen, darf aber auch bei hohem Schutzbedarf als ausreichend angesehen werden, wenn die verarbeitenden IT-Systeme eine geringe Komplexität aufweisen. [vgl. Krcmar 2015, S. 537, 541, 542]

Die folgende Darstellung veranschaulicht den Unterschied des IT-Grundschutzes (mittlere Spalte) und eines erhöhten Schutzbedarfs. Da in dieser Arbeit davon ausgegangen wird, dass die Organisation bereits den BSI-Grundschutz weitgehend umgesetzt hat, konzentriert sich diese Arbeit auf die Schritte in der rechten Spalte.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Der BSI-Sicherheitsprozess3

IT-Sicherheit: Der Begriff meint in dieser Arbeit primär den Schutz vor beabsichtigten Angriffen (Security, z.B. Abhören/Ändern von Daten oder Zusenden von Schadsoftware) wie auch den Schutz vor unbeabsichtigten Ereignissen (Safety, z.B. höhere Gewalt oder technische Fehler). Letzteres wird auch häufig als Funktionssicherheit oder Ausfallsicherheit bezeichnet. Die Erhebung einer Sicherheitsmetrik umfasst die Aspekte der Security, also die Sicherheitsziele Verfügbarkeit, Vertraulichkeit und Integrität. [vgl. Witt 2006, S. 66-69] Aber auch die Zurechenbarkeit - oder der eindeutige Nachweis, wer eine Aktion im IT-System ausgeführt hat - kann ein sehr wichtiges Schutzziel sein. [vgl. Laudon et al. 2010, S. 1016] Schwachstellen in einem System können auch durch menschliches Fehlverhalten entstehen. Will man also IT-Sicherheit managen, so darf man den Fokus nicht alleine auf die Technik legen. Folgende Grafik veranschaulicht die Handlungsfelder. [vgl. Fraunhofer 2015, S. 7]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Zusammenwirken von Mensch, Technik und Umgebung4

Schutzbedarf: An möglichen Beeinträchtigungen und Schäden orientiert wird eine Schutzbedarfsermittlung durchgeführt. Diese hat das Ziel, ein Schutzobjekt (Anwendung, System, Infrastruktur) im Hinblick auf die Sicherheitsziele Verfügbarkeit, Vertraulichkeit und Integrität zu bewerten. Der Schutzbedarf wird nach BSI-Grundschutz in Kategorien aufgeteilt. Die Schutzklassen können z.B. in "niedrig", "mittel", "hoch" und "sehr hoch" aufgeteilt werden. Diese Klassen spiegeln wider, welcher Schaden entstehen kann, wenn die Schutzziele verletzt werden. Bei der Bewertung des Schutzbedarfs spielen neben dem potentiell möglichen Schaden auch die möglichen Schadensszenarien (z.B. Verstoß gegen Gesetze, Beeinträchtigung der Aufgabenerfüllung oder finanzielle Auswirkungen) eine ausschlaggebende Rolle. [vgl. Eckert 2005, S. 73-75]

ISMS: Die ISO/IEC 27001 (siehe Abschnitt 5.3) definiert ein InformationssicherheitsManagementsystem (ISMS) als "Teil des gesamten Managementsystems, der auf der Basis eines Geschäftsrisikoansatzes die Entwicklung, Implementierung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung der Informationssicherheit abdeckt". [ISO/IEC 27001:2005, S. 9] Ein ISMS baut auf der Einschätzung der Geschäftsrisiken auf. Es ist ein Mittel, mit dem das Management eines Unternehmens auf erkannte Risiken innerhalb der Organisation reagiert. "Die Risikoeinschätzung wird als Voraussetzung angesehen, ohne die ein ISMS nicht sinnvoll aufgebaut werden kann." [vgl. Kersten et al. 2013, S. 46]

Policy: Der englische Begriff Policy steht für Leitlinie oder auch für Regeln, Regelwerke oder Richtlinien. [vgl. Kersten et al. 2013, S. 42] Diese beziehen sich in der Regel auf Menschen.

Leitlinien und Regeln sind aber auch im Hinblick auf Technik erstellbar. Genau wie man die Compliance, also die Einhaltung von Policies bei Menschen überprüfen kann, kann man dies auch bei IT-Systemen tun. Eine Compliance-Überprüfung stellt dann fest, inwiefern ein System so installiert und konfiguriert ist, wie es der Sollzustand - also die Policy - definiert.

Malware (Schadsoftware): Der Begriff Malware wird synonym mit dem Begriff Schadprogramm benutzt. Dabei ist Malware ein Kunstwort, das sich als Abkürzung aus "Malicious software" herleitet. Ziel solcher Software ist es, für den Anwender unerwünschte und meistens schädliche Funktionen auszuführen. Bekannte Malware-Arten sind Computer-Viren, Würmer und Trojanische Pferde. [vgl. BSI 2013] Aber auch Bots sind eine äußerst ernst zu nehmende Bedrohung.

Schwachstellen / Vulnerability: Laut dem BSI ist eine "Schwachstelle [...] ein sicherheitsrelevanter Fehler eines IT-Systems oder einer Institution. Ursachen können in der Konzeption, den verwendeten Algorithmen, der Implementation, der Konfiguration, dem Betrieb sowie der Organisation liegen. Eine Schwachstelle kann dazu führen, dass eine Bedrohung wirksam wird und eine Institution oder ein System geschädigt wird. Durch eine Schwachstelle wird ein Objekt (eine Institution oder ein System) anfällig für Bedrohungen." [vgl. BSI 2013] Im Abschnitt 6.8 Vulnerability-Assessment sind nur technische Schwachstellen im Fokus.

