Quality of Security

Wie misst man Cybersicherheit? Und wozu? Hätte man aussagekräftige, breit akzeptierte und vergleichstaugliche Maße für den „Grad der Cybersicherheit“ eines Computersystems, eines Softwareproduktes oder einer Cybersicherheits-Dienstleistung, so wäre wohl vieles anders. Wenn z. B. Unternehmen neue IT-Systeme und -Dienstleistungen beschaffen wollen, könnten sie feststellen, wie viel Sicherheit sie zu welchem Preis bekommen. Anbieter könnten für mehr Sicherheit höhere Erlöse erzielen, Investition in mehr Cybersicherheits-Forschung und -Entwicklung würde lukrativ. Cyberrisiken könnten weit besser bewertet werden und der Gesetzgeber könnte Sicherheitsmaße vorschreiben für mehr oder weniger kritische Einsatzbereiche. Solche Vorschriften gibt es z.T. schon, aber weder aus der Verwendung eines kryptografischen Verfahrens mit mathematisch bewiesener Sicherheit noch aus der Einhaltung standardisierter Kriterien und Schutzprofile bei der Herstellung lässt sich bisher zuverlässig auf den von einem typischen IT-System erreichten „Grad der Sicherheit“ schließen.

ATHENE arbeitet an sogenannten Quality-of-Security (QoSec)-Scores, die zur Beurteilung des Cybersicherheitsniveaus herangezogen werden können. Formale Methoden kommen dabei ebenso zum Einsatz wie statistische Verfahren und System-Analysemethoden; aus betriebswirtschaftlicher Sicht werden u.a. taugliche Geschäftspraktiken und deren Einflussfaktoren erforscht.