Diese Arbeit soll zeigen, auf welche Normen und Standards ein Informationssicherheits-Verantwortlicher, der die umgesetzten Maßnahmen bewerten und das Ergebnis dem Management berichten können möchte, zurückgreifen kann. Darauf aufbauend werden exemplarisch einige Kennzahlen gebildet. Der Schwerpunkt liegt hierbei eher auf technischen als organisatorischen Merkmalen, da die Bildung von organisatorischen Kennzahlen in der Literatur bereits recht gut beschrieben ist.
Wie in allen Management-Prozessen braucht man auch bei der Umsetzung von Maßnahmen in Verbindung mit der IT-Sicherheit die Möglichkeit, Entscheidungen möglichst gut fundiert treffen und im Nachgang auch hinsichtlich der Wirksamkeit bewerten zu können
IT-Sicherheit ist mit - zum Teil sehr hohen - Kosten verbunden. Diese Kosten müssen zum einen wirtschaftlich unter Kosten/Nutzen-Gesichtspunkten zu rechtfertigen sein, zum anderen ist sicherzustellen, dass die Investitionen, die zur IT-Sicherheit getätigt werden, eine möglichst große Wirkung zeigen.
In fast allen Management-Bereichen werden heute Kennzahlen erhoben, die in komprimierter Form Sachverhalte widerspiegeln, die die Entscheidungsträger schnell und objektiv wahrnehmen müssen, um zu richtigen und langfristig wirtschaftlich richtigen Entscheidungen zu kommen. Betriebswirtschaftliche Kennzahlen sind heute fester Bestandteil in allen Management-Ebenen.
Inhaltsverzeichnis
1 Einleitung und Motivation
2 Begrifflichkeiten
3 IT-Governance und Risiko-Management
4 Kennzahlen / Kennzahlensysteme
4.1 Theoretischer Hintergrund
4.2 Kennzahlen im Management-Prozess
4.3 Anforderungen
5 Sicherheitskennzahlen – Standards
5.1 ITIL (IT Infrastructure Library)
5.2 COBIT
5.3 Normreihe ISO/IEC 27000
5.4 NIST-SP-800-55
6 Sicherheitskennzahlen
6.1 Anzahl und Schwere von Sicherheitsvorfällen
6.2 Schulung und Awareness
6.3 Verstöße gegen Sicherheits-Richtlinien
6.4 Vier-Augen-Prinzip und Rollentrennung
6.5 Notfall-Vorsorge
6.6 Umsetzungsgrad der Maßnahmen
6.7 Systemverfügbarkeit von IT-Services und -Systemen
6.8 Vulnerability-Assessment
6.8.1 Schwachstellen
6.8.2 Schwachstellenmanagement
6.8.3 CVE - Common Vulnerabilities and Exposures
6.8.4 Schwachstellen-Scanning
6.8.5 Vulnerability-Assessment Kennzahl
6.8.6 Patch-Management
6.9 Technische Policy
6.9.1 Nicht benötigte Server-Dienste
6.9.2 Prozess-Accounting
6.9.3 Privilegierte Accounts
6.9.4 Schwache Passwörter
6.9.5 Installierte Software
6.9.6 Sperre nach wiederholt falscher Kennworteingabe
6.9.7 Integrität von System-Dateien
6.10 Netzwerksicherheit
6.10.1 nicht autorisierter Zugriff
6.10.2 Firewall-Kennzahl
7 Vorgehensmodell
7.1 Anforderungsanalyse
7.2 Design
7.3 Implementierung
7.4 Test und Integration
8 Fallbeispiel
8.1 Vulnerability-Assessment Kennzahl
8.2 Technische Policy
8.3 Patch-Verteilung
8.4 Spitzen-Kennzahl für die IT-Sicherheit
9 Kritische Würdigung
9.1 Wirksamkeit vs. Wirtschaftlichkeit
9.2 Benchmarking
9.3 Kontinuität
9.4 Bedrohung vs. Schwachstelle
10 Résumé
Zielsetzung & Themen
Das Hauptziel dieser Bachelor-Thesis ist die Entwicklung eines metrischen Systems zur Messung der IT-Sicherheit, um Managemententscheidungen fundierter zu gestalten und die Wirksamkeit umgesetzter Maßnahmen bewerten zu können. Die zentrale Forschungsfrage fokussiert sich darauf, wie auf Basis internationaler Standards und des BSI-Grundschutzes ein Kennzahlensystem aufgebaut werden kann, das IT-Sicherheit messbar macht und als Controlling-Instrument dient.
