Informationssicherheit

2 Min

KPIs in der Informationssicherheit - ein Überblick

DataGuard
DataGuard

„Was gemessen wird, verbessert sich“ – so zumindest die Theorie. Das Zitat wird gemeinhin dem US-amerikanischen Ökonom Peter Drucker zugeschrieben, der davon überzeugt war, dass Zielvereinbarungen eine Grundlage erfolgreicher Unternehmensführung sind.  

Auch in der Informationssicherheit (InfoSec) haben sich längst gängige KPIs (aus dem Englischen: Key Perfomance Indicators = wichtige Leistungskennzahlen) durchgesetzt: die Zeit zwischen Vorfällen, die Zeit zur Wiederherstellung bei Störungen und die Durchschnittskosten pro Sicherheitsvorfall. Gemeinhin dient die Messung von KPIs der strategischen Zielsetzung und -erreichung.

Oft messen Unternehmen die Endergebnisse ihrer Informationssicherheitsstrategie und vergessen die Treiber – also Kennzahlen, die den Fortschritt des Informationssicherheits-Managementsystem (ISMS), zum Beispiel im Rahmen einer ISO 27001 Zertifizierung, wiedergeben. Wie das besser geht, erfahren Sie hier.

Das Wichtigste in Kürze

  • KPIs sollten spezifisch und messbar sein und Einfluss auf die Erreichung der allgemeinen Unternehmensziele haben.
  • Die Abbildung von KPIs in einer Balances Scorecard erlaubt es, den Erfolg der Informationssicherheit aus verschiedenen Perspektiven zu beleuchten.
  • KPIs können dabei helfen abzuwägen, welche Investitionen in die Informationssicherheit sich finanziell lohnen.

Definition sinnvoller KPIs in der Informationssicherheit

KPIs müssen spezifisch und messbar sein und Einfluss auf die Erreichung der allgemeinen Unternehmensziele haben.

Das bedeutet: Wenn eine Kennzahl mit Ihrem aktuellen technischen Setup nicht ermittelt werden kann, fällt sie als möglicher KPI weg. Auch Kennzahlen, die keine echte Aussagekraft haben, können Sie streichen.

Fokussieren Sie sich lieber auf wenige Kennzahlen, die Sie auch Kollegen außerhalb Ihrer Abteilung in wenigen Worten erklären können. Denn letztendlich dienen KPIs nicht zuletzt der Kommunikation von Erfolgen oder Herausforderungen gegenüber der Geschäftsführung und anderen Abteilungen.

Oft ergeben sich aus einem KPI weitere Fragen. Zum Beispiel kann es sein, dass die Anzahl der gemeldeten IT-Sicherheitsvorfälle im letzten Quartal stark gesunken ist. Die Frage ist dann: Warum? Antworten können weitere KPIs liefern, beispielweise die Anzahl der durchgeführten Sicherheitsupdates oder der Anteil geschulter Mitarbeiter.

Informationssicherheits-KPIs in der Balanced Scorecard

Im Kennzahlensystem der Balanced Scorecard (BSC) werden die (finanziellen) Ergebnisse eines Geschäftsbereichs neben anderen Werten wie der internen Prozesseffektivität und der Kundenzufriedenheit abgebildet. Für die Informationssicherheit ergeben sich durch diese Betrachtungsweise beispielweise folgende Perspektiven:  

  • Finanzielle Kennzahlen
  • Daten zum Sicherheitsniveau
  • ISMS-Metriken
  • Kennzahlen zur externen Bewertung

Sie können die Perspektiven Ihrer Balanced Scorecard selbst definieren und Ihrem Unternehmen anpassen. Traditionell enthält eine BSC die Finanzperspektive, die Prozessperspektive, die Kundenperspektive und die Entwicklungsperspektive. Für die Informationssicherheit passen diese Kategorien allerdings nicht unbedingt.

Egal, für welche Perspektiven Sie sich entscheiden: Wichtig ist nur, dass Sie im Hinterkopf behalten, dass verschiedene KPIs unterschiedliche Sichtweisen repräsentieren. Dabei beeinflussen sie sich gegenseitig. Das ISMS hat Einfluss auf das Sicherheitsniveau, das wiederum die Auditergebnisse und finanzielle Kennzahlen beeinflusst…

KPI Informationssicherheit: praktische Beispiele

Wenn Sie Ihre InfoSec KPIs definieren, sollten Sie sich wie bereits erwähnt daran orientieren…

  • welche Kennzahlen Ihre Unternehmensziele abbilden
  • oder Ihnen helfen, andere KPIs zu erklären / besser zu verstehen.

