Mit <kes>+ lesen

Wahlpflichtnachweise : Hilfreiche KPIs und Metriken für Cyberversicherungen

Wer sich durch eine Versicherung gegen Schäden absichern lassen will, muss dafür heute in der Regel bestimmte Voraussetzungen schaffen und auch Nachweise für implementierte Prävention und Reaktion erbringen. Auf welche Key-Performance-Indicators (KPIs) und Metriken es dabei ankommt, erläutert unser Autor.

Lesezeit 9 Min.

Von Sven Hillebrecht, Ravensburg

Cybersicherheit ist längst zur Pflichtübung für Unternehmen jeder Größe geworden – dennoch schwebt weiterhin allgegenwärtig ein Damoklesschwert über den Köpfen der Verantwortlichen. Kein Wunder also, dass viele auch über Cyberversicherungen zur Absicherung von finanziellem Schaden nachdenken oder diese bereits abgeschlossen haben – selbstredend nur als Ergänzung zu Präventionsmaßnahmen gegen Angriffe.

Sowohl im aktiven Sicherheitsmanagement als auch für Cyberversicherungen ist ein transparentes IT-Sicherheitsmanagement heute eine wichtige Voraussetzung – der Weg hin zu solcher Transparenz ist oft schon weniger klar. Ziele in Form von Kennzahlen helfen jedenfalls, Klarheit zu schaffen und effizientes sowie kostengünstiges Management umzusetzen. Unternehmen, die Messgrößen für den Status quo ihrer Sicherheit sowie deren Fortschrittsverfolgung einsetzen, haben nachweislich ein besseres Cybersicherheitsprogramm. Daher überrascht es, wenn noch 2022 eine Studie [1] zum Ergebnis kam, dass fast vier von fünf Unternehmen der Überblick über ihr IT-Sicherheitsmanagement beziehungsweise ihre IT-Sicherheits-Dienste fehlt. Dabei kommt genau diese Transparenz samt Dokumentation für verantwortliche Experten auch bei Cyberversicherungen gut an.

 

Empfehlungen zu Standards bei der Bestimmung relevanter Kennzahlen

Empfehlungen zu Standards bei der Bestimmung relevanter Kennzahlen

Wie gut ein KPI wirklich ist, lässt sich anhand bekannter Qualitätsfaktoren für Messkriterien bestimmen – er sollte idealerweise alle folgenden Kriterien erfüllen:

- aussagekräftig: Voraussetzung, um die richtigen Maßnahmen ableiten zu können ist

- einfach: Gleichzeitig sollten gute IT-Kennzahlen möglichst einfach zu ermitteln sein – bestenfalls automatisch auf Knopfdruck.

- überprüfbar: Eine regelmäßige Überprüfung stellt sicher, dass die Kennzahlen stets aktuell sind.

- vergleichbar: Um wichtige Erkenntnisse gewinnen zu können, müssen Unternehmen die KPIs in Relation zu anderen Kennzahlen setzen können – besonders auch über die (gleiche) Zeit.

- verständlich: Jede Kennzahl muss einen erkennbaren Aussagegehalt haben.

- zeitnah: Nur eine aktuelle Kennzahl ist für die Informationssicherheit von Bedeutung – Abweichungen lassen sich umso schneller und besser erkennen, je aktueller ein KPI ist.

- wiederholbar: Eine Datenerhebung sollte sich über Zeitintervalle hinweg rekonstruieren lassen.

- zuverlässig: Fehlerbehaftete Daten oder Messfehler können die Aussage einer Kennzahl verfälschen. Die verwendeten Kennzahlen müssen korrekt sein.

- konkretisierbar: Kennzahlen sollten an die Unternehmensziele (im Hinblick auf Größe und Branche), an die IT-Strategie(-ziele) und den Reifegrad der IT angepasst werden, um die Aussagefähigkeit zu erhöhen.

- objektiv: Um die Gefahr einer Beeinflussung zu vermeiden, sollten Kennzahlen objektiv erhoben werden.

- dokumentierbar: Nicht nur die Ergebnisse der Messung, sondern auch die Informationen zum Berechnungsweg und der Darstellung sollten dokumentiert werden.

