Was ist die MTTD?

Die mittlere Erkennungszeit (mean time to detect, MTTD) ist die durchschnittliche Zeit, die ein DevOps-Team benötigt, um ein Problem, z. B. einen Softwarefehler oder einen Hardwareausfall, in einer Organisation zu erkennen.

Die MTTD ist einer der wichtigsten Performance-Indikatoren für das Vorfallsmanagement. Je früher eine Organisation ein Problem erkennt, desto besser. Vorfälle führen oft zu Systemausfällen, die laut Gartner durchschnittlich 5.600 Dollar pro Minute kosten können.

Die MTTD ist zwar nicht die einzige Kennzahl, die DevOps-Teams zur Verfügung steht, aber sie ist eine der am einfachsten zu verfolgenden und zu messenden Kennzahlen und eine wesentliche Kennzahl für jede Organisation, das Probleme wie Systemausfälle vermeiden möchte.

Berechnung der MTTD: Schritt für Schritt

Zum Berechnen der MTTD:

1. Verfolgen Sie alle Vorfälle mithilfe von Tools wie Protokollen, einem Helpdesk und/oder einem Angriffserkennungssystem (mehr zu diesen Tools weiter unten).
2. Legen Sie das Ziel Ihrer MTTD-Berechnung fest und bestimmen Sie, wofür Sie sie berechnen wollen. Die MTTD wird in der Regel für eine bestimmte Einrichtung oder ein System über einen bestimmten Zeitraum berechnet, z. B. über Nacht, für eine Woche, einen Monat oder ein Jahr. Sie kann auch für einen bestimmten Techniker oder ein bestimmtes Team berechnet werden.
3. Verwenden Sie die zuvor genannten Tools, um die Startzeit und die Erkennungszeit für jeden Vorfall innerhalb des von Ihnen gewählten Zeitrahmens zu berechnen.
4. Teilen Sie die Gesamtzeit für die Erkennung von Vorfällen durch die Anzahl der Vorfälle.

Nehmen wir beispielsweise an, das Rund-um-die-Uhr-Betriebssupportteam eines großen Autoteileherstellers verfolgt die wöchentliche MTTD für die gesamte Anlage. In der Woche vom 7. bis 11. Februar 2022 gab es vier Vorfälle. Anhand der Systemprotokolle ermittelte das Team die Start- und Erkennungszeit jedes Vorfalls und trug sie wie folgt in eine Tabelle ein:

Die mittlere Erkennungszeit wird wie folgt berechnet:

(118 + 53 + 148 + 85) / 4

MTTD = 101 Minuten

Der Autoteilehersteller könnte diese Zahl dann verwenden, um die MTTD dieser bestimmten Woche mit anderen Wochen oder mit der gleichen Woche im Vorjahr zu vergleichen. Wenn sie die MTTD für ein bestimmtes Team berechnet hätten, könnten sie dieses Ergebnis nutzen, um die Performance des Teams im Laufe der Zeit zu bewerten. Manche Unternehmen entfernen Ausreißer aus der Tabelle, und viele stufen Vorfälle auch nach Schweregrad ein, um zu sehen, ob die MTTD je nach Schwere des Problems variiert.

Welche Tools benötigen Sie, um die MTTD zu überwachen?

Bei der Überwachung der MTTD geht es vor allem darum, alles im Auge zu behalten, was als Vorfall oder Problem eingestuft werden kann. Das kann von Organisation zu Organisation sehr unterschiedlich ausfallen.

Zu den wichtigsten Instrumenten, die Sie zur Überwachung der MTTD benötigen, gehören:

Protokolle: Protokolle sind automatisch erstellte und mit einem Zeitstempel versehene Aufzeichnungen von Ereignissen, die für ein bestimmtes Computersystem oder eine Softwareanwendung relevant sind. Im Zugriffsprotokoll eines Webservers beispielsweise werden alle einzelnen Dateien aufgelistet, die von einer Website angefordert werden, einschließlich der HTML-Dateien und aller anderen damit verbundenen Dateien, die übertragen werden. Ein weiteres Beispiel ist ein Datenbankprotokoll, das alle Aktivitäten in der Datenbank aufzeichnet, einschließlich aller Änderungen an Datensätzen.

