Effizienz versus Effektivität in der IT Security

von Richard Werner, Business Consultant bei Trend Micro

Die beiden Begriffe Effizienz und Effektivität klingen ähnlich und werden auch häufig verwechselt. Dies kann erstaunliche Stilblüten hervorbringen. Deshalb eine Definition nach Wiktionary vorweg: Etwas ist effizient, wenn es (für ein fixes Ergebnis) nur einen kleinen Aufwand benötigt oder aber bei einem feststehenden Aufwand das bessere Ergebnis liefert; dagegen ist effektiv alles, was ein gewünschtes Ergebnis erreicht. Beide Begriffe sind eng mit der IT-Sicherheit verbunden, denn schließlich brauchen Unternehmen effektive Sicherheit, die effizient schützt – oder ist es anders herum?

Geprüft und getestet wird gern die Security-Effektivität eines Produkts, denn die ist vergleichsweise einfache zu überprüfen. Die Effektivität orientiert sich dabei daran, wie viel Prozent eines vorgegebenen Ziels die Lösung erreicht. Also werden beispielsweise, 10.000 Malware Samples losgeschickt, so wird geprüft, wie viel Prozent dann die IT-Sicherheitslösung findet, das heißt, wie effektiv sie Malware bekämpft. Die meisten Lösungen erreichen hier mehr als 90%. Einen solchen Test führt beispielsweise AV-Test im Programm.

Bei der Frage der Effizienz wird es schon schwieriger, denn da geht es auch darum die Kosten zu kalkulieren, also beispielsweise wie teuer es ist, eine Effektivität von über 90% in einem Unternehmen zu erreichen. Eine Analyse wie diese hat z.B. NSS Labs veröffentlicht. Hierbei wurde die Effektivität von Lösungen im Verhältnis zum Aufwand betrachtet und damit ihre „Effizienz“ ausgedrückt.

Für einen nächsten Test der Effizienz gibt es hingegen kein Analyselab, das Anwendern die Arbeit abnimmt. Es geht um den Test, dem ein Unternehmen tagtäglich ausgesetzt ist. Dieser unterscheidet sich ganz grundsätzlich von den erstgenannten. Denn anders als diese geht es bei der Effizienzbetrachtung im eigenen Unternehmen nicht darum, was gefunden wird, sondern gerade darum, was nicht gefunden wird. Des Weiteren sind diese nicht entdeckten „Dinge“ kein statistischer Wert, sondern bedeuten ernsthafte Probleme, die richtig Aufwand erzeugen können – etwa dann, wenn eine Organisation einen erfolgreichen Angriff erst nach Monaten entdeckt und ohne externe Hilfe gar nicht in seiner Vollständigkeit analysieren kann.

Dieser Effizienztest bescheinigt der IT-Security oft Mängel, weil die allermeisten Tools einen klaren Fokus haben, und der liegt in der Erkennung und Blockade von Bedrohungen. Bleibt allerdings ein Angriff im ersten Schritt unerkannt, gibt es meistens weder dahingehend optimierte Technologie noch Prozesse, um diesen dann zu entdecken und wieder zu entfernen. Im Ernstfall führt das zu viel manueller Aufräumarbeit, so genannter „Turnschuhadministration“ und Nachtarbeit inklusive.

Was die Technologie betrifft, so hat die Industrie bereits Lösungen entwickelt. Der neuste Bereich sind dabei Endpoint Detection and Response-Lösungen, kurz EDR genannt. Gartner beispielsweise hat Technologien dieser Klasse in dem jüngsten Magic Quadrant zu Endpoint Protection-Plattformen einen hohen Stellenwert eingeräumt. Unternehmen müssen jedoch diese vorhandenen Technologien in Prozesse gießen. Im Ernstfall kommt es zusätzlich darauf an, dass die IT-Sicherheitsabteilung dann mit diesen Techniken auch umgehen kann und die richtigen Schritte unternimmt. Gerade kleine und mittelständische Unternehmen könnten dabei an ihre Grenzen stoßen. Denn gerade weil dort der Ernstfall normalerweise alles andere als häufig ist, wird das Bereitstellen von Fachwissen für den Notfall zur organisatorischen Herausforderung.

Fazit

Um effektive Sicherheit zu erhalten, müssen alle Beteiligten an einem Strang ziehen. Hersteller sind gefordert Werkzeuge zu entwickeln, die ineinander greifen und wiederkehrende Aufgaben wie Aufräumarbeiten oder Log-Überwachung zu automatisieren. Partner sind gefordert, das Knowhow für den Ernstfall ihren Kunden zur Verfügung zu stellen und effiziente Sicherheitslösungen zu designen. Unternehmen wiederum sind gefordert, ihre IT-Sicherheit auf Effizienz zu optimieren – sprich: auch die Bereiche Erkennung von erfolgreichen Angriffen sowie Reaktionen bei Erkennungen zu definieren und als Bestandteil ihrer IT-Sicherheit zu organisieren.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.