Messen Sie Erfolg oder Aktivität?
Jeder CISO, den ich treffe, kann ein Dashboard zeigen. Anzahl blockierter Angriffe. Anzahl durchgeführter Sicherheitsschulungen. Anzahl geschlossener Tickets im Ticketsystem. Die Zahlen sehen beeindruckend aus. Die Grafiken zeigen nach oben.
Aber die Frage, die niemand stellt, ist: erzählen diese Zahlen etwas darüber, wie sicher die Organisation tatsächlich ist? Die Antwort ist fast immer nein.
Die meisten Sicherheits-KPIs messen Aktivität, nicht Wirksamkeit. Dass die Firewall 50 Millionen Anfragen im Monat blockiert, sagt nichts darüber aus, ob die 50 Anfragen, die durchkamen, die entscheidenden waren. Dass 100% der Belegschaft Sicherheitsschulungen absolviert hat, sagt nichts darüber aus, ob sie tatsächlich ihr Verhalten geändert haben.
Grundfrage: Wenn Ihre wichtigste Sicherheitskennzahl “Anzahl blockierter Angriffe” ist, messen Sie den Erfolg der Feuerwehr anhand der Anzahl Feuerwehrautos — nicht anhand geretteter Leben.
Vanity Metrics: Zahlen, die gut aussehen, aber keine Entscheidungen treiben
Misst Volumen, nicht Risiko. Eine hohe Zahl bedeutet, dass Sie viel Traffic haben, nicht dass Sie sicher sind. Die raffiniertesten Angriffe sind darauf ausgelegt, nicht von Standardschutz blockiert zu werden.
Misst Teilnahme, nicht Lernerfolg. 100% Absolvierung eines E-Learning-Kurses, den alle in 10 Minuten durchklicken, sagt nichts darüber aus, wie sich Mitarbeiter im Ernstfall verhalten.
Misst Durchsatz, nicht Qualität. Ein Team kann hunderte Tickets pro Monat schließen und trotzdem die kritischen Schwachstellen übersehen — weil sie Volumen vor Schweregrad priorisieren.
99,9% Verfügbarkeit hört sich gut an — aber es sagt nichts über die Sicherheit an sich aus. Ein System kann perfekte Verfügbarkeit haben und gleichzeitig vollständig von einem APT-Akteur kompromittiert sein, der wartet.
KPIs, die tatsächlich etwas bedeuten
Effektive Sicherheits-KPIs teilen drei Eigenschaften: sie sind mit Geschäftsrisiken verknüpft, sie sind über die Zeit messbar, und sie treiben Handlungen an. Wenn eine Kennzahl nicht zu einer Frage führt (“was sollen wir dagegen tun?”), hat sie keinen Wert.
Exposition: Wie schnell entdecken und beheben Sie?
| KPI | Was es misst | Warum es wichtig ist |
|---|---|---|
| MTTD (Mean Time to Detect) | Durchschnittliche Zeit von Einbruch bis Entdeckung | Je länger ein Angreifer drin ist, desto mehr Schaden kann er anrichten |
| MTTR (Mean Time to Respond) | Durchschnittliche Zeit von Entdeckung bis Eindämmung | Schnelle Reaktion begrenzt das Schadensausmaß drastisch |
| Patching-Zeit | Zeit von Schwachstellenveröffentlichung bis Implementierung | Zeigt Ihre Fähigkeit, bekannte Bedrohungen in angemessener Zeit zu behandeln |
| Exponierte Assets | Anzahl internetexponierter Systeme ohne vollständigen Schutz | Direktes Maß Ihrer sichtbaren Angriffsfläche |
Reifegrad: Wie gut funktioniert Ihre Sicherheitsarbeit?
| KPI | Was es misst | Warum es wichtig ist |
|---|---|---|
| Implementierungsgrad | % der geforderten Kontrollen, die vollständig implementiert sind | Zeigt, wo die Lücken sind — und wie schnell Sie sie schließen |
| Compliance-Gap | Abstand zur vollständigen Einhaltung des NIS2UmsuCG | Gibt dem Vorstand ein klares Bild des regulatorischen Risikos |
| Übungshäufigkeit | Anzahl durchgeführter Incident-Übungen pro Jahr | Ein nie geübter Plan ist eine Wunschliste, keine Bereitschaft |
| Lieferantenabdeckung | % kritischer Lieferanten, die eine Sicherheitsbewertung durchliefen | Misst Kontrolle über Ihre Lieferkette |
Geschäftsauswirkung: Was kostet es?
Drücken Sie Risiken in Begriffen aus, die der Vorstand versteht
Vorstandsmitglieder treffen keine Entscheidungen basierend auf CVE-Nummern oder CVSS-Scores. Sie treffen Entscheidungen basierend auf Geschäftsauswirkungen.
Anstatt: “Wir haben 47 kritische Schwachstellen in unserer extern exponierten Infrastruktur”
Sagen Sie: “Wir haben Schwachstellen im Kundensystem, die bei Ausnutzung zu 3–5 Tagen Ausfallzeit mit geschätzten Kosten von 2–4 Mio. EUR führen können. Die Behebung kostet 200.000 EUR und dauert zwei Wochen.”
Jetzt hat der Vorstand eine Entscheidungsgrundlage.
