ISMS KPI: Fakten statt Annahmen

Hintergrund Gitternetz

Für ein Managementsystem für Informationssicherheit (ISMS) ist ein Kennzahlensystem notwendig, um das ISMS kontinuierlich weiter zu entwickeln. Vor allem erleichtern Kennzahlen die Kommunikation zwischen dem CISO, den Fachabteilungen und der Geschäftsführung.

Key Art ISMS KPIDas Unternehmen hat in einem zeitaufwändigen und kostspieligen Prozess betroffene Geschäftsbereiche analysiert, Risiken bewertet, richtige Vorschriften bestimmt und das ISMS korrekt definiert. Das Resultat kann sich sehen lassen: Die Sicherheitsmaßnahmen sind den passenden Zielen, Risiken und Personen zugeordnet. Ist damit nun alles Wesentliche erledigt?

Der letzte wichtige Schritt innerhalb der Entwicklung eines ISMS in 5 Phasen liegt in der stetigen Überwachung des Systems. Die Wirksamkeit der Maßnahmen muss gemessen und Handlungsbedarf im System erkannt werden. Wie kann diese Kontrolle jedoch am besten umgesetzt werden? Wie kann das Management im Blick behalten, dass die IT wie vorgeschrieben Patches einspielt oder die Mitarbeiter der Buchhaltung an Security-Awareness-Schulungen teilnehmen?


 

KPI für ISMS: Was Sie wissen sollten

ISMS KPIKPI für ISMS sind Key-Performance-Indikatoren innerhalb des Managementsystems für Informationssicherheit. Sie sind Leistungsindikatoren, mit denen der Reifegrad eines ISMS-Systems kontrolliert werden kann. Auf diese Weise lässt sich die Effektivität und Effizienz der Maßnahmen der Informationssicherheit messen und verbessern. In Experten-Kreisen wird dies als Operationalisierung bezeichnet: Theoretische Konstrukte werden mit präzisen Vorgangsweisen messbar gemacht.

Abgrenzung zu KCI und KRI

Während KPI die Leistung des Systems anzeigt, steht KRI für Key-Risk-Indikatoren und KCI für Key-Control-Indikatoren. KRIs sind somit ein Maß für die Risikoorientierung der Verfahren der Informationssicherheit. KCIs beschreiben, wie effektiv die Maßnahmen in Bezug auf ihre Zielerreichung realisiert werden.

Wann kommen KPI ins Spiel?

Die Erhebung von KPI geschieht kontinuierlich. Sie nützen, um Lücken im ISMS aufzudecken oder die Ursachen im Falle eines Incidents schnell nachvollziehbar zu machen.

Wie findet die Datenerhebung für KPI statt?

Unternehmen produzieren automatisch eine Menge an Daten und Informationen. Viele davon, wie Logging, Penetrationstests oder Zeitstempel, ergeben perfekte KPI. Andere Messungen können aus Intrusion Detection Systemen (IDS) oder aus persönlichen Meinungsumfragen und Self-Assessments der Mitarbeiter entnommen werden. Dabei ist allerdings Vorsicht geboten: Mehr KPI sind nicht immer besser!

Wen betreffen die KPI?

Die KPI betreffen die unterschiedlichen Managementebenen eines Unternehmens. Das oberste Management ist für die Entwicklung des ISMS verantwortlich und kann anhand der Kennzahlen den Erfolg messen. Die Beurteilung des ISMS ist auch für den Information Security Officer (ISO) wichtig, da er so Aufschluss über die Risikolage und den Grad der Zielerreichung erhält. Zudem gelten KPI als Grundlage der persönlichen Leistungsbewertung eines ISO. Auch der Finanzvorstand kommt häufig mit den KPI in Kontakt. Er benötigt sie bei der Entscheidung über Investitionen.


 

Beispiele für ISMS KPI

Profilbild Jan Sudmeyer Geschäftsführer carmasecEin ISMS bringt für ein Unternehmen gewisse Probleme und Aufwand mit sich. Jan Sudmeyer, Managing Partner und Trusted Advisor bei carmasec, erklärt: „Die Lösung liegt in einem durchdachten Kennzahlensystem zur Unterstützung des ISMS“.KPI-Systeme variieren stark. Sie hängen von individuellen Risiken sowie vom Umfang und Reifegrad des ISMS im Unternehmen ab. Ebenso sind die Cybersicherheitsstrategie (sofern vorhanden) und bereits implementierte Maßnahmen der Cybersicherheit zu berücksichtigen.

  • Ein Beispiel stellt die Richtlinie zum Patchmanagement dar: Hier können eine Vielzahl an Kennzahlen gemessen werden. Je nach Unternehmen könnte die Richtlinie z.B. zwei Tage bis zur Implementierung kritischer Patches vorsehen. Die KPI messen dann die tatsächliche Dauer, bis die Patches eingespielt wurden. Eine weitere Kennzahl ist in diesem Zusammenhang die Anzahl der Geräte, welche nach einem gewissen Zeitraum vollständig gepatcht sind.
  • Als Sensibilisierungsmaßnahme wird möglicherweise bestimmt, dass alle neuen Mitarbeiter innerhalb von vier Wochen an einer Security-Schulung teilnehmen und das Wissen einmal jährlich auffrischen. Der Erfolg der Maßnahme ist über verschieden KPI messbar:
    • Anzahl der Mitarbeiter, die geschult wurden
    • Zeitraum zwischen Beschäftigungsbeginn und Schulung
    • Qualität des Wissenstransfers bei den Mitarbeitern
  • Das Spektrum der KPI lässt sich weit fassen. Sie beziehen sich nicht immer auf spezifische Richtlinien, sondern messen auch den generellen Zustand der Informationssicherheit:
    • Wer kann intern auf sensible Daten im Unternehmen zurückgreifen?
    • Haben Externe Zugriff auf Unternehmensdaten?
    • Welche privaten Geräte der Beschäftigten befinden sich im internen Netzwerk?

