Seminararbeit

Sicherheitsmetriken für
ISO-Standards

Sebastian Drabik
14. Juli 2014

Prof. Dr. Jan Jürjens Lehrstuhl 14 Software Engineering

Fakultät Informatik
Technische Universität Dortmund
Otto-Hahn-Straße 14
44227 Dortmund
http://www-jj.cs.uni-dortmund.de/secse
Sebastian Drabik
sebastian.drabik@udo.edu.de
Matrikelnummer: 127395
Studiengang: Master Angewandte Informatik

Sicherheit und Compliance im Softwareengineering und der Industrie

Thema: Sicherheitsmetriken für ISO-Standards

Eingereicht: 14. Juli 2014

Betreuer: Thorsten Humberg

Prof. Dr. Jan Jürjens Lehrstuhl 14 Software Engineering

Fakultät Informatik
Technische Universität Dortmund
Otto-Hahn-Straße 14
44227 Dortmund
i
 ii

Ehrenwörtliche Erklärung

Ich erkläre hiermit ehrenwörtlich, dass ich die vorliegende Arbeit selbstständig
angefertigt habe; die aus fremden Quellen direkt oder indirekt übernommenen
Gedanken sind als solche kenntlich gemacht.

Die Arbeit wurde bisher keiner anderen Prüfungsbehörde vorgelegt und auch
noch nicht veröffentlicht.
Dortmund, den 11.06.2014

Sebastian Drabik
 iii

Abstract

IT-Sicherheit wird immer wichtiger. Doch ein Unternehmen effektiv zu

schützen, ist eine sehr komplexe Aufgabe. Zu diesem Zweck wurden die
Standards der ISO 27000-Reihe verfasst. Diese Standards befassen sich
mit verschiedenen Aspekten der IT-Sicherheit, etwa der Einführung eines
IT-Sicherheitmanagements.
Doch sinnvoll können Sicherheitsmaßnahmen nur dann umgesetzt wer-
den, wenn eine Evaluation ihrer Effektivität möglich ist. Sicherheitsme-
triken bieten hierzu die Möglichkeit. Da jedoch die Bestimmung und Ver-
wendung geeigneter Metriken selbst wiederum eine komplexe, für viele
Unternehmen nur schwer umzusetzende Aufgabe darstellt, wird auch hier
nach Hilfestellungen verlangt.
In dieser Arbeit wird ein Überblick über eine ausgewählte Menge solcher
Hilfestellungen gegeben. Neben der ISO 27004, die sich mit der Messung
und Bewertung von IT-Sicherheitsmaßnahmen befasst, wird ein neuarti-
ger Ansatz vorgestellt, welcher es Unternehmen ermöglicht, auf der Basis
einer Sicherheitsontologie automatisiert Metriken zu generieren. Außer-
dem wird ein Modell behandelt, welches die Zuweisung und Gewichtung
von Metriken ermöglicht. Alle Ansätze sind auf ihre Probleme hin unter-
sucht worden.
 iv INHALTSVERZEICHNIS

Inhaltsverzeichnis

1 Einleitung 1

2 IT-Sicherheitsmetriken 2
2.1 Qualität einer Metrik . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

3 Die ISO 27000-Familie 5

3.1 Information Security Management System . . . . . . . . . . . . . . . 5

4 Auswahl und Bewertung von Sicherheitsmetriken 8

4.1 Verwendung eines veröffentlichten Standards . . . . . . . . . . . . . . 8
4.2 Generierung von Sicherheitsmetriken . . . . . . . . . . . . . . . . . . 10
4.2.1 Probleme des Ansatzes . . . . . . . . . . . . . . . . . . . . . . 12
4.3 Mathematisches Modell zur Auswertung gewichteter Metriken . . . . 12
4.3.1 Probleme des Ansatzes . . . . . . . . . . . . . . . . . . . . . . 15

5 Verwandte Arbeiten 16

6 Fazit 17

Literaturverzeichnis 19
KAPITEL 1. EINLEITUNG 1

1 Einleitung

In den letzten Jahren tauchen auch in Diskussionen im Bereich der IT immer häufi-
ger Begriffe wie Compliance, die Darlegung, dass ein Unternehmen gesetzliche Vor-
gaben einhält, auf. Auch in der Bevölkerung ist durch verschiedene Vorfälle der
jüngeren Vergangenheit das Bewusstsein für IT-Sicherheit gewachsen. Unternehmen
müssen diesen Aspekt der IT zunehmend wichtiger nehmen. Die Verbreitung von
IT-Frameworks wie COBIT[9], die ihren Fokus auf Compliance legen, zeigen, dass
dies der Fall ist.
Doch das Feld der IT-Sicherheit ist ein weites, Unternehmen effektiv zu schützen
eine sehr komplexe Aufgabe. Aus diesem Grund entstehen immer neue Standards
zu diesem Thema. So hat etwa das National Institute of Standards and Technology
in den USA diverse Standards zu diesem Thema verfasst. Auch die ISO hat mit der
27000-Reihe ihren Beitrag zur IT-Sicherheit geleistet.
Um, abseits von leeren Werbeversprechen, die Wirksamkeit von Sicherheitsmaßnah-
men darzulegen, bedarf es einer objektiven Methode, dies zu tun. In vielen Bereichen,
wie etwa der Produktivität eines Unternehmens, wird bereits seit langem die Erhe-
bung objektiver Messgrößen, sogenannter Metriken, hierzu verwendet, und auch in
der IT finden IT-Sicherheitsmetriken immer größeren Zuspruch. Da es sich jedoch
auch hierbei um ein komplexes Problem handelt, werden Hilfestellungen benötigt.
In dieser Arbeit soll es um eine besondere Kombination dieser beiden Bereiche gehen:
Sicherheitsmetriken für die Standards der ISO 27000-Reihe. Hierzu soll in Kapitel
2 zunächst erläutert werden, was Sicherheitsmetriken überhaupt sind. Anschließend
wird in Kapitel 3 ein Überblick über die Standards der ISO Reihe gegeben. Im An-
schluss hieran folgt die Betrachtung der Schnittmenge dieser beiden Bereiche. Kapi-
tel 4 befasst sich mit verschiedenen Ansätzen, Sicherheitsmaßnahmen, die konform
mit der 27000-Reihe sind, auf der Basis geeigneter Sicherheitsmetriken zu bewerten.
 2

2 IT-Sicherheitsmetriken

Der Begriff Metrik findet seine Wurzeln in der griechischen Sprache und lässt sich in
etwa mit Maß“ oder Messung“ ins Deutsche übersetzen, was die Idee einer Metrik
” ”
bereits sehr gut beschreibt. Eine Metrik im Bereich der IT ist eine standardisierte
Messgröße. Im Allgemeinen wird der Begriff der Metrik jedoch auch immer an den
Zweck gebunden. So definiert das National Institute of Standards and Technology
Metriken als ein Mittel zur Entscheidungsfindung, zur Verbesserung der eigenen
Performanz sowie zur Nachvollziehbarkeit von Verantwortlichkeiten. Das Ziel soll
sein, einen Überblick über den aktuellen Zustand des eigenen Unternehmens zu
erlangen [18]. Im Fall von IT-Sicherheitsmetriken handelt es sich also um Messungen,
die die Qualität der IT-Sicherheit eines Unternehmens bewertbar machen sollen.
Hierbei ist es wichtig, alle sicherheitsrelevanten Aspekte im Fokus zu haben, d.h.
nicht nur die Informationssysteme selbst zu betrachten, sondern ebenfalls Personal
und Prozesse.
Auch in den ISO-Standards der 27000-Reihe (vgl. Kapitel 3) finden IT-
Sicherheitsmetriken besondere Beachtung. Hier wird noch deutlicher auf die Ziele
eingegangen, die mit der Erhebung und Auswertung von Metriken erreicht werden
sollen. Über verschiedene Veröffentlichungen und Standards hinweg können immer
wieder die folgenden Ziele gefunden werden:

