KPIs für Sicherheit: Was wir wirklich messen sollten

“Wir machen viel für Sicherheit, aber wir wissen nicht, ob es wirkt.” Dieser Satz steht am Beginn vieler unserer Erstberatungen. Die Lösung ist nicht mehr Aktivität, sondern bessere Messung. Wer Sicherheit messbar macht, sieht, wo er steht, wo er steuern muss und wo er sparen kann. Dieser Artikel beschreibt zwölf KPIs, die wir in der Praxis empfehlen, und drei Eigenschaften, die einen guten Sicherheits-KPI ausmachen.

Drei Eigenschaften guter Sicherheits-KPIs

Bevor wir zur Liste kommen: Was unterscheidet einen guten von einem schlechten KPI?

1. Misst Wirkung, nicht Aktivität

“Anzahl durchgeführter Schulungen” ist Aktivität. “Phishing-Klickrate nach Schulung” ist Wirkung. Aktivitäts-KPIs sind verführerisch, weil sie leicht zu messen sind. Sie sagen aber nichts darüber, ob die Aktivität etwas bewirkt.

2. Unabhängig von Vorfällen verfügbar

KPIs, die nur bei Vorfällen messbar sind (z.B. Schadenshöhe), liefern keine Steuerungsinformation in vorfallfreien Quartalen. Gute KPIs sind auch dann lieferbar, wenn nichts Schlimmes passiert.

3. Operativ steuerbar

Ein KPI ist nur dann nützlich, wenn es eine Hebel-Aktion gibt, die ihn beeinflusst. “Anzahl Cyber-Angriffe weltweit” ist nicht steuerbar (durch Sie). “Anzahl ungepatchter kritischer Schwachstellen in Ihrem Unternehmen” ist steuerbar.

Zwölf KPIs, die wir empfehlen

Reaktion und Vorfallsbewältigung

1. Mean Time to Detect (MTTD). Wie schnell wird ein Vorfall erkannt, gemessen vom Eintritt bis zur Erkennung? Steuerbar über Monitoring, Logging und Sensor-Dichte.

2. Mean Time to Respond (MTTR). Wie schnell wird auf einen erkannten Vorfall reagiert? Steuerbar über Prozess, Erreichbarkeit und Tooling.

3. Mean Time to Recover (MTTRc). Wie schnell ist der Normalbetrieb wieder hergestellt? Steuerbar über Recovery-Plan, Backup-Strategie und Übung.

Schwachstellen und Patches

4. Patch-Compliance-Rate. Prozent der Systeme, die innerhalb der Vorgabe-Frist gepatcht sind (typisch: 30 Tage für kritische Patches).

5. Anzahl offener kritischer Schwachstellen über SLA. Wie viele kritische Schwachstellen sind länger als 30 Tage offen? Ein KRI, der eine harte Eskalations-Schwelle haben sollte.

6. Schwachstellen-Backlog-Veränderung pro Quartal. Wächst der Stack oder schrumpft er? Trend ist wichtiger als absolute Zahl.

Personal und Bewusstsein

7. Phishing-Klickrate nach Simulation. Prozent der Mitarbeiter, die auf simulierte Phishing-Mails klicken. Trend über Zeit ist informativer als Einzelwert.

8. Anzahl Mitarbeiter mit aktueller Sicherheits-Schulung. Prozent der Belegschaft mit Schulung in den letzten 12 Monaten. Pflicht-Aspekt für NIS2.

9. Geschäftsleitung-Schulungsquote. Prozent der Leitungsebene mit dokumentierter Schulung (NIS2 § 38 BSIG). Bei kleinen Unternehmen mit binärer Antwort.

Lieferkette und Lieferanten

10. Anzahl kritischer Lieferanten ohne Sicherheits-Klausel im Vertrag. Ein KRI, der unter NIS2 § 30 Nr. 4 BSIG relevant ist.

11. Anzahl Audit-Erkenntnisse aus Lieferanten-Reviews. Beobachtbar wenn Sie regelmäßig Lieferanten-Audits durchführen. Wenn Sie keine machen, ist das selbst ein KRI.

Reifegrad und Konformität

12. Reifegrad pro Framework. Compliance-Stand gegen relevante Frameworks (ISO 27001, § 30 BSIG, ggf, branchenspezifisch). Skala 0 bis 5, gemessen aus Maßnahmen-Implementierung und Wirksamkeits-Belegen.

In unserer Plattform S3:Analytics bilden wir genau diese Reifegrad-Messung gegen mehrere Frameworks parallel ab.

Was Sie nicht messen sollten (oder nur sehr vorsichtig)

Einige verbreitete “KPIs” sind weniger nützlich als sie aussehen:

• Anzahl durchgeführter Audits/Schulungen ohne Wirkungsmessung. Aktivität, nicht Wirkung.
• Reine Vorfalls-Anzahlen ohne Kontext. Mehr erkannte Vorfälle kann besser oder schlechter bedeuten.
• Investitions-Volumen in Sicherheit. Geld ausgegeben sagt nichts über Schutz erreicht.
• Anzahl genutzter Sicherheits-Tools. Tool-Vielfalt ist oft Indikator für Lücken im Prozess, nicht für Stärke.

Wie ein Sicherheits-Reporting an die Geschäftsleitung aussehen sollte

Drei Inhalte, im Quartals-Reporting:

1. Ampel-Übersicht der KPIs

Pro KPI: aktueller Wert, Trend über vier Quartale, Schwelle, Ampel (grün/gelb/rot). Eine Seite.

2. Top-3 Befunde dieses Quartals

Was ist passiert, was ist nicht passiert, was ist überraschend? Maximal eine Seite.

3. Top-3 Steuerungs-Hebel

Welche Maßnahmen würden im nächsten Quartal die KPIs verbessern? Wer hat sie? Was kostet es? Maximal eine Seite.

Drei Seiten, vierteljährlich. Wer mehr produziert, signalisiert, dass er das Wichtige nicht priorisieren kann.

Quellen

• NIST SP 800-55 Performance Measurement Guide for Information Security
• ISO 27004 Information Security Management Measurement
• BSI IT-Grundschutz, Konzept der Wirksamkeitsprüfung
• CIS Controls v8, mit empfohlenen Metriken