- ISO 27001 fordert in Kapitel 9.1 die Überwachung, Messung, Analyse und Bewertung der ISMS-Leistung. Ohne Kennzahlen erfüllst du diese Anforderung nicht.
- Gute ISMS-KPIs sind messbar, vergleichbar über die Zeit, handlungsrelevant und für die Geschäftsleitung verständlich.
- Die 15 KPIs decken vier Bereiche ab: Risikomanagement, operative Sicherheit, Compliance und Awareness sowie Incident Management.
- Kennzahlen sind kein Selbstzweck. Jede Kennzahl muss zu einer konkreten Entscheidung oder Maßnahme führen können.
- Starte mit 5-7 KPIs und erweitere schrittweise. Besser wenige aussagekräftige Kennzahlen als viele, die niemand liest.
Warum Kennzahlen im ISMS unverzichtbar sind
ISO 27001 ist in Kapitel 9.1 unmissverständlich: Die Organisation muss bestimmen, was überwacht und gemessen werden muss, die Methoden für Überwachung, Messung, Analyse und Bewertung festlegen, wann überwacht und gemessen wird und wer die Ergebnisse analysiert und bewertet.
Das Management Review (Kapitel 9.3) fordert als Input unter anderem Informationen über die Leistung der Informationssicherheit, einschließlich Trends. Ohne Kennzahlen hast du keine Trends. Ohne Trends hast du kein substanzielles Management Review. Und ohne substanzielles Management Review hast du ein Audit-Finding.
Aber Kennzahlen sind mehr als eine Audit-Anforderung. Sie sind das Werkzeug, mit dem du die Wirksamkeit deines ISMS nachweist, Verbesserungspotenziale erkennst und der Geschäftsleitung zeigst, dass die Investition in Informationssicherheit sich lohnt.
Die Herausforderung: Nicht jede Zahl, die du messen kannst, ist auch eine nützliche Kennzahl. Die Anzahl der Firewall-Events pro Tag ist eine Zahl, aber sie hilft der Geschäftsleitung nicht bei einer Entscheidung. Die durchschnittliche Zeit bis zur Behebung kritischer Schwachstellen hingegen zeigt, ob dein Patch-Management funktioniert und ob du Investitionen in Automatisierung brauchst.
Was eine gute ISMS-Kennzahl ausmacht
Bevor du Kennzahlen definierst, hilft es, die Kriterien für gute Kennzahlen zu kennen:
Messbar: Die Kennzahl muss objektiv und wiederholbar erhoben werden können. „Unser Sicherheitsniveau ist gut" ist keine Kennzahl. „94 % der kritischen Schwachstellen wurden innerhalb von 30 Tagen behoben" ist eine.
Vergleichbar: Die Kennzahl muss über die Zeit vergleichbar sein. Nur so erkennst du Trends. Wenn du die Erhebungsmethode ständig änderst, sind die Werte nicht vergleichbar.
Handlungsrelevant: Jede Kennzahl muss zu einer konkreten Entscheidung oder Maßnahme führen können. Wenn eine Kennzahl den Zielwert verfehlt, muss klar sein, was zu tun ist.
Verständlich: Die Geschäftsleitung muss die Kennzahl verstehen, ohne ein Informatikstudium zu benötigen. Technische Details gehören in die Details, nicht in die Übersicht.
Erhebbar: Die Daten für die Kennzahl müssen mit vertretbarem Aufwand erhoben werden können. Eine perfekte Kennzahl, die drei Arbeitstage pro Monat Erhebungsaufwand erfordert, ist in der Praxis wertlos.
Die 15 KPIs im Detail
Bereich 1: Risikomanagement
KPI 1: Risikobehandlungsrate
Definition: Anteil der identifizierten Risiken, für die ein Behandlungsplan definiert und begonnen wurde.
Formel: (Risiken mit aktivem Behandlungsplan / Gesamtzahl identifizierter Risiken) x 100
Zielwert: > 90 %. Jedes identifizierte Risiko sollte entweder behandelt, akzeptiert, transferiert oder vermieden werden. „Nicht entschieden" ist kein akzeptabler Status.
Erhebung: Quartalsweise aus dem Risikoregister.
Warum wichtig: Zeigt, ob dein Risikomanagement-Prozess funktioniert oder ob Risiken identifiziert, aber nicht bearbeitet werden. Ein niedriger Wert deutet auf fehlende Ressourcen oder mangelnde Priorisierung hin.
KPI 2: Anteil überfälliger Risikomaßnahmen
Definition: Anteil der geplanten Risikobehandlungsmaßnahmen, die ihren Zieltermin überschritten haben.
Formel: (Überfällige Maßnahmen / Gesamtzahl geplanter Maßnahmen) x 100
Zielwert: < 15 %. Einige Verzögerungen sind normal (Ressourcenkonflikte, unvorhergesehene Komplexität). Aber mehr als 15 % überfällige Maßnahmen deuten auf systematische Probleme hin.
Erhebung: Monatlich aus dem Maßnahmentracking.
Warum wichtig: Zeigt, ob die geplanten Maßnahmen tatsächlich umgesetzt werden. Ein hoher Wert kann auf unrealistische Planung, fehlende Ressourcen oder mangelndes Commitment hindeuten.
KPI 3: Durchschnittliches Risikoniveau
Definition: Gewichteter Durchschnitt aller bewerteten Risiken (nach Risikomatrix-Score).
Zielwert: Sinkend über die Zeit. Der absolute Wert hängt von deiner Risikomatrix ab. Der Trend ist wichtiger als der Absolutwert.
Erhebung: Quartalsweise bei der Risikoüberprüfung.
