Agile WerteJan Kahmen6 min Lesezeit

KPIs in der Informationssicherheit: Die 10 wichtigsten Security-Kennzahlen

Um die Wirksamkeit von IT-Sicherheitsmaßnahmen zu überprüfen, sind aussagekräftige Kennzahlen notwendig. Sie gestalten den Schutz sensibler Daten effizienter und helfen dabei, Probleme frühzeitig zu erkennen.

cyber-security-kpi.jpg

Inhaltsverzeichnis

Die Bedeutung von Kennzahlen für die IT-Sicherheit

So genannte Key Performance Indikatoren (kurz: KPI) geben Auskunft über den Sicherheitszustand einzelner Komponenten und erlauben somit eine umfassende Einschätzung der aktuellen Sicherheitsstrategie. Es handelt sich hierbei um Messwerte, die kontinuierliche Rückschlüsse auf mögliche Defizite erlauben. Die Auswertung dieser Kennzahlen ist somit ein wichtiger Faktor für eine bessere Informationssicherheit - noch bevor überhaupt Sicherheitslücken auftreten.

Mithilfe von KPIs ist es daher ein Leichtes, ein umfassendes Security Assessment durchzuführen. Alternativ kann auf Basis dieser Erkenntnisse auch eine Schwachstellenanalyse (Vulnerability Assessment) für dedizierte Bereiche erfolgen. KPI für Informationssicherheit zu nutzen, ist daher ein wichtiger Schritt, um die allgemeine IT-Sicherheit im Unternehmensalltag zu erhöhen.
Tipp: Weitere Informationen zur Planung und bewährten Strategien des Schwachstellenscans gibt es hier.

KPIs und Informationssicherheit: Die Relevanz verschiedener Kennzahlen

In der IT lassen sich zahlreiche Messdaten erheben. Das liegt daran, dass das Unternehmensnetzwerk tagtäglich eine große Menge an Daten generiert. Viele der gesammelten Informationen sind für die meisten Sicherheitsplattformen jedoch irrelevant. Anstatt sich auf sämtliche Daten zu konzentrieren, ist es notwendig, die richtigen KPI auszuwählen.

Besonders aussagekräftig sind hierbei die Zahlen, die beispielsweise das Intrusion Detection System (IDS) oder die Security Incident Response liefern. Auch das Bug-Bounty-Hunting eignet sich hervorragend, um Sicherheitslecks zu identifizieren. Kombiniert mit den Daten aus anderen Tools lässt sich schnell feststellen, ob die Integrität der Daten weiterhin besteht.
Die richtigen KPI zu ermitteln, kann daher zunächst schwierig erscheinen. Grundsätzlich gilt: Ausschlaggebend für die IT-Sicherheit sind all jene Kennzahlen, die Aktivitäten zwischen internen und externen Komponenten veranschaulichen. Dazu gehören beispielsweise verwendete Kommunikationsprotokolle oder erfolgreiche und fehlgeschlagene Zugriffsversuche. Ein Continuous Vulnerability Scanning ist an dieser Stelle besonders wichtig, da Systeme Unstimmigkeiten schneller registrieren als Menschen.
Unternehmen sollten stets für Kennzahlen entscheiden, die auch wirklich relevant sind. Abhängig von der IT-Infrastruktur, der verwendeten Technologie sowie den Mitarbeitern kommen hier jeweils andere Kennzahlen infrage. Zusätzlich zeigen Quellen wie die OWASP Mobile Top 10 regelmäßig bekannte Sicherheitslücken auf. Bestehen solche Lücken, ist es sinnvoll, sie Schritt für Schritt zu beheben.

