Viele Unternehmen haben bereits Managementsysteme für die Informationssicherheit aufgebaut – nicht selten fehlt es dabei allerdings an einer übergreifenden Betrachtungsweise und an nachvollziehbaren Kennzahlen. Zur Orientierung dient häufig der Standard ISO 27001 [1], der unter anderem den Aufbau eines Information Security Management System (ISMS) und seiner Maßnahmen (in Form so genannter Controls) beschreibt. Dieser Beitrag erweitert ein solches risikobasiertes ISMS zu einem ganzheitlichen Managementsystem für Informationssicherheit, indem er ergänzend Methodiken für das Business-Alignment und die IT-Security-Governance vorschlägt.
Die Notwendigkeit eines ganzheitlichen ISMS lässt sich bereits anhand der Aufgabenstellung eines Chief Information Security Officers (CISO) begründen. Der CISO erhält seinen Auftrag von der Geschäftsführung, die ihm üblicherweise unter anderem folgende Rahmenbedingungen vorgibt (vgl. Abb. 1):
Umgekehrt benötigt die Geschäftsführung vom CISO einen regelmäßigen Bericht, der eine Beurteilung der bestehenden operativen Risiken der IT, der Angemessenheit des Sicherheitsniveaus, der Compliance und des Reifegrades des implementierten ISMS ermöglicht. Zudem muss der CISO Budget und Ressourcen für sein ISMS anfordern und begründen.
Zur Aufgabenerfüllung benötigt der CISO zudem ein Instrumentarium, um zur Steuerung und Kontrolle des ISMS Ziele und Kennzahlen zu definieren, die von den Geschäftszielen ableitbar sind. Reports zur Ist-Situation unter anderem bezüglich der Kennzahlen, Umsetzung von Maßnahmen, durchgeführten Analysen und Compliance-Anforderungen werden ebenfalls benötigt. Bei alldem muss der CISO alle Interessengruppen wie Kunden, Mitarbeiter und Lieferanten berücksichtigen.
Abbildung 1: Die Aufgabenstellung des Chief Information Security Officers (CISO)
Um die Aufgabenstellung des CISO bestmöglich erfüllen zu helfen, wird im Folgenden ein ganzheitliches, an verschiedenen anerkannten Standards orientiertes ISMS beschrieben, das unter anderem charakterisiert wird durch:
Abbildung 2: Elemente eines ganzheitlichen Information Security Management System (ISMS)
Ziel der Balanced-Scorecard-Methodik (BSC) ist die Messung der Aktivitäten einer Organisation im Hinblick auf ihre Strategie. Dabei werden neben finanziellen unter anderem auch menschliche Aspekte und Prozesse betrachtet und miteinander ins Gleichgewicht gebracht. Die Balanced Scorecard gruppiert dazu so genannte Perspektiven wie Finanzen, Kunden, Prozesse und Mitarbeiter um die Strategie des Unternehmens (vgl. Abb. 3). Für diese Perspektiven sind gemäß der Strategie sowohl Ziele, Maßnahmen und Kennzahlen als auch zugehörige Soll-Werte zu definieren. Diese Art der Strategie-Darstellung bleibt dabei für alle Mitarbeiter verständlich, da sie durch klare Ziele operationalisiert ist.
Abbildung 3: Balanced Scorecard für das ISMS
Die Control Objectives for Information and related Technology (COBIT) orientieren sich an den Geschäftszwecken des Unternehmens, indem sie Geschäftsziele mit IT-Zielen verknüpfen. Die Geschäftsziele werden im Fall des vorgeschlagenen ISMS den Perspektiven der BSC zugeordnet – den IT-Zielen ordnet man hingegen Prozesse aus den 34 definierten IT-Prozessen der COBIT-Methodik zu, die gemäß den vier Bereichen (Domains), Plan and Organise (PO), Acquire and Implement (AI), Deliver and Support (DS) sowie Monitor and Evaluate (ME) strukturiert sind. Tabelle 1 liefert eine grobe Zuordnung dieser vier Bereiche zu den Phasen des Plan-Do-Check-Act-Zyklus (PDCA).
