Erfolgsmessung in der Praxis:
Kennzahlen und Indikatoren für ISMS im sicheren Rechenzentrum

Kommentar* von Information-Security-Manager Ing. Johannes Mariel, BRZ

@ (Jan. 2010) - Ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 fordert die Messung der Wirksamkeit der Controls durch ein Kennzahlensystem. Die Verpflichtung zur Überwachung der Einhaltung von Sicherheitsregeln (ISO 27001, Annex A, 15.2.1.) und die Vorgabe „Lernen aus Sicherheitsvorfällen“ (Annex A, 13.2.2.) kann mit Kennzahlen ebenso unterstützt werden wie die Pflicht des Managements zur Überprüfung des ISMS (Kap.5.1.). Dabei gibt ISO 27004 Richtlinien für die Einrichtung und den Betrieb eines effizienten Kennzahlensystems vor.

Kennzahlen des Sicherheitsprozesses

Im täglichen Betrieb eines sicheren Rechenzentrums stellt der Sicherheitsprozess die Grundlage für das ISMS zur Verfügung. Damit wird die Normvorgabe der Prozessorientierung erfüllt und die Prozesskennzahlen, die nach dem Maturity-Modell für die einzelnen Prozessabschnitte regelmäßig festgestellt werden, zeigen den Reifegrad und die Fortschritte der laufenden Entwicklung des Sicherheitsprozesses auf. Dieses Kennzahlensystem dient gleichzeitig auch der Erfüllung der Pflicht des Managements zur regelmäßigen Überprüfung des ISMS.

Erfolgsmessung für den operativen Sicherheitsbetrieb

Im operativen Betrieb eines Rechenzentrums ergeben sich zahlreiche Kennzahlen aus den Betriebs- und Verwaltungsprozessen. Die nach ITIL bzw. ISO 20000 ausgerichteten Prozesse erfüllen auch für das ISMS wesentliche Voraussetzungen. Service Level Management bietet bspw. eine konsequente Kontrolle der Verfügbarkeit, der Change-Prozess gewährleistet auch die laufende Überwachung des Patch-Handlings. Die Klassifizierung von Security-Incidents @im Incident Management-Prozess bietet ebenfalls eine aufwandsschonende und gleichzeitig gut akzeptierte Methode der Dokumentation von Sicherheitsvorfällen; auf der Basis kann aus dem Incident Managementsystem die Auswertung von operativen Security Incidents einfach erfolgen. Die Aufzeichnung über Sicherheitsmaßnahmen für IT-Services in einer Configuration Management Database (CMDB) bietet auf Knopfdruck eine Aussage über den Umsetzungsgrad der festgelegten Maßnahmen pro Service. Die Auswertung von Service Management-Aufzeichnungen aus Sicht des ISMS kann damit ohne zusätzlichen Erfassungsaufwand sicherheitsrelevante Kennzahlen bieten.

Security-Kennzahlen aus der Personalverwaltung

Aber auch die Aufzeichnungen der Personalverwaltung bieten bei geeigneter Betrachtung Sicherheitskennzahlen. So lässt sich die Kennzahl der Awareness-Ausbildungsteilnehmer aus dem Skill-Management des HR-Systems gewinnen, in dem die Ausbildungen administriert werden. Die Auswertung von Personaländerungen in Beziehung mit den Logfiles des Identity-Managementsystems liefern die Kennzahl über den Nachweis der kontrollierten Rechteanpassung im Falle der Veränderung von Aufgaben bei Mitarbeitern.

Indikator oder Kennzahl?

Bei der Verwendung von Informationen aus bestehenden Systemen ist allerdings die Vorgabe des Kapitels 5.3. der ISO 27004 eine besonders wichtige Regel, die zwischen Indikatoren und Kennzahlen unterscheidet. Insbesondere bei Zahlen, die aus automatisierten Aufzeichnungen für betriebliche Zwecke gewonnen werden, steht oft ein anders ausgerichteter Zweck als eine Sicherheitskennzahl als Motiv der Datensammlung dahinter. Aber auch das bloße Zählen von Sicherheitsvorfällen bietet per se noch keine brauchbare Aussage über die Sicherheitslage. Erst im Zuge der Bewertung solcher Zahlen erfolgt die konkrete Risikobewertung, die dann einen allfälligen dringenden Handlungsbedarf aufgrund eines Einzelfalls (z.B. eine False-Positive Bewertung eines Mails eines wichtigen Partners, die eine sofortige Anpassung der Spamkonfiguration erfordert) oder einfach die Feststellung, dass die Vorfälle unter dem Schwellwert des akzeptierten Risikos liegen (z.B. eine geringe Anzahl von nicht erkannten Spammails). Die im Zuge der Datenerfassung häufig durchgeführte vollständige Aufzeichnung von Events stellen jedenfalls nur in den seltensten Fällen brauchbare Kennzahlen im Sinne der ISO 27004 dar.

Die beiden Grundprinzipien für Sicherheitskennzahlen im sicheren Rechenzentrum können daher lauten:

  • Zahlen aus betrieblichen oder administrativen Aufzeichnungen können die Grundlage für Sicherheitskennzahlen bilden; dabei ist vorteilhaft, dass die Erfassung keinen zusätzlichen Aufwand für die Sicherheitskennzahlen erfordert, sondern im Zuge von wertschöpfenden, betriebsnahen Prozessen erfolgt.
  • Kennzahlen entstehen nicht durch schlichte Eventzählung, sondern durch die Bewertung der erfassten Zahlen nach den festgelegten Messmethoden.

Ing. Johannes Mariel ist Leiter der Stabsabteilung G-SQ in der Bundesrechenzentrum GmbH und zertifizierter Information-Security-Manager nach ISO 27001.

Weitere Informationen zur Norm finden Sie im Newsletter-Artikel:
„Neue ISO 27004 – Impulse in Richtung Kennzahlenkultur“

*Der Autor legt seine eigene Meinung dar, die nicht als CIS-Empfehlung zu verstehen ist.





CIS - Certification & Information
Security Services GmbH
A-1010 Wien, Gonzagagasse 1/25
T: (+43)-1-532 98 90
F: (+43)-1-532 98 90-9
e-mail: office@cis-cert.com
Internet: www.cis-cert.com