Voraussetzungen für Cyberversicherungen

Cyberversicherungen treten üblicherweise für Schäden ein, die im Zusammenhang mit Internetkriminalität entstehen – beispielsweise Ransomware-Angriffe, Datenlecks, Schadsoftwarebefall, CEO-Fraud sowie in der Folge von Distributed-Denial-of-Service-(DDoS)-Attacken oder Phishing-Angriffen. Je nach Versicherung decken sie eigene Schäden oder auch Schäden Dritter ab.

Die Beitragshöhe für eine Cyberversicherung variiert sehr stark, da sie von verschiedenen Faktoren abhängt wie Unternehmensgröße, Branche, Markt, Deckungsumfang, Art der Informationen/Daten, Sicherheitsmaßnahmen, Vorgeschichte, Risikobewertung und etwaigem Selbstbehalt. Zu den wesentlichen Optionen, mit denen sich Beiträge von Cyberversicherungen senken lassen, gehören neben Vertragslaufzeit, Leistungsumfang und Selbstbehalt – was wenige wissen – auch Maßnahmen zur aktiven Risikominimierung. Diese müssen dann allerdings meist regelmäßig nachgewiesen werden.

Die meisten Anbieter verlangen heute vor dem Abschluss einer Cyberversicherung Mindeststandards an IT-Sicherheitsmaßnahmen, allem voran hinsichtlich:

  • Datenschutz und Datenverarbeitung
  • Mitarbeitersensibilisierung
  • Informations-Sicherheits-Management
  • ISMS-Zertifizierung
  • Umgang mit Altsystemen Verantwortlichkeit IT-Sicherheit
  • Netzwerktrennung
  • Rechtekonzept
  • Absicherung von Fernzugriffen
  • Richtlinien
  • Angriffserkennung
  • Schwachstellenerkennung
  • Mobile-Device-Management (MDM)
  • Datensicherung
  • Notfallmanagement
  • Betriebsunterbrechung bei Cloud-Ausfall
  • sowie gegebenenfalls weitere spezifische technische Sicherheitsmaßnahmen

Kommt es zu einem Versicherungsfall, gilt es meist Nachweise zu erbringen, die auch die aktive Risikominimierung enthalten, etwa in Form von:

  • aktivem Security-Risikomanagement
  • Präventionsmaßnahmen und Weiterentwicklung der Cybersecurity
  • nebst der Dokumentation dieser beiden Bereiche
Empfehlung zur Dokumentation für Versicherungen

Empfehlung zur Dokumentation für Versicherungen

- Informationssicherheits-Managementsystem (ISMS): übernimmt die Dokumentation von Regeln und Verfahren, mit denen sich Informationssicherheit im Unternehmen sicherstellen, steuern, kontrollieren und kontinuierlich verbessern lassen

- Risikomanagement-Cockpit: dokumentiert Unternehmensrisiken durch deren Identifikation, Analyse, Quantifizierung, Aggregation, Beurteilung, Bewertung, Kommunikation und abschließende Bewältigung

- Betriebshandbuch: liefert eine Dokumentation der Betriebsleistungen inklusive regelmäßiger Wartungsarbeiten, Maßnahmen zum Erhalt des Sicherheitsniveaus sowie einer fortlaufender Risikobearbeitung

- Notfallhandbuch: dokumentiert die „erste Hilfe“ bei Vorfällen, um die Reaktionsgeschwindigkeit zu erhöhen und zudem Alarmierungsabläufe bereits vor dem Notfall zu kennen

- Verfahrensbeschreibung: dokumentiert unter anderem den Kommunikationsplan, organisatorische Themen wie Regeltermine, Reporting, Änderungen von Prozessen, Zuständigkeiten et cetera

Sinvolle Messgrößen

Verschiedene Anspruchsgruppen benötigen unterschiedliche Arten von Messgrößen. Dabei werden Metriken und Leistungskennzahlen (Key-Performance-Indicators, KPIs) zur Cybersicherheit oft synonym verwendet, obwohl sie verschiedene Qualitäten besitzen (vgl. [2]): (Cybersicherheits-) Metriken sind quantitative Messwerte für operative und taktische Entscheidungen: Sie überwachen und bewerten laufende Security-Prozesse und liefern Informationen, ob ein Dienst, Programm, eine Initiative oder Maßnahme funktioniert.