PDCA-Phase | COBIT-Domain |
---|---|
Plan | Plan and Organise (PO) |
Do | Acquire and Implement (AI) |
Deliver and Support (DS) | |
Check | Monitor and Evaluate (ME) |
Act |
Tabelle 1: Zuordnung der COBIT-Domains zu den Phasen des Plan-Do-Check-Act-Zyklus (PDCA)
Für die Perspektive "Mitarbeiter" nennt COBIT beispielsweise als Geschäftsziel "Einstellung und Entwicklung von qualifizierten und motivierten Mitarbeitern". Ihm ist unter anderem das IT-Ziel "Einstellung und Entwicklung motivierter Mitarbeiter mit zur IT-Strategie passenden Fertigkeiten" zugeordnet. Zum Erreichen dieses Ziels hat COBIT unter anderen den Prozess PO7 "Managen des IT-Personals" vorgesehen. Beispielhafte Kennzahlen hierzu könnten die Zufriedenheit der Stakeholder mit der Expertise und den Fertigkeiten (Skills) des IT-Personals, die Fluktuation beim IT-Personal und der Prozentsatz des IT-Personals sein, das für die Arbeitsstelle förderliche Zertifizierungen besitzt.
Perspektive | Geschäftsziel | ISi-Ziel | COBIT-Prozess | Kennzahlen |
---|---|---|---|---|
Mitarbeiter | Einstellung und Entwicklung von qualifizierten und motivierten Mitarbeitern | Einstellung und Entwicklung motivierter Mitarbeiter mit passenden Fertigkeiten zur Umsetzung von Strategie und Zielen der Informationssicherheit | PO7 Managen des IT-Personals |
|
Tabelle 2: Für die Perspektive "Mitarbeiter" in COBIT abgeleitete ISi-Ziele, Prozesse und Kennzahlen
Für die Informations-Sicherheit (ISi) lässt sich bei gleichlautendem Geschäftsziel und COBIT-Prozess die "Einstellung und Entwicklung motivierter Mitarbeiter mit passenden Fertigkeiten zur Umsetzung von Strategie und Zielen der Informationssicherheit" als ISi-Ziel ableiten (vgl. Tab. 2). Als Kennzahlen kommen dabei beispielsweise in Betracht:
Dieses einfache Beispiel zeigt, wie sich von Geschäftszielen abgeleitete Ziele und ein Satz möglicher, quantifizierbarer Kennzahlen für die Informationssicherheit ermitteln lassen. Durchläuft man das Verfahren für alle in COBIT formulierten Ziele und zugeordneten Prozesse, erhält man zunächst eine recht große Menge von Kennzahlen – um die 50 wären problemlos vorstellbar. Das sind zu viele, um sie einfach überblicken und für die Steuerung des ISMS einsetzen zu können. Jedoch sind nicht alle Kennzahlen in gleicher Weise für ein Unternehmen und seinen CISO nutzbar. Sie sollten daher – unter anderen – nach folgenden Eignungskriterien ausgewählt werden:
Welche Kriterien mit welcher Priorität angewendet werden sollen, ist für das einzelne Unternehmen unter der Verantwortung des CISO individuell festzulegen. Die Autoren empfehlen, mithilfe klarer Auswahlkriterien einen Satz von maximal 10 bis 15 Kennzahlen im Schema der Balanced Scorecard zu definieren, mit denen der CISO die Steuerung des ISMS ausübt und seinen Report für die Geschäftsführung erstellen kann. Wichtig ist dabei nicht zuletzt, dass jeder Kennzahl ein Verantwortlicher zugeordnet ist, der diese Zahl erhebt und Analysen durchführt (z. B. wenn ein bestimmter Soll-Wert nicht erreicht oder eingehalten wird).
