Die EU-Agentur für Internetsicherheit Enisa hat sich für einheitliche Netzwerksicherheitsstandards in Europa ausgesprochen. Es gebe eine ganze Reihe von Methoden und Standards, die Widerstandsfähigkeit von Netzwerken zu testen, aber derzeit kein allgemein gültiges Bezugssystem, teilte die Behörde mit . Das mache einen Vergleich der Ergebnisse unmöglich und stifte Verwirrung.
„Es gibt keine einheitlichen Kennzahlen“, erklärte Enisa-Sprecher Ulf Bergstrom gegenüber ZDNet UK . „Es mangelt an Struktur und Kohärenz hinsichtlich dem, was wirklich gemessen wird. Es gibt so viele verschiedene Ziele, wenn man die Widerstandsfähigkeit von Netzwerken testen will.“
Es gebe keine Möglichkeit, europaweit zu testen, wie sich Cyberattacken, Software- und Hardware-Ausfälle, Naturkatastrophen, menschliches Versagen oder veraltete Infrastruktur auf Computersysteme auswirken. Aus diesem Grund sei es schwierig, die Belastbarkeit von Netzen zuverlässig zu messen. Die Ergebnisse ihrer Analyse hat die Enisa in zwei Berichten zusammengefasst – einem für europäische Gesetzgeber und einem für die Technikbranche .
Verschiedene Sicherheitsstandards – etwa ISO/IEC 27004:2009, NISTIR 7564 und NIST SP 800-55 Rev 1 – gehen demnach von unterschiedlichen Kennzahlen aus. Bergstrom sagte, die Enisa habe kein Interesse daran, ein bestimmtes System oder einen Standard zu verreißen, man müsse sie jedoch in Einklang bringen. „Wir brauchen ein allgemeines Verständnis statt diverser inkompatibler Standards.“
Zudem werden die vorhandenen Kennzahlen in Unternehmen nicht einheitlich eingesetzt – auch aufgrund unterschiedlicher Regelungen, wie Andy Buss, Analyst für für Netzzugänge und Infrastrukturdienste bei Freeform Dynamics , gegenüber ZDNet UK erklärte. „In den meisten Fällen wird nur bruchstückhaft gemessen. Viele Firmen haben keine Ahnung von Kennzahlen – und auch keine Prozesse etabliert, um ihr System zu überprüfen.“
Managementprozesse wie das Erheben von Kennzahlen hätten keinen hohen Stellenwert, wenn über IT-Budgets entschieden werde, sagte Buss. Über Cyberattacken Bericht zu erstatten, sei meist auch nicht im Interesse eines Unternehmens und könne seinen Ruf beschädigen. Buss zufolge braucht es hier eine datenschutzrechtliche Regelung, um einen Anreiz für Unternehmen zu schaffen, Angriffe zu melden.
Malware für Android: echte Gefahr oder Übertreibung?