Hier eine Liste an möglichen InfoSec KPIs:

 

Finanzielle Kennzahlen 

Sicherheitsniveau

 

ISMS-Metriken

Externe Bewertung

 

Kernfragen

Welche Kosten entstehen durch Sicherheitslücken?

Wie gestalten sich die Angriffe auf die Informationssicherheit?

Wie gut reagieren wir auf die Angriffe?

Welche Treiber sorgen für die erzielten Erfolge / Misserfolge?

Wir performt unsere InfoSec in der Außenwirkung?

KPIs

Finanzielle Schäden durch Datenverluste

Kosten pro Vorfall

Anzahl der gemeldeten Sicherheitsvorfälle

Zeit zwischen den Vorfällen (Durschnitt)

Mean Time to Detect (MTTD)

Mean Time to Acknowledge (MTTA) 

Mean Time to Contain (MTTC) 

Mean Time to Resolve (MTTR) 

Mean Time to Recovery (MTTR)

% der von Endnutzern geöffneten Phishing-E-Mails 

% der Systeme, die durch Anti-Malware-Software geschützt sind

Anzahl der Mitarbeiter, die für InfoSec zuständig sind 

% der durchgeführten Überprüfungen von Firewall-Richtlinien

% der Mitarbeiter, die noch keine InfoSec-Schulung durchlaufen haben

Anzahl der identifizierten Verbesserungen

Anzahl der festgestellten Nichtkonformitäten

Anzahl der durchgeführten Managemen-Reviews

Anzahl der Abweichungen im ISO 27001-Audit

Anzahl neuer Zertifizierungen

Vorfälle, die an Kunden gemeldet werden mussten

 

Sie können sich beim Thema KPIs grenzenlos ausleben, solange Sie den Überblick behalten. Wenn ein KPI jedoch keinen Entscheidungen dient und nur so mitverfolgt wird, lassen Sie diese lieber weg.

Image CTA Expert Male 2

Sie brauchen Unterstützung bei der Definition passender KPIs?

Gerne unterstützt Sie DataGuard! Treten Sie dazu einfach mit uns in Kontakt und vereinbaren Sie eine kostenlose Erstberatung.

Jetzt Termin vereinbaren

 

Überwachung und Messung von Informationssicherheits-KPIs

Die Herausforderung besteht darin, ein Überwachungs- und Messsystem zu definieren, das die gewünschten Antworten liefert, ohne dass die Erhebung und Auswertung der Daten zu einem administrativen Kraftakt werden.

Definieren Sie daher zu jedem KPI:

  • Was überwacht und gemessen werden soll (siehe oben)
  • Wann und wie die Messung durchgeführt werden soll
  • Wann und wie die Ergebnisse analysiert und bewertet werden
  • Wer die einzelnen Schritte durchführt
  • Welche Nachweise Sie über die Überwachungs- und Messergebnisse führen

Analyse und Bewertung

Bei der Analyse und Bewertung der Ergebnisse der in der obigen Tabelle beschriebenen KPIs müssen die richtigen Personen miteinbezogen werden, damit eine korrekte Interpretation erfolgen kann. Das am besten geeignete Forum dafür ist in den meisten Fällen ein mindestens einmal jährlich stattfindendes Management-Review. Die Teilnehmer an dieser Sitzung können je nach den zu analysierenden und zu bewertenden Informationen variieren. 

Die aus der Analyse und Bewertung gezogenen Schlussfolgerungen sollten Sie festhalten und Verbesserungsmaßnahmen protokollieren. Bei Bedarf werden dringende Probleme an das Executive Management Team weitergeleitet, um sicherzustellen, dass genügend Ressourcen zur Verfügung gestellt werden, um sie zu lösen. 

Es können weitere KPIs definiert werden, die dazu beitragen, die Ursachen von Problemen in bestimmten Bereichen zu klären.  

So beeinflussen InfoSec KPIs die Unternehmensstrategie

In der Informationssicherheit und beim Aufbau eines ISMS geht es nicht darum, ein 100%iges Schutzniveau zu gewährleisten. Ziel ist es vielmehr, das von der Organisation gewünschte Niveau an Informationssicherheit zu erreichen.  

Und KPIs können beim Abwägen helfen: Lohnen sich gewisse Investitionen in die Implementierung und den Betrieb von Lösungen im Vergleich zu dem Schaden, der durch Sicherheitsmängel entstehen kann oder in der Vergangenheit bereits entstanden ist? Welche Investitionen haben sich bereits ausgezahlt?

Auf Grundlage der KPIs kann das Management entscheiden, in welchem Umfang die Risiken durch weitere Informationssicherheitsmaßnahmen reduzierten werden können und sollten. Die KPIs sind also am Ende auch ein Instrument zur finanziellen Risikosteuerung.