Ein Beispiel für ein mögliches Kennzahlensystem für den CISO zeigt Abbildung 4. Darin ermöglichen etwa die Kennzahlen "Reifegrad der ISMS-Prozesse" und "Vollständigkeit der ISMS-Dokumentation" eine Aussage über die Compliance zur ISO 27001. Der "Reifegrad der ISMS-Prozesse" kann hierzu beispielsweise als Mittelwert über die Reifegrade der wichtigsten ISMS-Prozesse wie Patch- und Change-Management, Incident Handling et cetera berechnet werden. Dieser Reifegrad lässt sich wiederum über das Modell der Capability Maturity Model Integration (CMMI, [5]) oder über ISO 15504 "Information technology – Process assessment "ermitteln.
Weiters liefert die Kennzahl Kundenbeschwerden in Bezug auf die angebotenen IT-Services eine ausgezeichnete Steuerungsgröße für die BSC-Perspektive "Kunde": Wenn sich beispielsweise die Zahl der Kundenbeschwerden verschlechtert, kann der CISO sofort eine Analyse über den Service-Manager anstoßen. Der Reifegrad des ganzheitlichen ISMS könnte zudem durch eine (gewichtete) Mittelwertbildung über alle angegebenen Kennzahlen bestimmt werden. Das in Abbildung 4 gezeigte System ist dabei natürlich nur eines von vielen möglichen; eine Normierung der Kennzahlen wurde in allen Beispielen vorausgesetzt.
Abbildung 4: Mögliches Kennzahlensystem zur Steuerung und Kontrolle eines ISMS
Um eine vollständige Steuerung der IT und Informationssicherheit zu gewährleisten, benötigt man neben den bisher betrachteten Kennzahlen auch solche auf der Ebene des IT-Betriebs als Grundlage für Entscheidungen von CISO und Mangement – die hieraus folgernden Ebenen der Kennzahlensysteme verdeutlicht Abbildung 5.
Abbildung 5: Ebenen der Kennzahlensysteme
Die hierfür zu messenden Ziele des IT-Betriebs sind in Service Level Agreements (SLAs) vorgegeben oder durch Anforderungen des CISO, des Datenschutzes, des IT-Service-Managers et cetera definiert. Sie sind daher durch eine Anforderungsanalyse zu ermitteln, für die im Folgenden zwei Beispiele angeführt werden.
Der IT-Service-Manager möchte in diesem Beispiel die Ende-zu-Ende-Verfügbarkeit für eine Portalanwendung ermitteln, zum einen um proaktiv handeln zu können, zum anderen um die Einhaltung eines für das Portal vereinbarten SLA nachweisen zu können. Die Ende-zu-Ende-Verfügbarkeit wird hierzu durch eine Dummy-Anwendung, die Testanfragen stellt und Transaktionen auslöst, aktiv geprüft.
Beispiel Nummer zwei: Der CISO fordert, die Integrität von Konfigurationsdateien auf kritischen Systemen zu überwachen. Hierzu werden Integritäts-Checker so implementiert, dass Veränderungen an Konfigurationsdateien feststellbar sind; die zugehörigen Alarmmeldungen erfasst ein Security-Event-Monitoring-Tool automatisch. So lässt sich die Zahl entsprechender Compliance-Verletzungen (hier: Verletzung der Integrität von Konfigurationsdateien) messen.
Die Kennzahlen des IT-Betriebs können sich auf die Überwachung der IT-Infrastruktur oder von Applikationen und IT-Services beziehen. Kennzahlen der IT-Infrastruktur, wie die Zahl der Events eines Intrusion-Detection-Systems (IDS) oder einer Firewall, werden häufig schon automatisch mittels so genannter Security-Incident- und -Event-Management-Tools (SIEM) erhoben. Hingegen sind geeignete Kennzahlen für IT-Services meist eigens zu identifizieren. Dazu kann man zum Beispiel das in der IT Infrastructure Library (ITIL, [3]) im Teil "Continual Service Improvement" beschriebene Verfahren verwenden, das aus den Zielen Kennzahlen und aus den Messungen Verbesserungen ableitet.
