Die Bedrohungslage im Cyberspace hat sich drastisch erhöht, wie aktuelle Berichte über Cyberangriffe auf Gesundheitseinrichtungen (Bitmarck, Geno), staatliche Institutionen (Schweizer Armee und Polizei, Stadtverwaltung Bad Langensalza) und große Unternehmen (Qantas, Jaguar Land Rover, Allianz, Oettinger Brauerei) zeigen. Angesichts dieser Realität ist es für IT-Security Verantwortliche unerlässlich, sich strategisch besser aufzustellen. Der Schlüssel hierzu liegt in der konsequenten Messung und Bewertung der Sicherheitsleistung mithilfe von Key Performance Indicators (KPIs).
Warum wir KPIs in der IT-Sicherheit messen müssen
Wir wollen stets alles messen. KPIs schaffen Klarheit, ermöglichen Vergleiche und dienen als Frühwarnindikator, der Entscheidungen hervorruft.
KPIs in der IT-Sicherheit werden von verschiedenen Stakeholdern im Unternehmen gefordert:
- Geschäftsführung und Führungskräfte: Benötigen KPIs als Entscheidungshilfe und zur strategischen Verbesserung.
- Auditoren: Verlangen Nachweise über die Wirksamkeit der implementierten Maßnahmen.
- Personal- und Betriebsräte: Sind ebenfalls involviert.
Die primären Zwecke von KPI-Messungen sind die Überprüfung der Wirksamkeit von Sicherheitsmaßnahmen, die Ressourcenallokation und das Risikomanagement. Ziel ist es, von einer reinen Compliance-Mentalität hin zu einer echten Security Culture zu gelangen.
Grundsätzlich lässt sich anmerken, dass IT-Sicherheits-KPIs in zwei Hauptkategorien fallen: technische KPIs (z. B. durchschnittliche Zeit zur Patch-Installation, Anzahl der Schwachstellen) und verhaltensbasierte KPIs.
Die zentralen KPIs der Security Awareness
Ein wesentlicher Bereich der IT-Sicherheit, der messbare Ergebnisse liefern muss, ist die Security Awareness. Diese umfasst in der Regel Schulungsmaßnahmen und Phishing-Simulationen.
1. KPIs bei Schulungsmaßnahmen:
Um den Erfolg von Security Awareness Schulungen zu bewerten, sind folgende Kennzahlen relevant:
- Teilnahmequote: Wie viele Mitarbeiter haben an der Schulung teilgenommen?
- Lernfortschritt: Die Entwicklung des Wissensstandes der Teilnehmer.
- Abschlussquote: Der Prozentsatz der Mitarbeiter, die die Schulung erfolgreich beendet haben.
2. KPIs bei Phishing-Simulationen:
Phishing ist eine zentrale Angriffsmethode, bei der Cyberkriminelle versuchen, Mitarbeiter zur Preisgabe von Zugangs- und Zahlungsdaten zu bewegen. Messungen sollen die Sensibilisierung der Mitarbeiter gegenüber solchen Angriffen bewerten.
Wichtige Indikatoren für unsicheres Verhalten sind:
- Klickrate: Wie oft klicken Mitarbeiter auf Links in simulierten Phishing-E-Mails oder öffnen Anhänge (z. B. wurde in einem Fall bei 646 Teilnehmern eine Klickrate von 30 % auf unsichere Webseiten und 19 % bei geöffneten Anhängen festgestellt).
- Eingabe sensibler Daten: Wie viele Mitarbeiter geben sensible Informationen (wie Zahlungs- oder Zugangsdaten) auf gefälschten Seiten ein (z. B. 16 % in einem Beispiel).
Positive Kennzahlen, die auf eine Verbesserung der Sicherheitskultur hindeuten, sind die Anzahl der Meldungen von verdächtigen E-Mails und die Reaktion auf Fehler/Vorfälle.
Weitere übergreifende Sicherheitsmetriken
Über die reinen Awareness-Kennzahlen hinaus spielen weitere, oft finanzielle und operative, KPIs eine Rolle:
- Kosten pro Sicherheitsvorfall: Eine Kennzahl, die die wirtschaftlichen Auswirkungen von Sicherheitslücken quantifiziert. (Die Schadenssummen durch Diebstahl, Industriespionage oder Sabotage können erheblich sein; in Deutschland beliefen sich die Gesamtschäden 2024 auf 266,6 Milliarden Euro, wobei Ausfälle und Kosten für Rechtsstreitigkeiten die größten Posten darstellten).
- Anzahl verhinderter Angriffe und die Anzahl realer Sicherheitsvorfälle.
- Ergebnisse aus Umfragen: Hierbei wird die gefühlte Sicherheit und Kompetenz der Belegschaft erfasst. Beispielsweise fühlten sich 49 % der Arbeitnehmer in Deutschland bei Social-Engineering-Angriffen weder gut noch schlecht vorbereitet, während 41,9 % unsicher waren, betrügerische E-Mails zu erkennen.
Der Cybersecurity Index: Die eine Zahl, die alles sagt?
Viele Organisationen versuchen, die Komplexität der IT-Sicherheit in einem einzigen aggregierten Wert darzustellen – dem Cybersecurity Index, Security Culture Index oder Cyber Risk Score. Dieser ist ein zusammengesetzter Wert aus diversen Metriken, der den Gesamtzustand der Sicherheitskultur abbilden soll (z. B. als Score von 0-100 oder Reifegrade von 0-5).
Vorteile des Index:
- Er ist einfach und komfortabel für den Einstieg.
- Fortschritt und Handlungsbedarf sind klar kommunizierbar.
- Er liefert eine „aussagekräftige“ Zahl für das Management.
Nachteile des Index:
- Die zugrundeliegende Berechnung kann intransparent sein.
- Einzelne, wichtige Metriken können durch andere Werte überlagert werden.
- Die verwendeten KPIs passen nicht zwingend zu den spezifischen Organisationszielen.
Grenzen der Messung und strategische Ausrichtung
Obwohl KPIs unerlässlich sind, zeigen sie nur langfristig gemessen Trends auf. Zahlen allein können menschliches Verhalten übervereinfachen.
Es ist entscheidend, dass die gewählten Kennzahlen zur individuellen Organisation passen. Unabhängig von der Methode ist Cyber-Resilienz eine Führungsaufgabe, und der Erfolg der KPI-Messung steht und fällt mit dem Rückhalt durch die Geschäftsführung sowie den Betriebs- bzw. Personalrat.
Organisationen sollten sich am SANS Security Awareness Maturity Model orientieren, um ihre Sicherheitskultur reifen zu lassen – von Non-existent über Compliance-focused und Promoting Awareness & Behaviour Change bis hin zu Long-Term Sustainment & Culture Change.
Fazit: Überlegen Sie genau, welche individuellen KPIs für Ihre Organisation sinnvoll sind und messen Sie diese konsequent. Indem Sie die richtigen Kennzahlen wählen, schaffen Sie nicht nur Fakten, sondern ebnen den Weg von der reinen Pflichterfüllung hin zu einer robusten, reifen Sicherheitskultur.
