Die Überwachung von IT-Security-Maßnahmen ist kein Selbstläufer, da sich Angriffsflächen sowie Methoden böswilliger Akteure ständig ändern. Mithilfe geeigneter Kennzahlen können CISOs die Effektivität ihrer Maßnahmen überwachen und den Return on Investment (ROI) der Security-Ausgaben auf Vorstandsebene anzeigen.
Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren.
(Bild: Artem - stock.adobe.com)
Kennzahlen bieten einen zuverlässigen Überblick zu den Mehrwerten von Security-Maßnahmen für ein gesamtes Unternehmen. Und sie helfen CISOs dabei, dem Management bzw. dem Vorstand zu veranschaulichen, was sie unternommen haben, um die Datenintegrität und -sicherheit zu schützen. Jedoch kann auf diese Weise die Unternehmensführung leicht mit Informationen überschwemmt werden.
Zu viele Kennzahlen können Führungskräfte in einer Präsentation sehr leicht verwirren. Im schlimmsten Fall entsteht ein irreführendes Bild über die Leistungsfähigkeit eines IT-Security-Programms, das vielleicht auch noch das Vertrauen in die Fähigkeiten eines CISOs schmälert.
Effektiv arbeitende CISOs sind allerdings dazu in der Lage, klare Signale von diffusem Rauschen zu trennen, indem sie sich auf die entscheidenden Metriken bzw. Leistungskennzahlen (Key Performance Indicators – KPIs) konzentrieren, um klare Signale zu setzen.
In der Folge wird eine Reihe der wichtigsten Kennzahlen und KPIs vorgestellt, die CISOs dabei helfen sollen, für den jeweiligen Zweck einer Präsentation die relevante Auswahl zu treffen. Mithilfe dieser nach Themen gruppierten Kennzahlen und KPIs können CISOs die Effektivität ihrer IT-Security-Kontrollen und -initiativen messen. Damit sind sie auch bestens gerüstet, um etwaige Risiken zu erkennen und zu mindern.
Metriken zur Erkennung von Bedrohungen und Reaktion auf Vorfälle
Mittlere Erkennungszeit (Mean Time To Detect - MTTD): Je schneller der CISO einen Sicherheitsvorfall erkennt, desto schneller kann er reagieren. Diese Metrik misst die durchschnittliche Zeitspanne zwischen dem Auftreten eines Vorfalls und seiner Erkennung.
Mittlere Reparaturzeit (Mean Time To Repair - MTTR): Je schneller ein CISO auf einen Vorfall reagieren kann, umso besser kann er seine Auswirkungen eindämmen und begrenzen. Wenn er die durchschnittliche Zeit misst, die sein Team benötigt, um eine Bedrohung zu neutralisieren und die Kontrolle über kompromittierte Systeme zurückzugewinnt, kann er die potenziellen Schäden besser in den Griff bekommen und seine Aktivitäten optimieren.
Mittlere Eindämmungszeit (Mean Time To Contain – MTTC): Wie lange brauchen CISOs, um alle kompromittierten Endpunkte und Angriffsvektoren zu sichern? Diese Kennzahl kann die Effizienz und Effektivität ihrer Teams bei der Reduzierung der Auswirkungen eines Sicherheitsvorfalls oder Cyberangriffs demonstrieren.
Kleiner Tipp: CISOs sollten sich zunächst auf MTTR konzentrieren und später, wenn es sinnvoll erscheint, MTTD und MTTC hinzufügen!
Metriken der Performance
Durchschnittliche Ausfallzeit: Diese Metrik erfasst die durchschnittliche Zeit, in der die Systeme nicht betriebsbereit sind. Sei es für Reparaturen, eine korrigierende und vorbeugende Wartung oder Systemausfälle.
Durchschnittskosten pro Vorfall: Wie viel kostet es, auf einen Angriff zu reagieren und ihn zu beheben? Berücksichtigung der Faktoren wie beispielsweise Untersuchungs- und Sanierungskosten sowie ausgefallene Mitarbeiterproduktivität und Überstunden. CISOs sollten darauf achten, dass ihre KPIs mit Daten gut untermauert sind.
