Kritik an KPIs in der Informationssicherheit
Ein mittelständischer Logistikdienstleister mit mehreren Standorten in Deutschland verzeichnete über Jahre hinweg „gute“ Sicherheitswerte – zumindest laut interner KPI-Dashboards. Monatlich wurden Patches eingespielt, Firewalls aktualisiert, Virenscans durchgeführt. Alles dokumentiert, alles messbar.
Doch als es zu einem gezielten Angriff über kompromittierte Zugangsdaten kam, fiel das Unternehmen dennoch aus allen Wolken. Die Systeme waren monatelang infiltriert, unbemerkt – denn kein KPI hatte Alarm geschlagen. Die Folge: massiver Datenabfluss, behördliche Untersuchungen, Rufschaden.
Als alle KPIs grün waren … und es trotzdem krachte…
Das Problem ist, dass Kennzahlen in der Unternehmenswelt allgegenwärtig sind. Das auch aus gutem Grund: Sie versprechen Messbarkeit, Vergleichbarkeit und Steuerbarkeit. Auch in der Informationssicherheit greifen Unternehmen gerne zu sogenannten Key Performance Indicators (KPIs), um den Status ihrer IT-Sicherheitsmaßnahmen / Informationssicherheit zu bewerten. Doch was, wenn diese Zahlen nur Sicherheit vorgauklen?
Was sind KPIs in der Informationssicherheit?
Grundsätzlich sind KPIs dafür gedacht, Orientierung zu schaffen. Sie sollen sichtbar machen, wie effektiv ein Sicherheitskonzept funktioniert, ob Maßnahmen greifen und wo es Handlungsbedarf gibt. Die Idee dahinter ist nachvollziehbar: Nur was messbar ist, lässt sich auch steuern. In einer idealen Welt liefern gut gewählte KPIs wertvolle Einblicke – sowohl für IT-Fachkräfte als auch für die Geschäftsleitung, die oft nicht tief in die technischen Details eintauchen kann oder will.
In der Praxis ist es jedoch deutlich komplizierter. Die meisten Sicherheits-KPIs beruhen auf Zahlen, die bestimmte Vorgänge in der IT dokumentieren. Dazu gehören beispielsweise Angaben darüber, wie viele Schwachstellen erkannt, wie viele Systeme gepatcht oder wie schnell Vorfälle erkannt und behandelt wurden. Diese Kennzahlen haben einen gewissen Informationswert – sie zeigen Aktivität, sie signalisieren Handlungsbereitschaft. Aber sie beantworten nur selten die eigentliche Kernfrage: Wie gut ist das Unternehmen wirklich gegen Cyberangriffe geschützt?
Whitepaper zum Thema Kennzahlen in der Informationssicherheit
Hinzu kommt, dass KPIs häufig ohne ausreichenden Bezug zum Risiko konzipiert werden.
Ein großer Teil der gängigen Metriken bleibt nämlich rein quantitativ. Sie sagen etwas darüber aus, wie viel getan wurde – aber nicht, wie wirksam die Maßnahmen im Einzelfall waren. Ein Unternehmen, das regelmäßig tausende Schwachstellen erkennt und dokumentiert, wirkt auf dem Papier sehr aktiv. Aber was, wenn es dabei versäumt, genau die Schwachstelle zu beheben, die ein Angreifer schließlich ausnutzt? Diese Diskrepanz zwischen „gemessenem Aufwand“ und „erreichter Sicherheit“ ist in vielen Organisationen ein blinder Fleck.
Die Illusion der Sicherheit: Wenn Zahlen trügen
Aktuelle Untersuchungen zeigen, dass viele Unternehmen weiterhin auf sogenannte Vanity Metrics setzen – also Kennzahlen, die Aktivität suggerieren, aber wenig über die tatsächliche Sicherheitslage aussagen. Dazu zählen beispielsweise die Anzahl durchgeführter Scans, installierter Patches oder erkannter Schadprogramme. Diese Zahlen vermitteln nach außen den Eindruck einer engagierten IT-Abteilung, verschleiern jedoch oft, ob reale Bedrohungen tatsächlich erkannt und abgewehrt wurden.
