Die Reise durch die Trust Control Planegeht weiter mit Phase 2: Analysieren & Messen. In dieser Phase wird die Bedeutung von Daten, Kennzahlen und Validierung, auf kontinuierlicher Basis. Für CISOs und Führungskräfte wird hier der Wert des Programms quantifiziert und validiert wird. Es geht darum, anhand von harten Fakten, zu zeigen, wie Vertrauen gesteuert und so gestaltet werden kann, dass es im Laufe der Zeit verbessert wird, indem ein Feedback-Kreislauf sichergestellt wird, der eine kontinuierliche Verbesserung in allen Phasen vorantreibt.
Von Daten zu Entscheidungen: Warum Messungen entscheidend sind
In der heutigen datengesteuerten Unternehmenswelt „kann man nicht verwalten, was man nicht messen kann“ gilt auch für das digitale Vertrauen. Phase 2 dient mehreren übergeordneten Zielen:
- Risikotransparenz und Berichterstattung: CISOs benötigen klare Antworten auf Fragen wie „Wie sicher sind wir derzeit?“ und „Werden wir besser oder schlechter?“ Die Analysephase liefert Kennzahlen, die die Vertrauenslage des Unternehmens charakterisieren – z. B. die Zeit bis zur Behebung von Vertrauensvorfällen, Trend bei der Anzahl der Maschinenidentitäten im Vergleich zur Abdeckung, Anzahl der Zertifikate, die in den nächsten 30 Tagen ablaufen, Prozentsatz der Systeme, die die Kryptografie-Richtlinien vollständig einhaltenusw. Diese werden zu wichtige Risikoindikatoren , die dem Vorstand mitgeteilt werden und in die Unternehmensstrategie einfließen können.
- Nachweis der Kontrolle: Insbesondere in regulierten Branchen ist der Nachweis einer kontinuierlichen Kontrolle ebenso wichtig wie deren Vorhandensein. Stufe 2 bietet den Audit-Trail und Dashboards , um nachzuweisen, dass die Erfassung kontinuierlich erfolgt, Richtlinien durchgesetzt werden und Automatisierungssysteme funktionieren. Es ist eine Sache zu behaupten, man habe keine blinden Flecken oder Lücken; weitaus überzeugender ist es, wenn man Live-Daten abrufen kann, um dies zu untermauern.
- Kontinuierliche Verbesserung: Durch die Analyse der von Ihren Trust-Prozessen generierten Daten können Sie Bereiche identifizieren, die verbessert werden müssen. Vielleicht stellen Sie fest, dass bestimmte Geschäftsbereiche oder Abteilungen langsamer beim Austausch veralteter Schlüssel sindoder dass bestimmte Compliance-Prüfungen häufig Ausnahmen – was darauf hindeuten könnte, dass die Richtlinie angepasst werden muss oder mehr Schulungen erforderlich sind. In dieser Phase werden diese Erkenntnisse wieder in den Zyklus zurückgeführtund strafft das Gesamtsystem im Laufe der Zeit.
Kennzahlen und Erkenntnisse aus der Trust Control Plane
Die Trust Control Plane liefert von Natur aus umfangreiche Telemetriedaten. Zu den wichtigsten bereitgestellten Kennzahlen und Analysen gehören:
- Abdeckung des Trust-Bestands: Welcher Anteil unserer Umgebung wird aktiv verwaltet? Im Idealfall 100 %, aber Dashboards können anzeigen, ob bestimmte Segmente (z. B. die Infrastruktur einer neu erworbenen Tochtergesellschaft) noch in die Verwaltung integriert werden. Dies hilft dabei, weitere Erkundungsmaßnahmen zu priorisieren.
- Compliance-Bewertungen: Wie gut halten wir uns an unsere festgelegten Richtlinien? Zum Beispiel: „98 % der Zertifikate entsprechen unserer Richtlinie (2 % Ausnahmen aufgrund von Ausnahmegenehmigungen)“ oder „Alle Systeme mit hoher Kritikalität verwenden genehmigte PQC-fähige Algorithmen“. Ein großes Unternehmen hat sich zum Ziel gesetzt, 100 % der nach außen gerichteten Systeme bis 2028 mit quantensicherer Verschlüsselung auszustatten – seine Vertrauensplattform meldet, wie nah das Unternehmen zu jedem Zeitpunkt an diesem Ziel ist.
