Cybervize - Cybersecurity Beratung

Security-KPIs die wirklich steuern

ISO/IEC 27001CEOCISOISMS ManagerIT-Leitung

Kernaussage

Security-Kennzahlen sind kein Selbstzweck und kein Dashboard-Schmuck. Sie haben in einem Informationssicherheitsmanagementsystem (ISMS) genau eine Aufgabe: sichtbar zu machen, ob Informationssicherheit wirkt und ob das Managementsystem seine beabsichtigten Ergebnisse erreicht. Die ISO/IEC 27001 verankert diesen Gedanken in der Leistungsbewertung: Es ist bewusst zu bestimmen, was gemessen wird, mit welchen Methoden, wann, durch wen und wer die Ergebnisse auswertet.

Für die Geschäftsführung zählt vor allem die Unterscheidung zwischen Aktivität und Wirkung. Eine Kennzahl, die nur zeigt, wie viel getan wurde, steuert nichts. Eine Kennzahl, die zeigt, ob ein Risiko sinkt oder ein Sicherheitsziel erreicht wird, steuert. KPIs werden erst dann wertvoll, wenn sie belastbarer Input für Entscheidungen sind, vor allem für die Managementbewertung.

Problem in der Praxis

In vielen Organisationen entstehen Kennzahlen von unten nach oben: Man misst, was ein Tool ohnehin ausgibt. Patch-Quoten, abgeschlossene Awareness-Schulungen, Ticketzahlen, geschlossene Findings. Das Ergebnis ist ein grünes Dashboard, das viel Aktivität zeigt und wenig aussagt. Niemand kann daraus ableiten, ob die wesentlichen Risiken tatsächlich unter Kontrolle sind.

Diese Kennzahlen sind nicht falsch, aber sie beantworten die falsche Frage. Sie messen Fleiß, nicht Wirkung. Wenn Management nur Aktivitätszahlen sieht, entsteht ein gefährliches Gefühl von Sicherheit, weil viele Balken grün sind.

Hinzu kommt ein Auswahlproblem. Werden Kennzahlen nach Datenverfügbarkeit statt nach Entscheidungsbedarf gewählt, misst man das Einfache statt das Wichtige. Der Bericht wird umfangreicher, aber nicht steuerungsfähiger. Am Ende werden Zahlen präsentiert, aber keine Entscheidungen getroffen.

CISO-Einordnung

Die Leistungsbewertung der ISO/IEC 27001 (Klausel 9.1) gibt eine klare Denklogik vor, ohne eine Kennzahlenliste vorzuschreiben: Vor dem Messen ist zu klären, was gemessen werden soll, mit welchen Methoden, in welchem Rhythmus, wer misst und wer auswertet. Diese Designentscheidungen sind wichtiger als die Zahl selbst. Eine Kennzahl ohne definierte Methode ist nicht belastbar; eine ohne Auswerteverantwortung erzeugt keine Entscheidung.

Aus CISO-Sicht kommt es auf die Unterscheidung zwischen Aktivitäts- und Wirkungskennzahlen an:

  • Aktivitätskennzahlen beschreiben Output: durchgeführte Schulungen, eingespielte Updates, bearbeitete Tickets. Sie zeigen, dass gearbeitet wird.
  • Wirkungskennzahlen beschreiben Effekt: sinkende Verweildauer offener kritischer Schwachstellen, Reduktion realer Risikoexposition, Erreichung definierter Sicherheitsziele. Sie zeigen, ob die Arbeit etwas bewirkt.

Steuerungsfähig wird ein KPI erst, wenn er an Risiko und Ziel gekoppelt ist. Die Norm verbindet Messung mit der Risikobewertung und Risikobehandlung (Klauseln 6.1.2/6.1.3) und mit messbaren Sicherheitszielen (Klausel 6.2). Ein KPI sollte daher auf eine konkrete Steuerungsfrage zurücklaufen: Bewegt sich ein priorisiertes Risiko in die gewollte Richtung? Wird ein vereinbartes Ziel erreicht? Wirkt eine Maßnahme aus dem Risikobehandlungsplan? Technische Controls zur Protokollierung und zur Überwachung von Aktivitäten liefern dafür Rohdaten, ersetzen aber keine Kennzahl: Aus Logdaten wird erst dann ein KPI, wenn jemand sie gegen ein Ziel interpretiert und daraus eine Entscheidung ableitet.

Umsetzungsperspektive

Ein belastbares Kennzahlenset entsteht von oben nach unten. Ausgangspunkt sind die wesentlichen Risiken und die Sicherheitsziele, nicht die vorhandenen Reports. Für jeden Kandidaten lohnt ein kurzer Steckbrief, der sich an der Logik der Leistungsbewertung orientiert:

  • Welche Steuerungsfrage beantwortet der KPI?
  • Welcher Zielwert oder Schwellenwert macht ihn interpretierbar?
  • Aus welcher Quelle und mit welcher Methode wird gemessen, sodass das Ergebnis über die Zeit vergleichbar bleibt?
  • In welchem Rhythmus wird gemessen und wer ist dafür verantwortlich?
  • Wer wertet aus und welche Entscheidung löst welcher Wert aus?