- Grundlagen von IT-Governance und Risikomanagement
- Entwicklung und Auswahl aussagekräftiger Sicherheitskennzahlen
- Integration internationaler Standards (ITIL, COBIT, ISO 27000, NIST)
- Abgrenzung zwischen organisatorischen und technischen Sicherheitskennzahlen
- Implementierung eines Vorgehensmodells für Kennzahlensysteme
- Fallbeispiel zur Anwendung von Sicherheitskennzahlen im IT-Controlling
Auszug aus dem Buch
Spitzenkennzahl
Will man die einzelnen erhobenen Kennzahlen derart verdichten, dass sich ihre Aussagen in einer einzelnen Kennzahl widerspiegeln, spricht man von einer Spitzenkennzahl. Eine solche Kennzahl hat natürlich nur noch eine begrenzte Aussagekraft, denn sie enthält keinerlei Informationen zu ihrer Entstehung. Daher werden meist aussagekräftigere Kennzahlen-Gruppen gebildet, die dann "in der Lage sind, über bestimmte Bereiche [...] zu informieren." [Horváth 2009, S. 507]
Das Zusammenfassen von einzelnen Kennzahlen zu einer Spitzenkennzahl ist mathematisch anspruchsvoll. Denn einige Kennzahlen im System geben ein Verhältnis an und sind dimensionslos. Diese schwanken von 0 bis 100%. Andere Kennzahlen messen theoretisch unbegrenzte Phänomene, z.B. Schwachstellen. Hinzu kommt, dass einige Kennzahlen umso besser sind, je höher der Wert ist (z.B. erfolgreiche Patch-Verteilung innerhalb eines Zeitfensters) während bei anderen Kennzahlen ein möglichst kleiner Wert angestrebt wird (z.B. Anzahl von Schwachstellen). Hierbei ist es denkbar, einzelne Kennzahlen in ein Punktesystem umzurechnen, wobei beispielsweise 0 Punkte der schlechteste und 10 Punkte der beste Wert ist. Die Umrechnungsfunktion für die einzelnen Kennzahlen ist dann zu dokumentieren. Bei Verhältniskennzahlen kann dies verhältnismäßig leicht geschehen. Schwieriger ist das Umrechnen bei Kennzahlen, die keine natürliche Grenze haben. Bei dem Punktesystem ist zu berücksichtigen, dass dieses fein genug abgestuft sein sollte, um einen zeitlichen Verlauf der Kennzahlen zu präsentieren. Kleine Änderungen sollten sich hinreichend stark im Kennzahlensystem niederschlagen.
Zusammenfassung der Kapitel
1 Einleitung und Motivation: Einführung in die Notwendigkeit von Kennzahlen im IT-Sicherheitsmanagement zur Bewertung von Maßnahmen und Investitionen.
2 Begrifflichkeiten: Definition wesentlicher Termini wie Controls, Grundschutz und IT-Sicherheit zur einheitlichen Verwendung in der Arbeit.
3 IT-Governance und Risiko-Management: Erläuterung der Bedeutung von Risikomanagement und IT-Governance für die zielgerichtete Steuerung der IT-Sicherheit.
4 Kennzahlen / Kennzahlensysteme: Darstellung theoretischer Hintergründe sowie Anforderungen an Kennzahlen und deren Funktion im Management-Prozess.