• Verbesserungen der Sicherheit bezüglich Geschäftsrisiken

• Beurteilung und Verbesserung des Information Security Management Systems

• Managemententscheidungen bewertbar machen

• Unterstützung der Entscheidungsfindung im Risikomanagement

• Kommunikation über die Informationssicherheit innerhalb eines Systems er-

möglichen

• Validierung bestehender Sicherheitsmaßnahmen

• Vergleichbarkeit herstellen

• Compliancedarlegung

• Input für Sicherheitsaudits

KAPITEL 2. IT-SICHERHEITSMETRIKEN 3

Wie an diesen Zielen zu sehen ist, ist nicht nur die Bewertung von Sicherheitsmecha-
nismen, sondern auch die Darlegung der Effektivität eingesetzter Maßnahmen von
großer Wichtigkeit. So ist insbesondere die Compliance – die Einhaltung von Geset-
zen und Richtlinien durch das Unternehmen – ein Zustand, den ein Unternehmen
zu möglichst jedem Zeitpunkt erfüllen sollte.
Ein weiterer interessanter Aspekt von Sicherheitsmetriken liegt in ihren grundle-
genden Eigenschaften. Dadurch, dass es sich bei Metriken um etwas Messbares und
etwas Standardisiertes handelt, eignen sich diese oftmals gut, automatisiert gesam-
melt zu werden und können auch wiederum selbst als Eingabe für Maschinen dienen.
Somit lassen sich, sofern die genutzten Metriken geeignet gewählt sind, viele Berei-
che des IT-Sicherheitsmanagements automatisieren. Eine Analyse der Frage, welche
Bereiche sich hierfür eignen, kann etwa in [17] gefunden werden.

2.1 Qualität einer Metrik

Offensichtlich ist es keine leichte Aufgabe, geeignete Sicherheitsmetriken zu finden.
Daher wäre es wünschenswert, einen allgemeingültigen Ansatz zu entwerfen, der
eine qualitativ hochwertige Auswahl von Metriken vorgibt. Da Bedrohungen, wie
auch Sicherheitsmaßnahmen sich kontinuierlich verändern, ist dies allerdings wohl
kaum möglich. Mark Torgerson geht in [21] sogar so weit, zu sagen, es existiere gar
keine Metrik, die die absolute Sicherheit eines Systems angeben kann. Das heißt, die
Sicherheit eines Systems kann immer nur geschätzt werden. Nichtsdestotrotz sind
Metriken wichtige Indikatoren für potentielle Schwachstellen.
Auch wenn es also keine perfekte Metrik geben kann und ein System aufgrund von
unvollständigem Wissen nie absolut als sicher bezeichnet werden kann, gibt es natür-
lich dennoch Metriken, die geeigneter für das eigene Unternehmen sind als andere. In
[14] wird zwischen vier Formen von Metriken unterschieden, wobei empfohlen wird,
sogenannten Hard Metrics, also besonders objektiven Metriken, die ausschließlich
auf präzise messbaren Phänomenen basieren, den Vorzug zu geben, sofern es wirt-
schaftlich ist. Insbesondere, da in vielen Unternehmen bereits große Mengen von
Daten gesammelt werden, sind diese Metriken häufig leicht einzusetzen, da lediglich
eine Auswertung bereits vorhandener Daten stattfinden muss. In [13] werden zusam-
menfassend die folgenden Punkte angesprochen, die eine gute Metrik ausmachen:

• Eine Metrik muss beständig messbar sein, oder anders formuliert, wird die
Messung auf dieselbe Weise von zwei verschiedenen Personen oder Systemen
durchgeführt, muss das Ergebnis dasselbe sein.

• Eine Metrik muss leicht zu erhalten sein. Im Fall von Unternehmen sollte
hier eher von günstig gesprochen werden. Im Idealfall werden die notwendigen
Daten zu einer Metrik bereits für andere Zwecke aufgezeichnet, so dass die
Implementierung einer Messung besonders einfach ist.

• Eine Metrik sollte in Form einer (Prozent-)Zahl ausgedrückt werden können.

 4 2.1. QUALITÄT EINER METRIK

• Zu einer Metrik gehört auch immer mindestens eine Einheit.

• Eine gute Metrik ist kontextspezifisch. Sie muss stets eine klare, eindeutige
Bedeutung für alle beteiligten Personen haben.

Im Umkehrschluss ist jede Metrik tendentiell eine schlechte, die einen der obigen
Punkte verletzt. Nicht immer können alle diese Kriterien eingehalten werden. So
werden insbesondere in Kapitel 4 auch Metriken betrachtet, die nicht alle Kriterien
erfüllen.
Auch wenn es in [13] so formuliert ist, muss eine Metrik nicht automatisch unbrauch-
bar sein, sollte sie nicht alle fünf Kriterien erfüllen. Nichtsdestotrotz handelt es sich
bei dieser Liste um Richtlinien, deren Beachtung es einfacher macht, gute Metriken
zu finden.
KAPITEL 3. DIE ISO 27000-FAMILIE 5

3 Die ISO 27000-Familie

Die ISO 27000-Reihe befasst sich mit Standards bezüglich der IT-Sicherheit. Im
Fokus liegt hierbei die Einrichtung eines umfassenden, dedizierten Managementsys-
tems, welches sich ausschließlich mit Aufgaben der Informationssicherheit befasst.
Dieses wird im Standard als Information Security Management System (im Folgen-
den ISMS ) bezeichnet.
Die Reihe der ISO 27000-Standards umfasst bereits mehr als 20 Normen und wächst
weiter an. Für das Verständnis dieser Arbeit sind jedoch nur die Kenntnis einiger
weniger notwendig:

ISO/IEC 27000 stellt eine Art Präambel dar. Hier werden Begriffe und Definition
für die restlichen Standards der Familie festgelegt.

ISO/IEC 27001 enthält Anforderungen, die ein ISMS erfüllen muss.

ISO/IEC 27002 gibt Empfehlungen für Kontrollmechanismen im Bereich der In-

formationssicherheit.

ISO/FCD 27004 handelt schließlich von der Messbarkeit der Leistung eines ISMS.

Von besonderer Bedeutung ist der Begriff des ISMS, der Plan-Do-Check-Act-Zyklus
und der Begriff des Kontrollmechanismus. Der Begriff der Sicherheitsmetrik wurde
bereits in Kapitel 2 umfassend behandelt.