Die Falle: Das Leichte messen statt das Wichtige
Die meisten Organisationen fallen in die Falle, das zu messen, was das SIEM-System zufällig automatisch generiert. Anzahl geloggter Ereignisse, Anzahl Regeltreffer, Anzahl falsch positive. Das sind verfügbare Daten — aber es sind nicht zwangsläufig Daten, die etwas bedeuten.
Wirklich wertvolle KPIs erfordern oft manuelle Bearbeitung, Kontextverständnis und Verknüpfung mit Geschäftszielen. Das ist mehr Arbeit — aber es ist Arbeit, die tatsächlich Entscheidungsgrundlagen generiert.
Fragen Sie sich bei jeder Kennzahl:
- Was sagt dies über unsere tatsächliche Sicherheit aus?
- Wenn sich die Zahl ändert, was sollen wir anders machen?
- Kann der Vorstand dies verstehen und darauf reagieren?
Wenn die Antwort auf eine der Fragen “weiß nicht” ist — messen Sie etwas anderes.
Bauen Sie ein Dashboard, das Entscheidungen treibt
- Wählen Sie 5–8 KPIs — nicht mehr Ein Dashboard mit 30 Kennzahlen treibt keine Entscheidungen. Fokussieren Sie sich auf die Schlüsselindikatoren, die Ihre größten Risiken und wichtigsten Verbesserungsbereiche widerspiegeln. Passen Sie die Auswahl an Ihr Risikoprofil an.
- Zeigen Sie Trends, nicht Momentaufnahmen Eine Zahl ohne Kontext ist bedeutungslos. Zeigen Sie, wie sich MTTD in den letzten Quartalen entwickelt hat, wie das Compliance-Gap schrumpft (oder wächst), und wie sich die Patching-Zeit verändert. Trends geben dem Vorstand ein Bild der Richtung.
- Beziehen Sie sowohl leading als auch lagging Indikatoren ein Lagging Indikatoren (Anzahl Vorfälle, Kosten pro Vorfall) zeigen, was passiert ist. Leading Indikatoren (Übungshäufigkeit, Patching-Zeit, Schulungsqualität) zeigen, wohin Sie sich bewegen. Der Vorstand braucht beide.
- Verknüpfen Sie jeden KPI mit einem Ziel Wenn MTTR 48 Stunden ist — was ist das Ziel? 24 Stunden? 4 Stunden? Ohne Ziel gibt die Zahl keine Orientierung. Und die Ziele sollten auf Ihrer Risikobereitschaft und Branchenstandards basieren — nicht auf dem, was technisch einfach zu erreichen ist.
Messen Sie zur Verbesserung, nicht zum Beeindrucken
KPIs, die zeigen, dass alles perfekt ist, sind wahrscheinlich falsch. Die reifsten Organisationen haben Kennzahlen, die Mängel sichtbar machen — denn so weiß man, wo Verbesserungsmaßnahmen ansetzen sollen. Ein ehrliches Dashboard, das Lücken und Trends zeigt, ist unendlich nützlicher als ein grünes Dashboard, dem niemand vertraut.
Wenn Ihre Sicherheitsarbeit von Entscheidungen getrieben werden soll, müssen die Entscheidungen von den richtigen Daten getrieben werden. Messen Sie das, was etwas bedeutet.
Securapilots Dashboard-Funktionalität sammelt Ihre wichtigsten Sicherheits-KPIs in einer für die Geschäftsleitung konzipierten Übersicht — mit Trends, Compliance-Status und Risikoexposition, die Handlungen antreibt, anstatt nur zu informieren.
Häufig gestellte Fragen
Welche KPIs sollte ein CISO an den Vorstand berichten?
Fokussieren Sie sich auf Kennzahlen, auf die der Vorstand reagieren kann: Risikoexposition in Euro, Zeit bis zur Entdeckung und Behebung (MTTD/MTTR), Compliance-Status als Prozentanteil und Trendlinien, die Verbesserung oder Verschlechterung über die Zeit zeigen.
Warum ist die Anzahl blockierter Angriffe eine schlechte Kennzahl?
Sie misst Volumen, nicht Wirksamkeit. Dass die Firewall täglich Millionen von Anfragen blockiert, sagt nichts darüber aus, ob Ihre Organisation tatsächlich vor den relevanten Bedrohungen geschützt ist. Das ist wie die Messung des Erfolgs der Feuerwehr anhand der Anzahl Feuerwehrautos statt geretteter Leben.
Wie oft sollten Sicherheits-KPIs berichtet werden?
Operative KPIs (MTTD, Patch-Status, Vulnerability-Level) sollten wöchentlich oder monatlich intern verfolgt werden. Strategische KPIs an den Vorstand sollten quartalsweise berichtet werden. Außerordentliche Berichte bei Vorfällen oder wesentlichen Änderungen.
Was ist der Unterschied zwischen lagging und leading KPIs?
Lagging KPIs messen was bereits passiert ist (Anzahl Vorfälle, Kosten pro Einbruch). Leading KPIs messen Bereitschaft und Trends (Zeit bis zum Patching, Schulungsgrad, Compliance-Gap). Ein gutes Dashboard benötigt beide, aber leading KPIs bieten mehr Entscheidungsgrundlagen.