Bewährt hat sich eine Mischung aus vorlaufenden Indikatoren zum frühen Gegensteuern und nachlaufenden zum Wirkungsnachweis. Es braucht die Disziplin, das Set klein zu halten: Wenige interpretierte Kennzahlen steuern besser als viele unkommentierte.

Schließlich muss das Set anschlussfähig sein. Kennzahlen mit Interpretation gehören in die Managementbewertung (Klausel 9.3) und speisen die kontinuierliche Verbesserung sowie den Umgang mit Nichtkonformitäten und Korrekturmaßnahmen (Klauseln 10.1/10.2). Erst dieser Kreislauf macht Messung zu Steuerung.

Typische Fehler

  1. Es werden fast nur Aktivitätskennzahlen erhoben, kaum Wirkungskennzahlen.
  2. Kennzahlen werden nach Datenverfügbarkeit ausgewählt, nicht nach Entscheidungsbedarf.
  3. Es fehlt ein Ziel- oder Schwellenwert, sodass gut und schlecht nicht unterscheidbar sind.
  4. Es gibt zu viele KPIs und keine Interpretation.
  5. Eine Kennzahl löst nie eine Entscheidung oder Maßnahme aus.

Risiken und Trade-offs

Der wichtigste Zielkonflikt ist Schönfärberei gegen Ehrlichkeit. Grüne Vanity-Kennzahlen sind angenehm, aber sie verschleiern Risiken. Ein Bericht ohne unbequeme Werte ist wertlos. Der CISO muss eine Kultur fördern, in der ungeschönte Kennzahlen erwünscht sind.

Ein zweiter Konflikt ist Steuerungswirkung gegen Fehlanreiz. Sobald eine Kennzahl zum Ziel wird, besteht die Gefahr, dass das Verhalten den Wert optimiert statt die Sicherheit. Eine hohe Schulungsquote sagt wenig über tatsächliches Verhalten, eine niedrige Findings-Zahl kann auch bedeuten, dass weniger geprüft wurde. KPIs brauchen daher Kontext und gelegentlich Gegenkennzahlen.

Ein dritter Konflikt ist Aufwand gegen Nutzen. Auch Genauigkeit und Aktualität stehen im Spannungsfeld: Eine perfekte, aber späte Zahl steuert schlechter als eine robuste, rechtzeitige Näherung.

Entscheidungspunkte

  • Welche Risiken und Sicherheitsziele muss das Kennzahlenset abbilden?
  • Welcher Zielwert macht eine Zahl handlungsleitend statt nur informativ?
  • Welche Kennzahlen gehören auf Managementebene, welche bleiben operativ?
  • Welche Entscheidungen soll das Set überhaupt ermöglichen?
  • In welchem Rhythmus wird gemessen, ausgewertet und berichtet?

Praktische Empfehlungen

  1. Leiten Sie Kennzahlen von Entscheidungen, Risiken und Zielen ab, nicht von verfügbaren Tool-Reports.
  2. Stellen Sie jeder relevanten Aktivitätskennzahl eine Wirkungskennzahl zur Seite.
  3. Definieren Sie pro KPI Ziel- oder Schwellenwert, Quelle und Methode, Rhythmus, Verantwortung und die ausgelöste Entscheidung.
  4. Berichten Sie nicht nur Werte, sondern interpretieren Sie sie und benennen Sie den Handlungsbedarf.
  5. Führen Sie die Kennzahlen konsequent in die Managementbewertung und in die Verbesserung, und mustern Sie KPIs aus, die nichts steuern.

Relevante Normreferenzen

  • ISO/IEC 27001: Referenz für Überwachung, Messung, Analyse und Bewertung im Rahmen der Leistungsbewertung sowie für messbare Sicherheitsziele, Managementbewertung und Verbesserung.
  • ISO/IEC 27004: Referenzrahmen für Leitlinien zur Messung der Informationssicherheit (nur als Fundstelle).

Häufige Fragen

Was unterscheidet eine Aktivitäts- von einer Wirkungskennzahl?+

Eine Aktivitätskennzahl misst, wie viel getan wurde. Eine Wirkungskennzahl misst, ob sich ein Risiko oder ein Ziel tatsächlich in die gewollte Richtung bewegt.

Was macht einen KPI überhaupt steuerungsfähig?+

Eine klare Steuerungsfrage, ein Ziel- oder Schwellenwert, eine belastbare Methode, eine Auswerteverantwortung und eine Entscheidung, die der Wert auslöst.

Wie viele Kennzahlen sind sinnvoll?+

Wenige interpretierte Kennzahlen steuern besser als viele unkommentierte. Maßgeblich ist die Anschlussfähigkeit an Entscheidungen, nicht die Menge.

Wofür braucht das Management die Kennzahlen?+

Als belastbaren Input für die Managementbewertung, um Risiken, Wirksamkeit, Ressourcen und Verbesserungen zu steuern.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen ISO/IEC 27001 prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: ciso-gov-016.