Kennzahlen sind für verschiedenste Unternehmensbereiche von Interesse. Sie können dem Betrieb dabei helfen, zeitnahe Informationen zum Sicherheitszustand der betreuten Infrastruktur zu ermitteln. Während die Aufrechterhaltung der IT-Sicherheit vor allem in den Händen der Administratoren liegt, ist der CISO (Chief Information Security Officer) hauptsächlich an weiter verdichteten, langfristigen Kennzahlen interessiert, welche die Entwicklung der Informationssicherheit im Unternehmen widerspiegeln. Zur Ermittlung der relevanten Kennzahlen empfiehlt sich die folgende Vorgehensweise. Idealerweise läuft sie in folgenden Schritten ab:
 

• Festlegen des Untersuchungsgegenstands
• Ermitteln des Schutzbedarfs
• Bestimmen der Messstellen
• Art der Messung festlegen

Festlegen des Untersuchungsgegenstands
Zunächst muss der Untersuchungsgegenstand identifiziert werden. Dabei ist zu beachten, dass ein Untersuchungsgegenstand wie eine Applikation nicht nur aus der Anwendung selbst besteht. Im Allgemeinen setzt sich ein Untersuchungsgegenstand aus Komponenten auf den Ebenen Applikation, Datenbank, Plattform und Netzwerk zusammen. Hinzu kommen sowohl die Prozesse, durch welche die Applikation administriert und gewartet wird, als auch diejenigen Prozesse, die durch die Applikation unterstützt werden. All diese Komponenten stellen zusammen den Untersuchungsgegenstand dar. Ebenso lassen sich Plattformen wie Betriebssysteme oder Datenbanken als Untersuchungsgegenstand verwenden.

Ermitteln des Schutzbedarfs
Nach der Identifikation des Untersuchungsgegenstandes ist es wichtig, den Schutzbedarf für den Untersuchungsgegenstand festzulegen. Der Schutzbedarf spiegelt dabei die Anforderungen an die Informationssicherheit wider, die durch die Messung der Kennzahlen überwacht werden sollen. Hierbei gilt es, die klassischen Säulen der Informationssicherheit – Verfügbarkeit, Integrität und Vertraulichkeit – zu beachten. Idealerweise sind diese Ziele direkt von den Unternehmenszielen abgeleitet. Ferner ist es möglich, bei der Ermittlung des Schutzbedarfes für den Untersuchungsgegenstand auf mögliche Bedrohungen einzugehen. Denkbar sind hier beispielsweise DoS-Attacken, unberechtigte Zugriffe oder Bedrohungen, die auf Basis von Schadcode entstehen. Wichtig ist zudem, entsprechende Vererbungshierarchien zu berücksichtigen: Wenn Personaldaten als schützenswert erachtet werden, dann gilt dies auch für die Plattformen, Applikationen und Netzwerke, die diese verarbeiten.

Bestimmen der Messstellen
Nun gilt es, mögliche Messstellen zu identifizieren. Diese finden sich ebenfalls auf verschiedenen Ebenen des Untersuchungsgegenstandes wieder. So kann beispielsweise auf Netzwerk-, Plattform-, Applikations- oder auch Prozessebene gemessen werden. Eine ideale Messstelle bietet dabei zu jedem Zeitpunkt einen numerischen Wert an. Dies sind wichtige und notwendige Voraussetzungen für die automatisierte Ermittlung von Kennzahlen. Zur Automatisierung der Messung ist es wichtig, dass die Kennzahlen quantifizierbar sind und nicht nur qualitative Aussagen ermöglichen. Zudem ist für jede Kennzahl ein quantifizierbarer Sollwert anzugeben, mit dem eine Steuerung und Überwachung erst möglich wird.

Art der Messung festlegen
Weiterhin ist zu bestimmen, ob eine Kennzahl nur manuell erhoben wird oder mit welchen technischen Mitteln eine Kennzahl automatisiert gemessen werden kann. Hier ist zu klären, welche Sensoren benötigt (zum Beispiel zur Auswertung von System-Logdaten) oder welche Tools zum Einsatz kommen sollen (etwa Vulnerability-Scanner oder Integrity Checker). Des Weiteren sind aktive und passive Messgrößen zu unterscheiden. Aktive Messgrößen werden selbst verursacht; passive sind hingegen fremdverursacht. Diese Unterscheidungen sind sowohl bei der Erfassung als auch der Verarbeitung der Kennzahlen zu beachten.

Wird als Untersuchungsgegenstand etwa der Treasury Process einer Bank festgelegt und der Schutzbedarf bezüglich der Verfügbarkeit hierfür mit "sehr hoch" bewertet, dann kann eine darin betriebene Web-Applikation gegenüber der Bedrohung Denial-of-Service aktiv durch ein Monitoring-Tool überwacht werden. Hierzu eignet sich beispielsweise ein Check, der die Seite der Web-Applikation ständig abruft. Der CISO hingegen interessiert sich für den Patch-Stand im Treasury-Bereich. Für ihn ist wichtig, dass die Qualität des Patch-Management-Prozesses ständig verbessert wird und etwa der Abdeckungsgrad aktueller Patches stetig steigt beziehungsweise dass die Zeit, bis die aktuellen Patches eingespielt werden, immer kürzer wird. Diese Daten lassen sich von Patch- und Vulnerability-Systemen erfassen.

Zusammenführung der Daten durch SIEM-Systeme
Meist werden Kennzahlen von verschiedene voneinander unabhängige Bereichen erhoben, so dass mehrere Systeme zur Ermittlung nötig sind. Im Beispiel liefert das Monitoring-System Informationen zur Verfügbarkeit des Treasury Process. Das Patch-Management ermittelt den aktuellen Software-Stand der Infrastruktur und ein Vulnerability-Scanner gibt Aufschluss über potentielle Verletzbarkeiten im Unternehmensnetzwerk. All diese Kennzahlenquellen arbeiten jedoch unabhängig voneinander, eine Zusammenführung und Verknüpfung unterbleibt. An diesem Punkt setzen Security Information and Event Management-Systeme (SIEM) an. Sie integrieren die verschiedensten Quellen. Dabei werden die Informationen nicht einfach nur zentral gespeichert, sondern normalisiert, also in ein gemeinsames Format gebracht. Auf Basis dieser Normalisierung lassen sich dann komplexe Auswertungen betreiben – die sowohl dem Administrator als auch dem CISO nutzen.

Fazit
Kennzahlen sind für den sicheren Betrieb von IT-Umgebungen unerlässlich. Zur effizienten und automatischen Verarbeitung dieser empfiehlt sich der Einsatz von SIEM-Systemen. Dabei lassen sich heterogene Daten zentral zusammenfassen und effizient auswerten. Eine unterschiedliche Verdichtung der Daten ermöglicht die Erstellung von Reporten sowohl für den Administrator als auch für das Management.




ln/Thomas Mörwald und Thomas Störtkuhl, Secaron AG