Alles im Blick Ganzheitliches Sicherheitsmanagement mit Kennzahlen für IT-Betrieb und -Sicherheit

Ordnungsmerkmale

erschienen in: <kes> 2007^#5, Seite 86

Zusammenfassung: Dieser Beitrag stellt ein ganzheitliches Information Security Management System (ISMS) vor, das basierend auf anerkannten Standards und Best Practises alle Mitarbeiter und Interessengruppen einbezieht, alle Themenfelder der Informations-Sicherheit erfasst und anhand konkreter Kennzahlen die Steuerung auf allen Hierarchieebenen ermöglicht.

Autor: Von Udo Adlmanninger und Thomas Störtkuhl, Hallbergmoos

Viele Unternehmen haben bereits Managementsysteme für die Informationssicherheit aufgebaut – nicht selten fehlt es dabei allerdings an einer übergreifenden Betrachtungsweise und an nachvollziehbaren Kennzahlen. Zur Orientierung dient häufig der Standard ISO 27001 [1], der unter anderem den Aufbau eines Information Security Management System (ISMS) und seiner Maßnahmen (in Form so genannter Controls) beschreibt. Dieser Beitrag erweitert ein solches risikobasiertes ISMS zu einem ganzheitlichen Managementsystem für Informationssicherheit, indem er ergänzend Methodiken für das Business-Alignment und die IT-Security-Governance vorschlägt.

Die Notwendigkeit eines ganzheitlichen ISMS lässt sich bereits anhand der Aufgabenstellung eines Chief Information Security Officers (CISO) begründen. Der CISO erhält seinen Auftrag von der Geschäftsführung, die ihm üblicherweise unter anderem folgende Rahmenbedingungen vorgibt (vgl. Abb. 1):

• das für das Unternehmen akzeptable Risiko,
• die akzeptable Grenze für Schäden (z. B. bei Notfällen),
• die Ressourcen und das Budget für den Aufbau und den Betrieb eines ISMS,
• unter Umständen weitere Anforderungen aus Gesetzen, Verträgen et cetera.

Zentrale Figur: der CISO

Umgekehrt benötigt die Geschäftsführung vom CISO einen regelmäßigen Bericht, der eine Beurteilung der bestehenden operativen Risiken der IT, der Angemessenheit des Sicherheitsniveaus, der Compliance und des Reifegrades des implementierten ISMS ermöglicht. Zudem muss der CISO Budget und Ressourcen für sein ISMS anfordern und begründen.

Zur Aufgabenerfüllung benötigt der CISO zudem ein Instrumentarium, um zur Steuerung und Kontrolle des ISMS Ziele und Kennzahlen zu definieren, die von den Geschäftszielen ableitbar sind. Reports zur Ist-Situation unter anderem bezüglich der Kennzahlen, Umsetzung von Maßnahmen, durchgeführten Analysen und Compliance-Anforderungen werden ebenfalls benötigt. Bei alldem muss der CISO alle Interessengruppen wie Kunden, Mitarbeiter und Lieferanten berücksichtigen.

Abbildung 1: Die Aufgabenstellung des Chief Information Security Officers (CISO)

Um die Aufgabenstellung des CISO bestmöglich erfüllen zu helfen, wird im Folgenden ein ganzheitliches, an verschiedenen anerkannten Standards orientiertes ISMS beschrieben, das unter anderem charakterisiert wird durch:

• ein risikoorientiertes ISMS im Sinne der ISO 27001,
• eine an Balanced Scorecards (s. [2]) angelehnte Methodik zur Ausrichtung aller Aktivitäten auf ein gemeinsames Ziel hin (strategische Ausrichtung) und
• Ausrichtung der Informationssicherheit an den Geschäftszielen und den Anforderungen des Geschäftszweckes (Business Alignment) mithilfe der Control Objectives for Information and related Technology (COBIT) [3,4].

Abbildung 2: Elemente eines ganzheitlichen Information Security Management System (ISMS)

Balanced Scorecard und COBIT

Ziel der Balanced-Scorecard-Methodik (BSC) ist die Messung der Aktivitäten einer Organisation im Hinblick auf ihre Strategie. Dabei werden neben finanziellen unter anderem auch menschliche Aspekte und Prozesse betrachtet und miteinander ins Gleichgewicht gebracht. Die Balanced Scorecard gruppiert dazu so genannte Perspektiven wie Finanzen, Kunden, Prozesse und Mitarbeiter um die Strategie des Unternehmens (vgl. Abb. 3). Für diese Perspektiven sind gemäß der Strategie sowohl Ziele, Maßnahmen und Kennzahlen als auch zugehörige Soll-Werte zu definieren. Diese Art der Strategie-Darstellung bleibt dabei für alle Mitarbeiter verständlich, da sie durch klare Ziele operationalisiert ist.