„Vanity Metrics sind Zahlen, die im Bericht gut aussehen, aber wenig strategischen Wert bieten. Sie messen Aktivität, nicht Wirksamkeit – und können so ein gefährliches Gefühl von Sicherheit erzeugen.“
Laut aktuellen Analysen verlassen sich die Mehrheit der Unternehmen noch immer auf leicht messbare, aber wenig aussagekräftige Kennzahlen. In der jährlichen „Voice of Security“-Befragung wird bestätigt, dass Security-Teams „stark auf Metriken setzen, die keinen echten Bezug zur Risikoreduktion haben“.
Gartner prognostiziert, dass Unternehmen, die auf moderne, risikobasierte Metriken umstellen, ihre Sicherheitsvorfälle bis 2026 um bis zu zwei Drittel reduzieren könnten – ein deutlicher Hinweis darauf, wie wenig traditionelle Kennzahlen bislang zur echten Sicherheit beitragen
Warum der Kontext entscheidend ist
Zahlen ohne Kontext führen zu gefährlichen Fehleinschätzungen. So mag ein Unternehmen Tausende Schwachstellen dokumentieren – doch wenn die eine kritische Lücke übersehen wird, ist das Zahlenwerk wertlos. Noch gravierender wird es, wenn KPIs Teil von Zielvereinbarungen oder Reportings sind. Dann wird oft das Erreichen der Kennzahl selbst zum Ziel, nicht mehr die dahinterliegende Sicherheitsabsicht.
Drei Typen von Metriken stehen besonders in der Kritik
Volume Metrics
Zählen Aktivitäten wie die Anzahl von Patches oder Scans. Doch: Viel zu tun bedeutet nicht automatisch, gut geschützt zu sein. Es fehlt der Bezug zur Wirksamkeit.
Zeitbasierte Metriken (MTTD/MTTR)
Messen die Zeit bis zur Entdeckung (MTTD) oder Behebung (MTTR) eines Vorfalls. Kritisch: Die Geschwindigkeit bringt wenig, wenn sie an den falschen Stellen ansetzt.
Coverage Metrics
„95 % der Systeme wurden gescannt“ klingt gut – bis man fragt, welche 5 % ausgelassen wurden. Oft bleiben gerade die Systeme außen vor, die besonders kritisch sind.
Ein systematischer Trugschluss
Besonders deutlich wird das Missverhältnis zwischen Kennzahlen und Realität, wenn man Studien betrachtet:
Über 90 % der Unternehmen schätzen ihre Sicherheitslage als gut oder sehr gut ein – gleichzeitig wurde jedes siebte Unternehmen erfolgreich angegriffen. Diese Diskrepanz ist kein Zufall, sondern das Ergebnis verzerrter Selbstbewertung durch falsche KPIs.
Gute KPIs: Wie sehen sinnvolle Metriken aus?
Nach der fundierten Kritik an vielen gängigen Kennzahlen stellt sich unweigerlich die Frage: Wie sieht ein sinnvoller KPI in der Informationssicherheit überhaupt aus? Oder konkreter: Was muss eine Metrik leisten, damit sie nicht nur gut aussieht, sondern tatsächlich zur Verbesserung der Sicherheitslage beiträgt?
Frage: Was ist die Alternative? Was ist wirklich sinnvoll, um Informationssicherheit fundiert und wirksam zu messen?.
Statt Zahlen zu sammeln, die bloß Aktivität oder Fleiß belegen, müssen KPIs konsequent auf das Ziel der Risikoreduktion ausgerichtet sein. Gute KPIs helfen, Sicherheitsmaßnahmen dort zu priorisieren, wo sie die größte Wirkung entfalten – etwa beim Schutz sensibler Systeme oder der Absicherung geschäftskritischer Prozesse.
