Ausgabe 05 | 2021

Informationssicherheit messen

Andreas Wisler, Dipl. Ing FH

Wer misst, misst Mist. Diesen Satz lernte ich gleich zu meiner Ausbildung zum Elektroniker. Dies gilt nicht nur bei der Elektrotechnik, auch bei der Messung der Informationssicherheit ist es wichtig zu definieren, was gemessen wird, wie dies durchgeführt wird und wie die Ergebnisse zu interpretieren sind. Die ISO 27004 hilft, genau dies durchzuführen.

Die Informationssicherheit zu messen, ist eine grosse Herausforderung. Welche Punkte gilt es zu messen? Wie kann sichergestellt werden, dass sich das ISMS wirklich weiterentwickelt und verbessert? Die ISO 27004 mit dem Titel «Information technology – Security techniques – Information security management – Monitoring, measurement, analysis and evaluation» bietet eine Anleitung zur Beantwortung folgender Fragen:

  • die Überwachung und Messung der Leistung der Informationssicherheit;
  • die Überwachung und Messung der Wirksamkeit des ISMS einschliesslich seiner Prozesse und Kontrollen;
  • die Analyse und Bewertung der Ergebnisse der Überwachung und Messung.

Die Norm ist in die Kapitel Gründe, Merkmale, Arten von Massnahmen und Abläufe unterteilt. Aber woher kommt die Anfor­derung, Informationssicherheit überhaupt zu messen? Dies ist in der ISO 27001:2013, Punkt 9.1 definiert. Die Organisation muss bestimmen:
a) was überwacht und gemessen werden muss, einschliesslich der Informationssicherheitsprozesse und Massnahmen;
b) die Methoden zur Überwachung, Messung, Analyse und Bewertung, sofern zutreffend, um gültige Ergebnisse sicherzustellen;
c) wann die Überwachung und Messung durchzuführen ist;
d) wer überwachen und messen muss;
e) wann die Ergebnisse der Überwachung und Messung zu analysieren und zu bewerten sind; und
f) wer diese Ergebnisse analysieren und bewerten muss.
Der Punkt a) wird in den Kapiteln 6.2 und 6.3, c) und e) im Kapitel 6.4, d) und f) in Kapitel 6.5 sowie b) in den Kapiteln 7, 8 und dem Anhang. Im Kapitel 5.4 geht die Norm darauf ein, welche Vorteile eine regelmässige Messung bringt. Es sind dies:

  • Erhöhte Rechenschaftspflicht
  • Verbesserte Informations­sicherheitsleistung und ISMS-Prozesse
  • Nachweis der Erfüllung von Anforderungen
  • Unterstützung bei der Entscheidungsfindung

Doch was soll ich überwachen, um aussagekräftige Ergebnisse zu bekommen? Auch hier hilft die Norm weiter und zählt in Kapitel 6.2 einige, nicht abschliessende Punkte auf. Dies könnten beispielsweise sein:

  • Stand der Implementierung von ISMS-Prozessen;
  • Vorfälle von Incidents (technisch, wie auch Infor­mationssicherheit);
  • Korrekter Umgang mit Schwachstellen;
  • Management der Konfigura­tionen;
  • Sicherheitsbewusstsein der involvierten Personen;
  • Zugriffskontrolle, Firewall und andere Ereignisprotokolle;
  • Ergebnisse von Audits;
  • Stand des Risikobewertungsprozesses und Behandlung dieser;
  • Stand des BCMs;
  • Physisches Sicherheitsmanagement; und
  • Systemüberwachungen.

Diese Aufzählung entspricht den Anforderungen des Anhangs der ISO 27001. Dort sind 114 Controls in 14 Kapiteln aufgeführt (siehe dazu Maschinenbau 2018.4). Nun gilt es zu definieren, wann überwacht, gemessen, analysiert und bewertet werden soll (Kapitel 6.4) sowie wer überwacht, misst, analysiert und bewertet (Kapitel 6.5).
In Kapitel 7 werden Messungen der Leistung und der Effek­tivität erläutert. Leistungsmassnahmen können verwendet werden, um den Fortschritt bei der Implementierung von ISMS-Prozessen, zugehörigen Verfahren und ­spezifischen Sicherheitskontrollen nachzuweisen. Die Effektivitätsmassnahmen sollten verwendet werden, um die Wirksamkeit und die Auswirkungen zu beschreiben, die die Realisierungen der ISMS-Risikobehandlung und der ISMS-Kontrollen auf die Informationssicherheitsziele haben. Diese Massnahmen sollten verwendet werden, um festzustellen, ob die ISMS-Prozesse und Kontrollen der Informationssicherheit wie beabsichtigt funktionieren und die gewünschten Ergebnisse erzielen.
Das Kapitel beschreibt die Überwachung, Messung, Analyse und Bewertung und beinhaltet den folgenden Prozess:
a) Bedarf identifizieren;
b) Definieren der Massnahmen;
c) Verfahren zur Messung definieren;
d) überwachen und messen;
e) Analyse der Ergebnisse; und
f) die Leistung der Informationssicherheit und die Wirksamkeit des ISMS bewerten.
Der Bedarf lässt sich am einfachsten an den Anforderungen der Stakeholders auf das ISMS erarbeiten. Dies können die Interessierten Parteien, die Geschäftsstrategie des Unternehmens, die Vorgaben aus Richtlinien und Zielen sowie die Resultate aus Risiko-Analysen sein.
Die Messungen leiten sich aus dem Anwendungsbereich, der Firmen-Struktur, Firmenzielen, rechtlichen oder regulativen Anforderungen ab. Quellen für Resultate sind dabei:

  • Ergebnisse von verschiedenen Protokollen und Scans;
  • Statistiken über Schulungen und anderen Aktivitäten;
  • Umfrage und Fragebögen;
  • Vorfälle;
  • Ergebnisse von internen Audits;
  • Ergebnisse von Business-Continuity-/Desaster-Recovery-Übungen; und
  • Management-Reviews.

Sobald die Quellen bekannt sind, gilt es die Überwachung und Messung, egal ob automatisch oder manuell sowie die Speicherung und Art der Überprüfung festzulegen.
Die Datenüberprüfung kann anhand von Checklisten durchgeführt werden, um sicherzustellen, damit fehlende Daten auf die Analyse nur einen minimalen Einfluss haben und die Werte korrekt sind oder innerhalb anerkannter Grenzen liegen. Zum Zweck der Analyse sollten ausreichend Daten gesammelt werden, um sicherzustellen, dass die Ergebnisse der Analyse zuverlässig sind.
Die Ergebnisse der Analyse werden in der Folge interpretiert. Die durchführende Person sollte in der Lage sein, erste Schlüsse aus den Ergebnissen zu ziehen. Möglicherweise müssen weitere Personen beigezogen werden, die direkt an den technischen und Managementprozessen beteiligt sind, damit die Schlussfolgerungen überprüft und bestätigt werden können.
Die Analyse sollte Lücken zwischen den erwarteten und tatsächlichen Messergebnissen eines implementierten ISMS, Kontrollen oder Gruppen von Kontrollen aufzeigen. Identifizierte Lücken können auf einen Verbesserungsbedarf des implementierten ISMS hinweisen, einschliesslich Richtlinien, Zielen, Kontrollen, Prozessen und Verfahren. Überwachungs-, Mess-, Analyse- und Bewertungsprozesse sollten sich kontinuierlich mit den Anforderungen des ISMS verbessern. Dies beinhaltet:
a) das Feedback der interessierten Parteien;
b) die Überarbeitung der Erfassung- und Analysetechniken auf Grundlage der gemachten Erfahrungen und Rückmeldungen;
c) die Überarbeitung der Umsetzung und Messverfahren; und
d) Resultate zur Informations­sicherheit.
Natürlich gilt es die Ergebnisse in einer geeigneten Form aufzubewahren und bei Bedarf zur Ver­fügung zu haben.
Oft ist es schwierig mit der Messung zu starten. Daher gibt der Anhang B 35 Beispiele von mög­lichen Messungen. Bild 1 zeigt in der linken Spalte die Anforderungen aus ISO 27001 sowie dem Anhang und verknüpft diese in der rechten Spalte mit einer möglichen Messung. Die Messung-Beispiele enthalten folgende Punkte:

  • Ziel der Messung
  • Aussage über
  • Auswertung
  • Berechnung
  • Bewertung
  • Nachweis der Analyse
  • Häufigkeit
  • Verantwortliche Personen (Eigentümer, Auswertende Person, Auftraggeber)
  • Datenquelle
  • Berichtsformat (Bild 2)

Im Bild 3 ist zudem ein Beispiel eines Messberichts zu finden.

Fazit
Die ISO 27004 gibt eine genaue Anleitung, wie Messungen definiert und durchgeführt werden sollten und können. Definiert ist, was, wie und wann gemessen und anschliessend ausgewertet wird. Der gesamte Lebenszyklus wird beschrieben. Der Anhang B hilft bei der Suche nach sinnvollen Messungen. Damit stellt die Norm das notwendige Rüstzeug für das Messen und Auswerten von Sicherheitsmetriken dar. Damit nicht nur Mist gemessen wird, sondern das ISMS stetig weiterentwickelt und verbessert wird.

ZUM AUTOR
Andreas Wisler, Dipl. Ing FH
goSecurity AG
Schulstrasse 11
CH-8542 Wiesendangen

T +41 (0)52 511 37 37
www.goSecurity.ch
wisler@gosecurity.ch

Termine

Juni

LASER World of PHOTONICS, digital

Kongress für Komponenten, Systeme und Anwendungen der optischen Technologien
20. bis 24. Juni
www.world-of-photonics.net

Rapid.Tech 3D digital

Internationaler Hub für Additive Manufacturing: Kongress – Messe – Networking
22. und 23. Juni
www.rapidtech-3d.de

automatica sprint, München

Internationale Fachmesse für Automation und Mechatronik
22. bis 24. Juni
www.automatica-munich.com

August

Sindex, Bern

Treffpunkt der Schweizer Technologiebranche
31. August bis 2. September
www.sindex.ch

September

Kuteno, Rheda-Wiedenbrück

Kompakte Zuliefermesse für die kunststoffverarbeitende Industrie
7. bis 9. September
www.kuteno.de