„Was gemessen wird, verbessert sich“ – so zumindest die Theorie. Das Zitat wird gemeinhin dem US-amerikanischen Ökonom Peter Drucker zugeschrieben, der davon überzeugt war, dass Zielvereinbarungen eine Grundlage erfolgreicher Unternehmensführung sind.
Auch in der Informationssicherheit (InfoSec) haben sich längst gängige KPIs (aus dem Englischen: Key Perfomance Indicators = wichtige Leistungskennzahlen) durchgesetzt: die Zeit zwischen Vorfällen, die Zeit zur Wiederherstellung bei Störungen und die Durchschnittskosten pro Sicherheitsvorfall. Gemeinhin dient die Messung von KPIs der strategischen Zielsetzung und -erreichung.
Oft messen Unternehmen die Endergebnisse ihrer Informationssicherheitsstrategie und vergessen die Treiber – also Kennzahlen, die den Fortschritt des Informationssicherheits-Managementsystem (ISMS), zum Beispiel im Rahmen einer ISO 27001 Zertifizierung, wiedergeben. Wie das besser geht, erfahren Sie hier.
Das Wichtigste in Kürze
- KPIs sollten spezifisch und messbar sein und Einfluss auf die Erreichung der allgemeinen Unternehmensziele haben.
- Die Abbildung von KPIs in einer Balances Scorecard erlaubt es, den Erfolg der Informationssicherheit aus verschiedenen Perspektiven zu beleuchten.
- KPIs können dabei helfen abzuwägen, welche Investitionen in die Informationssicherheit sich finanziell lohnen.
Definition sinnvoller KPIs in der Informationssicherheit
KPIs müssen spezifisch und messbar sein und Einfluss auf die Erreichung der allgemeinen Unternehmensziele haben.
Das bedeutet: Wenn eine Kennzahl mit Ihrem aktuellen technischen Setup nicht ermittelt werden kann, fällt sie als möglicher KPI weg. Auch Kennzahlen, die keine echte Aussagekraft haben, können Sie streichen.
Fokussieren Sie sich lieber auf wenige Kennzahlen, die Sie auch Kollegen außerhalb Ihrer Abteilung in wenigen Worten erklären können. Denn letztendlich dienen KPIs nicht zuletzt der Kommunikation von Erfolgen oder Herausforderungen gegenüber der Geschäftsführung und anderen Abteilungen.
Oft ergeben sich aus einem KPI weitere Fragen. Zum Beispiel kann es sein, dass die Anzahl der gemeldeten IT-Sicherheitsvorfälle im letzten Quartal stark gesunken ist. Die Frage ist dann: Warum? Antworten können weitere KPIs liefern, beispielweise die Anzahl der durchgeführten Sicherheitsupdates oder der Anteil geschulter Mitarbeiter.
Informationssicherheits-KPIs in der Balanced Scorecard
Im Kennzahlensystem der Balanced Scorecard (BSC) werden die (finanziellen) Ergebnisse eines Geschäftsbereichs neben anderen Werten wie der internen Prozesseffektivität und der Kundenzufriedenheit abgebildet. Für die Informationssicherheit ergeben sich durch diese Betrachtungsweise beispielweise folgende Perspektiven:
- Finanzielle Kennzahlen
- Daten zum Sicherheitsniveau
- ISMS-Metriken
- Kennzahlen zur externen Bewertung
Sie können die Perspektiven Ihrer Balanced Scorecard selbst definieren und Ihrem Unternehmen anpassen. Traditionell enthält eine BSC die Finanzperspektive, die Prozessperspektive, die Kundenperspektive und die Entwicklungsperspektive. Für die Informationssicherheit passen diese Kategorien allerdings nicht unbedingt.
Egal, für welche Perspektiven Sie sich entscheiden: Wichtig ist nur, dass Sie im Hinterkopf behalten, dass verschiedene KPIs unterschiedliche Sichtweisen repräsentieren. Dabei beeinflussen sie sich gegenseitig. Das ISMS hat Einfluss auf das Sicherheitsniveau, das wiederum die Auditergebnisse und finanzielle Kennzahlen beeinflusst…
KPI Informationssicherheit: praktische Beispiele
Wenn Sie Ihre InfoSec KPIs definieren, sollten Sie sich wie bereits erwähnt daran orientieren…
- welche Kennzahlen Ihre Unternehmensziele abbilden
- oder Ihnen helfen, andere KPIs zu erklären / besser zu verstehen.