3.1 Information Security Management System

Das ISMS ist im Standard ISO 27001 [11] wie folgt definiert:

Teil des gesamten Managementsystems, der auf der Basis eines Ge-
”
schäftsrisikoansatzes die Entwicklung, Implementierung, Durchführung,
Überwachung, Überprüfung, Instandhaltung und Verbesserung der In-
formationssicherheit abdeckt.
ANMERKUNG Das Managementsystem enthält die Struktur, Grundsät-
ze, Planungsaktivitäten, Verantwortung, Praktiken, Verfahren, Prozesse
und Ressourcen der Organisation.“
 6 3.1. INFORMATION SECURITY MANAGEMENT SYSTEM

Wie aus dieser Definition hervorgeht, ist das ISMS sehr umfangreich. Es ist ein an-
dauernder Prozess, der, ähnlich wie andere Teile des gesamten Managementsystems,
alle Bereiche der Organisation durchdringt. Außerdem ist es ein Prozess, der sämtli-
che Phasen des Informationssicherheitsprozesses abdeckt, von der Entwicklung einer
2.3. STANDARDS AND GUIDELINES
Informationssicherheitsstrategie FOR SECURITY
über die Umsetzung und dieMETRICS 17
Überwachung bis hin
zur Ermittlung und Umsetzung von Verbesserungen.
ISO/IEC 27001 describes how an organization can establish, implement,
Im Standard existiert
operate, auchreview,
monitor, ein Ablaufplan,
maintain andder zeigt,itswie
improve alle Aufgaben
ISMS. This can beeines ISMS
illustrated Dieser
zusammenhängen. by the Plan-Do-Check-Act
Plan wird auch (PDCA) model as shown in Figure (PDCA-
als Plan-Do-Check-Act-Zyklus
Zyklus) bezeichnet. Abbildung 3.1 zeigt diesen und cycle
2.2. The figure shows how one can use the PDCA ordnetto go from
die having den vier
Aufgaben
information security requirements and expectations to having managed
Phasen zu.information security. [17]

Abbildung
Figure 2.2: The PDCA3.1: Der
model PDCA-Zyklus
applied [20]
to ISMS processes [17]

ISO/IEC 27004 defines the following success factors:

Eine detaillierte Beschreibung, die einzelne Arbeitsschritte für alle vier Phasen vor-
a) Management
gibt, kann [11] entnommencommitment
werden. supported by appropriate resources;
b) Existence of ISMS processes and procedures;
c) A repeatable
Neben der Definition process capable
von Information of capturing
Security and reporting
Management meaningful
Systems in [11] werden
data to provide relevant trends over a period of time;
in der ISO/FCD 27004 [10] die folgenden Erfolgsfaktoren für die Einführung und
d) Quantifiable measures based on ISMS objectives;
den Betrieb e)
eines ISMS
Easily benannt:
obtainable data that can be used for measurement;
f) Evaluation of effectiveness of Information Security Measurement Pro-
• Unterstützung
grammedurch
and implementation of identified improvements;
das Unternehmensmanagement
g) Consistent periodic collection, analysis, and reporting of measurement
• Existenz data
von in a manner that
dedizierten ISMSis meaningful;
Prozessen
h) Use of the measurement results by relevant stakeholders to identify
• Existenz needs
einesfor improving thewiederholbaren
dedizierten, implemented ISMSProzesses
including its
zurscope, policies,
Sammlung und Auf-
objectives, controls, processes and procedures;
bereitung relevanter Daten
i) Acceptance of feedback on measurement results from relevant stake-
holders; and
• Zählbare Messgrößen zur Analyse von ISMS Zielen

• Leicht zu erlangende Daten als Basis für Metriken

• Regelmäßige Evaluation und Implementierung von Verbesserungen des ISMS

• Regelmäßige Sammlung, Analyse und Bereitstellung wichtiger Daten (Repor-

ting)
KAPITEL 3. DIE ISO 27000-FAMILIE 7

• Verwendung erstellter Reports, um Verbesserungen zu identifizieren

• Akzeptanz von Feedback
• Evaluation von Metriken und Verbesserungen/Veränderungen des ISMS

Ein weiterer wichtiger Begriff, der im Standard immer wieder auftaucht, ist der
der Maßnahme (engl. Control ) oder des Maßnahmeziels (engl. Control Objective).
Diese Übersetzungen haben sich in der deutschen Sprache durchgesetzt, sind je-
doch insbesondere, was den Begriff des Maßnahmenziels angeht, irreführend, da ein
Maßnahmenziel zunächst nichts mit einer Maßnahme zutun hat, sondern eher als
Anforderung verstanden werden sollte, die eine Maßnahme erfüllen muss.
Intuitiv ist im Kontext der IT-Sicherheit alles eine Maßnahme, was Risiken senken
kann. In den Standards der ISO-Reihe 27000 sind diese Begriffe genau definiert. Im
Kontext der ISO-Standards werden Maßnahmenziele auf Informationswerte (engl.
Assets) angewandt. Hierbei gibt es unterschiedliche Ziele in Bezug auf einen Infor-
mationswert, die erreicht werden sollen. Bekannte Beispiele aus dem Bereich der
IT-Sicherheit sind die Begriffe Vertraulichkeit, Verfügbarkeit und Integrität. Auf
derartige Ziele kann ein Maßnahmenziel angewandt werden. Ein Maßnahmenziel
anzuwenden bedeutet zunächst nur, zu entscheiden, ob es für die Organisation re-
levant ist oder nicht. Ist dies der Fall, werden geeignete Maßnahmen zugeordnet.
Hierbei ist zwischen Maßnahmen gemäß dem Standard und tatsächlichen Einzel-
maßnahmen innerhalb einer Organisation zu unterscheiden. Es findet hier also die
folgende Staffelung statt:

1. Maßnahmenziel: Abstrakte Sicherheitsanforderung

2. Maßnahme: Abstrakte Gegenmaßnahme, um eine Anforderung zu erfüllen
3. Implementation einer Maßnahme: Konkrete Maßnahme, die der Sicherheitsan-
forderung genügt

Anhang A der ISO 27001 hält eine vollständige Auflistung aller Maßnahmen bereit.
Diese Maßnahmen sind jeweils einer Sicherheitskategorie zugeordnet, die wiederum
einem von elf Regelungsbereichen zugeordnet ist. Der vollständige Anhang A ist auch
in [14] einzusehen. Jeder Sicherheitskategorie ist ebenfalls ein Maßnahmenziel zuge-
teilt. Als Beispiel betrachten wir den Regelungsbereich A.11: Zugangskontrolle.
Dieser enthält unter anderem die Sicherheitskategorie A.11.5: Zugriffskontrolle
auf Betriebssysteme, deren Maßnahmenziel wie folgt definiert ist:

Verhinderung von unbefugtem Zugriff auf das Betriebssystem.

Dieses Maßnahmenziel kann über eine Reihe von Maßnahmen, allesamt der jeweili-
gen Sicherheitskategorie untergeordnet, erreicht werden, etwa mit A.11.5.2: Be-
nutzeridentifikation und Authentisierung. Wie diese Maßnahme sind auch
die anderen gleichermaßen abstrakt gehalten. ISO 27002 gibt weitere Empfehlun-
gen für die Umsetzung solcher Maßnahmen, jedoch ist auch weiterhin ein großes
Maß an Interpretation notwendig.
 8

4 Auswahl und Bewertung von Sicherheitsmetriken

Im Folgenden sollen verschiedene Arbeiten der letzten Jahre vorgestellt werden, die
sich alle unter dem Oberbegriff Auswahl und Auswertung von Sicherheitsmetri-
”
ken“ zusammenfassen lassen. Hierbei decken diese Ansätze nicht zwingend dieselben
Bereiche ab, sodass sie durchaus nebeneinander existieren können.
Nach einem Blick in die ISO 27004, die selbst Teil der ISO-Reihe 27000 ist und
sich mit der Wahl und Implementierung von Metriken befasst, wird ein Ansatz zur
ontologiebasierten Generierung von Metriken betrachtet. In diesem wird aus Infor-
mationen über die zu bewertende Organisation automatisiert das Wissen extrahiert,
was notwendig zu einer vollständigen, metrikbasierten Evaluation des Sicherheitszu-
stands ist. Abgeschlossen wird das Kapitel mit einem mathematischen Modell zur
Verwendung gewichteter Metriken. Hierbei soll die Effizienz einer Maßnahme des
Anhangs A der ISO 27001 durch eine Kombination von Metriken besser erfasst wer-
den. Neben der Beschreibung dieser Methoden liegt ein weiterer Fokus des Kapitels
auf den Problemen, die jeder Ansatz mit sich bringt.