3 IT-Governance und Risiko-Management

"Die IT-Governance ist ein integraler Bestandteil der Corporate Governance" [Löser et al. 2015, S. 33] und steuert somit das Erreichen der Strategien und Ziele eines Unternehmens. Das IT Governance Institute beschreibt dabei fünf Bereiche, von denen zwei einen sehr engen Bezug zur IT-Sicherheit bzw. dem Messen derselben haben. Zu nennen sind hier das Management ITbezogener Risiken ("IT Risk Management") und die Überwachung der Erreichung der gesteckten Ziele ("IT Performance Measurement"). [vgl. Löser et al. 2015, S. 33]

Das IT-Management sieht sich stark ändernden rechtlichen Rahmenbedingungen und technologischem Fortschritt gegenüber. IT-Governance ist eine Teilmenge der Führungsaufgaben des IT-Managements mit dem Ziel, die Nutzung der IT effektiv und konform mit der Unternehmensstrategie zu steuern. Zu diesen Steuerungsaufgaben gehört unter anderem das Risikomanagement. [vgl. Laudon et al. 2010, S. 819, 820]

Manager haben die Entscheidungsverantwortung. Die Controller unterstützen diese und sorgen dafür, dass die Manager unter Abwägung der Chancen und Risiken die richtigen Entscheidungen treffen können. [vgl. Kütz et al. 2007, S. 1, 2]

Vielen Unternehmen ist es heute nicht mehr freigestellt, inwieweit Sie sich um IT-Sicherheit kümmern bzw. die Risiken, die durch die Nutzung der Informationstechnik entstehen, ohne Maßnahmen tragen wollen. Als Bespiel sei nur auf die zahlreichen gesetzlichen Regelungen hingewiesen, die Aktiengesellschaften und Unternehmen der Finanzbranche bezüglich dem Managen von IT-Risiken in die Pflicht nehmen.

Ein Blick in das 2015 verabschiedete IT-Sicherheitsgesetz verdeutlicht, wie wichtig das Managen von IT-Risiken ist und dass der Deutsche Gesetzgeber von den betroffenen Unternehmen erwartet, dieser Aufgabe nachzukommen. "Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die

1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden." [vgl. BMI 2015, S. 1]

Aktiengesellschaften haben die rechtliche Verpflichtung, "geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden" (§ 91 Abs.2 AktG). Aktiengesellschaften sind somit per Gesetz explizit zur Einrichtung eines Risikofrüherkennungssystems verpflichtet. [vgl. Hildebrand et al. 2008, S. 6]

In der Bundesrepublik Deutschland werden sehr hohe Anforderungen von der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) an Kreditinstitute hinsichtlich des Umgangs mit Risiken in den MaRisk (Mindestanforderungen an das Risikomanagement) gestellt. Dazu gehört neben dem Managen von Risiken typischer Kredit-Prozesse auch der Umgang mit IT-Risiken. "Das Institut hat den operationellen Risiken durch angemessene Maßnahmen Rechnung zu tragen." [BaFin 2012, S. 35]

Zu den operationellen Risiken gehören unter anderen die IT-Risiken. "Unter dem Begriff ‘IT- Risiko‘, den die MaRisk nicht definieren, versteht die Bankenaufsicht alle Risiken für die Vermögens- und Ertragslage der Institute, die aufgrund von Mängeln entstehen, die das IT- Management beziehungsweise die IT-Steuerung, die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität der Daten, das interne Kontrollsystem der IT-Organisation, die IT-Strategie, -Leitlinien und -Aspekte der Geschäftsordnung oder den Einsatz von Informationstechnologie betreffen. [...] Die Sicherheit und Qualität der IT-Prozesse und der IT-Systeme bestimmen den IT- Risikogehalt eines Unternehmens. Um die IT-Sicherheit zu gewährleisten, haben die Institute ein

IT-Sicherheitsmanagement einzurichten." [Kokert, Held 2013]

Die Einhaltung gesetzlicher Anforderungen und freiwilliger selbst auferlegter Regelwerke wird als Compliance bezeichnet. Liegt ein Bezug zur IT vor, dann spricht man auch von IT-Compliance. Die reine Einhaltung ist aber nicht ausreichend. Man muss auch einen expliziten Nachweis über die Effektivität erbringen können. [vgl. Hildebrand et al. 2008, S. 79, 117]

"Aufgabe der IT-Governance ist die Optimierung der Gesamtwirtschaftlichkeit der IT." [Kütz 2013, S. 12] Als Teil der IT-Governance ist dabei auch das Management der IT-Sicherheit auf die Wirksamkeit bzw. Wirtschaftlichkeit hin zu untersuchen und zu verbessern. Das verknüpfende Element zwischen der IT-Governance und der IT-Sicherheit ist das Risikomanagement (siehe auch Abbildung 7: Einordnung von Sicherheitskennzahlen auf Seite 14).

"Unter Risikomanagement verstehen wir [...] das Steuern und Regeln der bereits bestehenden und künftig entstehenden Risiken eines Unternehmens, so dass der Wert des Unternehmens durch die Verringerung der Risiken bei gleichen Ertragschancen gesteigert wird." [Horváth 2009, S. 701]

Das Sicherheitsmanagement ist ein immer wichtiger werdender Bestandteil des Risikomanagements. Ziel hierbei ist es, die Bedrohungen und die daraus resultierenden möglichen Schäden zu vermeiden oder zumindest zu verringern. [vgl. Kütz 2013, S. 15]

Um ein Kennzahlensystem derart konstruieren zu können, dass es das Management auch wirklich unterstützt, ist es notwendig, dass sich die Auswahl der Kennzahlen an den Zielen des Unternehmens orientiert. Dabei ist das Ziel der IT-Sicherheit im Zusammenhang mit der Minimierung operativer Risiken zu sehen. Bei der Auswahl der Kennzahlen orientiert sich ein Unternehmen daher sinnvollerweise an Erfolgsfaktoren, die in der jüngeren Vergangenheit zu Erfolgen oder Misserfolgen geführt haben. [vgl. Vollmuth et al. 2014, S. 22]

Im Rahmen von IT-Sicherheit ergibt sich ein Konflikt aufgrund zwei konkurrierender Ziele. Auf der einen Seite steht die Zielsetzung, die Kosten, die bei der Erreichung der Sicherheit entstehen, zu minimieren. Auf der anderen Seite möchte man Kosten, die aufgrund eingetretener Schäden entstehen, reduzieren. Eine einseitige Zielverfolgung erscheint wirtschaftlich nicht sinnvoll wie folgendes Schaubild zeigt. [vgl. Kaack 2012, S. 9, 10]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Zielkonflikt bei der Herstellung von Unternehmenssicherheit5

Wird die IT-Sicherheit vernachlässigt, entstehen hohe Kosten durch Schäden aufgrund schlagend werdender Risiken. Wird zu viel Aufwand in die IT-Sicherheit investiert, ist der Grenznutzen sehr gering.

Risiken und somit auch IT-Risiken werden bewertet und davon ausgehend wird unter Abwägung von Kosten und Nutzen über Maßnahmen zur Reduzierung der Risiken entschieden. Das Bewerten von IT-Risiken ist nur schwer möglich, ohne ein angemessenes metrisches System zu nutzen. [vgl. Brotby 2009, S. 10, 27]

Das Bewerten von IT-Risiken erfolgt sehr häufig aufgrund von Erfahrungswerten aus der Vergangenheit oder gar einer Abschätzung. Dies liegt hauptsächlich an der rasanten Fortentwicklung der Informationstechnik. Will man die Abschätzung gut fundamentieren, sind gute Kennzahlen eine große Hilfe. [vgl. Witt 2006, S. 92]

ISO/IEC TR 13335-3 (heute ISO/IEC 27005, Information security risk management) beschreibt einen Risiko-Management-Prozess, der folgendermaßen skizziert werden kann:

1. Risiko-Identifikation: Welche Risiken sind für uns relevant?
2. Risiko-Analyse: Wie wirkt sich das Risiko auf uns aus?
3. Risiko-Bewertung: Welche Risiken müssen wir vorrangig behandeln?
4. Risiko-Behandlung: Wie wird mit dem Risiko umgegangen?

In Schritt 4 werden ggf. Maßnahmen ergriffen, die hinsichtlich ihrer Wirksamkeit überprüft und dokumentiert werden. Bei dieser Überprüfung wird üblicherweise auf Kennzahlen und nicht nur auf ein Klassifizierungsmodell zurückgegriffen. [vgl. Witt 2006, S. 99, 100]

Darauf aufbauend findet eine GAP- oder auch Lücken-Analyse statt. Dies bedeutet, dass das Management den Ist-Zustand mit dem angestrebten Soll-Zustand vergleicht und einen Weg sucht, um die Lücke auf ein akzeptiertes Maß zu reduzieren. [vgl. Brotby 2009, S. 85]

Da sich Risiken ändern, einige wegfallen und neue hinzukommen, ist das Risikomanagement einem fortlaufenden Monitoring zu unterziehen. Dazu gehört auch die Analyse, inwiefern umgesetzte Maßnahmen Erfolge zeigen und die IT-Sicherheit erhöhen. [vgl. Witt 2006, S. 123]

Auch die ISO/IEC 27001 sieht eine regelmäßige Bewertung von Risiken bzw. den Restrisiken nach Umsetzung von Maßnahmen vor. [vgl. ISO/IEC 27001:2005, S. 14]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Risiken und Restrisiken

Dabei werden die Risiken bewertet und diese priorisiert durch Maßnahmen reduziert. Die obige Abbildung zeigt links die Anzahl der Risiken vor und rechts die Anzahl der Restrisiken nach den Maßnahmen.

Eine IT-Sicherheitsmetrik ist dabei ein Mittel zur Validierung, inwieweit das Risiko durch die Maßnahmen tatsächlich reduziert wurde oder ob die Bewertung der Restrisiken korrigiert werden muss. Dies bedeutet auch, dass dadurch verlässlicher bewertet werden kann, ob die Restrisiken auf ein Maß reduziert wurden, das getragen werden kann oder ob weitere Maßnahmen umgesetzt werden müssen.

Um IT-Services bereitzustellen müssen Ressourcen zur Verfügung gestellt werden. Dies gilt natürlich auch bei Maßnahmen zur Steigerung der IT-Sicherheit. Personal, Hardware und Software sind bereitzustellen und hinsichtlich der Wirtschaftlichkeit bedarfsgerecht zu steuern. [vgl. Kütz 2013, S. 25]

Folgende Darstellung veranschaulicht zusammenfassend den Zusammenhang der IT-Governance, des Risiko-Managements, der Ressourcen-Planung und der Leistungs-Messung, hier also das Maß der IT-Sicherheit. In diesen Feldern spiegelt sich die Bedeutung eines Kennzahlensystems zur ITSicherheit wider, während die strategischen Ausrichtung (Strategic Alignment) und das Schaffen von Werten (Value Delivery) nur begrenzt mit den Sicherheits-Kennzahlen in Verbindung steht - vorausgesetzt die IT-Sicherheit gehört nicht zum Kerngeschäft.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: IT Governance-Modell nach COBIT6

4 Kennzahlen / Kennzahlensysteme

Albert Einstein soll gesagt haben: "Nicht alles, das zählt, kann man zählen, und nicht alles, das man zählen kann, zählt!" Diese Erkenntnis findet auch im Zusammenhang mit Kennzahlen Anwendung, indem man Messgrößen aus Standards nicht ohne kritisches Hinterfragen anwendet. [vgl. Kersten et al. 2013, S. 285]

