{"id":3833,"date":"2025-07-04T04:00:00","date_gmt":"2025-07-04T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=3833"},"modified":"2025-07-04T04:00:00","modified_gmt":"2025-07-04T04:00:00","slug":"security-kpis-und-kris-so-messen-sie-cybersicherheit","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=3833","title":{"rendered":"Security-KPIs und -KRIs: So messen Sie Cybersicherheit"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
\n

Cybersicherheit zu messen, ist kein Kinderspiel.<\/p>\n

Foto: Ultraskrip \u2013 shutterstock.com<\/p>\n<\/div>\n

Eine wichtige S\u00e4ule jedes ausgereiften Cyberrisk-Programms ist die F\u00e4higkeit, die Performance der IT-Security und registrierte Bedrohungen zu messen, zu analysieren und zu melden. Die Cybersecurity zu messen, ist allerdings kein leichtes Unterfangen: Einerseits, weil sich viele F\u00fchrungskr\u00e4fte ohne entsprechenden Background schwer tun, IT-Risiken zu verstehen<\/a>. Andererseits verstricken sich Sicherheitsprofis auch zu oft in technische Details, die die Stakeholder verwirren und auf den falschen Weg f\u00fchren.<\/p>\n

Das ideale Szenario: Security-Experten messen und reporten die Cybersicherheit auf eine Art und Weise, die f\u00fcr F\u00fchrungskr\u00e4fte leicht verst\u00e4ndlich und n\u00fctzlich ist \u2013 was zu umsetzbaren Ergebnissen f\u00fchrt. Klingt gut? Dieser Artikel vermittelt Ihnen, wie Sie das anstellen.<\/p>\n

Messkategorien der IT-Sicherheit<\/h3>\n

Die meisten Stakeholder<\/a> besch\u00e4ftigen Fragen zu Risiken, Compliance oder Sicherheit. Diese lassen sich jedoch in der Regel nicht mit einem einzigen Datenpunkt beantworten. Doch es gibt eine Reihe von Dingen, die Security-Profis messen k\u00f6nnen, um auf die Fragen und Bedenken der Stakeholder einzugehen. Diese lassen sich (grob) in folgende Kategorien einordnen:<\/p>\n

Kontrollen:<\/strong> Ma\u00dfnahmen, die ergriffen werden, um Bedrohungen abzuwehren und Risiken zu reduzieren.<\/p>\n

Assets:<\/strong> Jeder Gegenstand, der f\u00fcr die Organisation einen Wert besitzt, beziehungsweise sich in ihrem Besitz befindet.<\/p>\n

Vulnerabilities:<\/strong> Schwachstellen<\/a> in einem System, die ausgenutzt werden k\u00f6nnen.<\/p>\n

Threat Events:<\/strong> Von einer Bedrohung ausgel\u00f6ste Ereignisse, die Assets potenziell Schaden zuf\u00fcgen k\u00f6nnen.<\/p>\n

Sicherheitsvorf\u00e4lle:<\/strong> Ereignisse, die \u201cerfolgreich\u201d Wirkung auf das Unternehmen entfaltet haben, etwa in Form von (System-)Ausf\u00e4llen, Datenschutzverletzungen oder Cyberangriffen<\/a>.<\/p>\n

Diese Kategorien lassen sich weiter nach verschiedenen Faktoren aufschl\u00fcsseln: Zahlen, Zeit oder Kosten.<\/p>\n

Zahlen<\/strong> k\u00f6nnten beispielsweise in Form des Prozentsatzes der ungepatchten Server gemessen werden. Eine weitere M\u00f6glichkeit: Sie messen die Zeit<\/strong>, die ben\u00f6tigt wurde, um einen Sicherheitsvorfall zu identifizieren. Schlie\u00dflich k\u00f6nnten Kosten<\/strong> \u2013 zum Beispiel in Form von Wiederherstellungs- oder Ausfallkosten \u2013 Aufschluss \u00fcber die finanziellen Auswirkungen von Security-Ereignissen geben.<\/p>\n

Cybersicherheits-Metriken, -KPIs und -KRIs<\/h3>\n

Wenn Security-Profis oder -Entscheider an Business Teams berichten, sollten sie dazu m\u00f6glichst relevante Messerwerte w\u00e4hlen. Dabei konzentrieren sich die meisten Sicherheitsteams auf Metriken, die Low-Level-Messungen bez\u00fcglich Assets, Schwachstellen und Threat Events abbilden. Auf F\u00fchrungs- und Vorstandsebene sind hingegen vor allem KPIs<\/a> (Key Performance Indicators) und KRIs (Key Risk Indicators) entscheidend, weil diese dazu beitragen k\u00f6nnen, spezifische Fragen in Bezug auf IT-Risiko, -Status und -Vorbereitung zu beantworten. Beispielsweise: <\/p>\n

Sind wir sicher?<\/p>\n

Liefern die Sicherheitsinvestitionen dem Unternehmen Mehrwert?<\/p>\n

Erf\u00fcllen wir aus Sicherheitsperspektive alle regulatorischen Anforderungen?<\/p>\n

Wie gut sind wir auf Ransomware- oder Supply-Chain-Angriffe vorbereitet?<\/p>\n

Deshalb sollten sich Security-Praktiker auch auf KPIs und KRIs konzentrieren.<\/p>\n\n

<\/div>\n\n

Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n

Jetzt CSO-Newsletter sichern<\/a><\/p>\n

Cybersecurity messen in 5 Schritten<\/h3>\n

Der Aufbau des richtigen Messrahmens ist ein schrittweiser, iterativer Prozess. Im Folgenden die f\u00fcnf wichtigsten Schritte, um einen Security Measurement Cycle aufzubauen.<\/p>\n