Abbildung 3: Balanced Scorecard für das ISMS

Die Control Objectives for Information and related Technology (COBIT) orientieren sich an den Geschäftszwecken des Unternehmens, indem sie Geschäftsziele mit IT-Zielen verknüpfen. Die Geschäftsziele werden im Fall des vorgeschlagenen ISMS den Perspektiven der BSC zugeordnet – den IT-Zielen ordnet man hingegen Prozesse aus den 34 definierten IT-Prozessen der COBIT-Methodik zu, die gemäß den vier Bereichen (Domains), Plan and Organise (PO), Acquire and Implement (AI), Deliver and Support (DS) sowie Monitor and Evaluate (ME) strukturiert sind. Tabelle 1 liefert eine grobe Zuordnung dieser vier Bereiche zu den Phasen des Plan-Do-Check-Act-Zyklus (PDCA).

Darüber hinaus umfasst COBIT Metriken und Reifegradmodelle, mit denen sich IT-Prozesse messen lassen. Somit liefert COBIT ein klares Vorgehen, um IT-Ziele, Maßnahmen und Kennzahlen aus den Geschäftszielen des Unternehmens abzuleiten – dies kann geordnet nach den Perspektiven der Balanced Scorecard erfolgen, was im Folgenden an einem Beispiel für die Informationssicherheit genutzt werden soll.

Für die Perspektive "Mitarbeiter" nennt COBIT beispielsweise als Geschäftsziel "Einstellung und Entwicklung von qualifizierten und motivierten Mitarbeitern". Ihm ist unter anderem das IT-Ziel "Einstellung und Entwicklung motivierter Mitarbeiter mit zur IT-Strategie passenden Fertigkeiten" zugeordnet. Zum Erreichen dieses Ziels hat COBIT unter anderen den Prozess PO7 "Managen des IT-Personals" vorgesehen. Beispielhafte Kennzahlen hierzu könnten die Zufriedenheit der Stakeholder mit der Expertise und den Fertigkeiten (Skills) des IT-Personals, die Fluktuation beim IT-Personal und der Prozentsatz des IT-Personals sein, das für die Arbeitsstelle förderliche Zertifizierungen besitzt.

Für die Informations-Sicherheit (ISi) lässt sich bei gleichlautendem Geschäftsziel und COBIT-Prozess die "Einstellung und Entwicklung motivierter Mitarbeiter mit passenden Fertigkeiten zur Umsetzung von Strategie und Zielen der Informationssicherheit" als ISi-Ziel ableiten (vgl. Tab. 2). Als Kennzahlen kommen dabei beispielsweise in Betracht:

Dieses einfache Beispiel zeigt, wie sich von Geschäftszielen abgeleitete Ziele und ein Satz möglicher, quantifizierbarer Kennzahlen für die Informationssicherheit ermitteln lassen. Durchläuft man das Verfahren für alle in COBIT formulierten Ziele und zugeordneten Prozesse, erhält man zunächst eine recht große Menge von Kennzahlen – um die 50 wären problemlos vorstellbar. Das sind zu viele, um sie einfach überblicken und für die Steuerung des ISMS einsetzen zu können. Jedoch sind nicht alle Kennzahlen in gleicher Weise für ein Unternehmen und seinen CISO nutzbar. Sie sollten daher – unter anderen – nach folgenden Eignungskriterien ausgewählt werden:

Kosten

Die Erhebung des aktuellen Wertes einer Kennzahl muss mit vertretbarem Aufwand erfolgen können. Zum Beispiel sind Kennzahlen zu bevorzugen, die schon im Unternehmen ermittelt werden oder sich kostengünstig automatisiert erheben lassen.

Unabhängigkeit

Die Kennzahl sollte möglichst auch dann noch gültig bleiben, wenn sich beispielsweise die IT-Infrastruktur ändert. Damit bleibt sie über einen längeren Zeitraum (durchaus mehrere Jahre) gültig und nutzbar und ermöglicht es, Trends zu erkennen.

Soll-Definition

Der Soll-Wert einer Kennzahl muss einfach festzulegen sein – vor allem muss also die Kennzahl überhaupt quantifizierbar sein. Beispielsweise ist sofort einsichtig, dass die Zahl der Kundenbeschwerden gegen Null streben sollte. Natürlich können auch Benchmark-Ergebnisse von Konkurrenten verwendet werden. Solche liegen aber häufig gerade für den Bereich der Informationssicherheit nicht vor; außerdem bleibt zu diskutieren, ob Benchmarking die korrekte Orientierung darstellt.