"Kennzahlen verdichten [...] Informationen zu einer aussagefähigen Zahl und verdeutlichen gleichzeitig größere Zusammenhänge [...]." [Vollmuth et al. 2014, S. 9] IT-Kennzahlen im Speziellen machen durch einen Zahlenwert eine quantitativ bestimmbare Aussage über ein Merkmal eines Steuerungsobjektes. [vgl. Rudolph et al. 2008, S. 14]

Kennzahlen können bei entsprechender Ausgestaltung einen Überblick über einen Gesamtzustand geben, im Zusammenhang mit IT-Sicherheit also anzeigen, wie es im Unternehmen als Ganzes aussieht. Ferner können sie auch einen Überblick über einzelne Teilbereiche liefern. Dies ist von Nutzen, wenn es darum geht, festzustellen, wo es Schwächen gibt, die es zu beseitigen gilt. [vgl.

Vollmuth et al. 2014, S. 17]

Kennzahlen können unterschieden werden in:

- Soft-Metrics: Diese messen die Fähigkeit einer Organisation, sichere Systeme einzurichten und zu betreiben. Sehr häufig treten solche Metriken in Verbindung mit Reifegradmodellen auf. Diese Kennzahlen sind ‘weich‘, weil sie immer nur geschätzt werden können und dies immer subjektiven Charakter hat.
- Konformitätsmetriken: Hier handelt es sich um die Messung des Grads der Übereinstimmung, also der Konformität, mit gesetzten Standards. Solche Kennzahlen lassen sich anhand von Checklisten, die die Standards in der Regel bieten, erheben.
- Risiko-Metriken: Diese bewerten die Sicherheitsrisiken. Zum Beispiel wird der ALE (Average Loss Estimate) durch Multiplikation der jährlich erwarteten Eintrittshäufigkeit mit den monetären Auswirkungen gebildet und gibt so den zu erwartenden Schaden an. Eine Weiterentwicklung ist das RoSI-Konzept. RoSI steht für Return on Security Investment und meint den Ertrag der Sicherheitsinvestition.
- Hard Metrics: Diese Kennzahlen werden auf Basis von präzise messbaren oder zählbaren Phänomenen ermittelt. Dies ermöglicht eine prinzipiell objektive Sicht auf die Sicherheit. [vgl. Kersten et al. 2013, S. 288-294]

4.1 Theoretischer Hintergrund

Istwert: Gemessene oder geschätzte aktuelle Werte sind Istwerte. Dabei wird praktisch davon ausgegangen, dass die Messung oder Schätzung korrekt ist. Mess- oder Schätzfehler treten hier in den Hintergrund. Beim Umgang mit Kennzahlen und Kennzahlensystemen sollten Istwerte immer wieder auf ihre Qualität und Genauigkeit hin überprüft und gegebenenfalls auch optimiert werden. Messfehler im erweiterten Sinne treten auch auf, wenn nur Teilbereiche eines Ganzen berücksichtigt oder gemessen werden.

Sollwert: Zu unterscheiden sind im Kontext des IT-Sicherheitsmanagements ein mindestens angestrebtes Maß einer Kennzahl und der Idealzustand. Die Kennzahlen sollen also dem Sollzustand entsprechen oder besser sein. Wenn beispielsweise 95% der IT-Systeme (Sollzustand) innerhalb eines definierten Zeitraums mit einem Patch versorgt sein sollen, ist ein höherer Wert natürlich besser. Ein Sollwert ist hier also als angestrebte Ober- oder Untergrenze zu verstehen.

Kennzahlensystem: "Ein Kennzahlensystem ist eine geordnete Gesamtheit von Kennzahlen, die in einer Beziehung zueinander stehen und so als Gesamtheit über einen Sachverhalt vollständig informieren." [Horváth 2009, S. 507] Ein sehr bekanntes Beispiel eines solchen Kennzahlensystems ist das DuPont-Schema zur Berechnung des ROI (Return on Investment). Ein solches Kennzahlensystem bietet gegenüber bloßen Kennzahlen den Vorteil, die Ziele in eine Hierarchie zu bringen. Abhängigkeiten, Zusammenhänge und Querverbindungen einzelner Ziele lassen sich hierdurch besser erkennen. [vgl. Vollmuth et al. 2014, S. 88] Im Anhang befindet sich ein Schaubild des ROI zur Veranschaulichung.

Spitzenkennzahl: Will man die einzelnen erhobenen Kennzahlen derart verdichten, dass sich ihre Aussagen in einer einzelnen Kennzahl widerspiegeln, spricht man von einer Spitzenkennzahl. Eine solche Kennzahl hat natürlich nur noch eine begrenzte Aussagekraft, denn sie enthält keinerlei Informationen zu ihrer Entstehung. Daher werden meist aussagekräftigere Kennzahlen-Gruppen gebildet, die dann "in der Lage sind, über bestimmte Bereiche [...] zu informieren." [Horváth 2009, S. 507]

Das Zusammenfassen von einzelnen Kennzahlen zu einer Spitzenkennzahl ist mathematisch anspruchsvoll. Denn einige Kennzahlen im System geben ein Verhältnis an und sind dimensionslos. Diese schwanken von 0 bis 100%. Andere Kennzahlen messen theoretisch unbegrenzte Phänomene, z.B. Schwachstellen. Hinzu kommt, dass einige Kennzahlen umso besser sind, je höher der Wert ist (z.B. erfolgreiche Patch-Verteilung innerhalb eines Zeitfensters) während bei anderen Kennzahlen ein möglichst kleiner Wert angestrebt wird (z.B. Anzahl von Schwachstellen). Hierbei ist es denkbar, einzelne Kennzahlen in ein Punktesystem umzurechnen, wobei beispielsweise 0 Punkte der schlechteste und 10 Punkte der beste Wert ist. Die Umrechnungsfunktion für die einzelnen Kennzahlen ist dann zu dokumentieren. Bei Verhältniskennzahlen kann dies verhältnismäßig leicht geschehen. Schwieriger ist das Umrechnen bei Kennzahlen, die keine natürliche Grenze haben. Bei dem Punktesystem ist zu berücksichtigen, dass dieses fein genug abgestuft sein sollte, um einen zeitlichen Verlauf der Kennzahlen zu präsentieren. Kleine Änderungen sollten sich hinreichend stark im Kennzahlensystem niederschlagen.

