Mehr als IT-Security

 

Die Dimension von Informationssicherheit

Wo liegen die Kernprobleme im Umgang mit der Messung von Informationssicherheit?

Der Begriff der Informationssicherheit wird häufig mit dem Thema IT-Sicherheit verwechselt und mit der Lösung technischer Herausforderungen gleichgesetzt. Diese Sichtweise ist allerdings problematisch, da Informationen nicht nur in IT-Systemen gebunden sind, sondern auch auf Papier gedruckt, in den Köpfen der Mitarbeiter gespeichert oder Bestandteil einer immateriellen Ressource sein können. Somit sollte man sich zunächst über das Grundverständnis und die Dimension von Informationssicherheit sowie deren Messbarkeit im klaren sein. Dies bedeutet, dass Programme zur Einrichtung der Informationssicherheit nicht in der IT angesiedelt sein dürfen. Vielmehr ist Informationssicherheit als Aufgabe eines CEO, CFO oder COO zu verstehen und damit sehr prozessbezogen zu betrachten. Viele Projekte zur Messung der Informationssicherheit adressieren dies jedoch nicht angemessen. Wir sehen im Markt Messsysteme die versuchen, technische Kennzahlen zur Bewertung heranzuziehen.

Ein typisches Beispiel hierfür ist die „Anzahl von Einbruchsversuchen pro Monat“. Eine solche Messgröße könnte dann sinnvoll sein, wenn ich die Bedrohungslage des Unternehmens kontinuierlich bewerten möchte. Voraussetzung dafür ist jedoch, dass ich mich auf den Prozess, der zu der Feststellung eines Einbruchsversuchs führt, absolut verlassen kann. Dies ist aber in der Regel nicht der Fall, wie unsere eigenen Projekte im Bereich der Penetrationstests, zum Beispiel Einbruch in IT-Systeme über das Internet, deutlich zeigen. Der Anteil der entdeckten Einbruchsversuche lag dabei unter 10 Prozent.
Provokativ kann man sagen, dass je besser eine solche Kennzahl ist, desto schlechter ist die Informationssicherheit ausgestaltet. Diese Interpretation wird in der Regel jedoch nicht durch die Unternehmen vorgenommen. Da die Messung der Informationssicherheit auf der Verlässlichkeit der Prozesse beruht, lässt sich schlussfolgern, dass der Reifegrad der Prozesse für die Messung der Informationssicherheit entscheidend ist.

Welche Faktoren müssen bei einer solchen Messung unbedingt berücksichtig werden?

 

Wie im vorangegangenen Beispiel dargestellt, ist die Qualität der Prozesse für Informationssicherheit entscheidend für den Wert des Messsystems. Dabei ist ein gewisser Mindestreifegrad der Prozesse unabdingbar für den Erfolg der Messung. Messsysteme für Informationssicherheit sollten zudem mehrstufig aufgebaut werden. Das heißt, für die Bestimmung des Reifegrades der relevanten und zu betrachtenden Prozesse müssen Messverfahren vorhanden sein. Dabei sei an dieser Stelle angemerkt, dass auch ein unzuverlässiger Prozess einen hohen Reifegrad erreichen kann. Zudem sollte eine detaillierte Messung der Prozessqualität erfolgen, um so die Verlässlichkeit des Prozesses zu ermitteln. Sobald ein hoher Reifegrad und eine hohe Verlässlichkeit gegeben sind, kann auch die Messung von eher technischen Kennzahlen erfolgen.
Die daran anschließende Darstellung der Effektivitätsmessung ist dann auf die entsprechenden Stakeholder auszurichten und unterscheidet sich nicht im geringsten von Berichterstattungen, beispielsweise im Controlling oder dem Treasury Management eines Unternehmens.

 

Wie lassen sich solche Messungen qualitativ verbessern bzw. auf einen hohen Standard heben?

 

Ein hoher Standard in der Messung lässt sich ausschließlich bei qualitativ hochwertigen Prozessen realisieren. Insofern sind Programme zur Verbesserung der Prozessqualität der richtige Weg. Auch die Ausrichtung der Messverfahren auf relevante Kennzahlen ist für viele Unternehmen eine Herausforderung. Welche Kennzahl tatsächlich relevant ist, kann durch eine risikoorientierte Betrachtung ermittelt werden. Eine solche Risikoorientierung steigert zudem die Akzeptanz beim Management und führt zu einer besseren Unterstützung durch das Management.

 

Können Sie hierzu ein Beispiel benennen?

 

Ein Beispiel bilden Büro- und Produktionsnetze, die über eine Kopplung verfügen. Produktionssysteme sind häufig nicht in das Patchmanagement des Unternehmens eingebunden, da diese nicht als IT betrachtet werden. Diese Systeme sind jedoch extrem anfällig für Malware, wie Viren und Würmer. Somit müssen diese Systeme in den Messverfahren eine stärkere Beachtung finden als beispielsweise in Unternehmensnetzen, die über ein flächendeckendes Patchmanagement verfügen.

