Metriken in der IT-Sicherheit" (4/5): Wenn der „spontane“ Umgang mit IT-Risiken dominiert

08.08.08

Kategorie: IT-Sicherheit

Im vierten Teil des fünfteiligen Blogs zum Thema „Metriken in der IT-Sicherheit unterstützen das strategische Security Monitoring“ befasste sich Lothar Lochmaier mit dem Umgang mit IT-Risiken.

Teil IV: Metriken: … Wenn der „spontane“ Umgang mit IT-Risiken dominiert

Experten konstatieren aufgrund des meist vorherrschenden und durchaus verständlichen „Ad-hoc-Prozederes“ in den Unternehmen erhebliche Handlungsdefizite. Oftmals überschätzen die Spezialisten die Bedeutung der IT-Systeme ohne konkrete Berechnungen. Das Bauchgefühl kann genauso trügerisch sein wie eine allzu simpel gestrickte Mathematik. Nicht selten führt auch die Eskalation von kleineren Ausfällen oder Unterbrechungen an den Vorstand zu dem allgemeinen Verständnis, dass ein Ausfall nicht akzeptabel sei.

Konkret drückt sich diese ‚falsche’ Annahme durch zu kurze Wiederherstellungszeiten (Recovery Time Objective) aus. Jede Verkleinerung der RTO führt jedoch zu einem überproportional hohen Anstieg der Kosten für Ersatzsysteme. Dies wiederum führt zu erheblichen Fehlinvestitionen, die an anderer Stelle fehlen. Der Grat zwischen über- und unterdimensionierter Prävention ist also äußerst schmal.

Ein zentraler Fehler ist die Entkopplung von Business und IT. Letztere bildet wie angedeutet eine Art offene Flanke, die Anforderungen in aller Regel vollkommen überhöht abzubilden. Das Folgephänomen besteht etwa nach einem Ausfall in einem sehr aufwändigen und detailreich gestalteten Konzept zur Wiederherstellung des Regelbetriebs (Disaster Recovery), das aufgrund seiner hohen Kosten jedoch vom Business abgelehnt wird.

Oftmals starten die Unternehmen daraufhin einen meist nicht sehr erfolgreichen zweiten Anlauf mit erniedrigten Anforderungen. Externe Dienstleister versuchen dem entgegen zu wirken, indem sie deutlich machen, was der Kunde von einer ROI-Betrachtung mit Blick auf die IT-Sicherheit erwarten kann, und welche Ansätze demgegenüber für den Kunden nur eine Scheinsicherheit vermitteln. Falls die dann erneut taxierten Kosten aber weiterhin vom Business nicht mitgetragen werden, sind alle Beteiligten derart frustriert, so dass die Übung zu Beginn eines mit großen Vorschußlorbeeren ins Rennen gegangenen Projekts gleich wieder einschläft.

Nur relevante Business-Prozesse in die Bewertung einfließen lassen

Deshalb gilt es die Betrachtung unternehmensferner und völlig los gelöster Metriken zu vermeiden und die richtigen Fragen beim Security-Management zu adressieren, mit Blick auf den passenden konzeptionellen Ansatz einer internen Bewertung. Wie lange etwa darf das betreffende System ausfallen, wie lange dauert der Wiederanlauf? Bei der „Recovery Time Objective“ handelt es sich um die Zeit, die vom Zeitpunkt des Schadens bis zur vollständigen Wiederherstellung der EDV-Systeme vergehen darf. Dabei gilt es sich so weit als möglich auf die objektiv wichtigsten Risiken zu fokussieren.

Anschließend beginnt etwa am Beispiel der Business Continuity, dem laufenden Geschäftsbetrieb, die Ermittlung des individuellen unternehmerischen Risikos. Wie konsistent ist der Datenbestand, wie hoch ist der Datenverlust, der in Kauf genommen werden kann? Dabei handelt es sich um die möglichst präzise Ermittlung des Zeitpunkts, wann und wie oft etwa die Datensicherung auf den unterschiedlichen Ebenen erfolgen soll, das heißt, wie viele Daten beziehungsweise Transaktionen zwischen den einzelnen Sicherungen verloren gehen können.