Kennzahlensteckbrief: "Die Implementierung von IT-Kennzahlensystemen erfordert vor allem in größeren Unternehmen die detaillierte Beschreibung der Kennzahlen durch einen Steckbrief [...]. Der Steckbrief regelt die Verantwortlichkeiten zwischen dem Ersteller und den Empfängern einer Kennzahl und legt alle wesentlichen Merkmale fest." [Gadatsch et al. 2014, S. 191]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6: Inhalte eines Kennzahlensteckbriefes7

In dieser Arbeit werden einige Kennzahlen exemplarisch im Kapitel 6 unter Verwendung eines solchen Steckbriefes erhoben. Dabei werden Inhalte, die einen starken individuellen Bezug zu einem Unternehmen haben (z.B. Adressat, Verantwortlicher) nicht im jeweiligen Steckbrief aufgenommen, was in der Praxis so nicht zu empfehlen ist. Die dort folgenden Kennzahlensteckbriefe sind also nicht vollständig.

KPI (Key Performance Indicator): eine Verhältniszahl, die angibt, inwieweit ein Ziel bereits erreicht ist bzw. ein Indikator, wie wahrscheinlich es ist, ein Ziel zu erreichen. [vgl. COBIT4.1 2007, S. 191] Im Deutschen Sprachgebrauch wird von Verhältnis- oder Relativzahlen gesprochen. KPIs sind dann Gliederungszahlen, die eine Teilgröße zu einer Gesamtgröße in Beziehung setzen. [vgl. Vollmuth et al. 2014, S. 136] Eine andere gebräuchliche Unterscheidung der Begriffe Kennzahl und KPI ist die, dass KPIs immer einen unmittelbaren Bezug zu einer Zielerreichung haben, was bei Kennzahlen nicht der Fall sein muss. KPIs sind somit vornehmlich managementgeeignete Größen während Kennzahlen häufig den Input zur Berechnung von Key-Performance- Indicators liefern. [vgl. Rudolph et al. 2008, S. 17,18]

4.2 Kennzahlen im Management-Prozess

Kennzahlen sind in Management-Prozessen sehr gute Instrumente, um Entscheidungen vorzubereiten, zu untermauern oder zu unterstützen. Dabei können Kennzahlen folgende Funktionen erfüllen:

- eine stetige Erfassung macht auf Ver ä nderungen aufmerksam
- die Zielerreichung wird evaluiert
- kritische Werte haben Signalwirkung
- Vereinfachung von Kommunikation in einer Organisation
- Überwachung /Kontrolle durch Soll/Ist-Vergleiche [vgl. Reinecke 2004, S. 71]

Es gibt mehrere Modelle des IT-Controlling-Prozesses. Zu nennen sind hier beispielsweise das Controllingprozessmodel des ICV (Internationaler Controller-Verein e.V.), der Controlling-Prozess in COBIT (Control Objectives for Information and Related Technology) oder die Controllingprozesse in ITIL (IT Infrastructure Library). Der Controlling-Prozess mit Kennzahlen wird durch das Modell nach Krcmar/Buresch sehr gut verständlich beschrieben. Der Prozess sieht an erster Stelle die Planung. In Verbindung mit dem Aufbau eines Kennzahlensystems für die IT- Sicherheit bedeutet dies die Planung des Budgets, die Planung von Ressourcen und die Auswahl von Standards. Letzteres beinhaltet im übertragenen Sinn auch die Auswahl der zu messenden Objekte. Der zweite Schritt ist die Durchführung der Datenerfassung, also das eigentliche Messen. Im Folgenden werden dann die Ergebnisse dahingehend analysiert, wo es Abweichungen bzw. Handlungsbedarf gibt. Berichte werden erstellt und den Beteiligten bzw. dem Management zur Verfügung gestellt. Als nächstes sind die Informationen zu bewerten. Dies bedeutet die Planung und Durchführung von Maßnahmen zur Reduzierung der Plan-Ist-Abweichung und die anschließende Ergebniskontrolle. Im Modell folgt nun der Prozess der Leistungsverrechnung. Ob im Zuge der Einführung eines Kennzahlensystems zur IT-Sicherheit hier Aufgaben anfallen ist abhängig von der Struktur des Unternehmens. Der letzte Schritt im Modell sieht die Weiterentwicklung vor im Sinne einer stetigen Verbesserung des Pozesses. [vgl. Kütz 2013, S. 55- 59]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 7: Einordnung von Sicherheitskennzahlen8

Die vorausgehende Grafik ordnet die Anwendung von Sicherheitskennzahlen ein. Die Kennzahlen liefern dem Management ein wichtiges Beurteilungskriterium. Die aufgesetzten Maßnahmen zur Gewährung der IT-Sicherheit sind meist mit nicht unerheblichen Kosten verbunden. Gerade bei Unternehmen mit einem hohen Schutzbedarf der Geschäftsprozesse und der Vertraulichkeit von Daten, z.B. in der Finanz- und Bankenbranche entsteht ein erheblicher Aufwand. Die Kennzahlen können somit wichtige Informationen über die Relation des Nutzen und der Kosten geben. [vgl. Horváth 2009, S. 659] Bei der Auswahl und der Gestaltung der Kennzahlen sollte daher darauf geachtet werden, dass die Kennzahlen diese Informationen auch wirklich liefern können. Kennzahlen ohne eine erkennbare Ursachen-Wirkung-Beziehung werden im Hinblick auf Wirtschaftlichkeitsbetrachtungen nicht hilfreich sein können.