Relevanz im Risikokontext
Eine Kennzahl ist nur dann sinnvoll, wenn sie mit einem konkreten Bedrohungsszenario, einem Asset oder einer potenziellen Schadensauswirkung verknüpft ist. Beispiel: Der „Anteil der Systeme mit Multi-Faktor-Authentifizierung“ ist nur dann aussagekräftig, wenn klar ist, welche dieser Systeme Zugriff auf sensible Daten oder Administrationsrechte haben. Kontextbezug ist daher das zentrale Qualitätsmerkmal moderner KPIs – sie sind immer Teil einer übergeordneten Sicherheitsstrategie.
Verknüpfung mit Geschäftszielen
Informationssicherheit ist kein Selbstzweck, sondern dient dem Schutz des Geschäftsbetriebs – etwa vor Produktionsausfällen, Datenschutzverletzungen oder Reputationsschäden. KPIs, die diesen Bezug herstellen, sind besonders wertvoll: etwa der potenzielle finanzielle Schaden durch einen Datenverlust, die Zeit bis zur Wiederherstellung kritischer Systeme im Notfall oder die Zahl ungepatchter Schwachstellen in Systemen mit hohem Geschäftsimpact.
Transparenz und Nachvollziehbarkeit
Ein guter KPI ist für IT-Fachleute und für die Geschäftsleitung verständlich. Nur so kann er zur fundierten Entscheidungsgrundlage werden. Statt technokratischer Nebelkerzen ermöglichen gut gewählte KPIs eine klare Kommunikation zwischen Fachabteilung und Management – und damit bessere Entscheidungen.
Steuerungsfunktion und Dynamik
Sinnvolle KPIs messen nicht nur rückblickend, sondern übernehmen eine aktive Steuerungsfunktion. Sie helfen, Maßnahmen anzustoßen, Fortschritte zu verfolgen und bei Bedarf gegenzusteuern. Beispiel: Zeigt ein KPI, dass nur 40 % der Mitarbeiter die jährliche Awareness-Schulung absolviert haben und gleichzeitig die Zahl der Phishing-Vorfälle steigt, ergibt sich daraus eine klare Handlungsaufforderung.
Kontextbezogene Beispiele für risikoorientierte KPIs in der Informationssicherheit
Um die Schwächen klassischer Kennzahlen zu verdeutlichen und den Mehrwert kontextbezogener, risikoorientierter KPIs herauszustellen, finden Sie hier weitere praxisnahe Beispiele, die konkrete Handlungsimpulse liefern:
| Punkt | Beispiel | Kontext und Handlungsaufforderung |
|---|---|---|
| Patching-Tempo und kritische Schwachstellen | Ein KPI zeigt, dass 98 % aller Systeme monatlich gepatcht werden. Gleichzeitig bleibt jedoch eine Handvoll geschäftskritischer Server über Wochen ungepatcht, darunter ein System mit direktem Internetzugang und bekannter Zero-Day-Schwachstelle. | Nicht die Patch-Quote allein zählt, sondern ob die wichtigsten Systeme rechtzeitig abgesichert sind. Der KPI muss also den Anteil kritischer Systeme mit offenen Schwachstellen abbilden. Ein Anstieg dieser Zahl verlangt sofortige Priorisierung und gezielte Maßnahmen. |
| Anteil ungeschützter kritischer Assets | Ein Dashboard zeigt, dass 95 % aller Endpunkte mit EDR-Lösungen abgesichert sind. Die restlichen 5 % betreffen jedoch zentrale Produktionssysteme, die besonders sensibel sind. | Der KPI „Abdeckungsrate“ verschleiert das eigentliche Risiko. Erst die Kontextanalyse zeigt, dass ausgerechnet die wichtigsten Systeme fehlen. Die Handlungsaufforderung: gezielte Nachrüstung und Priorisierung dieser Assets. |
| Third-Party Risk Exposure | Alle eigenen Systeme erfüllen die Compliance-Anforderungen. Ein KPI-Review zeigt jedoch, dass 20 % der wichtigsten Dienstleister keine aktuellen Sicherheitszertifikate vorlegen können. | Nicht nur die eigene Compliance zählt – der Kontext der Lieferkette ist entscheidend. Der KPI muss die Risiken aus Drittanbieterbeziehungen abbilden und bei Auffälligkeiten sofortige Nachverfolgung auslösen. |
Alternativen und Ergänzungen zu klassischen KPIs
Ein bewährter Einstieg ist der Realitätsabgleich durch Penetrationstests. Anders als abstrakte Metriken zeigen sie, wie angreifbar ein Unternehmen tatsächlich ist – und zwar aus der Sicht eines echten Gegners. Dabei simulieren Sicherheitsexperten reale Angriffsmethoden: Sie testen Schwachstellen in Webanwendungen, prüfen falsch konfigurierte Systeme, analysieren Berechtigungsstrukturen und setzen – je nach Testart – auch Social-Engineering-Elemente ein.
