Metriken in der IT-Sicherheit" (3/5): Qual der Wahl bei der Methode

05.08.08

Kategorie: IT-Sicherheit

Im dritten Teil des fünfteiligen Blogs zum Thema „Metriken in der IT-Sicherheit unterstützen das strategische Security Monitoring“ befasst sich Lothar Lochmaier mit der Wahl der Methode.

Teil III: Metriken: Qual der Wahl bei der Methode

Der Zugang via empirische Methoden stellt jedoch neuerliche Zugangsbarrieren bereit, so etwa bei der Erfassung aller Vorfälle und Ereignisse mit negativen Folgen für das Unternehmen, bei der Ermittlung des Aufwandes zur Schadensbeseitigung. sowie bei der Identifizierung von Ursachen und deren Zusammenhängen.

Ein häufig zu beobachtender methodischer Fehler ist die Verwendung von Risikomatrizen zur Kostenabschätzung. Bei diesem Ansatz werden die Eintrittswahrscheinlichkeit und die Schadenshöhe qualitativ in Relation gebracht und verschiedene Bereiche definiert, aus denen sich potenzielle Risiken beziehungsweise der daraus resultierende Handlungsbedarf ableiten lassen.

Auch wenn das Fehlen von zuverlässigem Datenmaterial für Wahrscheinlichkeiten und Schadenshöhen ein kostenorientiertes Risikomanagement erschwert, so lassen sich in den Unternehmen doch eine Reihe von Ursachen und Mechanismen mit relativ eindeutiger Zuordnung eruieren. So sorgen ineffiziente Zielsysteme für Mitarbeiter und Manager dafür, dass die Beschäftigung mit den Ursachen und Risiken als eine unangenehme und subaltern zu delegierende Maßnahme verstanden wird.

Die daraus resultierenden Vermeidungsstrategien, nämlich klare Prozedere und Handlungsanleitungen auch organisatorisch reibungslos zu verankern, erschweren die Beseitigung der Bedrohungen. Demzufolge misslingt vereinfacht ausgedrückt der konzeptionelle Ansatz, die Wahrscheinlichkeit eines Schadensfalles zu begrenzen oder die Schadenshöhe bei nach gelagerten Risikokosten zu reduzieren.

Realistisches Bild zeichnen

Erreicht werden könnte dies nur durch zusätzliche Maßnahmen, die den Einspareffekt bis zu einem gewissen Grade kompensieren. Dies wäre etwa der Fall bei einer zusätzlichen Authentifizierung mit einem verschlüsselten Hardware Token (Baustein), der die Wahrscheinlichkeit eines Missbrauchs durch Fernzugriff (Remote Access) reduzieren würde.

Wenig hilfreich sind oftmals jedoch externe Bewertungen, die ein verschrobenes Bild der quantitativen Einschätzung von Risiken nachzeichnen, etwa indem diese in die banale Einschätzung münden, die Risiken lediglich in die drei groben Kategorien „hoch“, „mittel“ und „niedrig“ zu klassifizieren. Dies erscheint zwar oberflächlich betrachtet zunächst beruhigend, vermittelt aber nur ein scheinbares Sicherheitsgefühl, das erheblich vom Status Quo im Unternehmen abweichen kann.

Auch die negative Erfahrung mit Methoden, Tools und Beratern kann für Entscheidungsträger hemmend wirken, so dass diese von weiteren Initiativen absehen. Anstatt pragmatisch mit dem Bewusstsein möglicher Fehleinschätzungen zu operieren und ein suboptimales Vorgehen zunächst als Schritt in die richtige Richtung anzusehen, lässt sich gelegentlich ein Drang zum statischen und weitgehend formalen Perfektionismus beobachten. Die damit einher gehende Übermotivierung kann jeglichen kostenorientierten Rahmen für das Risikomanagement torpedieren, bis hin zur Überzeugung, die angeblich sicherste und überzeugendste Methode gefunden zu haben.

Ein kostenorientiertes Risikomanagement ist weder in einem Quartal eingeführt, geschweige denn lässt sich dieser Vorgang kurzfristig vollständig optimieren, so dass dieser Vorgang sich als „Return on Security Invest“ zur Kostensenkung in den Unternehmenszahlen positiv niederschlagen kann.

Das kurzfristige Denken in Quartalszahlen erschwert deshalb eine unternehmensstrategische Entscheidung, die eine solide Basis für den permanenten Kreislauf eines kostenorientierten Risikomanagement kennzeichnet. Dessen Etablierung kann freilich durchaus einige Jahre in Anspruch, weshalb dies einen langen Atem erfordert und kein Sprintverhalten.

In Teil I der fünfteiligen Blog-Serie zum Thema „Metriken in der IT-Sicherheit unterstützen das strategische Security Monitoring“ befasste sich Lothar Lochmaier am 29.07.08 mit den Metriken und Maßeinheiten zur Bewertung von Risiken.

Im zweiten Teil des fünfteiligen Blogs ging es am 01.08.05 um die Definition der Zielmarken.

In Teil IV, der am 08.08.08 erscheint, geht es um den Umgang mit Risiken.

<- Zurück zu: Definition

IT-Wissen Blogs

Data Loss Prevention (7/7): Krimineller Datenhandel weitet sich aus
16.09.08, IT-Sicherheit

Data Loss Prevention (6/7): Krimineller Datenhandel weitet sich aus
12.09.08, IT-Sicherheit

E-Book der Woche

Navigation, Ortung - Hier direkt zum kostenlosen Download

Interessante Artikel

..RAID.. ..SDSL.. ..WLAN.. ..ITIL.. ..QuadCore.. ..RFID.. ..bluetooth.. ..iSCSI.. ..IEEE 802.. ..l2tp.. ..M4B-Format.. ..MAC Adresse.. ..RAW.. ..AC97.. ..AM.. ..EBCDIC.. ..OSI.. ..SCEP.. ..Echtzeitanwendung.. ..OSI.. ..SATA.. ..WAN.. ..VLAN.. ..XML.. ..IPTV.. ..fogging.. ..G.722.. ..Letterbox.. ..multipath routing.. ..EMV.. ..blu ray disc.. ..Virtualisierung.. ..flexray.. ..floating car data.. ..FOMA.. ..FPU.. ..hspa+.. ..Biegeradius.. ..Polyäthylen .. ..Abstrakter Datentyp.. ..routing table.. ..fiber to the building.. ..switching fabric.. ..Differenzverstärker.. ..USB.. ..iPod.. ..MP3.. ..Video.. ..Java..