Auch im IT-Bereich unterscheidet man zwischen strategischer, taktischer und operativer Planung. Die strategische Planung benötigt Informationen zu Trends und neuen Entwicklungen. Die taktische Planung legt die Aktionsprogramme sowie die Verwendung der Ressourcen fest und entscheidet sich unter Wirtschaftlichkeitskriterien für Investitionsalternativen. Die operative Planung ist kurzfristig. Hier "sind vor allem Termin- und Kosteninformationen maßgeblich". [vgl. Horváth 2009, S. 658]

Die Kennzahlen bzw. das Kennzahlensystem zur IT-Sicherheit werden kaum oder gar keine Informationsversorgung zur strategischen Planung geben können. Auf der taktischen Ebene können diese Kennzahlen sicher einen Beitrag leisten, indem sie Hinweise liefern, an welchen Stellen im informationstechnischen System Handlungsbedarf besteht und Maßnahmen zu planen und umzusetzen sind. Bezüglich der operativen Planung erhält das Management Informationen, wie sich die Investitionen auf die IT-Sicherheit auswirken.

Das IT-Berichtswesen und die damit verbundenen Kennzahlen sind Techniken des operativen ITControllings. [vgl. Laudon et al. 2010, S. 842] Somit ist die Erhebung von IT-Kennzahlen im Allgemeinen und von IT-Sicherheitskennzahlen im Speziellen immer im Zusammenhang mit dem IT-Controlling durchzuführen. Nur so ist sichergestellt, dass die Kennzahlen zielgerichtet dazu verwendet werden, wozu sie auch tatsächlich dienen sollen, nämlich zur Steuerung der Aktivitäten und Maßnahmen in Verbindung mit der Informationstechnik.

Zusammenfassend lässt sich die Rolle von Kennzahlen im Controlling-Prozess mit folgender Grafik veranschaulichen:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 8: Kennzahlen im Controlling-Prozess9

Das Controllingobjekt ist hierbei die zu steuernde IT-Sicherheit des Unternehmens. Die Maßnahmen ergeben sich in der Analyse aus dem Vergleich von Soll- und Istwerten. Dort, wo unter einem risikoorientierten Ansatz Handlungsbedarf besteht, werden Maßnahmen implementiert, die sich auf die Kennzahlen in der Art auswirken, dass die Differenz kleiner wird oder der Istwert gar besser wird als der Sollwert.

Genau wie in der technischen Mess- und Regelungstechnik ist es nicht alleine Ziel, den aktuellen Wert einer physikalischen Größe (z.B. die Temperatur in einem Härteofen der Stahlindustrie) zu ermitteln, sondern es kommt vielmehr darauf an, Abweichungen vom Sollzustand zu erkennen, diese zu bewerten und letztlich durch Steuerungsmaßnahmen die Abweichung des Ist- vom Sollzustand zu reduzieren. [vgl. Kütz 2013, S. 224]

Auch die DIN/ISO 27001 beschreibt einen Prozess der kontinuierlichen Verbesserung. Das Erheben von Kennzahlen kann nie Selbstzweck sein, sondern bietet neben der Bestimmung des aktuellen Stands auch immer eine Grundlage für die Planung von Korrekturmaßnahmen.

Der Prozess sieht laut DIN/ISO folgendermaßen aus: "

- Identifizierung von Nichtkonformitäten;
- Ermittlung der Ursachen von Nichtkonformitäten;
- Beurteilung des Handlungsbedarfs zur Sicherstellung, dass Nichtkonformitäten sich nicht wiederholen;
- Bestimmung und Umsetzung der Korrekturmaßnahmen;
- Aufzeichnung der Ergebnisse der ergriffenen Maßnahmen [...];
- Überprüfung der ergriffenen Korrekturmaßnahmen." [ISO/IEC 27001:2005, S. 19]

Die Erhebung von Kennzahlen der IT-Sicherheit betrachtet natürlich immer die Vergangenheit. Dennoch haben sie auch den Charakter eines Früherkennungssystems. Denn durch Messung und Analyse werden die IT-Risiken frühzeitig klar und es können oftmals Maßnahmen auf den Weg gebracht werden, bevor überraschende oder gar krisenhafte Entwicklungen auftreten. "Wichtig ist [...] das frühzeitige Erkennen von Signalen, die eine bestimmte Entwicklung ankündigen." [Horváth 2009, S. 341] Die Erhebung von Kennzahlen kann also dazu beitragen, dass Schadensfälle seltener auftreten oder ein geringeres Ausmaß annehmen. [vgl. Horváth 2009, S. 341]

Es ist i.d.R. nicht möglich, alle Kennzahlen, die man gerne für Entscheidungen zur Verfügung haben möchte, unter wirtschaftlichen Gesichtspunkten auch wirklich zu erfassen. Als Beispiel kann eine Kennzahl gesehen werden, deren Erfassung eine regelmäßige manuelle Datenerfassung bedingen würde. Es bleibt damit eine Abweichung gegenüber den Anforderungen. Diese Abweichungen sind mit dem IT-Management bzw. der Geschäftsführung abzustimmen. Möglicherweise kann eine einmalige Investition in Form einer Anschaffung eines Tools Abhilfe schaffen. [vgl. Beims 2009, S. 45]

4.3 Anforderungen

Kennzahlen "sind Zahlen, die messbare, betriebswirtschaftlich relevante Daten zusammenfassen und in einen größeren Zusammenhang stellen. Wie mit einem Brennglas bündeln sie dabei mehrere oder schwer überschaubare Daten zu einer aussagekräftigen Größe." [Vollmuth et al. 2014, S. 8]

