IT-Sicherheit-Kennzahlen: Von der Technik zur Strategie

Kennzahlen dienen in der Informationssicherheit als Kontroll- und Steuerungsinstrument: Sie machen Risiken vergleichbar, priorisieren Investitionen und liefern Nachweise für Audits und Aufsicht.

Im Kontext von ISO/IEC 27001, NIS-2 und weiteren Regelwerken schlagen Cyber-Security-KPIs eine Brücke von technischer Realität und gesetzlicher Notwendigkeit hin zu Management-Entscheidungen.

Warum KPIs wichtig sind und welche Kriterien nach ISO, KRITIS, NIS-2 und NIST in Deutschland Anwendung finden, zeigen wir hier.

Warum sind KPIs in der Informationssicherheit so wichtig?

Ein KPI für Informationssicherheit ist dann besonders hilfreich, wenn er eine konkrete Entscheidung vorbereitet. Gute IT-Sicherheits-Kennzahlen sind wenige (BSI IT-Grundschutz), stabil (ISO 27001/27004) und so definiert, dass sie über die Zeit vergleichbar sind und Entwicklungen nachvollziehbar machen (ISO 27004, NIST SP 800-55).

Transparenz und Frühwarnung: Das BSI beschreibt Kennzahlen als Indikator für die Güte von Sicherheitsprozessen und als Kommunikationsmittel. KPIs Informationssicherheit sollen verdeutlichen, wo Kontrollen nicht greifen, bevor daraus Incidents werden.

In der Praxis erleichtert ein konsistenter Kennzahlensatz die Abstimmung zwischen IT, Risikomanagement und Unternehmensleitung und dient als Grundlage für Management-, GRC- und Audit-Berichte.

Steuerung und Wirksamkeit: Ohne KPIs zur Informationssicherheit bleibt die Verbesserung nur Behauptung. In ISO/IEC 27004 wird die Messung explizit als Bewertung der Sicherheitsleistung und der ISMS-Wirksamkeit gerahmt. NIST beschreibt Messprogramme als Grundlage, um Controls zu bewerten und Prioritäten zu setzen.

Interne Audits und Management Reviews: ISO/IEC 27001 fordert, dass Kennzahlen regelmäßig im Rahmen interner Audits und Management Reviews bewertet werden. KPIs dienen dabei als objektive Grundlage, um Abweichungen, Verbesserungspotenziale und Wirksamkeit von Maßnahmen strukturiert zu beurteilen.

Kennzahlen in diesem Kontext sind etwa der Anteil fristgerecht geschlossener Audit-Feststellungen oder die Anzahl wesentlicher Abweichungen pro Review-Zyklus.

Die wichtigsten Cyber-Security-KPIs

Als praxisbewährter Startpunkt hat sich eine geringe, aber relevante Anzahl an Kennzahlen pro Themenbereich bewährt. Wichtig ist ein Mix aus präventiven (leading) und rückblickenden (lagging) Kennzahlen. NIST empfiehlt, Sicherheitsmetriken entlang von Organisationszielen und Risikoappetit auszuwählen und zu priorisieren (NIST SP 800-55).

Kennzahlen sollen stets aus der Risikoanalyse und dem Schutzbedarf kritischer Assets abgeleitet werden, um isolierte Messgrößen ohne Entscheidungsnutzen zu vermeiden.

Die folgenden KPI sind in der Praxis verbreitet, jedoch nicht in jeder Einrichtung zwingend erforderlich oder gegebenenfalls individuell anzupassen.

1) Identity & Access (Zero-Trust-orientiert)

  • MFA-Abdeckung: NIST SP 800-63 und Zero-Trust-Prinzipien fordern Multi-Faktor-Authentifizierung, jedoch keinen konkreten Prozentsatz. In der Praxis gilt die MFA-Abdeckung als zentrale KPI.
  • SSO-/passwortlose Authentifizierung (Adoptionsgrad): NIST SP 800-207 empfiehlt starke Authentifizierung (z. B. MFA), nennt jedoch keine spezifische Adoptionsrate.
  • Privilegierte Konten unter Kontrolle: ISO/IEC 27001 Annex A und CIS Controls verlangen strenge Kontrolle privilegierter Zugänge, ohne feste Zielwerte vorzugeben.
  • Methodik-Hinweis: NIST SP 800-55 fordert eindeutige Definitionen (Formel, Basis, Zeitpunkt, Ausnahmen, Datenquelle). ISO/IEC 27004 ergänzt Anforderungen an Datenqualität und Konsistenz.