4.1 Verwendung eines veröffentlichten Standards

Der einfachste Ansatz zur Bewältigung des Problems, geeignete Metriken zu fin-
den, kann die Befolgung eines Standards sein. Im Rahmen dieser Arbeit soll hierzu
der Standard ISO/FCD 27004 [10] – ebenfalls Teil der 27000er Reihe – betrach-
tet werden. Neben verschiedenen Empfehlungen rund um den Bereich des Securi-
ty Measurement, verbindet der Standard Informationssicherheitsmetriken mit dem
PDCA-Zyklus. Der Informationsfluss in Bezug auf Metriken innerhalb des PDCA-
Zyklus kann Abbildung 4.1 entnommen werden. Während der Do“-Phase werden
”
Messungen zur Effektivität von Maßnahmen festgelegt und durchgeführt. In der
Check“-Phase wird die Effektivität auf Basis der Messungen überprüft.
”
Der Messprozess selbst besteht hierbei aus den Folgenden Schritten:

1. Festlegung des Anwendungsbereichs des Messprozesses (Welches Teilsystem

wird betrachtet?)

2. Definition des Informationsbedarfs (Welche Informationen benötigt das Unter-

nehmen?)

3. Auswahl von Assets und deren Attributen (Was wird untersucht?)

KAPITEL 4. AUSWAHL UND BEWERTUNG VON SICHERHEITSMETRIKEN 9

2.3. STANDARDS AND GUIDELINES FOR SECURITY METRICS 19

Figure 2.3: Measurement input and output in the ISMS PDCA cycle [7]
Abbildung 4.1: Ein- und Ausgaben von Metriken im PDCA-Zyklus [20]

4. Entwicklung der Messung (Wie wird gemessen?)

5. Spezifikation der Messwerte (Was wird gemessen?)

6. Erhebung, Analyse und Reporting der Daten

7. Dokumentation des Messprozesses (Was wurde gemacht?)

Anhang A der ISO 27004 gibt ein Tabellenschema vor, welches die Dokumentation
des Messprozesses unterstützen soll. Außerdem können im Anhang B 14 Beispiel-
metriken gefunden werden. Vorausgesetzt, die notwendigen Daten sind bereits vor-
handen, können diese Metriken sehr leicht berechnet werden. Im Folgenden wird
exemplarisch eine solche Metrik zitiert:

Verhältnis von Personen, die ein ISMS-Training erhalten haben, zu de-

nen, für die ein solches Training noch ansteht.

Werden derartige Schulungen im Unternehmen durchgeführt und Teilnehmerlisten

geführt, so lässt sich diese Metrik sehr schnell erheben.
Da der Standard sehr allgemein gehalten ist und nur wenig konkrete Informationen
zu Metriken enthält, fällt es schwer diesen zu kritisieren. In [14] werden etwa die
Beispielmetriken aus Anhang B analysiert mit dem Ergebnis, dass diese in der Praxis
 10 4.2. GENERIERUNG VON SICHERHEITSMETRIKEN

nur bedingt tauglich sein würden. Jedoch sind diese eben nur als Beispielmetriken
aufgelistet und der Standard wurde nie mit der Idee verfasst, eben diese unmittelbar
umzusetzen. Stattdessen wird hier ein allgemeines Framework vorgegeben, welches
von einer Organisation individuell umgesetzt werden muss.

4.2 Generierung von Sicherheitsmetriken

Ein weiterer Ansatz besteht darin, zu versuchen, Metriken automatisiert zu gene-
rieren. Ein solcher Ansatz wird in [7] vorgestellt. Hier wurde zunächst der Versuch
gemacht, Wissen und Konzepte aus dem Bereich der Informationssicherheit zu for-
malisieren. In diesem Rahmen ist eine Sicherheitsontologie entstanden. Die Ontologie
ist ursprünglich eine Disziplin der theoretischen Philosophie, wurde in der Informatik
aber entscheidend von Tom Gruber [15] geprägt. Für die folgenden Ausführungen
reicht es aus, zu wissen, dass eine Ontologie eine formale, maschinenlesbare Wis-
sensrepräsentation ist. Begrifflichkeiten und Beziehungen zwischen diesen können
so abgebildet werden, dass etwa ein sogenannter (Semantic) Reasoner, ein Stück
Software, welches zu logischen Schlussfolgerungen im Stande ist, auf diesem Wissen
arbeiten kann. Abbildung 4.2 zeigt die Top-Level-Konzepte dieser Ontologie.

requires
enz et al. and ex- owned
by requires Level
upport the gener- Control Type Organization Asset Security Attribute
-based IT-security
of Type implemented by threatens gives rise to affects

z et al. (cf. [5]),

vulnerability on

Standard Control Control Threat Threat Source

nowledge and the has
corresponds source
zation-specific as- to
a methodology for has origin
T-security metrics. mitigated by exploited by
Severity Scale Vulnerability Threat Origin
rview of the secu- has severity

or the IT-security
Figure 1: Security Ontology Top-Level Concepts
Abbildung 4.2: Top-Level-Konzepte der Sicherheitsontologie [7]
and Relationships

