{"id":988,"date":"2025-11-24T15:35:34","date_gmt":"2025-11-24T14:35:34","guid":{"rendered":"https:\/\/www.g-lorenzen.de\/?p=988"},"modified":"2025-11-24T15:36:01","modified_gmt":"2025-11-24T14:36:01","slug":"kpi-messung-in-der-it-sicherheit-was-wirklich-zaehlt-vom-klick-zur-kultur","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2025\/11\/24\/kpi-messung-in-der-it-sicherheit-was-wirklich-zaehlt-vom-klick-zur-kultur\/","title":{"rendered":"KPI-Messung in der IT-Sicherheit \u2013 Was wirklich z\u00e4hlt: Vom Klick zur Kultur"},"content":{"rendered":"<p>Die Bedrohungslage im Cyberspace hat sich drastisch erh\u00f6ht, wie aktuelle Berichte \u00fcber Cyberangriffe auf Gesundheitseinrichtungen (Bitmarck, Geno), staatliche Institutionen (Schweizer Armee und Polizei, Stadtverwaltung Bad Langensalza) und gro\u00dfe Unternehmen (Qantas, Jaguar Land Rover, Allianz, Oettinger Brauerei) zeigen. Angesichts dieser Realit\u00e4t ist es f\u00fcr IT-Security Verantwortliche unerl\u00e4sslich, sich strategisch besser aufzustellen. Der Schl\u00fcssel hierzu liegt in der konsequenten Messung und Bewertung der Sicherheitsleistung mithilfe von Key Performance Indicators (KPIs).<\/p>\n<h3>Warum wir KPIs in der IT-Sicherheit messen m\u00fcssen<\/h3>\n<p>Wir wollen stets alles messen. KPIs schaffen Klarheit, erm\u00f6glichen Vergleiche und dienen als Fr\u00fchwarnindikator, der Entscheidungen hervorruft.<\/p>\n<p>KPIs in der IT-Sicherheit werden von verschiedenen Stakeholdern im Unternehmen gefordert:<\/p>\n<ul>\n<li><strong>Gesch\u00e4ftsf\u00fchrung und F\u00fchrungskr\u00e4fte:<\/strong> Ben\u00f6tigen KPIs als Entscheidungshilfe und zur strategischen Verbesserung.<\/li>\n<li><strong>Auditoren:<\/strong> Verlangen Nachweise \u00fcber die Wirksamkeit der implementierten Ma\u00dfnahmen.<\/li>\n<li><strong>Personal- und Betriebsr\u00e4te:<\/strong> Sind ebenfalls involviert.<\/li>\n<\/ul>\n<p>Die prim\u00e4ren Zwecke von KPI-Messungen sind die \u00dcberpr\u00fcfung der <strong>Wirksamkeit<\/strong> von Sicherheitsma\u00dfnahmen, die <strong>Ressourcenallokation<\/strong> und das <strong>Risikomanagement<\/strong>. Ziel ist es, von einer reinen <em>Compliance-Mentalit\u00e4t<\/em> hin zu einer echten <strong>Security Culture<\/strong> zu gelangen.<\/p>\n<p><em>Grunds\u00e4tzlich l\u00e4sst sich anmerken, dass IT-Sicherheits-KPIs in zwei Hauptkategorien fallen: technische KPIs (z. B. durchschnittliche Zeit zur Patch-Installation, Anzahl der Schwachstellen) und verhaltensbasierte KPIs.<\/em><\/p>\n<h3>Die zentralen KPIs der Security Awareness<\/h3>\n<p>Ein wesentlicher Bereich der IT-Sicherheit, der messbare Ergebnisse liefern muss, ist die Security Awareness. Diese umfasst in der Regel Schulungsma\u00dfnahmen und Phishing-Simulationen.<\/p>\n<p><strong>1. KPIs bei Schulungsma\u00dfnahmen:<\/strong><\/p>\n<p>Um den Erfolg von Security Awareness Schulungen zu bewerten, sind folgende Kennzahlen relevant:<\/p>\n<ul>\n<li><strong>Teilnahmequote:<\/strong> Wie viele Mitarbeiter haben an der Schulung teilgenommen?<\/li>\n<li><strong>Lernfortschritt:<\/strong> Die Entwicklung des Wissensstandes der Teilnehmer.<\/li>\n<li><strong>Abschlussquote:<\/strong> Der Prozentsatz der Mitarbeiter, die die Schulung erfolgreich beendet haben.<\/li>\n<\/ul>\n<p><strong>2. KPIs bei Phishing-Simulationen:<\/strong><\/p>\n<p>Phishing ist eine zentrale Angriffsmethode, bei der Cyberkriminelle versuchen, Mitarbeiter zur Preisgabe von Zugangs- und Zahlungsdaten zu bewegen. Messungen sollen die Sensibilisierung der Mitarbeiter gegen\u00fcber solchen Angriffen bewerten.<\/p>\n<p>Wichtige Indikatoren f\u00fcr unsicheres Verhalten sind:<\/p>\n<ul>\n<li><strong>Klickrate:<\/strong> Wie oft klicken Mitarbeiter auf Links in simulierten Phishing-E-Mails oder \u00f6ffnen Anh\u00e4nge (z. B. wurde in einem Fall bei 646 Teilnehmern eine Klickrate von 30 % auf unsichere Webseiten und 19 % bei ge\u00f6ffneten Anh\u00e4ngen festgestellt).<\/li>\n<li><strong>Eingabe sensibler Daten:<\/strong> Wie viele Mitarbeiter geben sensible Informationen (wie Zahlungs- oder Zugangsdaten) auf gef\u00e4lschten Seiten ein (z. B. 16 % in einem Beispiel).<\/li>\n<\/ul>\n<p>Positive Kennzahlen, die auf eine Verbesserung der Sicherheitskultur hindeuten, sind die <strong>Anzahl der Meldungen<\/strong> von verd\u00e4chtigen E-Mails und die <strong>Reaktion auf Fehler\/Vorf\u00e4lle<\/strong>.