8. Vergleichbare Informationssicherheits-Kennzahlen innerhalb einer Branche

„Ich frage nach Äpfeln, und du antwortest mir von Birnen“ so lauten vereinzelt Aussagen des Managements an den Informationssicherheitsverantwortlichen, wenn es um die Frage des Informationssicherheits-Status eines Unternehmens geht. Wird diese Frage dazu noch im Konzern-Kontext mit mehreren Unternehmen gestellt, fällt die Antwort des Managements noch deutlicher aus. Warum? Der Informationssicherheits-Status eines Unternehmens ist nur indirekt z. B. mithilfe von Kennenzahlen oder Metriken messbar. Diese Näherung ist notwendig, da bisher noch kein Gold-Standard hierfür existiert. Um eine Schätzung zu erhalten, muss man also zuverlässige Messungen finden. Eine Möglichkeit, die Informationssicherheit zu bewerten, besteht darin, ein Reifegradmodell anzuwenden und das Niveau der Kontrollen zu bewerten. Dies muss nicht zwingend dem Sicherheitsniveau entsprechen. Dennoch ist die Bewertung des Reifegrads der Informationssicherheit in Unternehmen seit Jahren eine große Herausforderung. Obwohl viele Studien durchgeführt wurden, um diese Herausforderungen zu bewältigen, fehlt es immer noch an Forschung, um diese Bewertungen richtig zu analysieren. Das Hauptziel dieses Ansatzes ist es, zu zeigen, wie man den Analytic Hierarchy Process (AHP) verwendet, um den Reifegrad der Informationssicherheit innerhalb einer Branche mit verschiedenen Unternehmen zu vergleichen. Um diesen Ansatz zu validieren werden Daten von einem großen international agierenden Medien- und Technologieunternehmen verwendet.