Es ist schwer, die Vergleichbarkeit von Cybersicherheitsmaßnahmen und deren Umsetzung herzustellen. Strukturierte Benchmarks liefern Anhaltspunkte zur Qualität.
Wir alle möchten gerne wissen wo wir stehen. Wie reich, schön und erfolgreich sind wir im Vergleich zu anderen? Man sollte sich wünschen, dass Organisationen ein bisschen mehr von diesem allzu menschlichen Verhalten auf ihr eigenes Handeln übertragen. Ohne den Aspekt des Narzissmus, versteht sich. Würden sie sich beispielsweise öfter fragen, wie sie beim Thema Digitalisierung gegenüber vergleichbaren Unternehmen dastehen, dann könnten unmittelbar Maßnahmen zur Verbesserung eingeleitet werden. Bei IT-Sicherheit ist das nicht anders. Doch wie kann ein solcher Benchmark aussehen?
Ein Trainingsplan für die Cybersicherheit
Wer sich beim Sport verbessern will, der muss einen Trainingsplan aufsetzen, der unterschiedliche Disziplinen wie Stärke, Geschwindigkeit und Ausdauer abdeckt. Diese Art von Elementen gibt es auch bei der Cybersicherheit. Zwei große Themenblöcke sind beispielsweise die normative Sicherheit und die technische Sicherheit. Ein Maßnahmenplan für IT-Sicherheit bietet eine Gesamtschau auf alle Sicherheitsanforderungen und die daraus abgeleiteten Ziele. Auf diesem Plan aufbauend werden Sicherheitsarchitekturen errichtet und weitere technische Maßnahmen abgleitet. Existieren Mängel in der Planung der normativen Sicherheit, so wirkt sich dies zumeist auch direkt auf die technischen Fragestellungen aus. Beide Seiten müssen daher in einem Benchmark abgebildet werden, das die Leistungsfähigkeit eines Unternehmens im Bezug auf Cybersicherheit widerspiegeln soll.
Strukturierte Vorgehensweise
Der Ablauf eines Benchmarks beinhaltet neben Projekt-Setup und der finalen Abgrenzung des Umfangs auch die Erhebung der Daten zum Status quo. Hierbei werden alle aktuell umgesetzten IT-Sicherheitsmaßnahmen dokumentiert, die daraus resultierenden Kosten erfasst und die derzeitigen Service Levels für einzelne Aktivitäten festgehalten. Beim Benchmark für die Informationssicherheit wird darüber hinaus für jede Maßnahme auch der Umsetzungsgrad bewertet. Es kann nämlich durchaus sein, dass eine Maßnahme zwar etabliert wurde und auch durchgeführt wird, sie jedoch noch weit ausbaufähig ist, um den Schutzgrad weiter zu erhöhen. Aus all diesen Informationen wird ein Scoring abgeleitet. Dieses spiegelt dann den Reifegrad der einzelnen umgesetzten Maßnahmen und Bereiche im direkten Vergleich mit anderen Unternehmen wider.
Die Datengrundlage gewährleistet die Vergleichbarkeit
Das Hauptaugenmerk bei Benchmarks liegt auf der Vergleichbarkeit. Wichtig hierfür ist die Datengrundlage und die Definition der Vergleichsunternehmen. Eine passende Referenzgruppe wird hierzu aus einer Benchmark-Datenbank ausgewählt, die zumeist acht bis zwölf Unternehmen umfasst. Nur wenn die Vergleichbarkeit der Unternehmen untereinander sichergestellt ist, sind die Ergebnisse aussagekräftig. Unterliegt ein Unternehmen beispielsweise den Anforderungen an kritische Infrastrukturen (KRITIS), ist ein anderes Schutzniveau angemessen als bei Unternehmen aus einem unregulierten Bereich. Gleichzeitig haben Kleinunternehmen oder Mittelständler andere Kostenstrukturen als Konzerne. Man darf hier also nicht Äpfel mit Birnen vergleichen. Zum Abschluss des Prozesses wird der Benchmark ausgewertet und Optimierungspotenziale für das Unternehmen aufgezeigt.
Die große Frage: passt der Aufwand zum Resultat?
Der Benchmark ist vor allem dann zielführend, wenn die Relation zwischen Kosten und Wirkungsgrad von Maßnahmen klar herausgearbeitet wird. Denn auf Basis der Ergebnisse können potenzielle Stellschrauben für Optimierungen kenntlich gemacht werden. Hierbei stehen Kennzahlen zur Effektivität wie auch zur Effizienz, beispielsweise der Abdeckungsgrad von Sicherheitsprozessen, die Anzahl von Sicherheitsvorfällen pro Benutzer oder Personalkapazitäten pro Bereich im Vordergrund. Verbesserungsmöglichkeiten reichen von strategischen Weichenstellungen auf Basis technologischer Trends, beispielsweise Automatisierung, bis hin zu eindeutigen taktischen Eingriffen auf Service-Ebene, etwa die Härtung von Konfigurationen oder das Ausführen von Sicherheitstests.
Durch einen strukturierten Marktvergleich schafft ein Benchmark Transparenz, wie es um die Effizienz und Effektivität der eigenen IT-Sicherheit bestellt ist. Interne Kennzahlensysteme wiederum ermöglichen es, den eigenen Fortschritt messen zu können. Der Abgleich mit vergleichbaren Unternehmen zeigt auf, ob die gewählten Ziele und deren Erreichung noch zeitgemäß und angemessen sind.