 

Werden potenzielle Anwender durch mögliche Zahlenspiele nicht abgeschreckt?

 

Selbstverständlich werden Anwender durch Zahlenspiele abgeschreckt! Aus diesem Grund empfehlen wir auch auf das Erstellen von Zahlenfriedhöfen zu verzichten und ein sehr fokussiertes und Stakeholder orientiertes Messsystem aufzusetzen. Grundlage dafür muss die Erkenntnis eines eher analog als digital arbeitenden Menschen sein. Das bedeutet, dass wir besser mit Grafiken arbeiten, da sich hieraus unter anderem Trends leichter ablesen lassen. Dagegen erschweren reine Zahlenkolonnen, trotz gleicher Informationen, das Arbeiten. Wichtig ist in diesem Zusammenhang auch der Faktor Zeit, den ein Berichtsempfänger für das Studium des Reportings aufwenden kann. So empfehlen wir bei der Berichterstattung an Vorstände und Geschäftsführer ein einseitiges, maximal zweiseitiges Reporting mit einem hohen Anteil an Schaubildern und Grafiken. Also analoge Informationen, die einen Betrachtungszeitraum von nicht mehr als fünf Minuten erfordern. Grundsätzlich lässt sich sagen, je operativer der Berichtsempfänger wird, desto detaillierter darf das Reporting sein.

 

Welche Lösungen stehen hierzu bereit; auch vor dem Hintergrund eines transparenten Reportings bzw. der Visualisierung?

 

Spezielle Messsysteme für Informationssicherheit sind nach meinen Kenntnissen nicht vorhanden. Einzelne Systeme bilden Reifegradmodelle ab, aber dies kann noch keinen Anspruch auf Vollständigkeit haben. Systeme, die Balanced Scorecards darstellen oder Business Intelligence Lösungen scheinen gut geeignet zu sein, um eine Visualisierung und ein Stakeholder orientiertes Reporting vorzunehmen.

 

Welchen Einfluss hat die Messung der Effektivität von Informationssicherheit auf die Organisation?

 

Der Einfluss der Messung auf die Organisation ist beträchtlich. Der Grund: Jede Messung der internen Performance oder des Zustandes einer Organisation ist mit einem Konflikt verbunden; sofern Zustandsmessungen noch nicht in der Unternehmenskultur verankert sind. Typischerweise findet man vor allem im Top-Management eine hohe Bereitschaft, Messungen vorzunehmen. Hingegen fühlen sich Mitarbeiter bei der Effektivitätsmessung eher beobachtet und unwohl. Insbesondere wenn sie prozessorientiert ist. Aus diesem Grund ist es wichtig, vom Zeitpunkt der Idee an, die Mitarbeitervertretung eines Unternehmens einzubinden. Dabei sollte deutlich gemacht werden, dass der Sinn der Effektivitätsmessung nicht aufgrund der Leistungskontrolle der Mitarbeiter oder zum Zweck von Sanktion eingeführt wird. Vielmehr dient sie dem Schutz des Unternehmens und letztendlich der Mitarbeiter. Diesen Aspekt sollten Unternehmen vor allem berücksichtigen, je nach Unternehmenskultur.

Eine besondere Gruppe im Unternehmen stellt das mittlere Management dar. Diese Mitarbeitergruppe wird in der Regel nicht durch die Mitarbeitervertretung repräsentiert. Zudem ist sie nicht in der Position strategische Ziele des Unternehmens zu gestalten und zu beschließen. Das mittlere Management ist jedoch entscheidend mitverantwortlich für den Erfolg des Projektes, da es maßgeblich die Prozessqualität beeinflusst. Im Falle eines Effektivitätsmessungs-Projekts haben wir empfohlen, das mittlere Management des Unternehmens am Erfolg der Maßnahme zu beteiligen. Konkret wurde die Verbesserung der Informationssicherheit auf Basis eines einvernehmlich beschlossenen Messsystems zum Bestandteil eines Incentivierungs-Programms für Führungskräfte. Damit erreichte das Unternehmen, dass dieses Thema auch für die operativen Geschäftsbereiche relevant ist. Das Programm läuft bereits im zweiten Jahr erfolgreich und ist fest etabliert.

 

Vielen Dank für das Gespräch!

 

Jörg Asma, Partner bei KPMG im Bereich (IT) Advisory, zum Thema Effektivitätsmessung von Informationssicherheit

www.kpmg.de

 

Jörg Asma ist Partner bei KPMG im Bereich (IT) Advisory und verantwortet in Deutschland den Bereich Information Protection & Business Resilience. Dieses Fachgebiet beschäftigt sich schwerpunktmäßig mit unterschiedlichen Aspekten der Informationssicherheit. Im Rahmen seiner Tätigkeit hat Jörg Asma zahlreiche Projekte im Bereich der Beratung bezüglich der Einführung von Informationssicherheits-Managementsystemen oder Zertifizierung durchgeführt. Zudem beschäftigt er sich seit längerer Zeit mit der Konzeption und Einführung von Kennzahlensystemen für Informationssicherheit.