5 Sicherheitskennzahlen – Standards: Überblick über relevante Standards wie ITIL, COBIT, ISO 27000 und NIST, die als Orientierung für Kennzahlensysteme dienen.
6 Sicherheitskennzahlen: Exemplarische Vorstellung technischer und organisatorischer Kennzahlen, von Schwachstellenmanagement bis zur technischen Policy.
7 Vorgehensmodell: Beschreibung eines systematischen Prozesses zur Implementierung eines Kennzahlensystems, von der Anforderungsanalyse bis zum Test.
8 Fallbeispiel: Praktische Veranschaulichung der Kennzahlenbildung und -verdichtung anhand eines fiktiven IT-Dienstleisters.
9 Kritische Würdigung: Diskussion über Wirksamkeit versus Wirtschaftlichkeit, Benchmarking und die Herausforderung der Kontinuität in der Kennzahlenmessung.
10 Résumé: Zusammenfassendes Fazit zur Bedeutung von Kennzahlen als dynamisches Instrument im IT-Sicherheitsmanagement.
Schlüsselwörter
IT-Sicherheit, IT-Controlling, Kennzahlen, Sicherheitskennzahlen, Risikomanagement, IT-Governance, BSI-Grundschutz, ISO 27001, COBIT, Schwachstellenmanagement, Performance Measurement, Patch-Management, Vulnerability-Assessment, Metriken, IT-Management
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit befasst sich mit der Entwicklung und dem Entwurf eines metrischen Systems zur Messung der IT-Sicherheit, um diese innerhalb des IT-Controllings effektiv steuern und bewerten zu können.
Was sind die zentralen Themenfelder der Arbeit?
Zentrale Themen sind die Einordnung von IT-Sicherheit in Managementprozesse, die Auswahl geeigneter Standards (wie BSI oder ISO), die mathematische Bildung von Kennzahlen sowie deren praktische Anwendung im IT-Dienstleistungssektor.
Was ist das primäre Ziel oder die Forschungsfrage?
Das Ziel ist es, den Entscheidungsträgern einen Leitfaden an die Hand zu geben, um aufbauend auf bestehenden Grundschutzmaßnahmen ein metrisches System zu etablieren, das die Wirksamkeit von Sicherheitsmaßnahmen transparent macht.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit kombiniert eine Literaturanalyse bestehender Standards und Controlling-Modelle mit der Entwicklung und Dokumentation fiktiver, aber praxisnaher Fallbeispiele zur Kennzahlenberechnung.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil gliedert sich in die theoretische Fundierung von Kennzahlensystemen, die Analyse internationaler Sicherheitsstandards, die detaillierte Vorstellung konkreter technischer und organisatorischer Kennzahlen sowie ein umsetzbares Vorgehensmodell.
Welche Schlüsselwörter charakterisieren die Arbeit am besten?
Die zentralen Begriffe sind IT-Sicherheitsmetrik, IT-Controlling, Kennzahlensystem, Risikomanagement und Compliance.
Wie wird in der Arbeit zwischen organisatorischen und technischen Kennzahlen unterschieden?
Die Arbeit unterscheidet diese vor allem hinsichtlich ihrer Erhebung: Während organisatorische Kennzahlen oft manuell ermittelt werden, zielen technische Kennzahlen auf eine automatisierte Erfassung ab, was sie objektiver, aber auch technisch anspruchsvoller in der Implementierung macht.
Wie löst der Autor den Konflikt zwischen Kostenminimierung und IT-Sicherheit?
Der Autor führt das Konzept des risikoorientierten Ansatzes an, bei dem Investitionen in Sicherheitsmaßnahmen anhand des zu reduzierenden Risikos und der drohenden Schadenshöhe unter Abwägung von Nutzen und Kosten priorisiert werden.
- Quote paper
- Rüdiger Kelkel (Author), 2016, Entwurf einer IT-Sicherheitsmetrik im Rahmen des IT-Controlling, Munich, GRIN Verlag, https://www.grin.com/document/336704