(Remote)-Pentesting
Besonders in Zeiten verteilter IT-Strukturen und Cloud-Diensten haben sich Remote-Pentests etabliert: Sie sind schnell umsetzbar, skalierbar und ermöglichen es, Schwachstellen systematisch und mit vertretbarem Aufwand zu identifizieren. Der große Vorteil: Die Ergebnisse sind konkret. Unternehmen erhalten nicht nur eine Liste von Problemen, sondern auch eine risikobasierte Einordnung und klare Empfehlungen zur Behebung – priorisiert nach Kritikalität und Umsetzbarkeit.
Doch Penetrationstests sind immer Momentaufnahmen. Deshalb ist es wichtig, die gewonnenen Erkenntnisse in ein dauerhaftes Risikomanagement zu überführen. Hier kommt der Cybersecurity-Risikoscore ins Spiel – ein Verfahren, das es ermöglicht, die eigene Sicherheitslage strukturiert, vergleichbar und geschäftsorientiert zu bewerten.
Cybersecurity Risikoscore von NESEC
Der Cybersecurity-Risikoscore analysiert verschiedene Dimensionen der Informationssicherheit – von technischer Absicherung über Datenschutz bis hin zur Exponierung in sozialen Netzwerken. Dabei fließen Faktoren wie Kommunikationssicherheit, Angriffsfläche im Internet oder der Zustand von Webanwendungen ein. Das Ergebnis ist kein generischer Benchmark, sondern ein unternehmensspezifisches Lagebild, das aufzeigt, wo konkrete Risiken liegen – und wie diese zu bewerten sind.
Besonders hilfreich: Der Score kann bei Zielkonflikten oder knappen Ressourcen als Entscheidungsgrundlage dienen. Statt „nach Gefühl“ zu priorisieren, lässt sich gezielt steuern: Wo ist der größte Handlungsbedarf? Welche Maßnahmen bringen den größten Sicherheitsgewinn?
In Kombination ermöglichen Penetrationstest und Risikoscore ein Sicherheitsmanagement, das nicht nur technische Details, sondern auch unternehmerische Relevanz berücksichtigt. Unternehmen erhalten damit nicht einfach Daten – sie gewinnen Einsicht, Orientierung und Entscheidungsfähigkeit.
Wer seine Informationssicherheit wirklich verbessern will, sollte also nicht auf die lautesten Zahlen hören, sondern auf die wirklich aussagekräftigen Methoden setzen: testen, bewerten, einordnen – und dann gezielt handeln.
NESEC als vertrauensvollen Partner
Wir unterstützen Sie dabei, Ihre IT- und Informationssicherheit objektiv zu bewerten. Dazu bedienen wir uns an Penetrationstests, Risikoanalysen und praxisnahen Bewertungsmodellen wie dem Cybersecurity-Risikoscore. Anstelle oberflächlicher Berichte erhalten Sie von uns ein realistisches Lagebild Ihrer Sicherheitslage, fundierte Handlungsempfehlungen und klare Prioritäten. Damit Sie nicht nur etwas messen – sondern auch nachhaltig schützen.