Systeme mit bekannten Schwachstellen: Eine genaue Identifikation der Schwachstellen in den Systemen ist für die Eindämmung von Bedrohungen unerlässlich. Wie viele Schwachstellen sind überhaupt vorhanden und welche sind davon kritisch? Regelmäßige Reports über Schwachstellenscans, Penetrationstests und Patch-Releases helfen dabei, Trends bei der Anzahl der exponierten Assets aufzuzeigen und die Wirksamkeit des Schwachstellen-Managements eines CISOs zu belegen.
Metriken für die Bereitschaft
Effektivität von Sicherheitsschulungen: Mitarbeiter, die potenzielle Bedrohungen erkennen und darauf adäquat reagieren können, sind für die Verhinderung einer Sicherheitsverletzung von entscheidender Bedeutung. Hier stellt sich für CISOs folgende Frage: Wie effektiv ist das Bewusstseinstraining zur Reduzierung menschlicher Risiken? Mithilfe dieser Kennzahlen können CISOs verstehen, was im Grunde schon verinnerlicht wurde und gegebenenfalls Potenziale für Verbesserungen identifizieren.
Metriken für Sicherheitsbewertungen der Lieferketten
Compliance-Berichte der Anbieter: Die Sicherheitsbewertungen der Handelspartner bieten einen umfassenden Überblick über die Stärke der Sicherheitslage dieser Organisationen. Mithilfe jener Bewertungen lassen sich Risikoexpositionen überwachen und begrenzen. Viele Handelspartner verfügen jedoch nicht über optimale Praktiken der Datensicherheit, was eine direkte und wichtige Auswirkung auf jedes eigene IT-Security-Programm ausübt.
Metriken der Patch-Rhythmen
Regelmäßige Patches: Wie oft überprüfen CISOs Systeme, Netzwerke, Geräte und Anwendungen auf Updates, um mögliche Sicherheitslücken zu schließen? Ein gut etablierter Patching-Prozess kann dabei helfen, Schwachstellen zu identifizieren, zu priorisieren und zu begrenzen.
Metriken für die Zugriffsverwaltung
Identity und Access Management (IAM): Eine effektive IAM-Strategie wirkt sich nicht nur auf die Aspekte der Stärkung der Datensicherheit und Vertraulichkeit, sondern auch auf die Reduzierung der Arbeitsbelastung für IT- und IT-Security-Teams aus. Indem die Zugriffskontrollen überwacht und die Zugriffe auf das erforderliche Minimum beschränkt werden, können CISOs dem Management zeigen, dass sie das Risiko eines unbefugten Zugriffs drastisch reduzieren konnten.
Die Metriken umfassen beispielsweise die Anzahl der User mit Superuser-Zugriffsebene, die durchschnittliche Zeit zum Deaktivieren der Anmeldeinformationen ehemaliger Mitarbeiter und die Häufigkeit der Zugriffsüberprüfung durch Dritte. Interne Sicherheitsaudits und Compliance-Reports sollten außerdem regelmäßig überprüft werden, um das Wesentliche der Sicherheitslage zu aktualisieren wie auch die aktuelle Bedrohungslandschaft, Risikomanagementstrategie, Risikoexposition gegenüber Dritten, Abhilfepläne und alle internen Leistungsbenchmarks.
Metriken aussagekräftig darstellen
In der Regel beobachten CISOs vielleicht etwa 10 oder 15 Kennzahlen. Für ihre Präsentation vor dem Management zeigen sie möglicherweise nur die wichtigsten sechs oder sieben Kennzahlen, aber wenn sie dem Vorstand Bericht erstatten, sind es idealerweise etwa nur zwei oder drei Kennzahlen.
Dem Vorstand liegen unter anderem Umsatz und Gewinn am Herzen. CISOs nutzen daher Berichtskennzahlen, um zu demonstrieren und zu quantifizieren, wie ihre Entscheidungen und Maßnahmen in diese Richtung weisen. Vielleicht wurden aktuell neue Zertifizierungen für Security-Maßnahmen oder Sicherheitsfragebögen eingeführt, die sich nachweislich positiv auf das Geschäftsfeld auswirken?
