Logo der Software PREVISEC die als IT-Notfallhandbuch genutzt werden kann
Alexander Berger, CEO SMART DATA Deutschland GmbH
14.11.2023

Was ist eigentlich „sicher“ oder „Sicherheit“?

Sicherheit ist ein Zustand, der durch die Abwesenheit von Risiken und Gefahren gekennzeichnet ist. (s.h. z.B.: https://www.values-academy.de/sicherheit/)

Der Ursprung des Wortes (lateinisch: securus ~ sorglos) deutet allerdings bereits darauf hin, dass „Sicherheit“ im allgemeinen Sprachgebrauch wohl eher als „Gefühl“ verstanden werden könnte. Die Abwesenheit von inakzeptablen Risiken (die uns sonst besorgen würden) und die Auffassung, dass ein Schutz bzw. eine bestmöglich minimierte Wahrscheinlichkeit in Bezug auf bestimmte Risiken besteht, lässt uns „Sicherheit“ fühlen.

Sicherheit ist also gewissermaßen die Abwesenheit von Unsicherheit.

Kann man Sicherheit messen?

Die Messbarkeit von Sicherheit auf Basis eines ganzheitlichen Konzepts ist eine komplexe Herausforderung, da Sicherheit mehrere Dimensionen von physischen Aspekten bis hin zu sozialen und organisatorischen Elementen umfasst. Während es schwierig ist, Sicherheit in quantitativen Einheiten als alleinstehende Größe präzise zu messen, gibt es dennoch verschiedene Ansätze und Indikatoren, die eine Bewertung der Sicherheitslage ermöglichen können. Hier sind ein paar Anregungen:

  1. Incident Reporting und Response Times: Die Anzahl und Art von Vorfällen, die in einem bestimmten Zeitraum auftreten, können als Indikator für die Wirksamkeit der Sicherheitsmaßnahmen dienen. Das ist umso aussagekräftiger je mehr Vergleichsmöglichkeiten über ähnliches Businesses oder allgemein erhobene Statistiken möglich sind. Ebenso ist die Zeit, die benötigt wird, um auf Sicherheitsvorfälle zu reagieren, ein messbares Kriterium. Sie ist besonders relevant, wenn man in der Größenbestimmung zur „Sicherheit“ auch die Wirksamkeit der eigenen Vorkehrungen zur Minimierung von Impacts berücksichtigen möchte (im Sinne von: Sicherheitsmaßnahmen verhindern oft nicht nur sondern mildern auch ab). Denn: Schnelle Erkennung und Reaktion können potentielle Schäden minimieren.

  2. Mitarbeiter- und Stakeholder-Bewusstsein: Schulungen, Schulungsprogramme und andere moderne Methoden können dazu beitragen, das Bewusstsein der Mitarbeiter und Stakeholder für Sicherheitsrisiken zu schärfen. Die Messung der Teilnahmequoten, das Feedback der Mitarbeiter und die (erfolgreiche) Anwendung von Sicherheitsverfahren und mitigierenden Maßnahmen im täglichen Betrieb sind messbare Indikatoren.

  3. Physische Sicherheitsmaßnahmen: Die Effektivität von physischen Sicherheitsmaßnahmen wie Zugangskontrollen, Überwachungssystemen und Notfallvorsorgeplänen kann durch die Analyse von Sicherheitsaudits und die Evaluierung von Protokollen gemessen werden.

  4. Compliance mit Sicherheitsstandards: Die Einhaltung von branchenspezifischen und gesetzlichen Sicherheitsstandards kann als Messgröße für die Sicherheit betrachtet werden. Eine regelmäßige Überprüfung der Compliance und die Umsetzung von Verbesserungsmaßnahmen sind messbare Aspekte.

  5. Kundenzufriedenheit und Vertrauen: Das Vertrauen von Kunden und anderen Stakeholdern kann als indirekter, aber entscheidender Indikator für die Sicherheit eines Unternehmens dienen. Kundenzufriedenheitsumfragen und das Image des Unternehmens in der Öffentlichkeit sind messbare Größen.

Es ist wichtig zu beachten, dass Sicherheit kein statisches Ziel ist, sondern ein fortlaufender Prozess der Anpassung und Verbesserung. Durch die kontinuierliche Überwachung und Auswertung von verschiedenen Messgrößen können Organisationen eine bessere Vorstellung von ihrer Sicherheitslage erhalten und entsprechende Maßnahmen zur Optimierung ergreifen.

Messen von Unsicherheit

Alternativ können Unternehmen sich einer Messung von Sicherheit annähern, indem sie den Grad ihrer Unsicherheit bestimmen. Besonders gut funktioniert das, wenn Sie Ihre Daten vergleichen können. Das kann mit der eigenen Historie sein (konsistente Datenstrategie vorausgesetzt), mit öffentlichen Quellen (z.B. polizeiliche Statistiken oder von Versicherungen), branchenspezifischen Größen und mit anderen Unternehmen (geografisch/regional). Hier sind 4 Punkte, die Sie grundsätzlich bei der Quantifizierung beachten sollten:

  1. Incident Reporting System: Implementierung eines Systems zur Erfassung und Meldung von Sicherheitsvorfällen. Ein gut strukturiertes System zur Meldung von Sicherheitsvorfällen ermöglicht es Mitarbeitern, verdächtige Aktivitäten oder ungewöhnliche Ereignisse zu dokumentieren. Dies könnte ein Online-Formular, eine Hotline oder eine dedizierte E-Mail-Adresse umfassen. Wichtig ist, dass Sie aus den Meldungen standardisierte und strukturierte Daten gewinnen – die Grundlage für alles weitere!

  2. Vorfallskategorisierung und Impact: >Einführung einer systematischen Kategorisierung von Sicherheitsvorfällen. Die Einteilung von Vorfällen nach Art, Impact (also z.B. Ausfallzeit und Kosten) und Schweregrad ermöglicht es, den Umfang und die (potenziellen) Auswirkungen besser zu verstehen. Dies kann von Datenlecks über Phishing-Angriffe bis hin zu physischen Sicherheitsvorfällen reichen. Wichtig ist hierbei, Vergleichbarkeit zwischen den Themengebieten herzustellen. Aus praktischer Sicht sollten die Größen für die Bewertung einfach festzustellen und gut greifbar sein (keine „abstrakten Kunstmaße“).

  3. Melderate und Trends: Analyse der Melderate und Trendidentifikation. Eine höhere Melderate könnte auf eine gesteigerte Sensibilisierung oder möglicherweise auf eine erhöhte Unsicherheit hindeuten. Das Identifizieren von Trends über einen bestimmten Zeitraum hinweg hilft dabei, sich entwickelnde Muster zu erkennen und unerwünschten Entwicklungen vorzubeugen. Erkenntnisse über Erfassungsquoten sind auch essentiell, um die Limitation der eigenen Daten und letztlich Modelle kennen zu können und zu berücksichtigen.

  4. Wiederholung von Sicherheitsvorfällen: Untersuchung von wiederholten Sicherheitsvorfällen. Wenn bestimmte Arten von Vorfällen wiederholt auftreten, könnte dies auf bestehende Schwachstellen, unzureichende Sicherheitsmaßnahmen oder ein besonders gestiegenes Risiko hinweisen. Insbesondere wenn Sie in der Lage sind auf einen sauberen Datenhaushalt zuzugreifen, können Sie mit modernen Methoden der Datenverarbeitung Modelle entwickeln, mit denen Sie aufgrund von Vorhersagen deutlich früher gegensteuern und reagieren können.

Zusammenfassend kann man sagen, dass sich aus der Erfassung und Quantifizierung von Unsicherheit sehr viel für die Messung von Sicherheit gewinnen lässt.

Das Wichtigste zusammengefasst

Zentrale, strukturierte und standardisierte Datenlage herstellen und sicherheitsrelevante Ereignisse konsistent bewerten

Modell entwickeln, wie Sicherheit und Unsicherheit gemessen werden sollen und zu einer „Sicherheitslage“ kombiniert werden

Digitale Infrastruktur nutzen, um auf Hilfsmittel der Datenverarbeitung, Automatisierung und KI zurückgreifen zu können

Vollständigkeit der Daten anstreben, Limitierung bestimmen und ergänzende andere Quellen hinzuziehen, um diese möglichst auszugleichen

Sprechen Sie mit uns darüber, wie wir Sicherheit in Ihrem Unternehmen gemeinsam messen und optimieren können. Jetzt Termin vereinbaren!

Termin buchen

Verwandt: Incident-Analyse

hier lesen

Thema: Budgetoptimierung Sicherheit

Skizze zu Kosten in der Incident Analyse
hier lesen