Springe zum Hauptinhalt Profilbild Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer



Anfrage
Logo Goebel Consult

Unsinnige KPIs: Anzahl Gefundener Viren

In loser Folge blogge ich über unsinnige Kennzahlen, neudeutsch Key Performance Indicators (PKIs). Folge 1: Anzahl der gefundenen Viren

Gerade in meinem Metier ist es schwer, den "Erfolg" von IT-Security-Maßnahmen zu messen. Auf einigen Treffen der Fachgruppe Security Management der GI war dies bereits Thema. Ein sinnvolles, rundes Kennzahlensystem für IT-Security hat leider noch niemand dort vorgestellt. Dafür kam beim letzten Workshop eine neue unsinnige Kennzahl hoch: Es gibt allen Ernstes Unternehmen, die die Anzahl der gefundenen Viren messen. Viel gleich gut.

Aber was sagt die Zahl denn aus? Ist es besser, wenn die Zahl niedrig ist, oder wenn sie hoch ist?

Meines Erachtens sagt diese Zahl leider gar nichts aus. Beziehungsweise nur, wieviele Viren die Virenscanner gefunden haben. Leider sagt sie nichts aus, wieviele Viren nicht gefunden wurden, oder wieviele Viren erst gefunden wurden, nachdem sie Schaden angerichtet haben.

Auch als Vergleichszahl ist sie unbrauchbar: Ist der neue Virenscanner besser als der alte, oder sind einfach mehr Viren im Umlauf? Hat sich die Erkennungsrate des Virenscanners verbessert (wobei in "Rate" ja selbst schon ein Verhältnis steckt), oder sind unsere Mitarbeiter nur öfters in gefährlichen Ecken unterwegs? Werden bei uns weniger Viren erkannt, als im Branchenschnitt (wobei es eine solche Angabe wohl nie geben wird), oder sind die Anderen lediglich mehr Wirtschaftsspionage ausgesetzt?

Wirklich interessant wäre die Kennzahl: "Anzahl nicht (oder zu spät) gefundener Viren". Aber die unbekannten kann ich nicht messen. Schade!

Sind Sie anderer Meinung? Oder haben Sie Ideen für gute Kennzahlen in der IT-Security? Ich freue mich auf Ihren Kommentar oder Ihre Mail (siehe Kontakt) und diskutiere gerne darüber.