Das KPI-Paradox: Viele Zahlen, wenig SteuerungFünf Security-KPIs, die der Vorstand wirklich braucht
Ein Gastbeitrag von
Marcel Küppers
4 min Lesedauer
Security-Teams messen heute mehr als je zuvor. Patch-Quoten, blockierte E-Mails, Awareness-Trainings – die Dashboards sind voll. Doch wenn der Vorstand fragt, ob das Unternehmen ausreichend geschützt ist, können die meisten CISOs das mit ihren KPIs nicht belastbar beantworten. Denn klassische Metriken messen Fleiß, nicht Wirksamkeit.
Volle Dashboards, kaum Steuerungswirkung: Die meisten Security-KPIs messen operativen Fleiß statt Wirksamkeit. Wir zeigen, welche Kennzahlen der Vorstand wirklich braucht.
Der Denkfehler ist simpel: Klassische Security-KPIs zählen Arbeit, nicht Wirksamkeit. 500 kritische Schwachstellen geschlossen – das klingt beeindruckend, sagt aber nichts darüber, ob die geschäftskritischen Systeme dadurch tatsächlich besser geschützt sind. 95 Prozent Awareness-Trainingsquote belegt Teilnahme, aber nicht, ob sich das Verhalten der Mitarbeitenden verändert hat.
Das Ergebnis: Der Vorstand nickt, aber steuert nicht. Security-Reporting wird zur Pflichtübung ohne Steuerungswirkung – ein Zustand, den sich kein Unternehmen leisten kann, wenn Cyberangriffe zu den größten Geschäftsrisiken zählen.
Die typischen Security-Metriken haben ein strukturelles Problem: Sie messen Inputs statt Outcomes. Ein Board-Deck voller Input-KPIs beantwortet bestenfalls die Frage, was die Security-Abteilung tut – aber nicht die entscheidende Frage: Wirkt es?
Typische Schwächen klassischer KPIs:
Volumenmetriken: Die Anzahl blockierter Angriffe sagt nichts über die Qualität der Abwehr oder über das, was durchkommt.
Abdeckungsmetriken: Eine Patch-Quote von 97 Prozent verschleiert, dass die fehlenden 3 Prozent genau die geschäftskritischsten Systeme betreffen könnten.
Aktivitätsmetriken: 12 Penetration Tests durchgeführt zeigt Aktivität, aber nicht, ob die gefundenen Schwachstellen auch behoben wurden.
Rückblickende Metriken: Quartalsweise Incident-Zahlen zeigen die Vergangenheit, nicht die aktuelle Reaktionsfähigkeit.
Gegenüberstellung klassischer Aktivitätsmetriken und steuerungsrelevanter KPIs für das Board-Reporting.
(Bildquelle: KI-generiert)
Was steuerungsrelevante KPIs ausmacht
Ein KPI gehört nur dann ins Board-Deck, wenn eine Veränderung dieser Kennzahl eine andere Management- oder Investitionsentscheidung auslösen würde. Alles andere ist operatives Monitoring – nützlich für das Security-Team, aber nicht für die Vorstandsebene.
Steuerungsrelevante KPIs haben drei Eigenschaften gemeinsam:
Geschäftsbezug: Sie sind direkt mit geschäftskritischen Services oder Prozessen verknüpft, nicht mit technischen Teilsystemen.
Wirksamkeitsmessung: Sie zeigen, ob Schutzmaßnahmen tatsächlich funktionieren – nicht nur, ob sie existieren.
Entscheidungsrelevanz: Sie machen klar, wo der Vorstand handeln, investieren oder Risiko bewusst akzeptieren muss.
Statt fünfzig Kennzahlen braucht ein wirksames Board-Reporting eine Handvoll steuerungsrelevanter Metriken. Die folgenden fünf Fragen – und die daraus abgeleiteten KPIs – bilden das Fundament:
1. Risikoexposition kritischer Services Welche geschäftskritischen Dienste liegen aktuell außerhalb der definierten Risikotoleranz? Diese Kennzahl zeigt dem Vorstand auf einen Blick, wo das größte Geschäftsrisiko besteht – gemessen an der tatsächlichen Bedrohungslage, nicht an der Anzahl offener Tickets.