1. Anforderungen definieren<\/strong><\/p>\n

Sprechen Sie mit relevanten Stakeholdern, um deren Bed\u00fcrfnisse zu definieren und zu verstehen. Diese haben zu diesem Zeitpunkt m\u00f6glicherweise noch kein umfassendes Verst\u00e4ndnis \u00fcber IT-Risiken \u2013 oder ihre eigenen Anforderungen. Deshalb ist f\u00fcr Security-Praktiker ein Bottom-Up-Ansatz empfehlenswert, bei dem sie selbst die Initiative ergreifen und Fragen zu stellen, um die Anforderungen definieren zu k\u00f6nnen.<\/p>\n

2. Key Indicators ausw\u00e4hlen<\/strong><\/p>\n

Sobald die Anforderungen der Stakeholder definiert sind, sollten Sicherheitsexperten diejenigen Key Indicators ausw\u00e4hlen, die auf diese einzahlen. Dabei sollten die Stakeholder konsultiert und \u00fcber die beabsichtigten, sp\u00e4teren Messungen informiert werden.<\/p>\n

Wenn die Stakeholder die Key Indicators kennen, k\u00f6nnen sie Ma\u00dfnahmen ergreifen oder Entscheidungen treffen. Die Schl\u00fcsselindikatoren sollten auf hoher Ebene angesiedelt sein \u2013 und ihre Anzahl \u00fcberschaubar bleiben. Das Ziel besteht schlie\u00dflich darin, die Entscheidungsfindung zu erleichtern.<\/p>\n

3. Metriken identifizieren<\/strong><\/p>\n

Nachdem Ziele und Key Indicators festgelegt sind, gilt es f\u00fcr die Sicherheitsteams, die Low-Level-Messgr\u00f6\u00dfen zu fokussieren, die dabei unterst\u00fctzen, die Indikatoren zu reporten. Das kann \u2013 je nach Art des Indikators \u2013 bedeuten, dass Dutzende von Metriken aus den verschiedenen oben beschriebenen Messkategorien erforderlich sind.<\/p>\n

4. Metriken sammeln und analysieren<\/strong><\/p>\n

Da die Anforderungen nun feststehen, die Schl\u00fcsselindikatoren ausgew\u00e4hlt und die Messgr\u00f6\u00dfen festgelegt sind, k\u00f6nnen die Praktiker nun damit beginnen, Daten auf dieser Grundlage zu sammeln und zu analysieren. Metriken d\u00fcrfen dabei nur aus Daten abgeleitet werden, die akkurat, aktuell, relevant und vertrauensw\u00fcrdig sind. Anderenfalls kann es zu Entscheidungen kommen, die schwerwiegende Folgen f\u00fcr die Sicherheitslage des Unternehmens nach sich ziehen.<\/p>\n

Es ist die Aufgabe der Security-Teams, Wege zu finden, Daten kontinuierlich zu sammeln (die meisten Messungen erfordern einen \u00dcberblick \u00fcber Trends im Zeitverlauf) und den Prozess vorzugsweise so weit wie m\u00f6glich zu automatisieren (ein manueller Prozess kann erm\u00fcdend und zeitaufw\u00e4ndig sein).<\/p>\n

5. Key Indicators reporten<\/strong><\/p>\n

Key Indicators m\u00fcssen zeitnah an die Entscheidungstr\u00e4ger reported werden. Dabei sollten sich Security-Profis und Stakeholder auf einen zeitlichen Rhythmus einigen \u2013 ebenso wie \u00fcber die Art der Berichterstattung: Sind Dashboards erforderlich oder reichen Powerpoint-Pr\u00e4sentationen aus? Die Schl\u00fcsselindikatoren sollten deutlich sichtbar und leicht verst\u00e4ndlich sein, um zu Entscheidungen oder Ma\u00dfnahmen zu f\u00fchren.<\/p>\n

Dar\u00fcber hinaus ist es wichtig, nach jedem Berichtszyklus die Key Indicators zu \u00fcberpr\u00fcfen und sie (unter Einbeziehung der Stakeholder) neu zu bewerten. Haben sich die gesch\u00e4ftlichen Anforderungen tats\u00e4chlich ge\u00e4ndert, m\u00fcssen die Anforderungen erneut definiert und ein anderer Satz von Indikatoren und Messgr\u00f6\u00dfen erarbeitet werden.<\/p>\n

Unternehmen, Stakeholder und Sicherheitsexperten sollten keine Angst vor R\u00fcckw\u00e4rts- oder Vorw\u00e4rtsschritten haben: Die F\u00e4higkeit, nach einem schnellen Fail direkt weiterzumachen, zu improvisieren oder sich neu auszurichten sind entscheidende F\u00e4higkeiten, wenn es darum geht, Cybersicherheit erfolgreich zu messen. (fm)<\/p>\n\n

<\/div>\n\n

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.<\/a><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Cybersicherheit zu messen, ist kein Kinderspiel. Foto: Ultraskrip \u2013 shutterstock.com Eine wichtige S\u00e4ule jedes ausgereiften Cyberrisk-Programms ist die F\u00e4higkeit, die Performance der IT-Security und registrierte Bedrohungen zu messen, zu analysieren und zu melden. Die Cybersecurity zu messen, ist allerdings kein leichtes Unterfangen: Einerseits, weil sich viele F\u00fchrungskr\u00e4fte ohne entsprechenden Background schwer tun, IT-Risiken zu verstehen. […]<\/p>\n","protected":false},"author":0,"featured_media":1056,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-3833","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3833"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3833"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3833\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/1056"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3833"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3833"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3833"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}