Demgegenüber messen KPIs den Fortschritt oder Erfüllungsgrad wichtiger und allgemeiner Erfolgsfaktoren des Unternehmens: In der Praxis lassen sich KPIs am besten für die längerfristige strategische Ausrichtung und diesbezügliche Entscheidungsfindung nutzen. Entscheider fokussieren darüber beispielsweise auf die Risikolage allgemein samt Risiko-Belastung und Kosten, die Effizienz, die Resilienz und die Cyberrisiko-Minimierung.

Mittels entsprechender Dashboards können Unternehmer* und Sicherheitsverantwortliche fundiertere Entscheidungen treffen –gerade im Hinblick auf die Gesamteffektivität einer Maßnahme oder Initiative und deren Kosten. Vermehrt wächst auch das Interesse von Gesellschaftern und Aktionären für die IT-Sicherheit von Unternehmen, für die gut visualisierte KPIs eine valide Berichterstattung ermöglichen.

Versicherungen bilden eine Anspruchsgruppe, die auf Sicherheitsminimierung und Resilienz fokussiert. Wer sich durch eine Versicherung gegen Schäden absichern lassen will, kann im Rahmen des Versicherungsantrags Messgrößen und deren Dokumentation heranziehen.

Relevante KPIs und Metriken für Cyber-Versicherungen

Mit den richtigen Metriken und KPIs können Unternehmen in puncto Cyberversicherung sowohl einen fundierten Einstieg erhalten als auch im Schadensfall nachweisen, welche Maßnahmen sie zuvor aktiv zur Risikominimierung ergriffen haben. Basierend auf den Mindeststandards und der Dokumentation der aktiven Risikominimierung drängen sich folgende Metriken und KPIs auf:

  • Angriffsversuche versus tatsächliche Sicherheitsvorfälle: Diese Kennzahl setzt die auftretenden Events, Alerts und Incidents ins Verhältnis zueinander. Dadurch ergibt sich ein allgemeiner Überblick bestehender Schwachstellen, des Stands der Vorbereitung und der Reaktion auf Angriffe.
  • Mittlere Zeit bis zum Nachweis (Mean Time to Detection, MTTD): Diese gern genommene Metrik stellt dar, wie schnell ein Unternehmen einen Angriff erkennt. Je schneller die Erkennung, desto größer ist naturgemäß die Chance der Abwehr oder Eindämmung.
  • Mittlere Zeit bis zur Antwort (Mean Time to Response, MTTR): geht noch einen Schritt weiter und erfasst die mittlere Zeit bis zur Neutralisierung und Betriebsaufnahme. Je länger sich Ereignisse hinziehen, desto größer sind die Risiken und Kosten.
  • Mittlere Zeit bis zur Eindämmung (Mean Time to Contain, MTTC): Diese Metrik bezieht sich auf die durchschnittliche Zeit, die benötigt wird, um alle Angriffsvektoren über alle Endpunkte hinweg auszuschalten und die Wahrscheinlichkeit eines weiteren Schadens zu minimieren.
  • Nicht-identifizierte Geräte im Netzwerk: Die Möglichkeit, nicht-identifizierte Geräte zu erkennen und zu kennzeichnen, verringert die Wahrscheinlichkeit, dass jemand unbefugten Zugriff auf das Netzwerk hat, erheblich und bildet eine grundlegende Metrik des Security-Event-Managements (SEM).
  • Kadenz und Effektivität der Patches: Diese Metrik misst die Schwachstellen in Sachen Patches. Eine entsprechende Transparenz stellt sicher, dass Software-Patches schnell und effektiv angewendet werden.
  • Wirksamkeit der Ausbildung/Security-Awareness: Es ist wichtig, dass Mitarbeiter wissen, wie sie auf Angriffe reagieren sollen – die „menschliche Firewall“ ist letztlich die beste Verteidigungslinie gegen Einbrüche und Ausfälle. Valide Metriken liefern beispielsweise die Erfolgsquoten von Phishing-Tests und eine dynamische Risikobewertung. Auch Einblicke in die Leistungsauswertung eines Schulungsprogramms geben Aufschluss darüber, wie hoch der Aufklärungsgrad der Teilnehmer ist.
  • Mobile-Device-Management (MDM): Kennzahlen aus den MDM stellen die Sicherheit von Identitäten, Geräten und Applikationen korreliert in Prozent dar. Eine Metrik wie der Microsoft Secure Score (vgl. Abb. 1) steigt beispielsweise durch Umsetzung empfohlener Einstellungen und Sicherheitsmaßnahmen.