In dieser können zum Einen Verwundbarkeiten und Bedrohungen definiert werden,

and corresponding
(NIST) are developing IT-security metric standards which
for a detailedzum
de- Anderen aber auch Maßnahmen, die Bedrohungen entgegenwirken oder Ver-
give instructions on the development and use of measures in
In the contextwundbarkeiten
of beseitigen können. Diese Beziehungen lassen sich weitestgehend vor-
order to evaluate an organization’s IT-security level based
s Control andab As-unternehmensunabhängig modellieren. Anschließend wurden die verschiedenen
on controls and objectives provided by an information secu-
is implemented as 27001-Sicherheitsmaßnahmen auf die in der Ontologie vorhandenen Sicherheits-
ISO
rity standard. Based on the controls of the used information
. Controls aremaßnahmen
de- abgebildet.
security standard the generation of IT-security metrics re-
e and information
Desweiteren bietet die Ontologie die Möglichkeit, eine Organisation in ihr zu be-
quires:
n IT Grundschutz
schreiben. Dies ist notwendig, da Wissen über die organisationsspezifischen Imple-
nsure the incorpo- • Exact definition of the scope of measurement
mentationen von Sicherheitsmaßnahmen notwendig ist, um diese zu beurteilen. Hier-
ch security ontol-
zu gehören die•folgenden
Specification of the compliance requirements
vier Aspekte:
that defines under
d - currently four • Information
1. Physikalische on the(Räume,
Gegebenheiten quality Fenster,
(e.g. effectiveness)
Türen) of exist-
exist: (1) organi- ing control implementations
mpliant to control
In this paper we show how we utilize the security ontol-
y is implemented
ogy and reasoning engines to generate ISO 27001-based IT-
ide data back up
security metrics incorporating organization-specific control
al environment is
implementation knowledge. Figure 2 gives an overview of
entation combina-
the proposed methodology and describes how we use the se-
ronment (e.g. fire
 ntrol is implemented as
rity standard. Based on the controls of the used information
ereof. Controls are de-
security standard the generation of IT-security metrics re-
ractice and information
quires:
German IT Grundschutz
to ensure the incorpo- • Exact definition of the scope of measurement
KAPITEL 4. AUSWAHL UND BEWERTUNG VON SICHERHEITSMETRIKEN
e. Each security ontol- 11
• Specification of the compliance requirements
ption that defines under
ulfilled - currently four • Information
2. Organisatorische Gegebenheitenon the quality (e.g. effectiveness)
(Richtlinien, Verträge) of exist-
texts exist: (1) organi- ing control implementations
s compliant to control 3. IT-basierte Gegebenheiten (Server, Netzwerk, Applikationen)
In this paper we show how we utilize the security ontol-
ation y is implemented
4. Beziehungen
ogy andzwischen reasoningEntitätenengines to diesergeneratedrei Bereiche
ISO 27001-based IT-
ion-wide data back up
security metrics incorporating organization-specific control
hysical environment is
Wurde einimplementation
Unternehmen auf knowledge.
diese WeiseFigure in der2 Ontologie
gives an overview modelliert,of so können
plementation combina-
the proposed
hieraus automatisiert methodology
Metriken generiert andwerdendescribesundhow so ein we Urteil
use theüber se- die Com-
l environment (e.g. fire
curity ontology
pliance bezüglich by Fenz etwie
des ISO-Standards al.auchand überexisting reasoningder
die Qualität engines
Sicherheitsmaß-
tectors in a building),
nahmen to support
gefällt werden. the
Dieser generation
Prozess and
ist in maintenance
Abbildung 4.3 ofdargestellt.
ISO 27001-
compliant to control x
based IT-security metrics (original research question).
on y is implemented at
solution or entire inter- Organization-
context - a network is ISO 27001 specific Control Existing control
Controls Implementation implementation
plementation combina- Knowledge quality information
ISO 27001-
k (e.g. intrusion detec- Existing control
based
comply with Compliance
plementing the controls, implementations
and Quality
Metrics
n security standards is Security ISO 27001- Compliance
Detailed based
with concrete informa- Ontology
compliance requirements Compliance
information
Controls Metrics
nerabilities, and formal
erman IT Grundschutz
1. Establish 2. Calculate
the security ontology. scope of compliance
3. Calculate
quality metrics
measurement metrics
WL-DL (W3C Web On-
ensures that the knowl-
and formal form. Each FigureAbbildung 2: Methodology
4.3: Ablauf der Generierung for Creating ISO 27001-
von Metriken [7]
e 1 summarizes several based IT-Security Metrics
y ontology contains 512
Hierzu werden,
ncepts, and 36 relation 1. basierend
Establishauf scopeden Anforderungen
of measurement: der jeweils In thezu prüfenden
first step Eigen-
schaften, die relevanten
ts inference capabilities we use ISO Daten aus controls,
27001 der Ontologie whichmit Hilfe eines
demand for theReasoners
ful- extra-
hiert.
nd the IT-security met- Die Auswertung dieser Informationen führt
fillment of specific IT-security requirements. Since eachzu den zwei folgenden Metriken:
to model their technical security ontology control is related to one or more ISO
Compliancemetriken
WL individuals accord- sollen die
27001 controls Frage
we use thebeantworten,
formal security welche Maßnahmen
ontology con- bereits
. Section 3). implementiert trolswurden.
and their Es geht ausschließlich
compliance darum, zutoprüfen,
requirements establish ob Implemen-
tationen fürthe diescope
im ISO-Standard
of measurement. spezifizierten Maßnahmen existieren.
ENERATION OF
2. Calculate
Qualitätsmetriken prüfen compliance metrics: Based
die Qualität bestehender on theEs
Maßnahmen. com-
geht also dar-
CS um, wie diepliance requirements weimplementiert
Sicherheitsmaßnahmen use reasoningwurden.
engines to ex-
tions such as ISO and tract the knowledge regarding the organization’s con-
ndards and Technology trol geben
Compliancemetriken implementations from
an, zu wie viel the security
Prozent ontology
ein Asset and
die notwendigen Maß-
nahmen implementiert. Ein Asset ist compliant, wenn es alle notwendigen Maßnah-
1834
men implementiert. Eine Umgebung ist compliant, wenn alle in ihr existierenden
Y
Assets compliant sind. Der Grad der Compliance ist Z = X , wobei X die Anzahl
der benötigten Implementationen einer Maßnahme ist und Y die Anzahl der bereits
existierenden Implementationen. Für Z < 1 gilt, dass die Maßnahme noch nicht
erfolgreich umgesetzt ist.
Im Fall von Qualitätsmetriken muss Implementationen von Maßnahmen noch eine
Effizienz zugeordnet werden (Hoch = 3, Mittel = 2, Niedrig = 1). Gegeben eine
Umgebung und eine Maßnahme, ist X die Anzahl von Implementationen in der
 12 4.3. MATHEMATISCHES MODELL ZUR AUSWERTUNG GEWICHTETER METRIKEN

Y
Umgebung, Y Summe der Effizienzwerte über alle Implementationen und Z = X
der ermittelte Effizienzgrad. Zu einer vollständigen Qualitätsmetrik gehört neben
dem Effizienzgrad auch noch eine Spezifikation von Indikatoren, die eine Interpre-
tation des Ergebnisses zulassen, etwa eine Skala oder eine untere Schranke, die Z
mindestens überschreiten muss.

4.2.1 Probleme des Ansatzes

Als erstes Problem kann die hohe Einstiegsschwelle angeführt werden. Eine Orga-
nisation vollständig mit Hilfe der Ontologie zu erfassen, ist eine äußerst komplexe
Aufgabe. Dieses Problem lässt sich zwar insoweit relativieren, als dass jeder Versuch,
die Informationssicherheit einer Organisation umfassend zu prüfen, einen solchen
Modellierungsschritt beinhalten muss, jedoch lässt sich nicht abstreiten, dass es sich
bei der hier vorgestellten automatisierten Generierung von Sicherheitsmetriken auf
Basis einer Sicherheitsontologie um einen neuen, nicht etablierten Ansatz handelt,
der es, aufgrund des hohen Startaufwands, schwer haben wird, in der Praxis erprobt
zu werden.
Zwei weitere Probleme betreffen insbesondere die Qualitätsmetriken. Zum Einen
finden wir ein Problem, welches in [7] als Weakest Link Problem bezeichnet wird.
Eine einzelne Implementation mit niedriger Effizienz hat wenig Einfluss auf den
ermittelten Effizienzgrad Z, solange es nur in einer ausreichend großen Menge von
Implementationen auftaucht. Dies entspricht aber nicht unbedingt der Realität, etwa
wenn fast jeder Account mit einem sicheren Passwort geschützt ist oder wenn fast
jeder Zugang zum Gebäude ausreichend gesichert ist.
Zum Anderen ist die Bewertung der Effizienz einer Implementation einer Maßnahme
oftmals äußerst subjektiv und kann sich im Laufe der Zeit ändern. Eine Implemen-
tation kann von einem Tag auf den anderen unsicher werden. In gewisser Hinsicht
betrifft dies auch die Compliancemetrik, denn auch hier kann eine Implementation
eine Maßnahme erfüllen, etwa eine Maßnahme, die die Vergabe von sicheren Pass-
wörtern vorsieht, wenige Tage später hingegen nicht mehr.