- Lebenszyklus-Leistung: Kennzahlen wie die durchschnittliche Zeit von der Zertifikatsanforderung bis zur Ausstellung, Erfolgsquote bei der Erneuerungund Fehlerquote bei Änderungen (war bei einer automatisierten Bereitstellung ein Rollback erforderlich?). Hohe Erfolgsraten und immer kürzere Durchlaufzeiten deuten darauf hin, dass der Prozess reibungslos funktioniert; Probleme zeigen auf, wo möglicherweise weitere Optimierungen erforderlich sind.
- Trends bei Vorfällen und Anomalien: Verfolgung von Faktoren wie erkannte anomale kryptografische Assets oder die Anzahl ungeplanter Zertifikatsabläufe (sollte gegen Null tendieren, wenn Sie eine automatisierte Plattform fürKrypto-Agilität nutzen). Im Laufe der Zeit sollten diese Werte sinken, da sich frühere Phasen verbessern. Wenn es in einem Monat zu einem Anstieg der Anomalien kommt, kann die Analyse den Grund dafür ergründen – gab es einen Anstieg bei Schatten-IT oder Schatten-KI? Eine neue Scan-Technik, die bisher unbekannte Elemente aufgedeckt hat? So wird sichergestellt , dass kein Stein auf dem anderen bleibt.
In Wirklichkeit liefert Stufe 2 nicht einfach nur Daten – sie stellt sie im Kontext für die Entscheidungsfindung dar. Dashboards sind in der Regel rollenbasiert: Ein CISO sieht möglicherweise eine allgemeine Zusammenfassung und das Risikoniveau, während ein PKI-Manager detaillierte Informationen zu bestimmten ablaufenden Zertifikaten oder Aufgaben abrufen kann. Und über die Dashboards hinaus können Warnmeldungen und Berichte automatisch für die Beteiligten generiert werden (z. B. ein wöchentlicher Bericht zum Vertrauensstatus für die IT-Führung oder die Geschäftsleitung).
Praxisszenario: Auf das Unerwartete vorbereitet
Um die Leistungsfähigkeit von „Analyze & Measure“ zu veranschaulichen, betrachten wir ein Szenario, das von einem Unternehmenskunden beschrieben wurde: „Q-Day“ – der Tag, an dem ein funktionsfähiger Quantencomputer auf den Markt kommt, der die derzeitige Verschlüsselung knacken kann. Mit ihren Worten: „Ich möchte um 3 Uhr morgens mit dieser Nachricht geweckt werden und meinem CEO genau sagen können, wie groß unser Risiko ist und dass es unter Kontrolle ist“. Mit der Einführung von Phase 2 wird eine solche Reaktion möglich. Das Trust-Control-System zeigt sofort den Prozentsatz der Umgebung an, der bereits quantenresistente Algorithmen verwendet, identifiziert die am stärksten gefährdeten Systeme und verfolgt den Fortschritt der schnellen Abhilfemaßnahmen. Im Wesentlichen kann das Unternehmen im Handumdrehen reagieren , da sie die Daten sofort zur Hand hat.
Selbst in weniger dramatischen Situationen schafft die sofortige Verfügbarkeit von Antworten Glaubwürdigkeit. Wenn eine Führungskraft fragt: „Wurden alle unsere Zertifikate wie geplant von SHA-1 umgestellt?“ (ja, in der Praxis gibt es tatsächlich noch Umgebungen mit SHA-1) oder „Wie viele verwaisten Schlüssel müssen wir noch beseitigen?“, liefert Stufe 2 mit wenigen Klicks die sachliche Antwort. Dies fördert eine Kultur der Verantwortlichkeit und schafft Vertrauen in das Sicherheitsprogramm selbst.
Unter dem Strich definiert diese Phase der Trust Control Plane Risiken klar, bewertet sie kontinuierlich und priorisiert Maßnahmen in der gesamten Unternehmensumgebung. Durch die Anwendung dieser Methodik wissen die Teams, wo sie die ersten, entscheidenden Maßnahmen ergreifen müssen, und erstellen fortlaufende Pläne, die auf kontextbezogenen Erkenntnissen und kontinuierlicher Validierung basieren.