Standards zur Bestimmung relevanter IT-Kennzahlen

Wie gut ein KPI wirklich ist, lässt sich anhand einiger Faktoren bestimmen. Folgende Kriterien gehören zu den Standards bei Beurteilung der Qualität von IT-Kennzahlen:

  • Aussagekräftig: Damit sich aus den KPIs wertvolle Informationen gewinnen und entsprechende Maßnahmen ableiten lassen, müssen die Kennzahlen in erster Linie aussagekräftig sein.
  • Einfach: Gleichzeitig sollten gute IT-Kennzahlen möglichst einfach zu ermitteln sein. Viele Daten erhalten Unternehmen durch automatisierte Lösungen, wodurch zusätzlicher Aufwand entfällt.
  • Überprüfbar: Die regelmäßige Überprüfung stellt sicher, dass die Kennzahlen stets aktuell sind.
  • Vergleichbar: Um wichtige Erkenntnisse gewinnen zu können, müssen Unternehmen die KPI in Relation zu anderen Kennzahlen setzen können. Hierbei ist die Vergleichbarkeit über die Zeit entscheidend.
  • Verständlich: Jede Kennzahl muss einen erkennbaren Aussagegehalt haben.
  • Wiederholbar: Es ist notwendig, dass sich die Datenerhebung über regelmäßige Zeitintervalle hinweg rekonstruieren lässt.
  • Zeitnah: Nur eine aktuelle KPI ist für die Informationssicherheit von Bedeutung. Je aktueller die Daten, desto früher lassen sich Abweichungen erkennen.
  • Zuverlässig: Fehlerbehaftete Informationen (beispielsweise aufgrund von Messfehlern) könnten die Aussage einer Kennzahl verfälschen. Die verwendeten Kennzahlen müssen daher stets korrekt sein.

Statische versus dynamische IT-Sicherheit

Die Effizienz und Effektivität lässt sich sowohl durch Audits als auch durch kontinuierliche Kontrollmechanismen gewährleisten:

  • Bei einem rein statischen Ablauf werden die KPI nur punktuell, also zu einem bestimmten Zeitpunkt, ausgewertet. Welche das sind, hängt von der Art des Schwachstellenscans und vom jeweiligen Unternehmen ab. Verglichen mit einem eher dynamischen Sicherheitsscan sind die Ergebnisse hier jedoch weniger genau.
  • Ein dynamischer Ansatz konzentriert sich hingegen auf alle gesammelten KPIs und integriert diese in die jeweilige IT-Security-Strategie. Der wichtigste Unterschied zwischen beiden Vorgehensweisen besteht darin, dass die Schwellenwerte hier kontinuierlich angepasst werden. Auf diese Weise kann die Datenerhebung immer weiter optimiert werden.

Die Top 10 KPIs für mehr Informationssicherheit

Um die Cybersicherheit zu verbessern, nutzen Unternehmen unterschiedliche Metriken und KPIs. Die Folgenden gehören zu den Top 10 unter den KPIs für Informationssicherheit.

  • Intrusion attempts vs. Security incidents: Diese Kennzahlen ermöglichen einen allgemeinen Einblick in mögliche Schwachstellen.
  • Mean Time to Detect (MTTD): Die notwendige Zeit, um einen Sicherheitsvorfall zu erkennen.
  • Mean Time to Respond (MTTR): Die Geschwindigkeit, in der sich Bedrohungen eliminieren lassen.
  • Mean Time to Contain (MTTC): Die durchschnittliche Zeit, um Angriffsvektoren auszuschalten.
  • Unerkannte Geräte im Netzwerk: Sie hilft dabei, Dritte aus dem Unternehmensnetzwerk fernzuhalten.
  • Effizienz beim Patching: Hiermit legen Unternehmen fest, welche Patches zu priorisieren sind.
  • Trainingseffektivität: Hier wird das Sicherheitsbewusstsein der Mitarbeiter regelmäßig geprüft.
  • Benchmark data: Dieser Wert legt fest, wie gut die Sicherheit verglichen mit ähnlichen Unternehmen ist.
  • Security Audit Compliance: Diese Kennzahl liefert Informationen über Technologien, Tools und Verfahren sowie deren Schwachstellen.
  • Thrid-party Risk and Compliance: Der Wert schätzt das Risiko von externen Apps und APIs ein.

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie noch heute ein unverbindliches Gespräch mit einem unserer Produktexperten.