Messbarkeit von Informationssicherheit

Informationssicherheit ist in der heutigen Zeit ein sehr verbreitetes und viel diskutiertes Thema. Jeden Tag erreichen uns Nachrichten über verschiedene Angriffe, die zum Teil grosse und finanzstarke Firmen treffen und schädigen. Aufgrund dieser Vorkommnisse fragen sich viele Schweizer KMU, wie es um ihre Informationssicherheit steht und wie sie allenfalls zielgerichtet investieren könnten. Damit diese Fragen beantwortet werden können, muss die Informationssicherheit von Prozessen, Systemen und Organisation gemessen werden. Es gibt viele verschiedene Standards und Best-Practices–Sammlungen, wie z.B. ISO 2700X-Reihe, COBIT 5, ITIL V3 2011 oder BSI, die für die meisten Unternehmen nicht praktikabel sind, da die Einstiegshürden zu hoch sind. Das Ziel der Forschungsarbeit ist es, einen Ansatz in Form eines Frameworks zu entwickeln, mit dem ein KMU die Informationssicherheit eines Systems oder des ganzen Unternehmens messen kann. Der Ansatz muss einfach, schnell und günstig sein und so eine realistische Anwendung finden. Es wurden die Forschungsfragen gestellt, ob Informationssicherheit gemessen werden kann, wie sie gemessen werden kann und aus welchem Aspekt und wie ein Framework zum Messen der Informationssicherheit aussehen könnte.