Zu beachten ist zudem, ob Kennzahlen proaktiv oder reaktiv eingesetzt werden sollen: Proaktive Kennzahlen dienen dazu, mögliche Störungen frühzeitig zu erkennen und zu vermeiden, zum Beispiel durch die Beobachtung der Plattenplatznutzung eines Systems. Hierzu ist immer die Definition eines Schwellwerts notwendig, ab dem Alarm ausgelöst wird, um beispielsweise ein Volllaufen des Plattenspeichers noch verhindern zu können. Reaktive Kennzahlen dienen hingegen der Analyse nach einem Störfall oder liefern Zustandsinformationen. Ein Beispiel ist etwa die Zahl der Compliance-Verletzungen, die in einem Geschäftsjahr aufgetreten sind.
Schwellwerte stellen aber nur eines der Attribute dar, mit dem eine Kennzahl beschrieben wird: Weitere Attribute sind etwa die Messfrequenz, das Format, zugehörige IT-Komponenten und Adressaten (wer benötigt die Kennzahl?), die erforderliche Genauigkeit, technische Schnittstellen, Messmethode und Archivierungsanforderungen. Die Informationen werden in einem Steckbrief für jede Kennzahl zusammengestellt (Beispiel siehe Tab. 3)
Auch die Werte der Attribute müssen gemäß der Aufgabe der Kennzahl geeignet gewählt werden: Der Schwellwert einer proaktiven Kennzahl muss beispielsweise berücksichtigen, dass nach einem Alarm noch ausreichend Zeit für eine Reaktion bleibt. Eine geeignete Messfrequenz hängt davon ab, wie oft sich der Wert einer Kennzahl ändert, wie schnell man das Erreichen eines Schwellwertes erkennen muss, wie viel Zeit ein potenzieller Angreifer benötigt, um eine Attacke (unerkannt) durchführen zu können et cetera. Um somit die exakten Attribut-Werte festlegen zu können, sind eine Reihe von Fragen zu klären: einerseits aus betrieblichen Anforderungen heraus, zum anderen aus den Anforderungen von SLAs, CISO, Datenschutz et cetera.
Kennzahl: Complianceverletzungen | |
---|---|
Beschreibung | Unautorisierte Änderungen der Konfigurationsdateien von kritischen Systemen |
Ziel | Ermittlung von Complianceverletzungen innerhalb eines Geschäftsjahrs |
Adressat | CISO, Datenschutz |
Schwellwert | jede Änderung |
Messfrequenz | stündlich |
Messmethode | Integritätschecker (direkt, automatisch) |
Schnittstelle | → Monitoringsystem
← Change Management |
Komponenten | Webserver, Applikationsserver (Portal) |
Archivierung | 1 Jahr |
Tabelle 3: Beispiel für einen Kennzahl-Steckbrief
Der hier vorgestellte ganzheitliche Ansatz für das Information-Sicherheits-Management hat durch den Einsatz der vier Elemente ISO 27001, Risikomanagement, Anlehnung an Balanced Scorecards und Aufbau des Kennzahlensystems gemäß COBIT etliche Vorteile:
Aus den genannten Gründen wurde das ISMS als ganzheitlich charakterisiert: Es bezieht alle Mitarbeiter und Interessengruppen ein, erfasst alle Themenfelder der Informations-Sicherheit und ermöglicht die Steuerung auf allen Hierarchieebenen.
Udo Adlmanninger und Dr. Thomas Störtkuhl sind Senior Consultants bei der Secaron AG.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#5, Seite 86
tag:kes.info,2007:art:2007-5-086