Sicherheit messen! Kennzahlensysteme zur Überwachung der Informationssicherheit

Mit steigenden IT-Sicherheitsrisiken gewinnt die Überprüfung der Güte des Sicherheitssystems an Bedeutung. Dabei sind es nicht nur die IT-Sicherheitsverantwortlichen, die Berichte benötigen, sondern auch die Leitungsebene verlangt für sie aussagefähige Informationen. Das Instrument der Key Performance Indikatoren (KPIs) hat sich aus anderen Bereichen des Controllings bewährt und sollte neben dem klassischen Instrument der Security Audits genutzt werden, um Informationen zur Wirksamkeit von Sicherheitsmaßnahmen zu gewinnen - zumal alle gängigen Standards ein solches Instrumentarium fordern. Der Beitrag nennt die Eigenschaften guter IT-Sicherheits-Kennzahlen und spezifiziert die Anforderungen der unterschiedlichen Zielgruppen. Es werden an Use Cases orientierte Kennzahlsysteme vorgestellt und ein Beschreibungsprofil entwickelt. Neben intern generierten KPI-Systemen gewinnen auch Rating Systeme, die nach außen exponierte Schwachstellen erfassen, an Bedeutung. Sie werden hinsichtlich ihrer Bedeutung im Kontext des betrieblichen IT-Risikomanagements eingeordnet.