Bei der Betrachtung sollten außerdem erfolgreiche und missglückte Cyber-Angriffe dokumentiert werden. Wie lange braucht das Team, bis eine Störung erkannt und behoben wird? Was kostet der Incident, falls es zum Datenverlust kommt?

Was ist der Nutzen von ISMS KPI?

KPI ermöglichen dem CISO im Unternehmen nicht nur die Erfolgseinschätzung des ISMS, sie unterstützen auch die Lokalisierung von Sicherheitslücken und bringen zusätzlich Ordnung in ein verflochtenes System:

  • KPI schaffen Übersicht in einem komplexen System: Die Einführung von ISMS mündet in ein komplexes Geflecht aus Dokumenten, Richtlinien und Vorschriften ein. Eine unübersichtliche Pyramide ist entstanden, in der sich das System in spezifische Vorschriften für die jeweiligen Abteilungen verästelt. KPI verschaffen in diesem Wirrwarr eine Übersicht. Allen voran ermöglichen sie die einfache Kontrolle der Sicherheitsmaßnahmen. Hierdurch sind Blindspots des Sicherheitssystems viel schneller erkennbar und behebbar. Durch die Risikoorientierung der KPI wird der Fokus genau dort gesetzt, wo das Unternehmen die größten Gefährdungen aufweist.
  • KPI bieten Berechenbarkeit in der Kostenplanung: Die Kosten für die Einführung eines ISMS können von 80.000 Euro bis 800.000 Euro reichen. Die Höhe hängt vom Reifegrad, den Kapazitäten und der Performanz der unternehmenseigenen IT ab. Da ein ISMS nie „vollendet“ ist, sondern sich immer weiter entwickelt, kommen in der Zukunft weitere Kosten auf das Unternehmen zu. Diese entstehen bei der Implementierung neuer Sicherheitskonzepte, besonders in Reaktion auf Defizite. Hier helfen KPI: Erforderliche Investitionen können im Vorhinein abgeschätzt, begründet und überwacht werden.
  • KPI verringern den Zeitaufwand: Im Sicherheits-Netzwerk den Überblick ohne KPI zu bewahren, ist für den CISO zeitaufwändig, um für eine spezifische Frage die richtige Ansprechperson ausfindig zu machen, welche wiederum zunächst die gewünschten Daten finden oder lange dauernde Messungen durchführen muss. Ein vorab passendes Set von KPI reduziert den Aufwand dieses Prozesses erheblich.
  • KPI vermeiden Finger-Pointing und schaffen Transparenz in der Problembehebung: Die Nachverfolgung eines Incidents ist unangenehm, wenn nicht objektiv geklärt werden kann, wer verantwortlich ist und welcher Umstand zu diesem Ereignis geführt hat. KPI-Systeme geben dem CISO die nötigen Instrumente und Verfahren an die Hand, Verantwortliche und die vorherrschenden Sicherheitsmängel schnell, nachvollziehbar und objektiv-belastbar aufzuspüren.
  • KPI liefern Fakten für Managemententscheidungen: KPI-Systeme vereinfachen die Kommunikation und die Entscheidungsfindung mit dem Management. Statt abstrakter Daten, unsicherer Annahmen über Auswirkungen von Entscheidungen und fehlender Kostenkalkulationen bieten Kennzahlensysteme belastbare Erkenntnisse, die helfen, die Notwendigkeit und den Umfang von Maßnahmen und Investitionen zu begründen.

 

ISMS KPI liefern belastbare Argumente für Managemententscheidung

Kex Art Managementberatung IT-GRCWenn ein Managementsystem für Informationssicherheit erfolgreich entwickelt und in den Betrieb überführt wurde, muss es mit Hilfe von Kennzahlen kontinuierlich weiter entwickelt und überwacht werden. “Aus der Praxis wissen wir, dass CISO oft in einem Legitimations-Dilemma stecken“, führt Jan Sudmeyer aus. “Arbeiten sie erfolgreich, fehlen ihnen die kritischen Daten, um gegenüber der Geschäftsführung die Notwendigkeit weiterer Investitionen in die Sicherheit belastbar darzustellen. Schließlich ist kein Schaden entstanden, der monetär gemessen werden konnte. Ein auf ISMS aufbauendes Kennzahlensystem unterstützt den CISO bei seiner Argumentation.“

ISMS KPI

Der Weg zu Ihrem ISMS KPI-Set

Auf unserer Informationsseite zu ISMS KPI informieren wir Sie zu einer effektiven Vorgehensweise, mit der Sie passende KPI für Ihr ISMS entwickeln können.