2. Validierte Angriffspfade ohne Kontrolle Wie viele realistische Angriffspfade auf kritische Dienste existieren, für die keine kompensierende Kontrolle implementiert ist? Dieser KPI macht die tatsächliche Angriffsfläche sichtbar und zwingt zur Priorisierung.
3. Business-Continuity-Testabdeckung Für wie viele kritische Services wurden Backup-, Recovery- und Continuity-Pläne nicht nur erstellt, sondern tatsächlich getestet? Die Differenz zwischen geplant und getestet ist einer der aussagekräftigsten Indikatoren für reale Resilienz.
4. Incident-Response-Fähigkeit (MTTC) Wie lange braucht das Unternehmen im Durchschnitt, um einen Sicherheitsvorfall einzudämmen (Mean Time to Contain)? Ergänzt durch die Frage: Könnte das Unternehmen in realistischen Szenarien die gesetzlichen Meldefristen einhalten?
5. Supply-Chain-Risikoabdeckung Welcher Anteil der kritischen Drittanbieter und Lieferketten ist in das Risikomanagement einbezogen? Angesichts der Tatsache, dass ein großer Teil erfolgreicher Angriffe über Zulieferer und Partner erfolgt, ist diese Kennzahl unverzichtbar.
Die fünf zentralen Fragen, die ein steuerungsrelevantes Board-KPI-Deck beantworten muss – mit konkreten KPI-Beispielen.
(Bildquelle: KI-generiert)
Warum das auch wirtschaftlich zählt
Dass bessere Security-KPIs nicht nur eine Governance-Frage sind, zeigen aktuelle Zahlen. Der Verizon Data Breach Investigations Report 2025 wertet 22.052 reale Sicherheitsvorfälle und 12.195 bestätigte Datenpannen aus 139 Ländern aus – die höchste Zahl je analysierter Breaches. IBM beziffert die durchschnittlichen globalen Kosten einer Datenpanne 2025 auf 4,44 Millionen US-Dollar; in den USA erreichten die Kosten mit 10,22 Millionen US-Dollar ein Allzeithoch. Zugleich involvierten 16 Prozent aller Breaches bereits KI-gestützte Angriffsmethoden.
Ein Vorstand, der nur auf Aktivitätszahlen schaut, kann weder den wirtschaftlichen Ernst der Lage einschätzen noch die richtigen Investitionsentscheidungen treffen. Steuerungsrelevante KPIs sind deshalb nicht optional, sondern eine betriebswirtschaftliche Notwendigkeit.
Weniger Metriken, mehr Wirkung
Die eigentliche Aufgabe von Security-Board-Reporting ist nicht Vollständigkeit, sondern Entscheidungsfähigkeit. Ein gutes Deck zeigt auf einer Seite:
Wo die größten Cyber-Risiken für das Geschäft liegen
Wie weit die Schutzmaßnahmen tatsächlich umgesetzt und getestet sind
Welche Melde- und Krisenfähigkeit vorhanden ist
Wo konkrete Entscheidungen des Vorstands gebraucht werden
Der Maßstab für jede Kennzahl im Board-Deck sollte sein: Würde sich aus einer Veränderung dieser Kennzahl eine andere Management- oder Investitionsentscheidung ergeben? Wenn nein, gehört sie ins operative Monitoring – nicht ins Board-Reporting. Die europäische NIS2-Richtlinie (EU) 2022/2555 unterstreicht diesen Anspruch: Leitungsorgane müssen Cyber-Risikomaßnahmen billigen und deren Umsetzung überwachen – was ohne steuerungsrelevante KPIs kaum möglich ist.
Unternehmen, die diesen Schritt gehen, gewinnen nicht nur bessere Dashboards, sondern eine fundamental andere Qualität der Zusammenarbeit zwischen Security und Vorstand: Weniger Metriken, mehr Steuerungsrelevanz, echte Entscheidungsfähigkeit.
