ISSN 1436-3011

09.02.2010

IT-Sicherheit
Metriken und Konzepte zur Messung der Informationssicherheit
Michael Matousek, Thomas Schlienger, Stephanie Teufel

Zusammenfassung

Die Messung der Informationssicherheit gewinnt mit einer steigenden Abhängigkeit von Informationssystemen und zunehmendem Kostendruck an Bedeutung. Der Artikel gibt einen Überblick über ausgewählte Methoden zur Messung der Informationssicherheit und beurteilt sie bezüglich ihrer Einsatzmöglichkeit. Da die einzelnen Messmethoden auf sehr unterschiedlichen Ansätzen basieren, wird für die Unterstützung der Analyse ein Framework vorgeschlagen, welches eine eindeutige Zuteilung der Schutzobjekte und damit auch der Messmethoden zu den betroffenen Strukturen einer Unternehmung ermöglicht. Wir kommen zum Schluss, dass es (noch) keine anerkannten und praktikablen Methoden zur ganzheitlichen Messung der Informationssicherheit gibt.

Inhaltsübersicht

1. Einleitung
2. Einführung in den Messbegriff und die Messproblematik
   1. Definition des Messbegriffs
   2. Eine Metrik für die Informationssicherheit (IS)
3. Analyse-Framework
   1. Die vier Dimensionen des ISM-Frameworks
   2. Die drei Ebenen des ISM-Frameworks
   3. Abdeckung des ISM-Frameworks und Zuordnung der Messansätze
4. Eine Auswahl von Messmethoden und deren Platzierung im ISM-Framework
   1. ROSI
   2. Informationssicherheitskultur
   3. ISO 17799
   4. Die Common Criteria
   5. Penetrationstest
   6. Diskussion
5. Zusammenfassung und Ausblick
6. Literatur

HMD, Heft 236, April 2004