4.3 Mathematisches Modell zur Auswertung gewichteter Metriken

Der dritte und letzte Ansatz, auf den in dieser Arbeit ein Blick geworfen werden
soll, beschäftigt sich mit der in Kapitel 2 angesprochenen These, es gebe keine per-
fekte Metrik. Die Idee hierbei ist die, eine Maßnahme über eine Kombination von
Sicherheitsmetriken zu bewerten. Im Idealfall wird eine Menge von Sicherheitsme-
triken gefunden, so dass mit möglichst wenigen Metriken alle Maßnahmen optimal
bewertet werden können.
In [3] wird ein mathematisches Modell zur Bewertung von Sicherheitsmaßnahmen
gemäß ISO 27002 vorgestellt. Hierzu werden in einem ersten Schritt den Maßnah-
menzielen Metriken zugewiesen. Abbildung 4.4 veranschaulicht dieses Konzept.
 International Conference on Computer Systems and Technologies - CompSysTech’11

subset is not available or difficult to obtain, we can omit it and reassign the weights in the
subset. KAPITEL 4. AUSWAHL UND BEWERTUNG VON SICHERHEITSMETRIKEN 13

International Conference on Computer Systems and Technologies - CompSysTech’11

subset is not available or difficult to obtain, we can omit it and reassign the weights in the
subset.

Figure 1: Control objectives and metrics.

Abbildung 4.4: Zuweisung von Teilmengen von Metriken [3]

In tables 1 and 2 there are proposals for the metric-control objective mappings for the
Information Dies wurde für
security sämtliche
policy Maßnahmenziele
category des ISO-Standards
within the durchgeführt.
Security policy clause Jedem
and for the
Maßnahmenziel
Responsibility for assets icategory
ist nun eine Teilmenge
within von Metriken
the Asset zugeordnet
management Mi . Anschließend
clause from the ISO/IEC
27002. werden die Metriken gewichtet. Das Gewicht ist immer von Metrik und Maßnahmen-
ziel abhängig, d.h. eine Metrik, die mehreren Maßnahmenzielen zugeordnet worden
ist, kann bezüglich jeden Maßnahmenziels
Table 1: Information ein eigenes
securityGewicht haben. Das
policy category with Gewicht
proposed metrics.
einer
Control Objective Metrik muss immer
Metric zwischen 0% und 100% liegen. Für jedes Maßnahmenziel
ID Weight
i gilt, dass die Summe der
Information security policy Percentage Gewichte
Figureof
aller
employees
1: Control
Metriken with
objectives and
m ∈ M bezüglich
the awareness ISPD 1
metrics. i des Maßnah- 40%
document menziels i eins ergeben muss.
of the security policy document
In tables 1 and 2 there are proposals for the metric-control objective mappings for the
Abbildung 4.5 zeigt
Information Number
securityeine ofcategory
solche
policy security
Zuordnung briefings
within per annum
theexemplarisch
Security policyfürclause and ISPD
die beiden the2
for Maßnah- 40%
forPercentageA.5.1:
men der Sicherheitskategorie
Responsibility assets category of employee
within the Asset job descriptions des
Informationssicherheitsleitlinie
management clause from the ISPD
ISO/IEC 3
Regelbe- 20%
reichs27002. specifying desresponsibility
A.5 Sicherheitsleitlinie Anhangs A derfor ISOfollowing
27001. the
corporate security Table 1:policy
Information security policy category with proposed metrics.
Control ObjectiveSecurityMetric
Review of the information policy violations per annum ID Weight 1
RISP 50%
Information security policy Percentage of employees with the awareness ISPD 1 40%
security policy document Numberofofthereviews perdocument
security policy annum RISP 2 50%
Number of security briefings per annum ISPD 2 40%
Percentage of employee job descriptions ISPD 3 20%
specifying responsibility for following the
Table
corporate 2: Responsibility
security policy for assets category with proposed metrics.
Review of the information Security policy violations per annum RISP 1
Control Objective security policy
Metric Number of reviews per annum RISP 2
ID 50%
50%
Weight
Inventory of assets Percentage of assets in inventory IA 1 30%
Abbildung 4.5: Zuweisung von Metriken
Percentage of assets und Gewichten
with classification für die Kategorie IA A.5.1
2 [3] 30%
Table 2: Responsibility for assets category with proposed metrics.
Control ObjectivePercentage Metric of IT security budgetID in IA 3
Weight 40%
Inventory of assetscomparisonPercentage of assets
to the assets in inventory
valuezu Maßnahmen wurde30%IA 1
Eine solche Zuordnung vonPercentage gewichtetenof assetsMetriken
with classification IA 2 für alle
30%
Ownership ofSicherheitskategorien
assets Percentage of
Percentageassetsof with
IT responsible
security budget
der elf Regelungsbereiche manuell durchgeführt. owners
in IA 3 OA 1
40% 100%
Acceptable use of assets Numbercomparison
of reviews to the of
assets
the value
rules defining the AUA 1 60%
Ownership of assets
Für die weitere Beschreibung Percentage
des of
Modellsassets with
werden responsible
diverse owners OA 1 und Variablen
Parameter 100%
Acceptable use of acceptable
assets useof of
Number assets
reviews per
of the annum
rules defining the AUA 1 60%
benötigt. Parameter sind hierbei
Number vorab
of shortcomings
acceptable bestimmte
use of Werte,indie
assets identified
per annum thewährend
rules des AUA gesamten
2 40%
Evaluationsprozesses konstant
per annum bleiben.
Number of shortcomings identified in the rules AUA 2 40%
per annum

FORMAL MODEL
FORMAL MODEL To obtain the desired results which will give us the evaluation of the security clauses
To obtain the
listeddesired
in standardresults which
we have to make thewillformal
givemodel.
us the evaluation
We can think of eachof thesecurity
of the security clauses
clauses
listed in standard as a sub
we have tomodel
make withthe
the formal
state andmodel.
a quality function.
We can Thethink
goal isoftoeach
determine
of the security
clauses as a sub model with the state and a quality function. The goal is to determine
The optimal value means that we will obtain the best results if the measurement value
reaches this point, so even if the result is better than the optimal value for the metric, it will
no further affect the result. This is illustrated in figure 2, where the optimal value is 20%, so
the resulting value raises until it gets to it and then it stays constant.

14 4.3. MATHEMATISCHES MODELL ZUR AUSWERTUNG GEWICHTETER METRIKEN

• Metrikspezifische Parameter:

Oi Optimaler Wert für Metrik i

Wi Schlechtester Wert für Metrik i

• Unternehmensspezifische Parameter:
Figure 2: Effect of the optimal value. X-axis holds the measurement value, y-axis holds the resulting metric value
CE Unternehmensgröße (in Anzahl Mitarbeiter)
in percentage.