Über den Autor
Marcel Küppers vereint, mit über 20 Jahren Erfahrung im Bereich Cybersicherheit, tiefgehende technische Expertise mit umfassender Führungs- und Managementpraxis. Nach seinem Informatikstudium mit dem Schwerpunkt IT-Sicherheit war er in zahlreichen Rollen tätig – vom Ethical Hacker bis zum Chief Information Security Officer (CISO) – und begleitete Unternehmen unterschiedlicher Branchen und Größen bei der Umsetzung nachhaltiger Sicherheitsstrategien. Heute ist er als Unternehmer, Berater und Gründer von Cycademy tätig. Dort spezialisiert er sich auf die Vermittlung praxisnaher Cybersecurity-Kompetenzen sowie die Weiterbildung von Fach- und Führungskräften.
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/2b/f42b0456ab068cdc722e6cefd4c30479/0130824019v2.jpeg "Die Schwachstelle EUVD-2026-19588 / CVE-2026-34197 betrifft den Apache ActiveMQ Broker in den Versionen vor 5.19.4 sowie von 6.0.0 bis einschließlich 6.2.2. Auch Apache ActiveMQ ist betroffen. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/b4/d2b43b2301a8e26f7bcd93dea6c10d2d/0130920718v2.jpeg "Hinter der mutmaßlichen Spionagekampagne werden staatlich gesteuerten Cyberakteure aus Russland vermutet. (Bild: © kittikunfoto - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/16/62/1662fe93b01eea7699de460e62dfe9a6/0130736643v1.jpeg "Die Flut an neuen Sicherheitslücken ist für das NIST und seine CVE-Datenbank nicht mehr zu stemmen, weswegen Abstriche gemacht werden müssen. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/0f/720f44c6f32c075c10150af5cefc2088/0130871034v2.jpeg "Die drei Wiz‑Agenten, die auf der Next 2026 vorgestellt wurden, simulieren Angriffe (Red), untersuchen Bedrohungen anhand von Cloud‑Telemetrie (Blue) und automatisieren die Behebung (Green), um Google‑Cloud‑Kunden dabei zu helfen, ausnutzbare Risiken schneller zu erkennen, Vorfälle effizient zu analysieren und Korrekturen rasch und sicher umzusetzen. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/bf/60/bf604ad872c9e4887eec60dee99084b7/0130783434v2.jpeg "Die Software zur datenbankübergreifenden Recherche soll zur Bekämpfung schwerer und komplexer Straftaten eingesetzt werden. (Bild: © TensorSpark - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ea/5f/ea5f68b1c97e92c39f3bcffe754ac9ee/0130786498v2.jpeg "Mit Intune verteilen Admins Sicherheitsrichtlinien für interne und mobile Geräte zentral und verteilen ADMX-Dateien und Gruppenrichtlinien ohne Domänencontroller. (Bild: © Viacheslav Lakobchuk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/56/dc56436ba821e4c90c9aecf053517801/0130379749v1.jpeg "Noch weiß niemand, wann der Q-Day sein wird. Die dann drohenden Gefahren hingegen sind bekannt. (Bild: Swissbit)")
:quality(80)/p7i.vogel.de/wcms/97/c5/97c5e41a155d082355f34621af2f5791/0130857540v2.jpeg "Das anfälligeMicrosoft Repository „Windows-driver-samples“ ist ein öffentliches Microsoft-GitHub-Repository mit Beispiel- und Referenztreibern, das Unternehmen als Vorlage und Lernquelle für die Entwicklung, das Prototyping, das Testen sowie den Aufbau von Build- und Signierprozessen für Windows-Treiber nutzen. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/53/25536c0bb262a7ac94848efaaf7d88d4/0130457223v2.jpeg "Deepfakes können heute mit hoher Wahrscheinlichkeit identifiziert werden. Vor Gericht kann es dennoch Probleme geben. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c4/52/c4526444911a1e496bc113813291c6be/0130586130v1.jpeg "Die rasante Entwicklung KI-gestützter Manipulationen erschwert die sichere Unterscheidung zwischen Deepfake und echten Medien. In einer Umfrage des TÜV gaben ein Viertel der Befragten an, schon einmal auf KI-generierte Inhalte „hereingefallen“ zu sein. (Bild: © LORD - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/a8/1ea82c9ede1cb4112b01467d1a12ac5c/0130636224v2.jpeg "KI-Agenten sind weder klassische Nutzer noch Service Accounts. Unternehmen brauchen eine neue Identitätskategorie mit dynamischer Governance für autonome Agenten. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/02/3f0231fc8c88b4cee6f8219c5ea53f4f/0130660331v2.jpeg "Volle Dashboards, kaum Steuerungswirkung: Die meisten Security-KPIs messen operativen Fleiß statt Wirksamkeit. Wir zeigen, welche Kennzahlen der Vorstand wirklich braucht. (Bild: © DigitalMagicVisions - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/75/c0/75c0a60253459e78f58035f24843acbe/0130800427v2.jpeg "Sachsen erlöste 2,64 Milliarden Euro aus beschlagnahmten Bitcoins des movie2k.to-Betreibers. Der Fall wirft aber grundlegende juristische Fragen zur Einziehung von Kryptowerten auf. (Bild: © RioPatuca Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/9d/d29d95716693afcdced3e70f270f8eac/0130686126v1.jpeg "IT-Sicherheit schützt Informationen und alle Systeme, mit denen Informationen verarbeitet, genutzt und gespeichert werden. (Bild: Jirsak via Getty Images Pro)")
:quality(80)/p7i.vogel.de/wcms/a9/56/a9568e19e71f36272b559071914c8a63/0126593157v1.jpeg "Das Computer Emergency Response Team der Europäischen Union (CERT-EU) hat die Aufgabe, Cyberangriffe gegen EU-Institutionen zu verhindern, zu erkennen und abzuwehren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/5c/e0/5ce060d4d2f8c718ecc850759b1b7c4d/0126593157v1.jpeg "External Attack Surface Management (EASM) ist die Verwaltung und Absicherung der von außen zugänglichen digitalen Assets und externen Angriffsflächen.
(Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/60/24/602421cfe841f16a0c9f1d4be5d0b551/0118994169v2.jpeg "Die Implementierung robuster Cyber Security KPIs sind eine strategischen Notwendigkeit für den nachhaltigen Erfolg und die Resilienz von Unternehmen. (Bild: Pcess609 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db155e114b7d535ee7ec9cbed89079/0129714250v2.jpeg "KMU stehen unter Compliance-Druck durch Vendor-Management und NIS-2. Minimum Viable Security ermöglicht strukturierte Informationssicherheit ohne Vollzeit-CISO und teure Zertifizierung. (Bild: © sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/72/0b72089f846559c8af23d41c565dc813/0124576064v2.jpeg "In 88 Prozent der von Verizon untersuchten Cybersicherheitsvorfälle bei KMU waren diese von Ransomware betroffen. (Bild: © Weissblick – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/36/be3694bc9f9fb17da39551445a5a8e73/0125898232v2.jpeg "Dem Cost of a Data Breach Report von IBM zufolge sind die durchschnittlichen Kosten deutscher Unternehmen von 4,9 Millionen Euro auf 3,87 Millionen Euro gesunken. (Bild: © apk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/a7/2fa79f6402a1117c8496159a24092fc6/0129859499v2.jpeg "Governance wird unter NIS2 zur sicherheitskritischen Funktion: Geschäftsleitungen müssen Cyberrisiken aktiv steuern, Entscheidungen nachweislich treffen und können die Verantwortung nicht mehr einfach delegieren. (Bild: © Khfd - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a1/46/a146e4fa881d8aa99805380f335f6450/0127959258v2.jpeg "Unternehmen müssen angesichts schneller KI-Angriffe und steigender Risiken durch Ransomware vor allem ihre Time-to-Recovery optimieren, um cyberresilient zu bleiben beziehungsweise zu werden. (Bild: ryanking999 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f8/0a/f80a85081c5dc7af43ea305d2c069393/0124351245v1.jpeg "Wie sich Unternehmen aus der Finanzbranche optimal auf DORA vorbereiten können. (Bild: BritCats Studio - stock.adobe.com)")