Benchmark Tests zur Messung der IT-Sicherheit
Für Unternehmen ist es von großer Bedeutung zu erfahren, wie es um die eigene IT-Sicherheit steht. Dabei gibt es allerdings ein Problem: Die Anbieter von Sicherheitsprodukten haben ein offenkundiges Interesse daran das Bedrohungsszenario als gefährlicher einzustufen als es in Wirklichkeit ist. Können Benchmark Tests dem entgegenwirken?
Die IT-Sicherheitsbranche ist durchaus ein besonderes Umfeld. Erfolge müssen hier anders bemessen werden als anderswo. Denn es liegt in der Natur der Sache, dass nicht der reibungslose Ablauf der IT, sondern vor allem aufgekommene Lücken in der Sicherheitsstruktur für Aufsehen bei den Unternehmensverantwortlichen sorgen. Unternehmen drohen deshalb oftmals mit Horror-Szenarien für die Dringlichkeit neuer Sicherheitslösungen. Wie können also Entscheider wissen, ob das derzeitige Sicherheitskonzept ihres Unternehmens wirklich effektiv ist.
Was sind Benchmark Tests?
Um das zu testen bieten immer mehr Unternehmen Benchmark Tests an. Unter Benchmarking versteht man ein Verfahren mit dessen Hilfe man die Leistung von EDV-Systemen und Systemklassen ermitteln kann. Dafür werden verschiedene Testparameter erstellt, an Hand derer man anschließend verschiedene Anbieter vergleichen können soll. Ursprünglich wurden sie zum Vergleich von Hardware genutzt. Doch auch zum Vergleich von IT-Sicherheitssystemen haben Benchmark Tests mittlerweile eine große Bedeutung. Die IT-Sicherheitsstruktur in Unternehmen ist jedoch sehr komplex und aufgedröselt. Das macht die Erstellung aussagekräftiger Benchmark Tests zu einer durchaus komplexen Angelegenheit.
So funktionieren Benchmark Tests zur Einschätzung der IT-Sicherheit
Bei Benchmark Tests zur Einschätzung der IT-Sicherheit unterscheidet man deshalb zwischen normativer und technischer Sicherheit. Unter normativer Sicherheit versteht man die Ziele und Vorgaben. Diese sollten dann in Übereinstimmung mit der technischen Ausgestaltung (technische Sicherheit) sein. Zur Durchführung eines Benchmark Tests werden die verschiedenen Bereiche des IT-Sicherheitssystems unterschiedlichen Kategorien zugeordnet. Diese könnten beispielsweise aus Governance und Risikomanagement oder Security Monitoring bestehen. Anschließend werden dann die Daten im Unternehmen untersucht. Wie ausführlich die Analyse ausfällt, hängt vom Anbieter des Benchmark Tests und dem Wunsch des Kunden ab.
Mit all dem verfolgt man nur ein Ziel: Die Vergleichbarkeit mit anderen Anbietern und Sicherheitssystemen herzustellen. Sie beruhen deshalb darauf, dass der Anbieter möglichst viele Daten von anderen Unternehmen einbeziehen kann, um die Ergebnisse des Tests verorten zu können. Nur dann kann der Test wertvolle Ergebnisse bieten. Am Ende eines Benchmark Tests soll der Kunde ein detaillierten Bericht über die verschiedenen Facetten des eigenen IT-Sicherheitssystems bekommen. Dabei sollten Antworten auf die zentralen Fragen der IT-Sicherheit geboten werden. So zum Beispiel die Relation der Kosten zum Umsetzungsgrad oder die Identifikation von Bereichen in denen man underperformed.
Fazit: Gerade in Unternehmen, bei denen das IT-Sicherheitssystem immer undurchsichtiger geworden ist, können Benchmark Tests helfen. Sie können eine gute Grundlage dafür bieten, ein effizienteres IT-Sicherheitssystem aufzubauen. Auch helfen sie, wenn sie gut durchgeführt wurden, dabei Anbietern von Sicherheitssystemen kompetent gegenüberzutreten.
Quelle Titelbild: iStock / Tero Vesalainen