Bis ein Sicherheitsleck im Unternehmen erkannt wird, vergehen durchschnittlich 243 Tage, das sind acht Monate, stellt die Studie "M-Trends 2013" fest. Wird es schließlich entdeckt, so bleibt häufig ungeklärt, welchen Schaden es angerichtet hat. "Die meisten Anwender wissen nicht, welche Sicherheitslücken sich auf die Geschäftsziele auswirken", stellt Arturo Lopez-Ayala fest. Er befasst sich bei HP Enterprise Security Services mit der Entwicklung von unternehmensweiten Sicherheitsprogrammen. Seine Erfahrung im Kundenkontakt zeigt, dass in vielen Unternehmen zwar punktuelle, manchmal sogar ganzheitliche IT-Sicherheitslösungen installiert sind, allerdings "mangelt es an entsprechenden Vorkehrungen, um Auswirkungen auf Geschäftsprozesse und -ziele zu verhindern". Unternehmen handeln meist reaktiv.
Der Grund dafür liegt nicht zuletzt darin, dass es bislang keine risikobasierte Sicherheitsprogramme gab, die Sicherheitslecks nicht nur erkennen, sondern auch deren Auswirkungen auf zuvor definierte Geschäftsprozesse darstellen. Die neue, von HP zum Patent angemeldete Methodik Security Metrics Service, ändert das. Dabei wird auf bestehende Sicherheitsdaten im Unternehmen zurückgegriffen und es werden Parameter für ein Warnsystem festgelegt. Die Anwender werden schließlich alarmiert, sobald Sicherheitslücken entstehen, die ein Risiko für die Geschäftsziele des Unternehmens darstellen.
Sobald also eine Gefahrensituation oder ein IT-sicherheitsrelevantes Ereignis eintritt, das sich auf die Geschäftsziele auswirkt, erkennt der Kunde sofort die Ursache und kann unmittelbar Entscheidungen treffen, um das Risiko zu eliminieren. "Anders als ISO- und andere Sicherheitszertifizierungen, die lediglich die Messung der IT-Sicherheit vorsehen, bieten wir eine Lösung an, die auch die Auswirkungen auf die Unternehmensziele erkennt. Das ist ja der eigentliche Sinn und Zweck der IT-Sicherheit", sagt Lopez-Ayala.
In jedem Unternehmen einsetzbar
Geeignet ist der HP-Sicherheits-Service Metrics für jede Unternehmensart und -größe. Lopez-Ayala bezeichnet es als "Soll" für jene, die ein Information Security Management System aufbauen und als "Muss" für alle Unternehmen, die eine kritische Infrastruktur betreiben und eine Zertifizierung nach dem ISO-Standard 27000 durchlaufen. In diesem Zusammenhang verweist er auf die rechtlichen Verpflichtungen aller Unternehmen zum Betrieb eines Risikomanagementsystems. Regulierungsanforderungen werden durch besseres Reporting der für Compliance relevanten Gefährdungstrends und Sicherheitslücken erfüllt.
Doch wie stellt der HP Security Metrics Service sicher, dass alle Risiken bei der Betrachtung berücksichtigt werden? Dazu werden im Vorfeld mit dem Kunden die Unternehmens- und IT-Ziele hergeleitet. Dabei wählt man die wichtigsten und relevanten Metriken aus, die Einfluss auf die IT und die Unternehmensziele haben. Die entsprechenden Informationsquellen wie beispielsweise das Berichtswesen oder Messwerte aus bestandenen Security Information Tests werden identifiziert und ein Berichtssystem entwickelt.
Das System ist jederzeit erweiterbar. "Hat man zu Beginn relevante Informationsquellen aus technischen oder organisatorischen Gründen nicht berücksichtigen können, kann man Instandhaltungsmaßnahmen vornehmen und nachfügen. Eine Anpassung des Frameworks ist jederzeit möglich", sagt Leon Kupper, dualer Student bei HP, der sich in seiner Bachelorarbeit mit dem Thema "Security Metrics Services" befasst hat. "Dazu werden die neuen Quellen einfach mit dem Information-Owner abgestimmt und nach und nach in das Dashboard eingebracht". Kuppers Erfahrung nach dauert die Implementierung des Services, je nach Größe und Automatisierungsstand des Unternehmens, bis zu sechs Monaten. "Bei kleinen Unternehmen mit weniger komplexen Systemen geht das auch in etwa zwei Monaten".
Bereitschaft für Investition
Mit dem Sicherheitsservice HP Security Metrics lässt sich das Engagement der Geschäftsleitung in Sachen Security verstärken, da aufgezeigt werden kann, wie Sicherheitsrisiken die Unternehmensziele gefährden. "You can only manage what you measure", heißt die Devise. "Die Geschäftsleitung hat großes Interesse an eine Lösung, die die Auswirkungen auf die Geschäftsziele misst", sagt Lopez-Ayala. Bislang gab es keine Lösungen in dieser Komplexität. So wurden häufig Berichtswesen erstellt, aber nicht konsolidiert. "Die Verantwortlichen nutzten nur einen Teil der vorhandenen Informationen für ihre Bewertungen, bei HP Metrics erhalten sie auf einer Seite konsolidierte Informationen, dadurch werden sie in die Lage versetzt, fundierte Entscheidungen zu treffen", so Lopez-Ayala.
Die Kommunikation zwischen IT- und Geschäftsleitung wird dank des Security Metrics Framework einfacher, da man kann dem Management besser verdeutlichen kann, welche Auswirkungen Sicherheitslücken auf Geschäftsziele haben. Lopez-Ayala: "Das Framework dolmetscht zwischen IT-Sprache und Managementsprache".