Um Kennzahlen zielgerichtet nutzen zu können, "muss die Richtung festgelegt sein, in die sich die IT-Organisation bewegen soll". [Beims 2009, S. 171] Es besteht grundsätzlich die Notwendigkeit, die Wahl der zu erfassenden Kennzahlen und die Zielsetzung in Einklang zu bringen. Denn die Erfassung einer Unmenge an Kennzahlen führt vermutlich nicht zum Ziel, weil sie nicht zur Planung und Entscheidung von konkreten Maßnahmen herangezogen werden. [vgl. Beims 2009, S. 171]

Die zu erhebenden Kennzahlen orientieren sich an den Zielen. Und der Grad der Zielerreichung soll mit Hilfe der Kennzahlen gemessen werden können. Um dies sicherzustellen, empfiehlt es sich, die Ziele SMART zu formulieren. Diese Vorgehensweise wird auch im Projektmanagement immer wieder empfohlen.

Die Abkürzung SMART steht für spezifisch, messbar, akzeptiert, realistisch und terminiert.

Spezifisch: Ziele sind nicht zu allgemein zu definieren. Die Zielsetzung ‘Erhöhung der IT- Sicherheit‘ ist sehr unpräzise. Viel spezifischer ist zum Beispiel die Zielsetzung ‘Reduzierung von technischen Schwachstellen in der Software-Konfiguration der Server‘. Wichtig ist unter diesem Aspekt das Erkennen, wie die Zielerreichung im positiven beeinflusst werden kann.

Messbar: um die Zielerreichung quantitativ bestimmen zu können.

Akzeptiert: wenn kein Konsens besteht, wird die Unterstützung durch die Beteiligten in der Regel zurückhaltend sein.

Realistisch: hohe Ziele sind eine Herausforderung, unrealistische Ziele sind demotivierend.

Terminiert: es muss klar definiert werden, wann ein Ziel (oder ein Teil-Ziel bzw. Meilenstein) erreicht sein soll. [vgl. Beims 2009, S. 172, 173]

Gemäß eines Artikels des SANS Institute sollten auch Kennzahlen SMARTe Eigenschaften besitzen. SMART bedeutet hier, dass die Kennzahlen Specific, (spezifisch, präzise), Measureable (messbar), Attainable (erreichbar), Repeatable (wiederholbar) und Time-dependent (zeitabhängig) sein sollten. [vgl. Payne 2007, S. 1] Dies bedeutet auch, dass die Kennzahl zu jedem Zeitpunkt den gerade aktuellen Zustand zutreffend beschreiben können muss. Spezifisch schließt mit ein, dass die Kennzahl die Abweichung zwischen einem Soll- und Istzustand beschreibt.

Daher sind bei der Auswahl und der Ausgestaltung der Kennzahlen folgende Anforderungen zu stellen:

- Die Verantwortlichen müssen die Abweichung des Ist- zum Sollzustand bewerten können. Denn natürlich wird man im Sinne des Risiko-Managements zuerst dort ansetzen, wo die größte Abweichung das höchste Risiko darstellt.
- Neben den Kennzahlen selbst muss auch immer eine passende Stellgröße existieren, um bei zu großen Abweichungen auch wirklich eingreifen zu können. [vgl. Kütz 2013, S. 225]

Der oben beschriebene Sachverhalt hat eine Einschränkung. Denn neben den Steuerungskennzahlen - das sind solche, die durch Maßnahmen beeinflussbar, also steuerbar sind - gibt es auch Informationskennzahlen. Diese haben durchaus einen Wert für die Entscheidungsträger, lassen sich aber nicht wirklich beeinflussen. Als Beispiel im Kontext der IT- Sicherheit lässt sich hier die Anzahl der neu aufgetretenen bzw. erstmals ausgenutzten Schwachstellen eines Betriebssystems nennen. Solche Informationskennzahlen sind aber dennoch von Bedeutung. Auch wenn sich die Anzahl der neu auftretenden Schwachstellen nicht steuern lässt, so kann dies doch Hinweise gehen, dass ein kontinuierlicher Anstieg einen erhöhten Aufwand im Umgang mit diesen Schwachstellen bedingen wird oder dass es Sinn machen kann, sich Gedanken über ein alternatives Betriebssystem zu machen. [vgl. Kütz 2013, S. 227]

Kennzahlen geben Signale, ob sich die zu steuernde Objekte - in diesem Fall die gemessenen Aspekte der IT-Sicherheit - im ‘grünen Bereich‘ befinden. [vgl. Kütz 2013, S. 223]

Um sicherzustellen, dass die Kennzahlen auch dem Anspruch genügen, zu Planungs-, Steuerungsund Kontrollzwecken eingesetzt werden zu können, hat der IT-Controller oder der zuständige ITSicherheitsexperte die Aufgabe, geeignete Kennzahlen bzw. Kennzahlensysteme zu definieren, wobei zu berücksichtigen ist, dass die Kennzahlen zweckgerecht, wirtschaftlich, hinreichend genau und natürlich auch aktuell sind. [vgl. Horváth 2009, S. 669]

Um die Entscheidungsträger bestmöglich zu unterstützen, sollten die Daten, die zur Bildung der Kennzahlen herangezogen werden, kontinuierlich und idealerweise automatisch erhoben werden. Auch die Integrität dieser Daten sollte durch entsprechende Qualitätssicherungsprozesse sichergestellt werden. [vgl. Kütz 2013, S. 53]

Wie in jedem Bereich des IT-Controllings gilt es dafür zu sorgen, dass folgende Rahmenbedingungen eingehalten werden:

- Verfahren: Sowohl das Messverfahren bei technischen Größen als auch das Erhebungsverfahren bei organisatorischen Kennzahlen muss hinsichtlich der Lokalität und der Zeitpunkte präzise definiert sein.
- Verantwortlichkeiten: Es muss Klarheit bestehen, wer für die Datenversorgung zuständig ist.
- Datenspeicherung: Die Aufbewahrung der Daten ist geklärt hinsichtlich des Speichermediums und der Speicherungsdauer.
- Datenqualität: Messfehler, Verarbeitungsfehler und Manipulationen sind minimiert bzw. ausgeschlossen.
- Präsentation: Darstellungs- und Kommunikationsform sind zielgruppenorientiert festgelegt. [vgl. Kütz 2013, S. 92]

Für die Sicherstellung der IT-Sicherheit ist nach außen die Geschäftsführung verantwortlich. Das Kennzahlensystem ist daher neben anderen Instrumenten ein probates Mittel, um das zuständige Management regelmäßig über den aktuellen Status der Sicherheit zu informieren. Da die Erhebung in der Regel von IT- bzw. Sicherheitsfachkräften vorgenommen wird, sind die Informationen derart zu verdichten und aufzubereiten, dass sie der Zielgruppe entsprechen. Damit das Reporting adressatengerecht gestaltet wird, ist die Mitarbeit des Managements notwendig. Das Management und nicht die IT-Mitarbeiter entscheiden, welche Informationen in welcher Form benötigt werden. Das IT-Controlling und die IT-Spezialisten setzen diese Vorgaben dann bestmöglich um. [vgl. Kütz 2013, S. 53]

5 Sicherheitskennzahlen - Standards

Die folgenden Standards zeigen Aspekte auf, die für die Implementierung von ITSicherheitskennzahlen hilfreich sein können oder sogar dringend beachtet werden sollten. Keiner dieser Standards gibt aber eine Vorgehensweise vor, die zwingend einzuhalten ist. Auch bei der Auswahl von einzelnen Kennzahlen und deren Erhebung bis hin zu einer Spitzenkennzahl lassen diese Standards viele Freiräume.

Die Auflistung und Erläuterung der folgenden Standards erhebt keinerlei Anspruch auf Vollständigkeit. Diese Standards verdeutlichen die Vorgehensweise und können als Orientierung herangezogen werden.

5.1 ITIL (IT Infrastructure Library)

In Verbindung mit IT-Sicherheit wird in Unternehmen und in der Literatur immer wieder gerne auf ITIL und dessen Bücher verwiesen.

Der Kern von ITIL ist die Bereitstellung von IT-Diensten nach Best-Practice Gesichtspunkten, also ein Erfolgsmodell zur optimalen Ausgestaltung der IT-Organisation. Ziel ist die Steigerung der Produktivität, die Optimierung der Kosten und die Verbesserung der Sachkenntnis der Anwender. Die Konzentration von ITIL liegt also auf IT-Services und deren bestmögliche Unterstützung der Geschäftsprozesse. [vgl. AXELOS Limited , S. 2]

Auch wenn ITIL ein Buch zum Sicherheitsmanagement enthält und dort den Schutz der ITInfrastruktur vor unbefugtem Gebrauch und unberechtigtem Datenzugriff, also die Vertraulichkeit behandelt, so ist dieses Schutzziel nicht der Schwerpunkt. [vgl. Bock 2006, S. 26]

Ein ITIL-Buch, welches sehr umfänglich ein anderes Schutzziel der IT - die Verfügbarkeit - behandelt ist das Buch "Availability-Management" (Verfügbarkeits-Management). Der Ausfall eines Computersystems kann sehr weitreichende Folgen für ein Unternehmen haben. Der Prozess Availability-Management sorgt für eine gesicherte Verfügbarkeit der IT-Services. Bei der Verfügbarkeit geht es in diesem Kontext um das Verhältnis der Zeit, in der das System wirklich zur Verfügung steht zur maximal nutzbaren Zeit. Wartungsarbeiten - wenn diese zu Servicezeiten durchgeführt werden - und Störungen reduzieren die Verfügbarkeit.

[...]


1 Mit IT (Informationstechnik) ist im Rahmen dieser Arbeit immer die EIT (elektronische Informationstechnik), also Informations- und Datenverarbeitung sowie für die dafür benötigte Hard- und Software gemeint.

2 [Kaplan et al. 1996, S. 21]

3 [Krcmar 2015, S. 542]

4 [Fraunhofer 2015, S. 8]

5 [Kaack 2012, S. 10]

6 [COBIT4.1 2007, S. 6]

7 [Gadatsch et al. 2014, S. 191]

8 [Chowanetz, Laude, Klinner 2013, S. 7]

9 [Kütz et al. 2007, S. 7]

Ende der Leseprobe aus 92 Seiten

Details

Titel
Entwurf einer IT-Sicherheitsmetrik im Rahmen des IT-Controlling
Hochschule
Hochschule Offenburg
Note
1.3
Autor
Jahr
2016
Seiten
92
Katalognummer
V336704
ISBN (eBook)
9783656984108
ISBN (Buch)
9783656984115
Dateigröße
3429 KB
Sprache
Deutsch
Schlagworte
IT-Sicherheit, Kennzahlensystem, Informationssicherheit, ISO/IEC 27004;, BIS-Grundschutz, CoBIT, BSI, DIN/ISO 27001, Risikomanagement
Arbeit zitieren
Rüdiger Kelkel (Autor:in), 2016, Entwurf einer IT-Sicherheitsmetrik im Rahmen des IT-Controlling, München, GRIN Verlag, https://www.grin.com/document/336704

Kommentare

  • Noch keine Kommentare.
Blick ins Buch
Titel: Entwurf einer IT-Sicherheitsmetrik im Rahmen des IT-Controlling



Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden