Branchen
Beratung & Innovation
Lösungen & Produkte
Infrastruktur & Betrieb
Über uns
Blog
Lösungen & Produkte
shutterstock_1202816887

Key Performance Indicators für das Schwachstellenmanagement

Für eine bessere Beurteilung und Messung der Prozesse

Mithilfe von Key Performance Indicators das Schwachstellenmanagement bewerten
19.01.2023
Digitale Transformation
Infrastructure Services
Security
Technisch

Key Performance Indicators (KPIs) sind Metriken zur Messung und Bewertung der Performance eines Prozesses. Sie sind mit Unternehmenszielen verknüpft und helfen zu beurteilen, ob ein Prozess seine Ziele erreicht und Bereiche mit Verbesserungsbedarf zu identifizieren. 

Die Hauptziele beim Schwachstellenmanagement sind

  1. Identifizierung von Schwachstellen
  2. Schnelle Behebung von Schwachstellen, um die Angriffsfläche so niedrig wie möglich zu halten

Um zu messen, wie gut diese Ziele zu erreichen sind, können verschiedene KPIs konsultiert werden. Dazu gehören:


Scan Abdeckung

Durch die Kombination von Schwachstellen-Scandaten mit Inventardaten kann gemonitort werden, ob das Schwachstellenmanagementprogramm alle Assets umfasst, bzw. festgestellt werden, welche Assets hinzugefügt werden müssen. Dieser KPI ist für jedes Schwachstellenmanagementprogramm von entscheidender Bedeutung, da man weder in der Lage wären Schwachstellen zu erkennen noch zu beheben, solange ein Asset nicht Gegenstand der Schwachstellenscans ist.  


Geschlossene Remediation Tasks

Dieser KPI misst die Anzahl der Schwachstellen, die innerhalb eines bestimmten Zeitraums erfolgreich migriert oder behoben wurden. Eine höhere Anzahl an geschlossenen Tasks kann darauf hinweisen, dass Schwachstellen effektiv bearbeitet werden. 


Remediation Progress im Zeitverlauf

Durch die Verfolgung der Anzahl und des Status von Remediation Tasks im Zeitverlauf wird transparent, wie viele Aufgaben im Verhältnis zu allen offenen Behebungsaufgaben neu, in Bearbeitung und erfolgreich abgeschlossen sind. Anhand dieser Kennzahlen erkennt man, ob sich die Bemühungen zur Behebung von Schwachstellen verbessern, verschlechtern oder konstant bleiben.


Remediation Policy Compliance

Die Remediation Policy enthält die Zeitvorgaben des Unternehmens dafür, wie viel Zeit maximal für die Behebung von Schwachstellen benötigen werden soll. Der KPI für die Einhaltung der Policy misst, wie viele Remediation Tasks das zeitliche Ziel verfehlen und unzureichend gemanaged werden. Ein hoher Score deutet auf ein ineffektives Management hin. In Verbindung mit den geplanten Zielterminen je Remediation Task kann dies auch auf bewusste Verzögerungen (z. B. aufgrund von Projektabhängigkeiten) oder mangelnde Sorgfalt bei Prozessen hinweisen. 


Zeit bis zur Behebung

Dieser KPI misst, wie viel Zeit man für die Behebung von Schwachstellen benötigt. Eine kürzere Zeit bis zur Behebung kann darauf hindeuten, dass die Organisation über einen effektiven Prozess zur Bearbeitung von Schwachstellen verfügt.


Remediation Tasks je Status im Zeitverlauf

Idealerweise ändern Remediation Tasks schnell ihren Status von neu zu in Bearbeitung und schließlich zu abgeschlossen, um einen stetigen Fortschritt zu demonstrieren. Durch die Messung dieser Zahlen wird ein Gesamttrend der Prozesssorgfalt sichtbar.


Prozentsatz der Schwachstellen mit hohem Risiko

Dieser KPI misst die Rate der risikoreichsten Schwachstellen. Ein niedriger Prozentsatz kann darauf hindeuten, dass die Organisation ihre kritischsten Schwachstellen effektiv priorisiert und angeht.


Die Betrachtung mehrerer KPIs in Kombination kann ein umfassenderes Verständnis der Performance eines Prozesses vermitteln als ein einzelner Wert für sich. Wenn nur die Anzahl der Remediation Tasks mit hohem Risiko, ohne die Scan-Abdeckung betrachtet werden: Man könnte zu dem Schluss kommen, dass die Remediation Tasks effektiv gemanaged werden, während in Wirklichkeit immer mehr Assets nicht in das Schwachstellenmanagementprogramm einbezogen werden. Ebenso könnte die Betrachtung der abgeschlossenen Remediation Tasks ohne Berücksichtigung der durchschnittlichen Behebungs-Zeit den Anschein erwecken, dass stetiger Fortschritt erzielt wird, während sich der Aufgabenumsatz in Wirklichkeit verlangsamt.


Mehrere Snapshot-KPIs sind nützlich, um den Status Quo zu bewerten und zu ermitteln, worauf man sich als Nächstes konzentrieren sollte.


Zu diesen KPIs gehören die folgenden

Remediation Tasks nach Alter und Schweregrad

Dem Check Point Cyber Security Report 2021 zufolge werden bei 75 % der Cyber-Angriffe mindestens zwei Jahre alte Schwachstellen ausgenutzt. Je älter eine Schwachstelle ist, desto wahrscheinlicher ist ihre Ausnutzung. Wenn man sich auf ältere Remediation Tasks konzentriert, kann das Risiko eines erfolgreichen Cyber-Angriffs erheblich verringert werden. 

Remediation Tasks nach Gewichtung

Da man in der Regel mit zahlreichen Remediation Tasks konfrontiert ist, ist es wichtig, eine Metrik zu verwenden, die mehrere Informationen kombiniert. Eine solide Bewertung der Remediation Tasks berücksichtigt mehrere Faktoren, angefangen beim Wert des Assets, dem Schweregrad der mit dem Asset verbundenen Schwachstellen, der Art des Angriffs, für den es anfällig ist, der Wahrscheinlichkeit eines erfolgreichen Cyber-Angriffs und den potenziellen Auswirkungen oder bekannter Exploits. Auf der Grundlage der damit abgeleiteten Gewichtung der Remediation Tasks wird die lange Liste der offenen Remediation Tasks nach ihrer Kritikalität und Dringlichkeit priorisiert. 

Assets nach der Anzahl der Remediation Tasks

Nach dem Motto "Big Rocks First" wird die Liste der "schlimmsten Übeltäter" abgearbeitet, um die Angriffsfläche zu verringern.  

Individuelle Themen-Statistiken

Es wird mehrere Themen geben, bei denen mehr als nur ein Patch implementiert werden muss. Zum Beispiel: einige Zero-Days erfordern eine schnelle Mitigation, indem eine spezielle Konfiguration implementiert wird, oder Betriebssysteme, deren Hersteller-Support abgelaufen ist und für die es keinen direkten Upgrade-Pfad gibt. Diese Themen sollten je nach Umgebung individuell spezifiziert und nachverfolgt werden, da sie in der Regel dringlicher oder schlicht komplexer und zeitaufwändiger sind.

Snapshot-KPIs können auch Informationen, die von trendbasierten KPIs geliefert werden, weiter anreichern. Betrachtet man beispielsweise die Zeit, die bis zur Behebung einer Remediation Task verstrichen ist, und stellt fest, dass diese Zeitspanne immer länger wird, sollte man die Statistiken zu den individuellen Themen konsultieren, um festzustellen, ob es komplexere Remediation Tasks gibt, die mehr Aufwand erfordern und deren Behebung daher länger dauert.


Der Wert von KPIs liegt in ihrer Fähigkeit, dabei zu helfen, datengestützte Entscheidungen zu treffen. Durch die Messung und langfristige Verfolgung spezifischer Kennzahlen können Erfolgsbereiche und Verbesserungspotenziale, die beispielsweise auf mangelnde Automatisierung oder unzureichende Ressourcen zurückzuführen sind, ermittelt werden. Auf der Grundlage von KPIs können fundiertere Entscheidungen über die Zuweisung von Ressourcen und Änderungen zur Verbesserung der Prozess-Performance getroffen werden. KPIs sind auch für die Kommunikation und das Berichtswesen wichtig, da sie den Prozess-Teilnehmern und dem oberen Management einen Überblick verschaffen.


Durch die Überwachung dieser und anderer KPIs können Unternehmen Trends und Muster in ihrem Schwachstellenmanagementprogramm erkennen und notwendige Änderungen vornehmen. Denn je effektiver unser Schwachstellenmanagementprogramm ist, desto geringer ist die Wahrscheinlichkeit eines Angriffs und desto besser werden die Ressourcen genutzt.

pexels-scott-webb-430208

Anfälligkeit für Cyber-Angriffe mit Vulnerability Management senken

Die Cyberkriminalitätsindustrie wird immer professioneller. Hacker-Angriffe sind zu einer sehr lukrativen Aktivität geworden. Meistens sind die Kriminellen in einer bestimmten Technik sehr versiert und werden immer kreativer darin, mögliche Schwachstellen aufzuspüren und zu nutzen. Um dieser Gefahr zu begegnen, müssen Unternehmen in drei Dingen konsequent sein: die Durchführung eines prozessualen Schwachstellenmanagements, eine wirksame Beseitigung von Schwachstellen und ein hohes Maß an Ausdauer.

Über die Autorin


Christina Finck ist Information Security Consultant und Produktmanagerin der Vulnerability-Management-Plattform VAREDY von Arvato Systems.

Verfasst von

Christina-Finck-AS
Christina Finck
Expertin für Schwachstellenmanagement