29. April 2021

ISO 27001 IT-Sicherheitsleistung messen – so geht’s einfach

Von Joachim Reinke

April 29, 2021


ISO 27001 IT-Sicherheitsleistung messen - so geht's einfach: Wenn Sie Ihr Unternehmen auf eine ISO 27001-Zertifizierung vorbereiten (mehr dazu hier), stolpern Sie über kurz oder lang über diese Aufforderung:

Die Organisation muss die Informationssicherheitsleistung messen und bewerten. 

Der dürre Satz lässt einen ja zunächst mal aus gutem Grunde ratlos zurück: Wie um Himmels Willen soll man denn gemeinsame Anstrengungen und Zusammenarbeit sinnvoll messen? Und überhaupt: warum?

Sicherheit messen - warum nur?

Der Grund, aus dem die ISO 27001 fordert, dass die Informationssicherheit (oder auch: IT-Sicherheit, Cybersecurity) "gemessen" werden soll, lässt sich mit einem berühmten Zitat am besten beantworten:

Was man nicht messen kann, kann man nicht kontrollieren. (Tom DeMarco)

Anders ausgedrückt: Woher wissen Sie eigentlich, dass die ganzen Bemühungen um mehr IT-Sicherheit im Unternehmen irgendwas bringen? Wie wollen Sie wissen, ob Sie vorankommen? Vielleicht treten Sie ja nur mit viel Arbeit auf der Stelle? Oder in unterschiedliche Richtungen?

Die ISO 27001 möchte Sie hier einfach davor bewahren, dass Sie Zeit und Geld in etwas investieren, das Sie nicht weiterbringt.

Das "Warum Leistung messen?" haben wir ja jetzt geklärt. Stellt sich also nur noch eine Frage:

Wie um Himmels Willen misst man "Informationssicherheitsleistung"?

Schon das Wort "Informationssicherheitsleistung" schüchtert ja erst einmal ein. Es ist lang, abstrakt und klingt sehr fachlich.

Aber keine Angst: gemeint ist dabei nichts anderes als "Wie gut sind wir eigentlich?"

Und da gibt es einen Trick, den wir sehr empfehlen können. Der Trick basiert auf einer wissenschaftlichen Methode, die sich GQM nennt. Und er ist eigentlich ganz simpel.

Schritt 1: wir brauchen ein Ziel!

Wenn wir messen möchten, wie gut wir sind, müssen wir wissen: In Bezug auf welches Ziel!

Ohne Ziel können wir nicht messen. Einfaches Beispiel: Wenn der Marathonläufer nicht weiß, wo er hinlaufen soll, weiß er auch nicht, wie weit es noch ist.

An dieser Stelle hilft uns die ISO 27001 bereits, denn sie verpflichtet uns, mindestens drei Ziele explizit zu vereinbaren:

  1. Was ist unser Ziel hinsichtlich der Vertraulichkeit (Geheimhaltung) von Informationen?
  2. Welches Ziel haben wir bzgl. der Integrität von Informationen (d.h. Unverfälschbarkeit)?
  3. Und welche Verfügbarkeit unserer Informationen möchten wir anbieten?

Da fällt das Ganze doch schon gleich viel leichter! Nehmen wir an, wir haben uns selbst das folgende Ziel gegeben:

ZIEL: Unsere Applikation X soll unseren Kunden jederzeit zur Verfügung stehen!

Schritt 2: mit welcher Frage können wir herausfinden, wie gut wir sind?

Als nächstes brauchen wir eine (es gehen auch mehrere) möglichst gemeine Frage, mit der wir herausfinden, wie gut wir denn eigentlich bzgl. unseres Ziels sind. Bei unserem Ziel von oben (die 24/7-Verfügbarkeit) zum Beispiel die folgende:

FRAGE: Wieviele Stunden waren wir im Mittel pro Monat in der Hauptgeschäftszeit (9-17 Uhr) offline?

Schritt 3: Welche Note geben wir uns?

Der letzte Schritt ist einfach: wenn wir uns die Frage beantwortet haben, müssen wir natürlich noch irgendwie bewerten, wie "gut" die Antwort ist. Sprich: wie gut ist unser Ziel schon erreicht?

Um im Beispiel zu bleiben: wenn wir wissen, dass wir im Mittel pro Monat 20 min in der Hauptgeschäftszeit offline sind: ist das dann gut oder schlecht?

Was wir also benötigen, ist eine Metrik. Beispielsweise auf Schulnotenbasis. Oder in Prozent (100% ist maximale Zielerreichung). Seien Sie kreativ. Sie können auch Ampelfarben nehmen. Oder Bienchen. Hauptsache aussagekräftig.

METRIK: Schulnote 1 gibt es bei weniger als 5 min "offline"-Zeit. Schulnote 2 bis zu 10 min "offline". Bis 20 min wäre Schulnote 3. Schulnote dann 4 bis 40 min. Schulnote 5 bis 1 h. Alles darüber ist eine 6.

Das war sie schon - die GQM-Methode zur Leistungsmessung. War gar nicht so schwierig, oder? Auf diese Weise lassen sich im Grunde alle möglichen Arten von "Puddingen an die Wand nageln". Auch für nicht-technische Dinge (wie bspw. Zusammenarbeit) kriegt man immer gemeine Fragen hin, mit denen man herausfindet, wie gut sie klappen.

Unser Tipp

ISO 27001 IT-Sicherheitsleistung messen - so geht's einfach! Die eigene Sicherheitsleistung zu messen, ist absolut nützlich, weil es dafür sorgt, dass keine Energie und Arbeit in sinnlose Tätigkeiten gesteckt wird.

Außerdem ermöglicht Leistungsmessung herauszufinden, wie weit man bereits ist auf dem Weg zum Ziel.

Mit der GQM-Methode geht es überdies ziemlich zügig erledigt!

Brauchen Sie noch gemeine Fragen für Ihre Leistungsmessung? Wir haben da welche für Sie. Vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns! Oder Sie schreiben uns etwas gleich hier auf der Seite in den Chat (rechts unten).

Über den Autor

Joachim Reinke

Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte.

Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD, TÜV Rheinland und die AOK.