Hier eine Liste an möglichen InfoSec KPIs:
|
|
Finanzielle Kennzahlen |
Sicherheitsniveau
|
ISMS-Metriken |
Externe Bewertung
|
|
Kernfragen |
Welche Kosten entstehen durch Sicherheitslücken? |
Wie gestalten sich die Angriffe auf die Informationssicherheit? Wie gut reagieren wir auf die Angriffe? |
Welche Treiber sorgen für die erzielten Erfolge / Misserfolge? |
Wir performt unsere InfoSec in der Außenwirkung? |
|
KPIs |
Finanzielle Schäden durch Datenverluste Kosten pro Vorfall |
Anzahl der gemeldeten Sicherheitsvorfälle Zeit zwischen den Vorfällen (Durschnitt) Mean Time to Detect (MTTD) Mean Time to Acknowledge (MTTA) Mean Time to Contain (MTTC) Mean Time to Resolve (MTTR) Mean Time to Recovery (MTTR) % der von Endnutzern geöffneten Phishing-E-Mails |
% der Systeme, die durch Anti-Malware-Software geschützt sind Anzahl der Mitarbeiter, die für InfoSec zuständig sind % der durchgeführten Überprüfungen von Firewall-Richtlinien % der Mitarbeiter, die noch keine InfoSec-Schulung durchlaufen haben Anzahl der identifizierten Verbesserungen Anzahl der festgestellten Nichtkonformitäten Anzahl der durchgeführten Managemen-Reviews |
Anzahl der Abweichungen im ISO 27001-Audit Anzahl neuer Zertifizierungen Vorfälle, die an Kunden gemeldet werden mussten
|
Sie können sich beim Thema KPIs grenzenlos ausleben, solange Sie den Überblick behalten. Wenn ein KPI jedoch keinen Entscheidungen dient und nur so mitverfolgt wird, lassen Sie diese lieber weg.
Überwachung und Messung von Informationssicherheits-KPIs
Die Herausforderung besteht darin, ein Überwachungs- und Messsystem zu definieren, das die gewünschten Antworten liefert, ohne dass die Erhebung und Auswertung der Daten zu einem administrativen Kraftakt werden.
Definieren Sie daher zu jedem KPI:
- Was überwacht und gemessen werden soll (siehe oben)
- Wann und wie die Messung durchgeführt werden soll
- Wann und wie die Ergebnisse analysiert und bewertet werden
- Wer die einzelnen Schritte durchführt
- Welche Nachweise Sie über die Überwachungs- und Messergebnisse führen
Analyse und Bewertung
Bei der Analyse und Bewertung der Ergebnisse der in der obigen Tabelle beschriebenen KPIs müssen die richtigen Personen miteinbezogen werden, damit eine korrekte Interpretation erfolgen kann. Das am besten geeignete Forum dafür ist in den meisten Fällen ein mindestens einmal jährlich stattfindendes Management-Review. Die Teilnehmer an dieser Sitzung können je nach den zu analysierenden und zu bewertenden Informationen variieren.
Die aus der Analyse und Bewertung gezogenen Schlussfolgerungen sollten Sie festhalten und Verbesserungsmaßnahmen protokollieren. Bei Bedarf werden dringende Probleme an das Executive Management Team weitergeleitet, um sicherzustellen, dass genügend Ressourcen zur Verfügung gestellt werden, um sie zu lösen.
Es können weitere KPIs definiert werden, die dazu beitragen, die Ursachen von Problemen in bestimmten Bereichen zu klären.
So beeinflussen InfoSec KPIs die Unternehmensstrategie
In der Informationssicherheit und beim Aufbau eines ISMS geht es nicht darum, ein 100%iges Schutzniveau zu gewährleisten. Ziel ist es vielmehr, das von der Organisation gewünschte Niveau an Informationssicherheit zu erreichen.
Und KPIs können beim Abwägen helfen: Lohnen sich gewisse Investitionen in die Implementierung und den Betrieb von Lösungen im Vergleich zu dem Schaden, der durch Sicherheitsmängel entstehen kann oder in der Vergangenheit bereits entstanden ist? Welche Investitionen haben sich bereits ausgezahlt?
Auf Grundlage der KPIs kann das Management entscheiden, in welchem Umfang die Risiken durch weitere Informationssicherheitsmaßnahmen reduzierten werden können und sollten. Die KPIs sind also am Ende auch ein Instrument zur finanziellen Risikosteuerung.
Fazit: KPIs machen die Informationssicherheit messbar
Aus den unterschiedlichen Perspektiven, die durch KPIs in einer Balanced Scorecard abgebildet werden, ergibt sich für das Management ein Gesamtbild. Der der Erfolg Ihrer InfoSec-Maßnahmen kann im Hinblick auf finanzielle Ergebnisse und das Schutzniveau evaluiert werden. Auch Probleme lassen sich durch aussagekräftige Daten erklären.
So können auf Managementebene Entscheidungen für die zukünftige Verteilung von Ressourcen getroffen werden.
Sie brauchen Unterstützung bei der Definition passender KPIs?
Gerne unterstützt Sie DataGuard! Treten Sie dazu einfach mit uns in Kontakt und vereinbaren Sie eine kostenlose Erstberatung.
Jetzt Termin vereinbaren
