Geschäftsorientierte Vorstandsmitglieder wollen mit technisch-orientierten IT-Security-Daten auf strategischer Ebene versorgt werden. Welche Zahlen und Messgrößen sind geeignet, um Geschäftsführer auf C-Level zu überzeugen?
Die Bereitstellung von Daten - beispielsweise zum Patch-Status oder zu Phishing-Testergebnissen - bescheinigt, dass die IT-Security lediglich auf ein paar zusammengewürfelte Aktivitäten und einem Gebet beruht.
(Bild: everythingpossible - stock.adobe.com)
Security-Teams murren sehr gerne über die für sie meist viel zu verkürzten Darstellungsformen, die Vorstände gerne von ihnen wünschen. Am liebsten sehen viele Top-Entscheider simple Charts wie beispielsweise Ampel-Indikatoren in Rot-Gelb-Grün, um ein komplexes Gesamtbild mit Signalcharakter in ein einziges, sehr übersichtliches Bild zu packen.
Aber mal ehrlich: Einzelhandelsgeschäfte verkaufen ihre Smartphones auch nicht mit Kennzahlen wie „Umsatz pro Quadratmeter“ oder „Deckungsbeiträgen pro Stück“. Ampel-Indikatoren sind daher sicherlich eine Möglichkeit für sehr kompakte Präsentationen an den Vorstand, solange die einzelnen „Farben“ bzw. Eskalationsstufen klar verständlich definiert sind und über einen überschaubaren Umfang an Details genau erklärt werden können.
Dies impliziert ebenso eine gezielte Auswahl an Daten, Kennzahlen und Maßnahmen, die dem Vorstand letztlich vorgelegt werden, die aber auch gleichzeitig immer auf eine umfassende Unternehmensperspektive bezogen sein sollen. Dabei kann es zur Orientierung hilfreich sein, die Präsentation darauf aufzubauen, was Vorstandsmitglieder in der Regel über IT-Security in jedem Unternehmen wissen wollen.
Wichtigste Fragen zur IT-Security
In der Folge die vielleicht am häufigsten gestellten Fragen von Unternehmensvorständen zur Cybersicherheit:
„Sind wir sicher?“ Diese Frage ist der Fluch vieler CISOs bzw. Security-Teams, denn die Antwort lautet jetzt und in Zukunft immer „Nein“, wenn es um einen buchstäblich 100-prozentigen Schutz geht. Wenn man die Frage in „Wie hoch ist unser Gefährdungsgrad?“ umformuliert, geht es in die richtige Richtung und das Unternehmen beginnt, Fortschritte zu machen.
„Sind wir compliant?“ Diese Frage lässt sich oft leicht anhand von Audit-Ergebnissen beantworten, bietet aber keinen wirklichen Trost, da es sich immer um eine „punktuelle“ Perspektive handelt, die sich in jedem Augenblick ändern kann. Besser wäre es, ein IT-Security-Programm anhand eines gezielten Kontrollrahmens zu bewerten.
„Hatten wir irgendwelche relevanten Vorfälle?“ Die Mitglieder des Verwaltungsrats sind über alle bedeutenden Vorfälle gut informiert, daher wird diese Frage in der Regel mit Details sowie Schätzungen der Kosten und der potenziellen Haftung beantwortet.
„Wie effektiv ist unser Sicherheitsprogramm?“ Standardelement einer guten Unternehmensführung. Das heißt, Qualität geht vor. Und dann die Quantität.
Wichtige Messgrößen für die IT-Security
Bei der Ausarbeitung eines IT-Security-Programms sollte das erklärte Ziel darin bestehen, die detailliertesten technischen Daten direkt in einen strategischen Rahmen zu übersetzen, der auf Vorstandsebene verständlich ist.
IT-Ressourcen (Anzahl der User, Geräte, Server, Anwendungen etc.)
In der Folge sind Kennzahlen aufgelistet, die einen strategischen Einblick in das IT-Security-Programm des Unternehmens bieten:
Cyber-Risiko: Der prozentuale Anteil der unangemessenen Nutzungsaktivitäten an allen Nutzungsaktivitäten.
