Die mittlere Erkennungszeit wird wie folgt berechnet:
(118 + 53 + 148 + 85) / 4
MTTD = 101 Minuten
Der Autoteilehersteller k?nnte diese Zahl dann verwenden, um die MTTD dieser bestimmten Woche mit anderen Wochen oder mit der gleichen Woche im Vorjahr zu vergleichen. Wenn sie die MTTD f¨¹r ein bestimmtes Team berechnet h?tten, k?nnten sie dieses Ergebnis nutzen, um die Performance des Teams im Laufe der Zeit zu bewerten. Manche Unternehmen entfernen Ausrei?er aus der Tabelle, und viele stufen Vorf?lle auch nach Schweregrad ein, um zu sehen, ob die MTTD je nach Schwere des Problems variiert.
Welche Tools ben?tigen Sie, um die MTTD zu ¨¹berwachen?
Bei der ?berwachung der MTTD geht es vor allem darum, alles im Auge zu behalten, was als Vorfall oder Problem eingestuft werden kann. Das kann von Organisation zu Organisation sehr unterschiedlich ausfallen.
Zu den wichtigsten Instrumenten, die Sie zur ?berwachung der MTTD ben?tigen, geh?ren:
Protokolle: Protokolle sind automatisch erstellte und mit einem Zeitstempel versehene Aufzeichnungen von Ereignissen, die f¨¹r ein bestimmtes Computersystem oder eine Softwareanwendung relevant sind. Im Zugriffsprotokoll eines Webservers beispielsweise werden alle einzelnen Dateien aufgelistet, die von einer Website angefordert werden, einschlie?lich der HTML-Dateien und aller anderen damit verbundenen Dateien, die ¨¹bertragen werden. Ein weiteres Beispiel ist ein Datenbankprotokoll, das alle Aktivit?ten in der Datenbank aufzeichnet, einschlie?lich aller ?nderungen an Datens?tzen.
Helpdesks: Helpdesks sind zentralisierte Help Center f¨¹r Produktbenutzer, die Hilfe im Zusammenhang mit einem Produkt ben?tigen, insbesondere bei IT-Problemen. Dabei kann es sich um physische oder Online-Callcenter oder Ticketsysteme handeln, die ¨¹ber SaaS-Anwendungen betrieben werden. Helpdesks verf¨¹gen ¨¹ber eine Wissensdatenbank, in der Kundenprobleme aufgezeichnet werden, einschlie?lich der Art des Problems, des Zeitpunkts seiner Feststellung und der Behebungsmethode.
Angriffserkennungssysteme: Ein Angriffserkennungssystem (Intrusion Detection System, IDS) ist ein System, das den Netzwerkverkehr auf verd?chtige Aktivit?ten ¨¹berwacht und Warnmeldungen ausgibt, wenn eine solche Aktivit?t festgestellt wird. Die Hauptfunktionen eines IDS sind die Berichterstattung und die Erkennung von Anomalien, aber einige Angriffserkennungssysteme k?nnen Ma?nahmen ergreifen, wenn sie b?swillige Aktivit?ten erkennen, einschlie?lich der Blockierung des von verd?chtigen IP-Adressen gesendeten Datenverkehrs.
Was ist eine gute MTTD?
Was eine ?gute¡° MTTD darstellt, h?ngt stark vom Unternehmen, seinem Produkt, der Branche und der speziellen Bedrohung oder dem Angriff ab, die oder den das Unternehmen verhindern oder abfangen m?chte. Der bestm?gliche MTTD-Wert ist nat¨¹rlich null, d.?h. Sie erwischen den Angreifer, bevor er ¨¹berhaupt die Chance hat, Schaden anzurichten.
Eine MTTD von null ist nat¨¹rlich sehr schwer zu erreichen. Nach Angaben des , das den Industriestandard-Benchmark f¨¹r die MTTD angibt, betrug die durchschnittliche Zeit zur Identifizierung und Eind?mmung einer Datenschutzverletzung im Jahr 2020 280 Tage und im Jahr 2019 279 Tage.
Um herauszufinden, was eine gute MTTD f¨¹r Ihr spezielles Unternehmen ist, sollten Sie nicht nur den Gesamtdurchschnitt aller Unternehmen betrachten, sondern auch versuchen, Informationen dar¨¹ber zu erhalten, wie andere Unternehmen in Ihrem Sektor die MTTD handhaben. Au?erdem m¨¹ssen Sie berechnen, wie hoch die Kosten einer durchschnittlichen Datenschutzverletzung f¨¹r Ihr Unternehmen sind und wie viel Ihr Unternehmen pro Datenschutzverletzung verlieren kann, ohne in ernsthafte finanzielle Schwierigkeiten zu geraten.
Sie k?nnen verschiedene Ma?nahmen ergreifen, um die MTTD zu senken:
- Investieren Sie in die bestm?glichen Mitarbeiter und L?sungen im Bereich der Cybersicherheit.
- Stellen Sie sicher, dass alle internen Teams im Hinblick auf potenzielle Cyberbedrohungen aufeinander abgestimmt sind miteinander kommunizieren.
- Zeichnen Sie Vorf?lle pr?zise und konsistent auf und f¨¹hren Sie ein zuverl?ssiges und umfassendes Ereignisprotokoll.
- Untersuchen Sie bei jedem Vorfall, was ihn verursacht hat und wie man ihn in Zukunft verhindern oder schneller erkennen kann.
Weitere Mittel, die Organisationen zur Senkung ihrer MTTD einsetzen k?nnen, sind SOAR-Technologien (Security Orchestration, Automation and Response) sowie Incident-Response-Pl?ne.
Wer sollte die MTTD verwenden und wann?
Jedes Unternehmen mit Systemen oder Netzen, die stets betriebsbereit und sicher sein m¨¹ssen, kann von einer regelm??igen Messung der MTTD profitieren.
Die MTTD sollte immer zu den Zeitpunkten gemessen werden, zu denen das Eintreten eines Vorfalls Schaden verursachen w¨¹rde. In einer Produktionsanlage, die nur nachts in Betrieb ist, sollten Sie zum Beispiel nur nachts auf Vorf?lle achten. Daten zur Tageszeit einzubeziehen, w?re nicht sinnvoll.
Was ist die n?chste Kennzahl nach der Erkennung?
Die MTTD spiegelt die Zeit wider, die Ihr Team ben?tigt, um einen potenziellen Sicherheitsvorfall zu erkennen. Aber der n?chste Schritt nach der Erkennung ist die Reaktion.
Die mittlere Reaktionszeit (MTTR, Mean Time to Respond) ist die Zeit, die ben?tigt wird, um eine Bedrohung unter Kontrolle zu bringen, zu beheben und/oder zu beseitigen, nachdem sie erkannt wurde.
Mehr ¨¹ber die MTTR erfahren.
![Blitz-Symbol](/content/dam/purestorage/online-assets/icons/lightning.svg.imgo.svg"/){kind=icon}
![](/content/dam/purestorage/knowledge/what-is-mttd-hero.jpg.imgo.jpg")
![](/content/dam/purestorage/online-assets/graphics/visionary-voices-resources.jpg.imgo.jpg")
![](/content/dam/purestorage/online-assets/graphics/cyber-resilience-resource-3a.jpg.imgo.jpg")
![](/content/dam/purestorage/homepage23/resources-events/future-of-storage-ebook.jpg.imgo.jpg")
![](/content/dam/purestorage/online-assets/graphics/gartner-card.svg.imgo.svg")