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Bei der Präsentation der vierteljährlichen Ergebnisse vor dem Management empfiehlt es sich für CISOs eine Reihe von KPIs vorzustellen, die aggregierte Werte verschiedener Sicherheits- und Compliance-Kennzahlen darstellen. Dazu könnten folgende Metriken gehören:
Schwachstellen-Risiko-Score
Drittanbieter-Risiko-Score
Security-Compliance-Score
Security-Awareness-Score
CISOs müssen ihre Kennzahlen aussagekräftig darstellen und damit unterstreichen, wie Sicherheits-, Datenschutz- und Compliance-Programme im gesamten Unternehmen einen deutlichen Mehrwert schaffen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/27/89/2789fbf66a19362ffd79565279a2202b/0129120197v2.jpeg "Das Botnetz GoBruteforcer expandiert, indem es erfolgreich kompromittierte Linux-Server in seine Infrastruktur integriert und deren Ressourcen für weitere Brute-Force-Angriffe sowie zur Ausbeutung schwacher Passwörter nutzt. (Bild: Aidas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/9f/8b9fcc672e58910cb611859b4edfe7cd/0129323780v2.jpeg "Vom 6. Februar 2026 bis zum 22. Februar 2026 finden die Olympischen Winterspiele in Mailand statt. (Bild: © amelia629 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/2d/032d6a97078ed8b14c380b4cfb0125cd/0129257875v2.jpeg "Die beliebteste Passwortwahl hat sich kaum geändert, während Cyberkriminelle immer ausgeklügeltere Methoden entwickeln, um in Konten und Daten einzudringen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/75/7c754f68090dae4a979abbbd877ff774/0129310503v2.jpeg "Instant Messaging und Kollaborationstools werden zum Einfallstor für Cyberangriffe auf die Automobilindustrie. Sichere, DSGVO-konforme Kommunikation wird zur strategischen Notwendigkeit. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c51f12b88847cbe6b67250785911120/0129310016v2.jpeg "Cybersecurity zog sich als roter Faden durch Debatten über KI, Robotik, den Schutz verteilter IoT-Endpunkte und kritischer Infrastrukturen – sowohl auf den Bühnen des WebSummit 2025 in Lissabon, als auch hinter den Kulissen. (Bild: Web Summit)")
:quality(80)/p7i.vogel.de/wcms/ea/2a/ea2a4f09c857d29ce37567bf2467ab3c/0129353618v1.jpeg "Ein umfassendes und automatisiertes Update-Management schützt Unternehmen vor wachsenden Cyberbedrohungen. (Bild: Freepik)")
:quality(80)/p7i.vogel.de/wcms/21/d1/21d1c191d71d4c5e11c33df897f23005/0129068361v1.jpeg "Symbolbild: Mehrstufige Perimetersicherung mit Zaun, Zutrittskontrolle und Videoüberwachung zählt zu den Basismaßnahmen, um kritische Rechenzentrumsstandorte vor unbefugtem Zugriff zu schützen. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d8/3f/d83fb3f1382c7a4597fac1bfcfc5087b/0129166059v2.jpeg "Nach diversen Spionage-Aktivitäten gegen WhatsApp-Nutzer führt der Anbieter mit den „strengen Kontoeinstellungen“ neue Sicherheitsfunktionen ein. (Bild: © ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/70/20/70202adc9b513f93b5dec843f0deeb27/0112150345.jpeg "Rechnet sich die IT-Sicherheit und wenn ja, wie misst man das? Darüber sprechen wir mit Christian Nern von der Wirtschaftsprüfungsgesellschaft KPMG in unserer aktuellen Podcastfolge. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/a1/46/a146e4fa881d8aa99805380f335f6450/0127959258v2.jpeg "Unternehmen müssen angesichts schneller KI-Angriffe und steigender Risiken durch Ransomware vor allem ihre Time-to-Recovery optimieren, um cyberresilient zu bleiben beziehungsweise zu werden. (Bild: ryanking999 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/11/63115ba1d37c1e9499d599c744c80ab4/0123849100v1.jpeg "Jörg Hollerith, Produktmanager bei Paessler, betont die Bedeutung klar definierter Schwellenwerte, um Warnmeldungen verlässlicher einzuordnen. (Bild: Paessler)")