2) Vulnerability & Cyber-Hygiene

  • Patch-Compliance (% Systeme aktuell): In der Praxis bewährte Kennzahl (Anteil gepatchter Systeme), auch wenn kein Standard explizit einen Zielwert nennt.
  • Time-to-Patch (Median Tage für kritische CVEs): Entspricht dem NIST-Konzept „Mean Time to Remediate“.
  • Backup-Restore-Testquote: ISO 27001 fordert Backup-Strategien; Erfolgsraten bei Wiederherstellungstests gelten als sinnvolle Resilienz-KPI.

3) Detect, Respond & Recover

  • MTTD / MTTR: Weit verbreitete Kennzahlen zur Messung von Erkennungs- und Reaktionsfähigkeit.
  • Containment-Erfolgsquote: Praxisnahe SOC-Metrik zur Bewertung eingedämmter Vorfälle.
  • Wiederanlaufzeit kritischer Services (RTO-Realität): Messung der tatsächlichen Wiederherstellungszeit im Verhältnis zum definierten RTO.

4) Governance & Compliance (ISO 27001 / NIS-2)

  • NIS-2 Governancepflicht (Art. 20): Geschäftsleitungen müssen Maßnahmen genehmigen und überwachen.
  • Management-Training-Quote: Anteil geschulter Führungskräfte.
  • Audit-Finding-Closure-Rate: Abschlussquote von Audit-Feststellungen.
  • Policy-Freshness (% im Review-Zyklus): Anteil aktualisierter Richtlinien.
  • KPI-Dokumentation: Klare Definitionen gemäß NIST SP 800-55 und ISO/IEC 27004.
  • NIS-2 Meldepflicht (24h-Frühwarnung): Einhaltung gesetzlicher Meldefristen.
  • Lieferketten-Kennzahlen: Anteil bewerteter kritischer Zulieferer.
  • Organisatorische KPIs (z. B. COBIT): Messgrößen zu Rollen, Prozessen und Kontrollwirksamkeit.

Hinweise: Zur Steigerung der NIS-2-Konformität ist auf Anfrage ein Imprivata-Whitepaper erhältlich.

Fokus: IT-Sicherheitsbewusstsein messen

  • Phishing-Quote und Report-Quote
  • Schulungsabschlussrate
  • Incident-Reporting-Entwicklung

Hinweise: Risiken aus der Lieferkette gewinnen an Bedeutung. Kennzahlen zur Bewertung sicherheitsrelevanter Drittparteien unterstützen die Umsetzung von NIS-2-Anforderungen. Governance-Frameworks wie COBIT ergänzen technische KPIs um organisatorische Steuerungsgrößen.

NIST-Standards sind in Deutschland nicht verbindlich, gelten jedoch als internationale Best Practice.

Best Practices: So etablieren Sie ein nachhaltiges Sicherheitsbewusstsein

  1. Von oben vorleben: NIS-2 verankert Verantwortung auf Leitungsebene.
  2. Regelmäßigkeit: Micro-Learnings und wiederkehrende Phishing-Simulationen.
  3. Positive Fehlerkultur: Förderung einer offenen Meldekultur.
  4. Reibung reduzieren: Sichere Prozesse müssen nutzerfreundlich sein. SSO kann Sicherheit und Usability verbinden.

Herausforderungen bei der Arbeit mit Kennzahlen

Die falschen Dinge messen: KPI-Sammlungen ohne Entscheidungsbezug vermeiden.

Datenqualität und Definitionen: Ein KPI ist nur so gut wie seine klare Definition.

Kontext fehlt: Sinkende Incident-Zahlen können auch schlechtere Detektion bedeuten. Eine Kombination aus leading und lagging Kennzahlen ist erforderlich.

Fazit: KPI-Systeme sollen Entscheidungen auslösen

Kennzahlen sind kein Selbstzweck, sondern ein Instrument zur Bewertung von Wirksamkeit, Priorisierung von Maßnahmen und Unterstützung fundierter Entscheidungen.

Ein konsistentes KPI-System macht Informationssicherheit steuerbar, vergleichbar und gegenüber Management, Aufsicht und Auditoren nachvollziehbar.

Richtig eingesetzt liefern KPIs der Informationssicherheit Argumente für Budgets, schaffen Transparenz über Risiken und verankern Cybersicherheit als dauerhafte Managementaufgabe.

Entscheidend ist nicht, alles zu messen – sondern das Richtige, konsistent und risikoorientiert.