Helpdesks: Helpdesks sind zentralisierte Help Center für Produktbenutzer, die Hilfe im Zusammenhang mit einem Produkt benötigen, insbesondere bei IT-Problemen. Dabei kann es sich um physische oder Online-Callcenter oder Ticketsysteme handeln, die über SaaS-Anwendungen betrieben werden. Helpdesks verfügen über eine Wissensdatenbank, in der Kundenprobleme aufgezeichnet werden, einschließlich der Art des Problems, des Zeitpunkts seiner Feststellung und der Behebungsmethode.

Angriffserkennungssysteme: Ein Angriffserkennungssystem (Intrusion Detection System, IDS) ist ein System, das den Netzwerkverkehr auf verdächtige Aktivitäten überwacht und Warnmeldungen ausgibt, wenn eine solche Aktivität festgestellt wird. Die Hauptfunktionen eines IDS sind die Berichterstattung und die Erkennung von Anomalien, aber einige Angriffserkennungssysteme können Maßnahmen ergreifen, wenn sie böswillige Aktivitäten erkennen, einschließlich der Blockierung des von verdächtigen IP-Adressen gesendeten Datenverkehrs.

Was ist eine gute MTTD?

Was eine „gute“ MTTD darstellt, hängt stark vom Unternehmen, seinem Produkt, der Branche und der speziellen Bedrohung oder dem Angriff ab, die oder den das Unternehmen verhindern oder abfangen möchte. Der bestmögliche MTTD-Wert ist natürlich null, d. h. Sie erwischen den Angreifer, bevor er überhaupt die Chance hat, Schaden anzurichten.

Eine MTTD von null ist natürlich sehr schwer zu erreichen. Nach Angaben des Ponemon Institute, das den Industriestandard-Benchmark für die MTTD angibt, betrug die durchschnittliche Zeit zur Identifizierung und Eindämmung einer Datenschutzverletzung im Jahr 2020 280 Tage und im Jahr 2019 279 Tage.

Um herauszufinden, was eine gute MTTD für Ihr spezielles Unternehmen ist, sollten Sie nicht nur den Gesamtdurchschnitt aller Unternehmen betrachten, sondern auch versuchen, Informationen darüber zu erhalten, wie andere Unternehmen in Ihrem Sektor die MTTD handhaben. Außerdem müssen Sie berechnen, wie hoch die Kosten einer durchschnittlichen Datenschutzverletzung für Ihr Unternehmen sind und wie viel Ihr Unternehmen pro Datenschutzverletzung verlieren kann, ohne in ernsthafte finanzielle Schwierigkeiten zu geraten.

Sie können verschiedene Maßnahmen ergreifen, um die MTTD zu senken:

• Investieren Sie in die bestmöglichen Mitarbeiter und Lösungen im Bereich der Cybersicherheit.
• Stellen Sie sicher, dass alle internen Teams im Hinblick auf potenzielle Cyberbedrohungen aufeinander abgestimmt sind miteinander kommunizieren.
• Zeichnen Sie Vorfälle präzise und konsistent auf und führen Sie ein zuverlässiges und umfassendes Ereignisprotokoll.
• Untersuchen Sie bei jedem Vorfall, was ihn verursacht hat und wie man ihn in Zukunft verhindern oder schneller erkennen kann.

Weitere Mittel, die Organisationen zur Senkung ihrer MTTD einsetzen können, sind SOAR-Technologien (Security Orchestration, Automation and Response) sowie Incident-Response-Pläne.

Wer sollte die MTTD verwenden und wann?

Jedes Unternehmen mit Systemen oder Netzen, die stets betriebsbereit und sicher sein müssen, kann von einer regelmäßigen Messung der MTTD profitieren.

Die MTTD sollte immer zu den Zeitpunkten gemessen werden, zu denen das Eintreten eines Vorfalls Schaden verursachen würde. In einer Produktionsanlage, die nur nachts in Betrieb ist, sollten Sie zum Beispiel nur nachts auf Vorfälle achten. Daten zur Tageszeit einzubeziehen, wäre nicht sinnvoll.

Was ist die nächste Kennzahl nach der Erkennung?

Die MTTD spiegelt die Zeit wider, die Ihr Team benötigt, um einen potenziellen Sicherheitsvorfall zu erkennen. Aber der nächste Schritt nach der Erkennung ist die Reaktion.

Die mittlere Reaktionszeit (MTTR, Mean Time to Respond) ist die Zeit, die benötigt wird, um eine Bedrohung unter Kontrolle zu bringen, zu beheben und/oder zu beseitigen, nachdem sie erkannt wurde.

Mehr über die MTTR erfahren.