Weitere grundlegende Messwerte lassen sich aus einschlägigen Standards und Frameworks der Cybersicherheit ableiten: Beim BSI IT-Grundschutz können etwa die drei Schutzbedarfskategorien und das Grundschutz- Kompendium Anregungen geben. Auch die ISO-27000-Familie kann internationale Sicherheitsstandardssamt regelmäßiger Zertifizierung als Messprozess bereitstellen. Und die „Control Objectives for Information and Related Technology“ (Cobit) halten ein Mess- und Steuerungsinstrument für sämtliche IT-Prozesse bereit: Im Gegensatz zu den Security-Normen der ISO unterstützt Cobit bei der Erstellung, Überwachung sowie Auswertung von IT-Geschäftsprozessen.

Quelle: microsoft.com
Abbildung 1: Secure-Score im Defender-Portal von Microsoft

Darüber hinaus stellen übergeordnete Kennzahlen ebenfalls interessante längerfristige Indikatoren dar:

  • Anteil des IT-Security-Budgets am gesamten IT-Budget: Der prozentuale Anteil, den das dedizierte IT-Security- Budget am gesamten IT-Budget einer Organisation ausmacht, sollte Experten zufolge heute zwischen 10 und 15 Prozent liegen.
  • Vergleichsdaten aus anderen Unternehmen und der Branche: Anhand unabhängiger Daten lässt sich eine Benchmark-Kennzahl bestimmen, wie ein Unternehmen im Vergleich zu anderen Branchenteilnehmern abschneidet. Es ist jedoch auch wichtig zu wissen, ob Branchen- Benchmarks tatsächlich angemessen sind, damit ein Unternehmen nicht auf einen mangelhaften Mittelwert zurückfällt.

Verhältnismäßigkeit im Blick behalten

Zu viele Daten können Entscheider und Sicherheitsteams überfordern und belasten. Es empfiehlt sich daher, mit allen internen wie externen Anspruchsgruppen zu sprechen und den Bedarf in puncto Messkriterien zu konkretisieren. Anschließend gilt es, die Metriken und KPIs mit einem akzeptablen Risikoniveau abzustimmen.

Fazit

Die Verbesserung der Cybersicherheit mittels Metriken und KPIs bedarf einer validen Datenbasis, einer guten Vorgehensweise und Methodik sowie eines langen Atems. Der Preis der Mühen: Unternehmen, die mit Kennzahlen agieren, arbeiten nachweislich effizienter und kostengünstiger in Sachen Cybersicherheit. Versicherungen schätzen Kennzahlen, die darstellen, wie Anspruchsgruppen die Lage einschätzen können und dadurch Risiken verringern. Gleichzeitig reduziert man so die Gefahr lähmender Angriffe für das Unternehmen und von Schadensfällen für die Versicherer.

Sven Hillebrecht ist General Manager des IT-Beratungsunternehmens Adlon.

Literatur

[1] CyberRisk Alliance, XDR Poised to become a Force Multiplier for Threat Detection, Studie/Whitepaper, April 2022, www.scmagazine.com/whitepaper/cra-study-xdrpoised-to-become-a-force-multiplier-for-threat-detection (Anmeldung erforderlich)

[2] Anna Riske, KPIs aussagekräftig gestalten, Erfolgsmessung in der Informationssicherheit, <kes> 2018#3, S. 16

[3] Holger Himmel, Dr. Aleksandra Sowa, Ein Tacho für die IT-Sicherheit, Index der Gefährdungslage, <kes> 2015#4, S. 14

[4] Reiner Kraft, Mechthild Stöwer, Kickstart für KPIs, Erfolgversprechende Schritte zum Aufbau eines angepassten Kennzahlensystems zur Messung der Informationssicherheit, <kes> 2018#4, S. 6

[5] Marko Klaus, Mechthild Stöwer, Sicherheitskennzahlen: Metriken aus Angreifer-Sicht, <kes> 2020#1, S. 43

Diesen Beitrag teilen: