Metriken in der IT-Sicherheit" (5/5): Fazit: Metriken lösen Probleme, schaffen aber gleichzeitig neue Stolpersteine

12.08.08

Kategorie: IT-Sicherheit

Im fünften und letzen Teil zum Thema „Metriken in der IT-Sicherheit unterstützen das strategische Security Monitoring“ zieht Lothar Lochmaier ein Fazit.

Teil V: Fazit: Metriken lösen Probleme, schaffen aber gleichzeitig neue Stolpersteine

Neben diesen eher grundsätzlichen Fragestellungen hilft eine klare Vision der einzelnen Kostenblöcke, die sich in bezifferbare, schätzbare und nicht-bezifferbare Kosten untergliedern lassen. Als größte operative Herausforderung beim Anlegen von Metriken im Bereich des Security Monitorings ist die Vielzahl an protokollierten Ereignissen einzustufen. Durchschnittlich bis zu zwanzig neue Schwachstellen im innerbetrieblichen IT-Kreislauf können sich täglich ergeben, so eine Statistik des Frühwarndienstes Cert.org an der Carnegie Mellon University in Pittsburgh.

Aus formaler Sicht bilden Normen wie die ISO 17799 zunächst eine sinnvolle Ausgangsbasis, um mit einem nachhaltigen Security Monitoring einzusetzen. Metriken stellen aber nur einen Bruchteil dessen dar, was auf der Aufgabenliste steht. So gilt es bei der Korrelation nicht nur das simple Logging zu erfassen, sondern auch Aspekte wie die Revisionssicherheit und Compliance einzubeziehen. Die Metriken sollen gegenüber dem klassischen Vorfallmanagement schließlich einen Mehrwert offerieren, etwa indem sie fundierte Trendaussagen zum Status Quo ermöglichen.

Als Business-Treiber wirkt der Umstand, dass die Tendenz in den Unternehmen anhält, nicht nur Hardware wie einen oder mehrere Gateway-Server anzuschaffen, sondern die bestehenden Systeme insgesamt besser auszulasten. Dies treibt die Suche nach verlässlichen und verbindlichen Metriken. Gerade bei bestimmten Regelwerken, etwa der Firewall-Policy, zeigen sich jedoch gewisse Defizite. Es hat sich ein Wirrwarr an Richtlinien gebildet. Die Konzepte sind oftmals suboptimal aufgesetzt.

Nicht-triviale Metriken offerieren Mehrwert

Das Benchmarking der IT-Sicherheit innerhalb von Branchen und vergleichbaren Industrien nimmt deshalb weiter zu. Auch die Konvergenz von physischer und logischer Security bringt eine neue Qualität hervor. Nicht-triviale Metriken sind theoretisch heute sogar bei der Verwendung von Memory-Funktionen zur automatischen Einbruchsabwehr bei Intrusion Prevention Systemen denkbar. Die mit Hilfe einer metrischen Analyse gefundenen Werte gilt es fortlaufend und kritisch zu hinterfragen.

Ob eine Anzahl von 50 oder 100 gefundenen Computerviren pro Tag viel oder wenig ist, und welche Schlüsse sich daraus ziehen lassen, dies lässt sich also kaum mit einem einfachen Schulterschluss beantworten. Das Ableiten von Metriken aus sinnvollen Kennzahlen erfordert deshalb einen soliden Regelkreislauf. Es gilt das konkrete „Überwachungsobjekt“ mit jeder einzelnen Maßnahme auf einen relevanten Soll-Ist-Vergleich hin abzubilden und auszurichten.

Die Versprechen externer Lösungsanbieter gilt es kritisch zu hinterfragen. Absolut objektiv erhobene und messbare Daten, wie viel Zeit und Geld sich etwa beim IT-Support mit Hilfe von Metriken sparen lassen, sind reine Makulatur. Derartige meist in Selbstauskünften ermittelten Ergebnisse sind für die Beteiligten kaum schmerzhaft. Die daraus abgeleiteten Daten haben oftmals relativ wenig mit der alltäglichen Realität zu tun.

Aber auch die pauschale Aussage, Sicherheit sei ein permanenter Prozess, kann die Betriebe auf gefährliche Irrwege führen, sofern Experten diese Behauptung nicht durch regelmäßige Messungen an der richtigen Stelle untermauern. Zur Frage der Bewertbarkeit von Normen und Methoden kann man sich auch an der Neuauflage „Leitfaden Kompass IT-Sicherheitsstandards“ orientieren, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) im Dezember vergangenen Jahres aktualisiert worden ist.

In Teil I der fünfteiligen Blog-Serie zum Thema „Metriken in der IT-Sicherheit unterstützen das strategische Security Monitoring“ befasste sich Lothar Lochmaier am 29.07.08 mit den Metriken und Maßeinheiten zur Bewertung von Risiken.

Im zweiten Teil befasste sich der Autor am 01.08.08 mit der Definition der Zielmarken.

Im dritten Teil, der am 05.08.08 erschien, ging es um die Wahl der Methode.

Im vierten Teil vom 08.08.08 befasste sich Lothar Lochmaier mit dem Umgang mit IT-Risiken.

<- Zurück zu: Definition

IT-Wissen Blogs

Data Loss Prevention (7/7): Krimineller Datenhandel weitet sich aus
16.09.08, IT-Sicherheit

Data Loss Prevention (6/7): Krimineller Datenhandel weitet sich aus
12.09.08, IT-Sicherheit

E-Book der Woche

Heimkino - Hier direkt zum kostenlosen Download

Interessante Artikel

..RAID.. ..SDSL.. ..WLAN.. ..ITIL.. ..QuadCore.. ..RFID.. ..bluetooth.. ..iSCSI.. ..IEEE 802.. ..l2tp.. ..M4B-Format.. ..MAC Adresse.. ..RAW.. ..AC97.. ..AM.. ..EBCDIC.. ..OSI.. ..SCEP.. ..Echtzeitanwendung.. ..OSI.. ..SATA.. ..WAN.. ..VLAN.. ..XML.. ..IPTV.. ..fogging.. ..G.722.. ..Letterbox.. ..multipath routing.. ..EMV.. ..blu ray disc.. ..Virtualisierung.. ..flexray.. ..floating car data.. ..FOMA.. ..FPU.. ..hspa+.. ..Biegeradius.. ..Polyäthylen .. ..Abstrakter Datentyp.. ..routing table.. ..fiber to the building.. ..switching fabric.. ..Differenzverstärker.. ..USB.. ..iPod.. ..MP3.. ..Video.. ..Java..