Welche Kriterien mit welcher Priorität angewendet werden sollen, ist für das einzelne Unternehmen unter der Verantwortung des CISO individuell festzulegen. Die Autoren empfehlen, mithilfe klarer Auswahlkriterien einen Satz von maximal 10 bis 15 Kennzahlen im Schema der Balanced Scorecard zu definieren, mit denen der CISO die Steuerung des ISMS ausübt und seinen Report für die Geschäftsführung erstellen kann. Wichtig ist dabei nicht zuletzt, dass jeder Kennzahl ein Verantwortlicher zugeordnet ist, der diese Zahl erhebt und Analysen durchführt (z. B. wenn ein bestimmter Soll-Wert nicht erreicht oder eingehalten wird).

Ein Beispiel für ein mögliches Kennzahlensystem für den CISO zeigt Abbildung 4. Darin ermöglichen etwa die Kennzahlen "Reifegrad der ISMS-Prozesse" und "Vollständigkeit der ISMS-Dokumentation" eine Aussage über die Compliance zur ISO 27001. Der "Reifegrad der ISMS-Prozesse" kann hierzu beispielsweise als Mittelwert über die Reifegrade der wichtigsten ISMS-Prozesse wie Patch- und Change-Management, Incident Handling et cetera berechnet werden. Dieser Reifegrad lässt sich wiederum über das Modell der Capability Maturity Model Integration (CMMI, [5]) oder über ISO 15504 "Information technology – Process assessment "ermitteln.

Weiters liefert die Kennzahl Kundenbeschwerden in Bezug auf die angebotenen IT-Services eine ausgezeichnete Steuerungsgröße für die BSC-Perspektive "Kunde": Wenn sich beispielsweise die Zahl der Kundenbeschwerden verschlechtert, kann der CISO sofort eine Analyse über den Service-Manager anstoßen. Der Reifegrad des ganzheitlichen ISMS könnte zudem durch eine (gewichtete) Mittelwertbildung über alle angegebenen Kennzahlen bestimmt werden. Das in Abbildung 4 gezeigte System ist dabei natürlich nur eines von vielen möglichen; eine Normierung der Kennzahlen wurde in allen Beispielen vorausgesetzt.

Abbildung 4: Mögliches Kennzahlensystem zur Steuerung und Kontrolle eines ISMS

Kennzahlen zum IT-Betrieb

Um eine vollständige Steuerung der IT und Informationssicherheit zu gewährleisten, benötigt man neben den bisher betrachteten Kennzahlen auch solche auf der Ebene des IT-Betriebs als Grundlage für Entscheidungen von CISO und Mangement – die hieraus folgernden Ebenen der Kennzahlensysteme verdeutlicht Abbildung 5.

Abbildung 5: Ebenen der Kennzahlensysteme

Die hierfür zu messenden Ziele des IT-Betriebs sind in Service Level Agreements (SLAs) vorgegeben oder durch Anforderungen des CISO, des Datenschutzes, des IT-Service-Managers et cetera definiert. Sie sind daher durch eine Anforderungsanalyse zu ermitteln, für die im Folgenden zwei Beispiele angeführt werden.

Verfügbarkeit eines Portals

Der IT-Service-Manager möchte in diesem Beispiel die Ende-zu-Ende-Verfügbarkeit für eine Portalanwendung ermitteln, zum einen um proaktiv handeln zu können, zum anderen um die Einhaltung eines für das Portal vereinbarten SLA nachweisen zu können. Die Ende-zu-Ende-Verfügbarkeit wird hierzu durch eine Dummy-Anwendung, die Testanfragen stellt und Transaktionen auslöst, aktiv geprüft.

Integrität von Konfigurationsdateien

Beispiel Nummer zwei: Der CISO fordert, die Integrität von Konfigurationsdateien auf kritischen Systemen zu überwachen. Hierzu werden Integritäts-Checker so implementiert, dass Veränderungen an Konfigurationsdateien feststellbar sind; die zugehörigen Alarmmeldungen erfasst ein Security-Event-Monitoring-Tool automatisch. So lässt sich die Zahl entsprechender Compliance-Verletzungen (hier: Verletzung der Integrität von Konfigurationsdateien) messen.

