KPIs in der Informationssicherheit - ein Überblick

„Was gemessen wird, verbessert sich“ – so zumindest die Theorie. Das Zitat wird gemeinhin dem US-amerikanischen Ökonom Peter Drucker zugeschrieben, der davon überzeugt war, dass Zielvereinbarungen eine Grundlage erfolgreicher Unternehmensführung sind.  

Auch in der Informationssicherheit (InfoSec) haben sich längst gängige KPIs (aus dem Englischen: Key Perfomance Indicators = wichtige Leistungskennzahlen) durchgesetzt: die Zeit zwischen Vorfällen, die Zeit zur Wiederherstellung bei Störungen und die Durchschnittskosten pro Sicherheitsvorfall. Gemeinhin dient die Messung von KPIs der strategischen Zielsetzung und -erreichung.

Oft messen Unternehmen die Endergebnisse ihrer Informationssicherheitsstrategie und vergessen die Treiber – also Kennzahlen, die den Fortschritt des Informationssicherheits-Managementsystem (ISMS), zum Beispiel im Rahmen einer ISO 27001 Zertifizierung, wiedergeben. Wie das besser geht, erfahren Sie hier.

Das Wichtigste in Kürze

  • KPIs sollten spezifisch und messbar sein und Einfluss auf die Erreichung der allgemeinen Unternehmensziele haben.
  • Die Abbildung von KPIs in einer Balances Scorecard erlaubt es, den Erfolg der Informationssicherheit aus verschiedenen Perspektiven zu beleuchten.
  • KPIs können dabei helfen abzuwägen, welche Investitionen in die Informationssicherheit sich finanziell lohnen.

Definition sinnvoller KPIs in der Informationssicherheit

KPIs müssen spezifisch und messbar sein und Einfluss auf die Erreichung der allgemeinen Unternehmensziele haben.

Das bedeutet: Wenn eine Kennzahl mit Ihrem aktuellen technischen Setup nicht ermittelt werden kann, fällt sie als möglicher KPI weg. Auch Kennzahlen, die keine echte Aussagekraft haben, können Sie streichen.

Fokussieren Sie sich lieber auf wenige Kennzahlen, die Sie auch Kollegen außerhalb Ihrer Abteilung in wenigen Worten erklären können. Denn letztendlich dienen KPIs nicht zuletzt der Kommunikation von Erfolgen oder Herausforderungen gegenüber der Geschäftsführung und anderen Abteilungen.

Oft ergeben sich aus einem KPI weitere Fragen. Zum Beispiel kann es sein, dass die Anzahl der gemeldeten IT-Sicherheitsvorfälle im letzten Quartal stark gesunken ist. Die Frage ist dann: Warum? Antworten können weitere KPIs liefern, beispielweise die Anzahl der durchgeführten Sicherheitsupdates oder der Anteil geschulter Mitarbeiter.

Informationssicherheits-KPIs in der Balanced Scorecard

Im Kennzahlensystem der Balanced Scorecard (BSC) werden die (finanziellen) Ergebnisse eines Geschäftsbereichs neben anderen Werten wie der internen Prozesseffektivität und der Kundenzufriedenheit abgebildet. Für die Informationssicherheit ergeben sich durch diese Betrachtungsweise beispielweise folgende Perspektiven:  

  • Finanzielle Kennzahlen
  • Daten zum Sicherheitsniveau
  • ISMS-Metriken
  • Kennzahlen zur externen Bewertung

Sie können die Perspektiven Ihrer Balanced Scorecard selbst definieren und Ihrem Unternehmen anpassen. Traditionell enthält eine BSC die Finanzperspektive, die Prozessperspektive, die Kundenperspektive und die Entwicklungsperspektive. Für die Informationssicherheit passen diese Kategorien allerdings nicht unbedingt.

Egal, für welche Perspektiven Sie sich entscheiden: Wichtig ist nur, dass Sie im Hinterkopf behalten, dass verschiedene KPIs unterschiedliche Sichtweisen repräsentieren. Dabei beeinflussen sie sich gegenseitig. Das ISMS hat Einfluss auf das Sicherheitsniveau, das wiederum die Auditergebnisse und finanzielle Kennzahlen beeinflusst…

KPI Informationssicherheit: praktische Beispiele

Wenn Sie Ihre InfoSec KPIs definieren, sollten Sie sich wie bereits erwähnt daran orientieren…

  • welche Kennzahlen Ihre Unternehmensziele abbilden
  • oder Ihnen helfen, andere KPIs zu erklären / besser zu verstehen.

Hier eine Liste an möglichen InfoSec KPIs:

 

Finanzielle Kennzahlen 

Sicherheitsniveau

 

ISMS-Metriken

Externe Bewertung

 

Kernfragen

Welche Kosten entstehen durch Sicherheitslücken?

Wie gestalten sich die Angriffe auf die Informationssicherheit?

Wie gut reagieren wir auf die Angriffe?

Welche Treiber sorgen für die erzielten Erfolge / Misserfolge?

Wir performt unsere InfoSec in der Außenwirkung?

