Was bedeutet Mean Time to Detect (MTTD)?

Die „Mean Time to Detect“ ist eine Metrik aus dem IT-Bereich, genauer gesagt dem Incident Response Management. Sie gibt Aufschluss darüber, wie schnell ein Devops-Security-Team dazu in der Lage ist, Probleme zu erkennen. Dabei kann es sich beispielsweise um Software- oder Hardwarefehler handeln. Obwohl dieser Wert auf den ersten Blick nur einen geringen Mehrwert zu bieten scheint, ist er erfolgsentscheidend. Schließlich kosten Systemausfall-Zeiten große und kleine mittelständische Unternehmen (KMUs) Jahr für Jahr beträchtliche Summen an Geld.

Begriffserklärung und Definition: Die Mean Time to Detect (MTTD)

Die Abkürzung „MTTD“ steht für Mean Time to Detect. Ein weiterer gängiger Begriff ist „Mean Time to Discover“. Beide Termini stammen aus dem Bereich des Incident Managements. Die MTTD gibt Aufschluss über die Zeit, die nötig ist, um ein Sicherheitsproblem zu erkennen.
Für die Security Incident Response ist eine kurze Mean Time to Detect entscheidend. Schließlich ist es besser, Vorfälle frühzeitig zu erkennen und möglichst schnell zu beheben. So lassen sich Probleme oft lösen, bevor sie das System weitreichend schädigen können. Ein klassisches Beispiel dafür ist Schadsoftware, die in das Unternehmensnetzwerk gelangt. Mit der Zeit kann sie immense Probleme verursachen. Lässt sich diese Malware schnell genug aufspüren, hält sich der Schaden meist in Grenzen. Das macht die Mean Time to Detect zu einer wichtigen Kennzahl im Unternehmen.
Gleichzeitig stellt die Mean Time to Detect ein Barometer dar, um die Incident-Management-Fähigkeiten von Teams zu bewerten. Somit lassen sich, basierend auf den Analyseergebnissen, bisherige Strategien überdenken und neu definieren. Dies ermöglicht schließlich eine bessere Reaktion bei Ausfällen und Systemproblemen. Ist der Wert hingegen zufriedenstellend oder übertrifft er die Erwartungen, weist er auf das richtige Vorgehen hin.

Berechnung der MTTD in der IT-Praxis

Die Formel für die Mean Time to Detect ist grundsätzlich sehr einfach. Es handelt sich dabei um die Summe aller Zeiten, die dafür nötig sind, Vorfälle zu identifizieren. Anschließend wird die Gesamtzeit durch die Anzahl aller Vorfälle dividiert.

• Zunächst definiert das Unternehmen einen Zeitraum, der für die Mean Time to Detect ausschlaggebend sein soll. Hierbei entscheiden sich die Zuständigen oft für eine monatliche Berechnung. Sie ist ein gutes Indiz dafür, wie gut die Sicherheitsvorkehrungen sind. Gleichzeitig ermöglichen monatliche Berechnungen eine schnellere Anpassung der Abläufe. Ein vorheriger Schwachstellenscan hilft dabei, bereits bestehende Probleme zu identifizieren.
• Als Nächstes wird festgelegt, welche Techniken und Tools bei der Bestimmung der MTTD zum Einsatz kommen sollen. Dazu gehören beispielsweise Intrusion Detection Systeme, automatisierte Security Scans, Penetration Tests oder die Helpdesk-Tickets der Anwender.
• Mithilfe der Protokolle, Helpdesk-Tickets und dem Intrusion Detection System verfolgen die zuständigen Mitarbeiter sämtliche Vorfälle.
• Die eingesetzten Tools helfen dabei, die Start- und Erkennungszeiten für Vorfälle zu definieren und festzuhalten. Dadurch ist sichergestellt, dass sämtliche Zwischenfälle in die Metrik einfließen.
• Um die Mean Time to Detect zu bestimmen, teilt man die Gesamtzeit durch die Anzahl der Vorfälle. Daraus ergibt sich ein Faktor, der die Leistungsfähigkeit in diesem Bereich näher definiert. Je höher er ausfällt, desto länger ist die Reaktionszeit des Teams. Ist die MTTD zu hoch, ist es ratsam, die vorhandenen Prozesse und Mechanismen anzupassen. Auf diese Weise lassen sich die Reaktionszeiten in Zukunft verkürzen.