Wirksamkeit der IT-Security: Prozentuale Verringerung des IT-Security-Risikos durch die Echtzeit-IT-Security-Kontrollen.
IT-Security-Belastung: Durchschnittliche Anzahl von Nutzungsaktivitäten pro IT-Anlage.
IT-Security-Resilienz: Durchschnittliche Anzahl der für jede Nutzungsaktivität angewendeten Echtzeit-Kontrollen.
Risiko-Aversionsverhältnis: Die Bereitschaft, Produktivitätseinbußen (z. B. Passwortfehler, Falschmeldungen) im Vergleich zu den erlaubten oder verweigerten bösartigen Aktivitäten (echte Positivmeldungen plus Falschmeldungen) zu akzeptieren.
Zentrale Kostenaspekte für die IT-Security
Darüber hinaus müssen die anfallenden Kosten auf das jeweilige zu schützende Asset bezogen werden. Schließlich sind Finanzinformationen eine wichtige „Verkehrssprache“ der Vorstände:
Verhältnis zwischen Verlust und Asset: Ausgaben für IT-Security, einschließlich der Verluste durch Zwischenfälle, im Vergleich zum finanziellen Wert der IT-Anlagen.
Kontrollkosten pro IT-Asset (Anwendung): Zugewiesene Kosten für IT-Security-Kontrollen pro IT-Asset.
Reduziertes Risiko pro Kosteneinheit: Finanzieller Wert des reduzierten Risikos im Vergleich zu den gesamten IT-Security-Ausgaben.
Der Weg zum IT-Security-Programm
Mithilfe der Messgrößen zeigen CISOs bzw. die Security-Experten, dass sie über Bedrohungen strukturiert und ergebnisorientiert nachdenken und handeln. Ferner können sie belegen, wie relevant diese Bedrohungen für das Programm und seine Performance sind. Gleichzeitig wird veranschaulicht, wo es gegebenenfalls noch Verbesserungsmöglichkeiten gibt.
Das interne IT-Security-Programm sollte mit einer sogenannten „Außenperspektive“ in Verbindung gebracht werden. Hier kann das Security-Team Vertrauen aufbauen, indem es ein Framework verwendet, das von einer externen Autorität unterstützt wird. Eine Möglichkeit wäre beispielsweise das NIST Cybersecurity Framework (CSF). Das NIST CSF ist um fünf Funktionsbereiche herum organisiert: Identify, Protect, Detect, Respond und Recover.
Damit wäre es möglich, zum Beispiel eine funktionsübergreifende Supply-Chain-Security zu implementieren. Das Prinzip wird nachfolgend an drei der Funktionen beispielhaft veranschaulicht:
Identify verfügt über Unterfunktionen wie Asset Management, Identity and Access Management (IAM) und mehr.
Protect verfügt über Unterfunktionen wie Vulnerability Management und SDLC etc.
Detect verfügt über Unterfunktionen wie SIEM etc.
Das heißt, jede der fünf Fähigkeiten wird in wichtige „messbare“ Teilfähigkeiten aufgeteilt. Diesen Unterfunktionen sollen dann Messgrößen bzw. Key Performance Indicators (KPIs) basierend auf den CSF-Ebenen zugewiesen werden. Wobei der KPI eine Messgröße für die jeweilige Reifestufe darstellt, die innerhalb dieser Unterfunktion erreicht wurde.
Fazit
Vergleicht man die oben skizzierten Messgrößen und Kennzahlen mit den zahlreichen Finanzkennzahlen auf den Investment-Websites, so lässt sich sehr schnell erkennen, dass dieser Ansatz auf einer weitaus zielführenderen strategischen Basis angesiedelt ist als das Durcheinander von Patch-Levels und gefundener Malware. Wenn CISOs bzw. die Security-Experten wollen, dass Führungskräfte die IT-Security im Unternehmen ernst nehmen, ist dies ein Weg dorthin.