NextCpoints
B Jährliches
we need IT-Budget
to include to our model are the company parameters. Some
metrics may take those parameters as arguments or they can be involved when computing
• Metrikspezifische
the optimal Variablen:
or the worst value which can the metric gain.
 Company parameters:
Mi CGemessener
E = Company sizeWert(number of employees)
für Metrik i
CB = Annual budget for information technologies
NowE i Gewichtung
we can define the von Metrik
quality i bezüglich
functions des ausgewählten
for each control objective, whichMaßnahmenziels.
will involve
the metric parameters and variables. There are thirty-nine control objectives in the latest
revision of the standard and it would be space-consuming to list all of them, so we will
Der just
define optimale Wert
the first einerforMetrik
of them beschreibt
the better eine obere
understanding Schranke,
of this approach.ab welcher
The metric selbst ein
besseres
identifiers areMessergebnis
listed in table 1.das Resultat der Evaluation nicht weiter verbessert. Analog
hierzu ist der schlechteste Wert eine untere Schranke. Abbildung 4.6 zeigt eine solche
 Information security policy document:
Belegung für die Maßnahme Leitlinie zur Informationssicherheit.
o Specifications (listed in table 3):
Table 3: ISPD control objective metric characteristics.
Metric ID Optimal value (Oi) Worst value (Wi) Weight (Ei)
ISPD 1 100% 0% 40%
ISPD 2 3 0 40%
ISPD 3 20% 0% 20%

Abbildung 4.6: Parameterbelegung für die ISPD Metriken [3]

International Conference on Computer Systems and Technologies - CompSysTech’11

Hieraus
o kann die
Quality Qualitätsfunktion erstellt werden. Für die Qualitätsfunktion einer
function:
Maßnahme m mit Metrikmenge M gilt:
(I)
X Mv
Qm = × Ev
The quality function (equation I) simply O
divides
v each measured value by the
v∈M
optimal value and multiply it by the metric’s weight.
 Review of the information security policy:
Hierbeio ist eine Ausnahme zu beachten, die in Abbildung
Specifications (listed in table 4):
4.7 zu sehen ist.
Table 4: RISP control objective metric characteristics.
Metric ID Optimal value (Oi) Worst value (Wi) Weight (Ei)
RISP 1 0 CE / 10 50%
RISP 2 2 0 50%
o Quality function:
Abbildung 4.7: Parameterbelegung für die RISP Metriken [3]
( ) ( II )

Bei den meisten Metriken ergibt sich vollkommen natürlich, dass Oi ≥ Wi gilt. RISP
1 beziehtThe
sichquality
aberfunction of this control objective (equation II) is slightly different in
auf Sicherheitsverstöße pro Jahr. Es gibt also Metriken, für die
this case, because the optimal value of metric RISP 1 is zero so we use the
ein möglichst kleiner Wert optimal
worst value in the expression. ist. In diesen Fällen, insbesondere wenn Oi = 0
gilt, wird mit einem anderen Term gerechnet. Anstatt
To show how the partial metrics affect the final evaluation of the control objective, we can
observe one variable, which changes its valuesM and
v
other variables consider as constants
and vice versa. In figure 3 we can see the impact × of E
metrics
v RISP 1 and RISP 2 on the
Ov objective. In the first graph the RISP 1
Review of the information security policy control
metric acquire values from interval [0,20], CE = 200 and the other metric has a constant
value of fifty, in the second graph the RISP 2 metric has values 0,1,2 and the other metric
has again a constant value of fifty.
KAPITEL 4. AUSWAHL UND BEWERTUNG VON SICHERHEITSMETRIKEN 15

wird  
Mv
1− × Ev
Wv
in der Qualitätsfunktion verwendet. Die Qualitätsfunktion einer Maßnahme m wird
auch als partielle Qualitätsfunktion Qm bezeichnet. Aus diesen partiellen Qualitäts-
funktionen lassen sich, gemäß der Hierarchie aus Anhang A der ISO 27001, Qua-
litätsfunktionen für höhere Hierarchieebenen bilden. Auch hierbei wird ein Ansatz
mit gewichteten Summen gewählt. Für einen Regelungsbereich R mit n Maßnahmen,
wobei für jede Maßnahme i ihre Qualitätsfunktion Qi bestimmt wurde, gilt
1X
QR = nQi × CEi ,
n i=1

wobei CEi wiederum die Gewichtung der zu Maßnahme i gehörenden Qualitätsfunk-

tion Qi ist.

4.3.1 Probleme des Ansatzes

Das im vorangegangenen Abschnitt vorgestellte mathematische Modell zeigt, wie der
Maßnahmenkatalog der ISO 27001 vollständig abgedeckt werden kann. Da es nicht
immer eine direkte Übereinstimmung zwischen einer Metrik und einer Maßnahme
geben kann, erscheint der Ansatz der gewichteten Metriken äußerst sinnvoll. Doch
hier liegt auch das erste Problem des Ansatzes. Um diesen Ansatz realistisch in
einem Unternehmen einsetzen zu können, wird eine Anpassung der Gewichtung an
die Bedürfnisse des Unternehmens notwendig sein. Doch eine sinnvolle Vergabe von
Gewichten ist eine äußerst schwierige und komplexe Aufgabe.
Dasselbe Argument lässt sich für die Auswahl der Metriken selbst anführen. Wie in
Kapitel 2 dargelegt wurde, gibt es bei der Auswahl einer Metrik viele Aspekte, die
unternehmensspezifisch sind. So ist die Frage, wie leicht eine Metrik erfasst werden
kann, oftmals vom Unternehmen abhängig und davon, welche Daten bereits in wel-
cher Form gesammelt werden. Je nach vorhandener Struktur können sich in einem
Unternehmen bestimmte Metriken eher eignen als in einem anderen. Eine solche
Vorauswahl von Metriken kann nur beispielhaft, nicht aber verbindlich erfolgen.
Selbst, wenn eine Einigung in Bezug auf Metrikauswahl und Gewichtung erzielt wer-
den konnte, kann die Bestimmung der Parameter immer noch ein Problem darstellen.
Für jede Metrik muss eine obere und eine untere Schranke gefunden werden, erneut
eine nicht triviale Aufgabe für ein Unternehmen, welches das vorgestellte Modell
verwenden möchte.
Eine Designentscheidung, die ebenfalls unter Umständen als Unzulänglichkeit be-
trachtet werden kann, ist eine mangelnde Bewertung der Qualität von Implementie-
rungen von Sicherheitsmaßnahmen. Ohne weitere Informationen ist davon auszuge-
hen, dass eine Maßnahme m nur dann erfolgreich implementiert ist, wenn Cm = 1
gilt. In dieser Interpretation sagen die Qualitätsfunktionen aber nichts über die tat-
sächliche Qualität aus, sondern sind eher mit den Compliancemetriken aus Abschnitt
4.2 vergleichbar.
 16

5 Verwandte Arbeiten

Das in 4.3 vorgestellte Modell wurde in der Zwischenzeit erweitert. Anstatt ein bloßes
Maß für die Effektivität von Sicherheitsmaßnahmen zu geben, entwickelt sich das
Modell dahingehend, die gesamte Risikoanalyse über ein mathematisches Modell auf
der Basis von Sicherheitsmetriken abzuwickeln[4].
Neben dem ISO Standard gibt es auch weitere Standards, etwa Standards des
NIST[18], welche sich mit der Frage beschäftigen, wie IT-Sicherheit gemessen werden
kann. Ein weiteres, vielversprechendes Projekt in diesem Bereich, wenn auch nicht
mit Fokus auf die ISO 27000-Reihe, ist OSSTMM[8], ein Open Source Projekt, wel-
ches sich mit Methoden zur Überprüfung von Sicherheitsmaßnahmen beschäftigt.
Desweiteren befasst sich [6] mit Sicherheitsmetriken für Business Information Sys-
tems.
In einem erweiterten Fokus ist auch COBIT[9] zu nennen, ein Framework, welches
aus dem Finanzwesen kommt und den Schwerpunkt auf die Darlegung von Complian-
ce der Unternehmens-IT legt. Ebenfalls ein verbreitetes Framework ist ITIL[12], eine
Sammlung von Best Practices für das IT-Service-Management, in welchem Metriken
ebenfalls bedacht werden. ITIL selbst orientiert sich stark an der ISO 27001.
Anstatt Sicherheitsmetriken zur nachträglichen Beobachtung und Bewertung imple-
mentierter Maßnahmen zu verwenden, gibt es auch Arbeiten, welche sich mit einer
Bewertung von Maßnahmen vor ihrer Einführung beschäftigen. Auch in diesem Be-
reich sind etwa Hudec und Breier [2] [5] aktiv und versuchen die Frage zu beantwor-
ten, wie effektive Sicherheitsmaßnahmen gefunden werden können. Mit dieser Frage
befasst sich auch [16].
Ein weiterer Einsatzbereich von Sicherheitsmetriken kann auch in [17] gefunden wer-
den: die Automatisierung des Sicherheitsmanagements, gesteuert durch Sicherheits-
metriken. [1] befasst schließlich mit der Integration der ISO 27001 in Unternehmen.
KAPITEL 6. FAZIT 17

6 Fazit

Ziel dieser Arbeit war es, einen Überblick über die Standards der ISO 27000-Reihe
und einen Einblick in Möglichkeiten zu geben, Implementationen der dort vorge-
stellten Sicherheitsmaßnahmen auf der Basis von IT-Sicherheitsmetriken zu evalu-
ieren. Hierzu wurde der Standard 27004[10], selber Teil der ISO-Reihe, der sich mit
dem Messen von Sicherheitsmaßnahmen beschäftigt, näher betrachtet. Anschließend
wurden zwei Ansätze, die sich immer noch in der Entwicklung befinden, untersucht.
Zunächst wurde der in [7] vorgestellte Ansatz, Sicherheitsmetriken durch die Verwen-
dung einer Sicherheitsontologie automatisiert zu genieren, betrachtet. Im Anschluss
wurde ein Überblick über das in [3] entwickelte mathematische Modell zur Verwen-
dung gewichteter Sicherheitsmetriken gegeben.
Auch wenn diese Ansätze sicherlich vielversprechend sind, dürften sie es aktuell
schwer haben, sich in der Praxis durchzusetzen. Die Probleme, die diese Ansätze
haben, lassen sich auf einen gemeinsamen Punkt zurückführen: die Notwendigkeit,
Sicherheitsmetriken an jede Organisation individuell anzupassen. Die Standards der
27000-Reihe legen besonderen Wert auf die sorgfältige Auswahl geeigneter Maßnah-
men. Hieran schließt sich der Schritt an, Metriken ebenso sorgfältig auszuwählen.
Eine vorgefertigte Auswahl kann eine Umsetzung eines solchen Evaluationsmecha-
nismus leicht erscheinen lassen, wird jedoch nie an die Qualität eines individuell
entwickelten Systems von Sicherheitsmetriken heranreichen.
18
LITERATURVERZEICHNIS 19

Literaturverzeichnis

[1] Anttila, J., K. Jussila, J. Kajava und I. Kamaja: Integrating ISO/IEC

27001 and other Managerial Discipline Standards x00A0; x00A0;with Proces-
ses of Management in Organizations. In: Availability, Reliability and Security
(ARES), 2012 Seventh International Conference on, Seiten 425–436, Aug 2012.

[2] Breier, J. und L. Hudec: On Selecting Critical Security Controls. In: Availa-
bility, Reliability and Security (ARES), 2013 Eighth International Conference
on, Seiten 582–588, Sept 2013.

[3] Breier, Jakub und Ladislav Hudec: Risk Analysis Supported by Informa-
tion Security Metrics. In: Proceedings of the 12th International Conference on
Computer Systems and Technologies, CompSysTech ’11, Seiten 393–398, New
York, NY, USA, 2011. ACM.

[4] Breier, Jakub und Ladislav Hudec: Towards a Security Evaluation Model
Based on Security Metrics. In: Proceedings of the 13th International Conference
on Computer Systems and Technologies, CompSysTech ’12, Seiten 87–94, New
York, NY, USA, 2012. ACM.

[5] Breier, Jakub und Ladislav Hudec: On Identifying Proper Security Me-
chanisms. In: Proceedings of the 2013 International Conference on Information
and Communication Technology, ICT-EurAsia’13, Seiten 285–294, Berlin, Hei-
delberg, 2013. Springer-Verlag.

[6] Chandrakumar, T., S. Parthasarathy, R Maragathameena und

S Arun Raj Pandian: Article: Security Metrics for a Business Informati-
on System. IJCA Proceedings on International Conference on Computing and
information Technology 2013, IC2IT(1):33–38, December 2013. Published by
Foundation of Computer Science, New York, USA.

[7] Fenz, Stefan: Ontology-based Generation of IT-security Metrics. In: Procee-

dings of the 2010 ACM Symposium on Applied Computing, SAC ’10, Seiten
1833–1839, New York, NY, USA, 2010. ACM.

[8] Herzog, Pete: Open Source Security Testing Methodology Manual

(OSSTMM). http://www.isecom.org/research/osstmm.html; besucht am
10.06.2014.
 20 LITERATURVERZEICHNIS

[9] ISACA: COBIT 5: A Business Framework for the Governance and Manage-
ment of Enterprise IT. http://www.isaca.org/COBIT/Pages/default.aspx?
cid=1003566&Appeal=PR; besucht am 10.06.2014.

[10] ISO: Information technology — Security techniques — Information security

management — Measurement. ISO/IEC 27004:2009, International Organizati-
on for Standardization, Geneva, Switzerland, 2009.

[11] ISO: Information technology — Security techniques — Information security

management — Requirements. ISO/IEC 27001:2013, International Organizati-
on for Standardization, Geneva, Switzerland, 2013.

[12] ITIL: What is ITIL? http://www.itil-officialsite.com/AboutITIL/

WhatisITIL.aspx; besucht am 10.06.2014.

[13] Jaquith, Andrew: Security Metrics: Replacing Fear, Uncertainty, and Doubt.
Addison-Wesley Professional, 1 Auflage, 4 2007.

[14] Kersten, Heinrich, Jürgen Reuter und Klaus-Werner Schröder:

IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz: Der Weg zur
Zertifizierung (Edition ) (German Edition). Springer Vieweg, 4., akt. u. erw.
Aufl. 2013 Auflage, 5 2013.

[15] Liu, Ling: Encyclopedia of database systems. Springer, New York, 2009.

[16] Lv, Jun-Jie, Yong-Sheng Zhou und Yuan-Zhuo Wang: A Multi-criteria

Evaluation Method of Information Security Controls. In: Computational
Sciences and Optimization (CSO), 2011 Fourth International Joint Conference
on, Seiten 190–194, April 2011.

[17] Montesino, R. und S. Fenz: Automation Possibilities in Information Securi-

ty Management. In: Intelligence and Security Informatics Conference (EISIC),
2011 European, Seiten 259–262, Sept 2011.

[18] NIST: Performance Measurement Guide fo Information Security. NIST 800-

55 Rev. 1, National Institute of Standards and Technology, Gaithersburg, USA,
2008.

[19] Sowa, Aleksandra: Metriken - der Schlüssel zum erfolgreichen Security und
Compliance Monitoring: Design, Implementierung und Validierung in der Pra-
xis (German Edition). Vieweg+Teubner Verlag, 2011 Auflage, 4 2011.

[20] Tarnes, Marte: Information Security Metrics: An Empiri-

cal Study of Current Practice, 2012. Online verfügbar un-
ter http://infosec.sintef.no/wp-content/uploads/2012/12/
20121217-Marte-Taarnes-prosjekt-maaling-av-infosikkerhet.pdf;
besucht am 10.06.2014.
LITERATURVERZEICHNIS 21

[21] Torgerson, Mark: Security Metrics. In: 12th International Command

and Control Research and Technology Symposium, ICCRTS, 2007. Online
verfügbar unter http://www.dodccrp.org/events/12th_ICCRTS/CD/html/
presentations/108.pdf; besucht am 10.06.2014.