Ein Trend ergibt sich, wenn man diesen Wert mit der MTTD aus früheren Monaten vergleicht. Eine gute Software hilft ebenfalls dabei, den Überblick über diese ausschlaggebende Kennzahl zu behalten.
Wichtig: Ähnlich wie bei so genannten Pentests ist eine Kategorisierung oder Abstufung einzelner Vorfälle sinnvoll. Schließlich wiegen nicht alle Probleme gleich schwer. Es ist daher besser, schwerwiegende Vorfälle zu priorisieren. Da sich dieses Vorgehen auf die Mean Time to Detect auswirken kann, gehen viele Organisationen anders vor: Sie stufen die Vorfälle in unterschiedliche Kategorien ein und ermitteln für jede eine eigene MTTD. So erhält man mehrere Werte, die eine höhere Aussagekraft bieten können als der allgemeine Faktor.

Bedeutung der Mean Time to Detect (MTTD) für die Fehlerbehebung

Moderne Sicherheitsplattformen und neue Sicherheitsstrategien tragen maßgeblich zu einer höheren Sicherheit in Unternehmen bei. Trotzdem lassen sich Fehler oder Schwachstellen nicht gänzlich vermeiden. Die Mean Time to Detect soll dabei helfen, einen Überblick über die aktuelle Situation zu erhalten. Denn je früher eine Organisation Probleme erkennt, desto schneller kann sie diese Zwischenfälle beheben. Dieses Vorgehen hilft einerseits dabei, größere Schäden zu vermeiden, andererseits ist es einfacher und billiger, frühzeitig zu agieren.
Gleichzeitig ist die MTTD eine wertvolle Metrik für Organisationen, die DevOps in das Unternehmen einführen. Schließlich gibt die Mean Time to Detect Aufschluss darüber, an welchen Stellen im Prozess Verbesserungspotenzial besteht. So lässt sich unter anderem feststellen, wie gut die Protokollverwaltungs- und Überwachungsstrategien wirklich sind. Dabei gilt: Je niedriger die Mean Time to Detect ausfällt, desto gesünder ist das Incident Management. Ist der Faktor hingegen zu hoch, könnten neue Ansätze eine gute Idee sein.

Weitere Kennzahlen und KPIs: Ausfallmetriken in der IT

Neben der MTTD gibt es noch andere Indikatoren, die bei der Behebung von IT-Problemen relevant sind. Einige stehen in direktem Zusammenhang mit der Mean Time to Detect, während andere eine Ergänzung darstellen.

Mean Time to Restore

Die Mean Time to Restore basiert auf der Mean Time to Detect. Diese Metrik beschreibt, wie lange es insgesamt dauert, bis ein Problem behoben wird. Zusammen geben die MTTR und die MTTD Aufschluss über die allgemeine Fähigkeit eines Team, Fehler zu beheben.

Mean Time between Failures

Die “Mean Time between Failures” beschreibt den Zeitraum, der zwischen zwei Vorfällen liegt. Damit liegt der Fokus der MTBF auf der IT-Bereitstellung ohne Leistungsausfälle oder Leistungseinbußen.

Erstlösungsrate

Dieser Wert zeigt dem Unternehmen an, wie effizient das Team darin ist, Probleme zu beheben.

Ausfallzeiten

Dieser Prozentsatz gibt an, wie hoch die Zeit ist, in der das System zuverlässig läuft. Meist bezieht sich die Ausfallzeit auf ein Geschäftsjahr, kann sich jedoch auch auf andere Zeiträume fokussieren.

Fazit

Im modernen Unternehmensalltag stellen IT-Vorfälle ein ernst zu nehmendes Risiko dar. Sie beeinträchtigen die Reaktionsfähigkeit des Unternehmens und führen im schlimmsten Fall zu finanziellen Einbußen. Die Mean Time to Detect ist eine wichtige Metrik in diesem Bereich. Sie hilft dabei zu verstehen, wie schnell das Unternehmen oder dessen IT-Abteilung auf Vorfälle reagieren können. Gleichzeitig zeigt sie, an welchen Stellen Verbesserungspotenzial besteht, um eine durchgängige Verfügbarkeit der Systeme zu gewährleisten. Das macht die Mean Time to Detect für jedes Unternehmen wichtig, das eigenständig auf IT-Vorfälle reagieren muss.