<\/p>\n<h3>Weitere \u00fcbergreifende Sicherheitsmetriken<\/h3>\n<p>\u00dcber die reinen Awareness-Kennzahlen hinaus spielen weitere, oft finanzielle und operative, KPIs eine Rolle:<\/p>\n<ul>\n<li><strong>Kosten pro Sicherheitsvorfall:<\/strong> Eine Kennzahl, die die wirtschaftlichen Auswirkungen von Sicherheitsl\u00fccken quantifiziert. (Die Schadenssummen durch Diebstahl, Industriespionage oder Sabotage k\u00f6nnen erheblich sein; in Deutschland beliefen sich die Gesamtsch\u00e4den 2024 auf 266,6 Milliarden Euro, wobei Ausf\u00e4lle und Kosten f\u00fcr Rechtsstreitigkeiten die gr\u00f6\u00dften Posten darstellten).<\/li>\n<li><strong>Anzahl verhinderter Angriffe<\/strong> und die <strong>Anzahl realer Sicherheitsvorf\u00e4lle<\/strong>.<\/li>\n<li><strong>Ergebnisse aus Umfragen:<\/strong> Hierbei wird die gef\u00fchlte Sicherheit und Kompetenz der Belegschaft erfasst. Beispielsweise f\u00fchlten sich 49 % der Arbeitnehmer in Deutschland bei Social-Engineering-Angriffen weder gut noch schlecht vorbereitet, w\u00e4hrend 41,9 % unsicher waren, betr\u00fcgerische E-Mails zu erkennen.<\/li>\n<\/ul>\n<h3>Der Cybersecurity Index: Die eine Zahl, die alles sagt?<\/h3>\n<p>Viele Organisationen versuchen, die Komplexit\u00e4t der IT-Sicherheit in einem einzigen aggregierten Wert darzustellen \u2013 dem Cybersecurity Index, Security Culture Index oder Cyber Risk Score. Dieser ist ein zusammengesetzter Wert aus diversen Metriken, der den Gesamtzustand der Sicherheitskultur abbilden soll (z. B. als Score von 0-100 oder Reifegrade von 0-5).<\/p>\n<p><strong>Vorteile des Index:<\/strong><\/p>\n<ul>\n<li>Er ist einfach und komfortabel f\u00fcr den Einstieg.<\/li>\n<li>Fortschritt und Handlungsbedarf sind klar kommunizierbar.<\/li>\n<li>Er liefert eine &#8222;aussagekr\u00e4ftige&#8220; Zahl f\u00fcr das Management.<\/li>\n<\/ul>\n<p><strong>Nachteile des Index:<\/strong><\/p>\n<ul>\n<li>Die zugrundeliegende Berechnung kann intransparent sein.<\/li>\n<li>Einzelne, wichtige Metriken k\u00f6nnen durch andere Werte \u00fcberlagert werden.<\/li>\n<li>Die verwendeten KPIs passen nicht zwingend zu den spezifischen Organisationszielen.<\/li>\n<\/ul>\n<h3>Grenzen der Messung und strategische Ausrichtung<\/h3>\n<p>Obwohl KPIs unerl\u00e4sslich sind, zeigen sie nur langfristig gemessen Trends auf. Zahlen allein k\u00f6nnen menschliches Verhalten \u00fcbervereinfachen.<\/p>\n<p>Es ist entscheidend, dass die gew\u00e4hlten Kennzahlen zur individuellen Organisation passen. Unabh\u00e4ngig von der Methode ist <strong>Cyber-Resilienz eine F\u00fchrungsaufgabe<\/strong>, und der Erfolg der KPI-Messung steht und f\u00e4llt mit dem R\u00fcckhalt durch die <strong>Gesch\u00e4ftsf\u00fchrung<\/strong> sowie den <strong>Betriebs- bzw. Personalrat<\/strong>.<\/p>\n<p>Organisationen sollten sich am SANS Security Awareness Maturity Model orientieren, um ihre Sicherheitskultur reifen zu lassen \u2013 von <em>Non-existent<\/em> \u00fcber <em>Compliance-focused<\/em> und <em>Promoting Awareness &amp; Behaviour Change<\/em> bis hin zu <em>Long-Term Sustainment &amp; Culture Change<\/em>.<\/p>\n<p><strong>Fazit:<\/strong> \u00dcberlegen Sie genau, welche <strong>individuellen KPIs<\/strong> f\u00fcr Ihre Organisation sinnvoll sind und messen Sie diese konsequent. Indem Sie die richtigen Kennzahlen w\u00e4hlen, schaffen Sie nicht nur Fakten, sondern ebnen den Weg von der reinen Pflichterf\u00fcllung hin zu einer robusten, reifen Sicherheitskultur.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Bedrohungslage im Cyberspace hat sich drastisch erh\u00f6ht, wie aktuelle Berichte \u00fcber Cyberangriffe auf Gesundheitseinrichtungen&hellip;<\/p>\n","protected":false},"author":1,"featured_media":788,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-988","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/988","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=988"}],"version-history":[{"count":2,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/988\/revisions"}],"predecessor-version":[{"id":990,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/988\/revisions\/990"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/788"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=988"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=988"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=988"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}