Gebräuchliche Metriken in der IT-Sicherheit:

Anzahl erkannter Viren in Dateien und E-Mails
Anzahl ungültiger Login-Versuche (z.B. falsches Passwort)
Erkannte Angriffsversuche, die meist über Intrusion Detection Systeme erfasst sind
Erkannte Spam-Mails
Blockierte Webseiten-Zugriffe aus URL-Filtern
Anzahl ungültige Login-Versuche (z.B. falsche User-ID)
Anzahl erkannter Viren in Webseiten
Unerlaubte interne Zugriffsversuche
Erfolgreiche Einbrüche
Verstöße gegen Geheimhaltungsvorschriften (Information Disclosure)
Unerkannter Spam
Fälschlicherweise als Spam blockierte Mails

Fragestellungen: Was sind relevante Kennzahlen in der IT?

Was soll mit den Kennzahlen gesteuert werden?
Lassen sich Ziel- und Sollwerte einschließlich Toleranzen sinnvoll definieren?
Können die erforderlichen Basisdaten beschafft werden?
Gibt es einen konkreten Verantwortlichen für „jede Kennzahl“?
Wie sprechen die Kennzahlen auf Veränderungen an?
Wie gut ist die Qualität der Eingabedaten?
Sind die Kenzahlen für den Adressaten verständlich?
Ist das Kennzahlensystem sicher gegen Manipulationen?

Checkliste – Kosten bei einem IT-Ausfall

„Bezifferbare“ Kosten

Hier gibt es zahlreiche Kriterien wie die Reparatur von Schäden einschließlich Personalaufwendungen.
Vertragsstrafen z.B. bei Vereinbarungen „Just-In-Time“ oder „Just-In-Sequence“, Lieferverpflichtungen, Bußgelder.
Zukünftig: Höhere Kreditkosten (z.B. nach Basel II) bei unzureichender Risikovorsorge. Für den Großteil der klein- und mittelständischen Wirtschaft ist damit zu rechnen, dass Kredite teurer werden.
Bezifferbar bedeutet jedoch nicht, dass diese Kosten in den Unternehmen immer bekannt sind.

„Schätzbare“ Kosten:

Umsatzverlust durch mangelnde Verfügbarkeit
Konkreter Verlust von Kunden bei Imageschäden
Kompensation von Minderleistung, z. B. durch Zukauf externer Ressourcen

„Nicht bezifferbare“ Kosten:

Verlust von Marktanteilen durch Imageschäden
Verlust von intellektuellem unternehmerischen Kapital
Mangelnde Produktivität oder Mitarbeiterverlust durch Demotivierung
Mangelnde Produktivität durch Sicherheitsereignisse
Kontrollverluste wie höhere Vorsorge oder niedrigere Produktivität

In Teil I der fünfteiligen Blog-Serie zum Thema „Metriken in der IT-Sicherheit unterstützen das strategische Security Monitoring“ befasste sich Lothar Lochmaier am 29.07.08 mit den Metriken und Maßeinheiten zur Bewertung von Risiken.

Im zweiten Teil ging es am 01.08.05 um die Definition von Zielmarken.

Im dritten Teil, der am 05.08.08 erschien, ging es um die Wahl der Methode.

In Teil V, der am 12.08.08 erscheint, zieht Lothar Lochmaier ein Fazit.

<- Zurück zu: Definition

IT-Wissen Blogs

Data Loss Prevention (4/7): Krimineller Datenhandel weitet sich aus
05.09.08, IT-Sicherheit

Data Loss Prevention (3/7): Krimineller Datenhandel weitet sich aus
02.09.08, IT-Sicherheit

E-Book der Woche

Elektronik-Kennwerte - Hier direkt zum kostenlosen Download

Interessante Artikel

..RAID.. ..SDSL.. ..WLAN.. ..ITIL.. ..QuadCore.. ..RFID.. ..bluetooth.. ..iSCSI.. ..IEEE 802.. ..l2tp.. ..M4B-Format.. ..MAC Adresse.. ..RAW.. ..AC97.. ..AM.. ..EBCDIC.. ..OSI.. ..SCEP.. ..Echtzeitanwendung.. ..OSI.. ..SATA.. ..WAN.. ..VLAN.. ..XML.. ..IPTV.. ..fogging.. ..G.722.. ..Letterbox.. ..multipath routing.. ..EMV.. ..blu ray disc.. ..Virtualisierung.. ..flexray.. ..floating car data.. ..FOMA.. ..FPU.. ..hspa+.. ..Biegeradius.. ..Polyäthylen .. ..Abstrakter Datentyp.. ..routing table.. ..fiber to the building.. ..switching fabric.. ..Differenzverstärker.. ..USB.. ..iPod.. ..MP3.. ..Video.. ..Java..