Einen Überblick über Maßnahmen, die in Anhang A der ISO 27001 festgehalten sind, finden Sie in diesem Beitrag.

Fazit: KPIs machen die Informationssicherheit messbar

Aus den unterschiedlichen Perspektiven, die durch KPIs in einer Balanced Scorecard abgebildet werden, ergibt sich für das Management ein Gesamtbild. Der der Erfolg Ihrer InfoSec-Maßnahmen kann im Hinblick auf finanzielle Ergebnisse und das Schutzniveau evaluiert werden. Auch Probleme lassen sich durch aussagekräftige Daten erklären.

So können auf Managementebene Entscheidungen für die zukünftige Verteilung von Ressourcen getroffen werden.

Jetzt Erstberatung vereinbaren
Veröffentlicht am Aktualisiert am
Tags Informationssicherheit

Über den Autor

DataGuard DataGuard
DataGuard

Mehr Artikel ansehen

Diese Themen sollten Sie nicht verpassen:

Weitere Artikel

Bereit für NIS2? Warum Automatisierung Ihr Rettungsanker für Compliance ist
Compliance

3 Min

Bereit für NIS2? Warum Automatisierung Ihr Rettungsanker für Compliance ist

Erfahren Sie, wie Sicherheitsautomatisierung NIS2-Compliance erleichtert, Risiken minimiert und regulatorische Anforderungen effizient erfüllt.

Weiterlesen
KI-gestützte Anonymisierung: So verbessert Technologie den Datenschutz in Mitarbeiterbefragungen
Datenschutz

4 Min

KI-gestützte Anonymisierung: So verbessert Technologie den Datenschutz in Mitarbeiterbefragungen

Erfahren Sie, wie KI-gestützte Anonymisierung den Datenschutz in Mitarbeiterbefragungen verbessert und gleichzeitig für mehr Vertrauen und Compliance sorgt.

Weiterlesen
Drei Best Practices für den Datenschutz von Empowering Privacy Ireland
Datenschutz

2 Min

Drei Best Practices für den Datenschutz von Empowering Privacy Ireland

Von Lieferanten-Compliance bis zu neuen Technologien – hier sind drei Best Practices für den Datenschutz vom Event „Empowering Privacy Ireland".

Weiterlesen
Data Privacy Week 2025: Compliance in einer komplexen Welt
Datenschutz

5 Min

Data Privacy Week 2025: Compliance in einer komplexen Welt

Data Privacy Week 2025: Die wichtigsten Trends und Strategien, um Compliance in einem zunehmend anspruchsvollen gesetzlichen Umfeld zu vereinfachen

Weiterlesen
Wie ein Data Protection Impact Assessment Ihre Datenschutzstrategie stärkt
Datenschutz Basics

5 Min

Wie ein Data Protection Impact Assessment Ihre Datenschutzstrategie stärkt

Entdecken Sie, wie Datenschutz-Folgenabschätzungen (DPIAs) helfen, Risiken zu minimieren, Compliance zu stärken und das Vertrauen Ihrer Kunden zu sichern.

Weiterlesen
Best Practices für die Implementierung von Policy Management Software
IT, Tools & Software

6 Min

Best Practices für die Implementierung von Policy Management Software

Erfahren Sie, wie Policy-Management-Software Compliance stärkt, Risiken minimiert und Prozesse optimiert – mit klaren Richtlinien und effektiven Workflows.

Weiterlesen

Wie können wir helfen?Kontaktieren Sie uns.

(089) 8967 551 000
dg_seal_iso_2-0-3
dg_seal_tisax_2-0-3
dg_seal_dsgvo_2-0

Produkte

Plattform

Frameworks

Lösungen

Ressourcen

Unternehmen

Deutsch

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Software-as-a-Service und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Alle Angaben dienen lediglich der Information und beruhen auf internen Schätzungen. Diese Informationen sind kein Indikator für KPIs und werden ohne ausdrückliche oder stillschweigende Zusicherungen oder Garantien in Bezug auf Genauigkeit und Zuverlässigkeit gegeben.

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als 4.000+ Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als 4.000+ Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als 4.000+ Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt durchstarten

  • Datenschutzkonforme und transparente Einholung von Einwilligungen
  • Konform mit DSGVO, CCPS, LGPD, ePrivacy
  • Langfristig wertvollere Daten
  • Zentraler Überblick: Ihre Single Source of Truth
  • Persönlicher Support durch Experten bei jedem Schritt
  • Einfache Integration in alle Ihre Marketing-Tools und CRM

Vertrauen von mehr als 4.000+ Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als 4.000+ Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als 4.000+ Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Jetzt Termin vereinbaren