Cyber-Sicherheit richtig messen

Bei der Erfolgsmessung ist Umdenken gefordert

16.02.2015
Von 

Schwerpunkte von Frank Kölmel, der auf mehr als 20 Jahre Erfahrung in der Netzwerk- und Internetbranche zurückblicken kann, sind Ausbau und Festigung der Position des Unternehmens in der D-A-CH-Region und Osteuropa. 

Bereits ein einziger erfolgreicher Cyberangriff auf das Netzwerk eines Unternehmens kann gravierende Folgen haben. Wettbewerbsfähigkeit, Wirtschaftlichkeit und schließlich die Reputation des Unternehmens sind gefährdet, wenn der Sicherheit der IT-Systeme nicht die nötige Beachtung zukommt. Doch woher wissen IT-Verantwortliche, ob die von ihnen implementierten Sicherheitsmechanismen erfolgreich arbeiten?
Im Durchschnitt bewegen sich Angreifer 229 Tage lang unentdeckt in Unternehmensnetzwerken, bevor sie entdeckt werden.
Im Durchschnitt bewegen sich Angreifer 229 Tage lang unentdeckt in Unternehmensnetzwerken, bevor sie entdeckt werden.
Foto: Nmedia - Fotolia.com

In den meisten Unternehmen stehen IT-Abteilungen unter dem Druck niedriger Budgets. Deshalb ist es für ihre Arbeit unerlässlich, die Risiken zu kennen, die für ihr Unternehmen durch Mängel ihrer Sicherheitsarchitektur entstehen können. Unter diesen Risiken müssen sie Prioritäten setzen und so aktiv Risikomanagement betreiben. Anhand dieser Einschätzung ist es auch möglich, sinnvolle Prioritäten bei den Sicherheitsvorkehrungen und -ausgaben zu setzen und Zielvorgaben zu erarbeiten.

Gerade in Deutschland sollten Unternehmen besonderen Wert auf den Erfolg ihrer Sicherheitssysteme legen, denn sie stehen besonders häufig im Visier von Cyberkriminellen. In Europa werden nur in Großbritannien mehr Angriffe auf Unternehmen verzeichnet. Die Ziele der Angreifer in Deutschland sind vielfältig. Unternehmen aus den Bereichen Telekommunikation, Bildungswesen und Finanzdienstleistungen stehen dabei ebenso im Fokus, wie die Energie-, Chemie- oder Automobilwirtschaft.

Anzahl von Angriffen und Warnmeldungen sind keine Anhaltspunkte

Für Budgetentscheider sind Investitionen sinnvoll, wenn sie effektiv eingesetzt werden. In diesem Zusammenhang stellt sich die Frage, wie die Effektivität von Sicherheitsprogrammen messbar gemacht werden kann. Welche Messinstrumente machen Sinn, welche nicht?
Die traditionell zur Erfolgsmessung herangezogenen Kennzahlen konzentrieren sich auf Fakten, die den Erfolg oder Misserfolg der Sicherheitsprogramme nicht richtig abbilden. In der Regel wird versucht, den Erfolg an drei Faktoren festzumachen: Der Anzahl der von Angriffen betroffenen Systeme, die Anzahl der Sicherheitsvorfälle je Kategorie und die Anzahl der Angriffe insgesamt. Obwohl diese Zahlen sicherlich interessante Einblicke ermöglichen, sagen sie nichts über den Erfolg der implementierten Systeme aus.

Auch die Anzahl der Warnmeldungen, die eingesetzte Produkte erstellen, geben keinen Hinweis auf ihre tatsächliche Effektivität. Abgesehen vom Umstand, dass häufig rund die Hälfte von ihnen False Positives sind, kann eine hohe Anzahl an Warnmeldungen der Effizienz von IT-Abteilungen sogar signifikant schaden.
Einer aktuellen Umfrage von FireEye zufolge entstehen bei 37 Prozent der Unternehmen weltweit jeweils mehr als 10.000 Warnmeldungen pro Monat. Dies zeigt IT-Verantwortlichen, dass eine immense Zahl an Sicherheitsverletzungen bemerkt wurde. Sie sagt aber nichts Verlässliches über die Tragweite der einzelnen Vorfälle aus. Das manuelle Bearbeiten jeder einzelnen Meldung nimmt dennoch viel Zeit - und auch Budget - in Anspruch, ohne dabei den Erfolg oder Verbesserungspotenzial der Sicherheitsarchitektur zu offenbaren.

Von jeder Sicherheitsverletzung geht Gefahr aus

Für die Erfolgsmessung relevante Kennzahlen lassen sich mithilfe von unternehmensspezifischen Prioritäten und Zielen finden. Wenn beispielsweise der Schutz von Kundendaten hohe Priorität genießt, sollte deren Unversehrtheit der entscheidende Maßstab sein. Viele Unternehmen ermitteln den Erfolg ihrer Sicherheitsprogramme jedoch anhand der Anzahl der kompromittierten oder infizierten Endpunkte. Unabhängig davon, wie viele Endpunkte im Unternehmensnetzwerk kompromittiert werden, ist es letztlich entscheidend, ob die eingesetzten Programme die sensiblen Daten schützen konnten.
Sind zum Beispiel ein dutzend Endpunkte betroffen, der Angriff jedoch erkannt und eingedämmt worden, bevor Daten entwendet wurden, haben die Sicherheitsvorkehrungen ihren Zweck erfüllt. Andersherum haben sie versagt, wenn sie zwar nur eine einzige Sicherheitsverletzung zuließen, dadurch aber tausende Datensätze entwendet werden konnten. Im Durchschnitt bewegen sich Angreifer 229 Tage lang unentdeckt in Unternehmensnetzwerken, bevor sie entdeckt werden - bereits ein einziger Angriff kann so tiefgreifende Probleme auslösen.

Durch diese Beispiele lässt sich erkennen, dass andere Maßstäbe nötig sind, um Erfolg oder Misserfolg in der Cybersicherheit wirklich zu ermitteln. Ein solcher Faktor kann die benötigte Zeit zur Erkennung eines Sicherheitsvorfalls sein. Ebenso ist es mit der Zeit, die zur Beseitigung eines solchen Vorfalls benötigt wird. Entscheidend ist letzten Endes, wie viele sensible, persönliche oder vertrauliche Daten entwendet wurden. Darin wird deutlich, ob das selbstgesteckte Ziel der Datensicherheit erreicht werden konnte.

Auch die Optimierung der eigenen Cybersicherheit kann von Unternehmen nur nachhaltig umgesetzt werden, wenn die Schwachpunkte der bisher eingesetzten Programme hinsichtlich der ausgegebenen Ziele bekannt sind. Wo wichtige konkrete Ziele beim Schutz vor Cyberkriminellen nicht erreicht werden, offenbaren sich Verbesserungsbedarf und Möglichkeiten, Investitionen sinnvoll zu tätigen.

Neues Denken in der Cybersicherheit nützt dem ganzen Unternehmen

Durch das individuelle Setzen von Prioritäten und konkreten Zielen ergibt sich eine Reihe weiterer Faktoren, die jeweils sinnvoll herangezogen werden können, um den Erfolg der eigenen Sicherheitsarchitektur effektiver zu messen und zu verbessern als es anhand oberflächlicher Statistiken möglich ist. Das dazu geforderte Umdenken auf Entscheiderebene bringt Nutzen für das ganze Unternehmen. Ob Sicherheitsprogramme ihre Ziele erreichen zeigt, wie viel sie zum Wert des Unternehmens oder der Marke beitragen und wo gängige Sicherheitslösungen keinen ausreichenden, verlässlichen Schutz bieten. (bw)