Auswahl geeigneter IT-Kennzahlen

Die Kennzahlen des IT-Betriebs können sich auf die Überwachung der IT-Infrastruktur oder von Applikationen und IT-Services beziehen. Kennzahlen der IT-Infrastruktur, wie die Zahl der Events eines Intrusion-Detection-Systems (IDS) oder einer Firewall, werden häufig schon automatisch mittels so genannter Security-Incident- und -Event-Management-Tools (SIEM) erhoben. Hingegen sind geeignete Kennzahlen für IT-Services meist eigens zu identifizieren. Dazu kann man zum Beispiel das in der IT Infrastructure Library (ITIL, [3]) im Teil "Continual Service Improvement" beschriebene Verfahren verwenden, das aus den Zielen Kennzahlen und aus den Messungen Verbesserungen ableitet.

Zu beachten ist zudem, ob Kennzahlen proaktiv oder reaktiv eingesetzt werden sollen: Proaktive Kennzahlen dienen dazu, mögliche Störungen frühzeitig zu erkennen und zu vermeiden, zum Beispiel durch die Beobachtung der Plattenplatznutzung eines Systems. Hierzu ist immer die Definition eines Schwellwerts notwendig, ab dem Alarm ausgelöst wird, um beispielsweise ein Volllaufen des Plattenspeichers noch verhindern zu können. Reaktive Kennzahlen dienen hingegen der Analyse nach einem Störfall oder liefern Zustandsinformationen. Ein Beispiel ist etwa die Zahl der Compliance-Verletzungen, die in einem Geschäftsjahr aufgetreten sind.

Schwellwerte stellen aber nur eines der Attribute dar, mit dem eine Kennzahl beschrieben wird: Weitere Attribute sind etwa die Messfrequenz, das Format, zugehörige IT-Komponenten und Adressaten (wer benötigt die Kennzahl?), die erforderliche Genauigkeit, technische Schnittstellen, Messmethode und Archivierungsanforderungen. Die Informationen werden in einem Steckbrief für jede Kennzahl zusammengestellt (Beispiel siehe Tab. 3)

Auch die Werte der Attribute müssen gemäß der Aufgabe der Kennzahl geeignet gewählt werden: Der Schwellwert einer proaktiven Kennzahl muss beispielsweise berücksichtigen, dass nach einem Alarm noch ausreichend Zeit für eine Reaktion bleibt. Eine geeignete Messfrequenz hängt davon ab, wie oft sich der Wert einer Kennzahl ändert, wie schnell man das Erreichen eines Schwellwertes erkennen muss, wie viel Zeit ein potenzieller Angreifer benötigt, um eine Attacke (unerkannt) durchführen zu können et cetera. Um somit die exakten Attribut-Werte festlegen zu können, sind eine Reihe von Fragen zu klären: einerseits aus betrieblichen Anforderungen heraus, zum anderen aus den Anforderungen von SLAs, CISO, Datenschutz et cetera.

Fazit

Der hier vorgestellte ganzheitliche Ansatz für das Information-Sicherheits-Management hat durch den Einsatz der vier Elemente ISO 27001, Risikomanagement, Anlehnung an Balanced Scorecards und Aufbau des Kennzahlensystems gemäß COBIT etliche Vorteile:

• Durch das ISMS gemäß ISO 27001 werden alle Aspekte der Informationssicherheit erfasst.
• Die Angemessenheit des Sicherheitsniveaus wird durch die Orientierung an den operativen Risiken gewährleistet. Dies stellt auch ein erstes Business-Alignment dar.
• Die vorgestellte Ableitung von Zielen und Kennzahlen für das ganzheitliche ISMS gewährleistet ein Business-Alignment der Informations-Sicherheit mit den Geschäftszielen.
• Die Strukturierung nach Perspektiven gemäß Balanced Scorecard garantiert die Berücksichtigung verschiedener relevanter Interessengruppen und Themen. Zudem werden die Ziele und Kennzahlen verständlich so dargestellt, dass sie eine Operationalisierung ermöglichen, sprich die Mitarbeiter aller Hierarchieebenen sich an den Zielen orientieren und die Zielerreichung über die Kennzahlen kontrollieren können.
• Auf den Ebenen der Geschäftsführung, des CISO und des IT-Betriebs werden Kennzahlsysteme eingeführt, die Steuerung und Kontrolle auf allen drei Ebenen ermöglichen.

Aus den genannten Gründen wurde das ISMS als ganzheitlich charakterisiert: Es bezieht alle Mitarbeiter und Interessengruppen ein, erfasst alle Themenfelder der Informations-Sicherheit und ermöglicht die Steuerung auf allen Hierarchieebenen.

Udo Adlmanninger und Dr. Thomas Störtkuhl sind Senior Consultants bei der Secaron AG.

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007^#5, Seite 86
tag:kes.info,2007:art:2007-5-086