(ID:48558819)
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/0b/0b0bf8dd9dc859897cef8ae371f848c1/0129476551v2.jpeg "Claude-Hersteller Anthropic habe sich dazu entschieden, die gemeldete Schwachstelle vorerst nicht zu beheben, obwohl diese den Analysten von Layerx zufolge zu einer vollständigen Systemübernahme führen könnte. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/ae/f9ae9c429d322859241c2149e14bcd47/0129152047v2.jpeg "Am 14. Oktober 2025 endete der offizielle Suport für Windows 10. Unternehmen, die keine Alternative nutzen, sind Sicherheitslücken ausgeliefert. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/23/55/235504bbda4efcf043fbef7c7acc23d3/0129423267v2.jpeg "Omnichannel-Inboxen verbinden alle Kundenkanäle in einer Plattform, aber ohne Zero-Trust-Architektur wird diese zentrale Schnittstelle zum Einfallstor für Angreifer. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/4c/9f4c8b769319bae704bc65017a4ada98/0129424999v2.jpeg "Cyber-Resilienz 2026 bedeutet Handlungsfähigkeit unter laufendem Angriff, aber unkontrollierte Identitäten untergraben genau diese Fähigkeit und machen Systeme unsteuerbar. (Bild: © AminaDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/cd/dacd0e89cad4438353a1e68ce241ee08/0129347964v1.jpeg "Für die zentrale Verarbeitung von Log- und Ereignisdaten liefert die Windows-Ereignisweiterleitung die technische Basis. (Bild: © TommyNa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/29/1e29d053c13587649cf5fbe0e204d588/0129230471v2.jpeg "Zwar liegen in deutschen Unternehmen Notfallpläne und -strategien vor, doch werden sie Dell zufolge zu selten getestet. (© Zerbor - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/72/12/721208d0cf7c674ebbd3ea17d71c8caa/0129122390v1.jpeg "2026 zeigen sich technologische wie geopolitische Veränderungen auch in der Cloud-Sicherheit: Der Fokus liegt auf neuen Herausforderungen wie KI oder digitale Souveränität. (Bild: © ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/de/13de074170ecd30e7a7f7a9788c2ad35/0129343385v2.jpeg "Aisle entdeckte mit seiner KI jahrealte Sicherheitslücken in der OpenSSL-Bibliothek. Die Code-Analyse mit KI könnte die Auswirkungen auf die Erbringung von Security Services haben. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/db/f1dbe322f0469f58d749a8d7439e02aa/0129455085v1.jpeg "ITDR-Lösungen erkennen Konfigurationsprobleme sowie Anomalien in Echtzeit, bevor Angreifer gestohlene Zugangsdaten ausnutzen können. (Bild: aldomurillo / gettyimages)")
:quality(80)/p7i.vogel.de/wcms/74/2e/742e28431b7c5c98c5f11c3ae9e51303/0128671170v2.jpeg "Microsoft ermöglicht unter Windows 11 die Verwendung externer Passwortmanager wie Bitwarden und 1Password für die Speicherung und Nutzung von Passkeys. (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/11/b9115df1d2563d3f5f0135fc29466adb/0129435205v2.jpeg "Cyberkriminellen ist es gelungen, die Infrastruktur für die Verwaltung mobiler Endgeräte der EU-Kommission anzugreifen und möglicherweise auch Mitarbeiterdaten zu stehlen. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/e9/5b/e95b18cce433513d0cfe49102fcad807/0129175753v2.jpeg "Wie viele Teams in Unternehmen müssen auch Datenschutzteams jeden Cent umdrehen und die Budgets werden wohl weiter sinken. (Bild: mrmohock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/77/10/771090f3706a1998e0dc3002402e8428/0124885214v2.jpeg "CISOs haben einen harten Job. Es ist nicht verwunderlich, dass die durchschnittliche CISO-Amtszeit nur zwei bis vier Jahre beträgt. (Bild: © adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a1/46/a146e4fa881d8aa99805380f335f6450/0127959258v2.jpeg "Unternehmen müssen angesichts schneller KI-Angriffe und steigender Risiken durch Ransomware vor allem ihre Time-to-Recovery optimieren, um cyberresilient zu bleiben beziehungsweise zu werden. (Bild: ryanking999 - stock.adobe.com)")