KPIs

Finanzielle Schäden durch Datenverluste

Kosten pro Vorfall

Anzahl der gemeldeten Sicherheitsvorfälle

Zeit zwischen den Vorfällen (Durschnitt)

Mean Time to Detect (MTTD)

Mean Time to Acknowledge (MTTA) 

Mean Time to Contain (MTTC) 

Mean Time to Resolve (MTTR) 

Mean Time to Recovery (MTTR)

% der von Endnutzern geöffneten Phishing-E-Mails 

% der Systeme, die durch Anti-Malware-Software geschützt sind

Anzahl der Mitarbeiter, die für InfoSec zuständig sind 

% der durchgeführten Überprüfungen von Firewall-Richtlinien

% der Mitarbeiter, die noch keine InfoSec-Schulung durchlaufen haben

Anzahl der identifizierten Verbesserungen

Anzahl der festgestellten Nichtkonformitäten

Anzahl der durchgeführten Managemen-Reviews

Anzahl der Abweichungen im ISO 27001-Audit

Anzahl neuer Zertifizierungen

Vorfälle, die an Kunden gemeldet werden mussten

 

Sie können sich beim Thema KPIs grenzenlos ausleben, solange Sie den Überblick behalten. Wenn ein KPI jedoch keinen Entscheidungen dient und nur so mitverfolgt wird, lassen Sie diese lieber weg.

 

 

Überwachung und Messung von Informationssicherheits-KPIs

Die Herausforderung besteht darin, ein Überwachungs- und Messsystem zu definieren, das die gewünschten Antworten liefert, ohne dass die Erhebung und Auswertung der Daten zu einem administrativen Kraftakt werden.

Definieren Sie daher zu jedem KPI:

  • Was überwacht und gemessen werden soll (siehe oben)
  • Wann und wie die Messung durchgeführt werden soll
  • Wann und wie die Ergebnisse analysiert und bewertet werden
  • Wer die einzelnen Schritte durchführt
  • Welche Nachweise Sie über die Überwachungs- und Messergebnisse führen

Analyse und Bewertung

Bei der Analyse und Bewertung der Ergebnisse der in der obigen Tabelle beschriebenen KPIs müssen die richtigen Personen miteinbezogen werden, damit eine korrekte Interpretation erfolgen kann. Das am besten geeignete Forum dafür ist in den meisten Fällen ein mindestens einmal jährlich stattfindendes Management-Review. Die Teilnehmer an dieser Sitzung können je nach den zu analysierenden und zu bewertenden Informationen variieren. 

Die aus der Analyse und Bewertung gezogenen Schlussfolgerungen sollten Sie festhalten und Verbesserungsmaßnahmen protokollieren. Bei Bedarf werden dringende Probleme an das Executive Management Team weitergeleitet, um sicherzustellen, dass genügend Ressourcen zur Verfügung gestellt werden, um sie zu lösen. 

Es können weitere KPIs definiert werden, die dazu beitragen, die Ursachen von Problemen in bestimmten Bereichen zu klären.  

So beeinflussen InfoSec KPIs die Unternehmensstrategie

In der Informationssicherheit und beim Aufbau eines ISMS geht es nicht darum, ein 100%iges Schutzniveau zu gewährleisten. Ziel ist es vielmehr, das von der Organisation gewünschte Niveau an Informationssicherheit zu erreichen.  

Und KPIs können beim Abwägen helfen: Lohnen sich gewisse Investitionen in die Implementierung und den Betrieb von Lösungen im Vergleich zu dem Schaden, der durch Sicherheitsmängel entstehen kann oder in der Vergangenheit bereits entstanden ist? Welche Investitionen haben sich bereits ausgezahlt?

Auf Grundlage der KPIs kann das Management entscheiden, in welchem Umfang die Risiken durch weitere Informationssicherheitsmaßnahmen reduzierten werden können und sollten. Die KPIs sind also am Ende auch ein Instrument zur finanziellen Risikosteuerung.

Einen Überblick über Maßnahmen, die in Anhang A der ISO 27001 festgehalten sind, finden Sie in diesem Beitrag.

Fazit: KPIs machen die Informationssicherheit messbar

Aus den unterschiedlichen Perspektiven, die durch KPIs in einer Balanced Scorecard abgebildet werden, ergibt sich für das Management ein Gesamtbild. Der der Erfolg Ihrer InfoSec-Maßnahmen kann im Hinblick auf finanzielle Ergebnisse und das Schutzniveau evaluiert werden. Auch Probleme lassen sich durch aussagekräftige Daten erklären.

So können auf Managementebene Entscheidungen für die zukünftige Verteilung von Ressourcen getroffen werden.

 
Image CTA Expert Male 2

Sie brauchen Unterstützung bei der Definition passender KPIs?

Gerne unterstützt Sie DataGuard! Treten Sie dazu einfach mit uns in Kontakt und vereinbaren Sie eine kostenlose Erstberatung.

Über den Autor

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile auf einen Blick

  • Datenschutz, Informationssicherheit und Compliance aus einer Hand
  • Individuelle Beratung durch qualifizierte Experten – ganz ohne Fachjargon
  • Zeitsparende Technologie zur Automatisierung repetitiver Aufgaben
  • Faire und transparente Preise für optimale Planbarkeit und Budgetierung

Über 2.500 zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über 2.500 zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Externer Informationssicherheitsbeauftragter (ISB) oder Expertenbetreuung auf Augenhöhe
  • Persönlicher Ansprechpartner
  • Vorbereitung auf Ihre Zertifizierung nach ISO 27001 & TISAX®️
  • 100+ Experten aus Recht, Wirtschaft & IT
 

Über 2.500 zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Über 2.500 zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Über 2.500 zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Jetzt Termin vereinbaren

ODER RUFEN SIE UNS AN:(089) 8967 551 000