Warum wichtig: Zeigt den Gesamttrend deines Risikoniveaus. Wenn es trotz Maßnahmen steigt, musst du deine Strategie überdenken. Wenn es sinkt, bestätigt das die Wirksamkeit deiner Maßnahmen.
Bereich 2: Operative Sicherheit
KPI 4: Patch-Compliance-Rate
Definition: Anteil der Systeme, die innerhalb des definierten Zeitrahmens gepatcht wurden.
Formel: (Fristgerecht gepatchte Systeme / Gesamtzahl zu patchender Systeme) x 100
Zielwert: > 95 % für kritische Patches innerhalb von 14 Tagen. > 85 % für alle Patches innerhalb von 30 Tagen. Für OT-Systeme gelten separate, längere Fristen (quartalsweise Patch-Zyklen können angemessen sein).
Erhebung: Monatlich aus dem Patch-Management-System.
Warum wichtig: Einer der aussagekräftigsten operativen KPIs. Zeigt, ob bekannte Schwachstellen zeitnah geschlossen werden.
KPI 5: Mittlere Zeit zur Schwachstellenbehebung (MTTV)
Definition: Durchschnittliche Zeit von der Veröffentlichung einer Schwachstelle bis zu ihrer Behebung (Patch oder Compensating Control).
Formel: Summe (Behebungsdatum - Veröffentlichungsdatum) / Anzahl behobener Schwachstellen
Zielwert: < 14 Tage für kritische Schwachstellen (CVSS >= 9.0). < 30 Tage für hohe Schwachstellen (CVSS >= 7.0). < 90 Tage für mittlere Schwachstellen.
Erhebung: Monatlich, differenziert nach Kritikalität.
Warum wichtig: Zeigt die Reaktionsgeschwindigkeit deines Schwachstellenmanagements. Ein steigender Trend deutet auf wachsende technische Schulden hin.
KPI 6: Multi-Faktor-Authentifizierung-Abdeckung
Definition: Anteil der Systeme und Zugänge, die mit MFA geschützt sind.
Formel: (Zugänge mit MFA / Gesamtzahl relevanter Zugänge) x 100
Zielwert: 100 % für externe Zugänge (VPN, Cloud, Web-Applikationen). > 90 % für privilegierte interne Zugänge (Admin-Accounts).
Erhebung: Quartalsweise.
Warum wichtig: MFA ist eine der wirksamsten einzelnen Sicherheitsmaßnahmen. Diese Kennzahl zeigt, wie konsequent sie umgesetzt ist.
KPI 7: Backup-Erfolgsrate
Definition: Anteil der geplanten Backups, die erfolgreich durchgeführt und verifiziert wurden.
Formel: (Erfolgreiche Backups / Geplante Backups) x 100
Zielwert: > 99 %. Jedes fehlgeschlagene Backup ist ein potenzieller Datenverlust im Ernstfall.
Erhebung: Wöchentlich aus dem Backup-System, monatlich aggregiert.
Warum wichtig: Ein Backup, das nicht funktioniert, ist kein Backup. Diese Kennzahl deckt technische Probleme auf, bevor sie im Ernstfall relevant werden.
KPI 8: Recovery-Test-Quote
Definition: Anteil der kritischen Systeme, für die im Berichtszeitraum ein erfolgreicher Recovery-Test durchgeführt wurde.
Formel: (Systeme mit erfolgreichem Recovery-Test / Gesamtzahl kritischer Systeme) x 100
Zielwert: 100 % innerhalb von 12 Monaten. Jedes kritische System sollte mindestens einmal jährlich einen Recovery-Test durchlaufen.
Erhebung: Quartalsweise.
Warum wichtig: Backup ohne Recovery-Test ist eine Hoffnung, kein Plan. Diese Kennzahl stellt sicher, dass die Wiederherstellung tatsächlich funktioniert.
Bereich 3: Compliance und Awareness
KPI 9: Security-Awareness-Schulungsquote
Definition: Anteil der Mitarbeiter, die ihre jährliche Security-Awareness-Schulung absolviert haben.
Formel: (Geschulte Mitarbeiter / Gesamtzahl Mitarbeiter) x 100
Zielwert: > 95 %. Die restlichen 5 % können durch Langzeitkranke, Elternzeit oder Neueintritte erklärt werden. Aber jeder Mitarbeiter, der seit mehr als drei Monaten im Unternehmen ist, sollte geschult sein.
Erhebung: Quartalsweise.
Warum wichtig: NIS2 fordert explizit Schulungen für alle Mitarbeiter. Wie du ein wirksames Security-Awareness-Programm aufbaust, beschreibt ein eigener Artikel. Ohne nachweisbare Schulungsquote hast du ein Compliance-Problem.
KPI 10: Phishing-Simulationsrate
Definition: Anteil der Mitarbeiter, die in einer Phishing-Simulation auf den simulierten Angriff hereingefallen sind.
Formel: (Mitarbeiter, die geklickt haben / Gesamtzahl getesteter Mitarbeiter) x 100
Zielwert: < 5 %. Branchendurchschnitt liegt bei 15-20 %. Ein Wert unter 5 % zeigt eine wirksame Awareness-Kultur.
Erhebung: Bei jeder Simulation (empfohlen: quartalsweise).
Warum wichtig: Misst die tatsächliche Widerstandsfähigkeit der Mitarbeiter gegen Social Engineering, nicht nur ob sie eine Schulung besucht haben.
KPI 11: Richtlinien-Review-Quote
Definition: Anteil der ISMS-Richtlinien, die innerhalb des definierten Review-Zyklus überprüft und aktualisiert wurden.
Formel: (Fristgerecht reviewte Richtlinien / Gesamtzahl Richtlinien) x 100
Zielwert: 100 %. Veraltete Richtlinien sind schlimmer als keine Richtlinien, weil sie ein falsches Sicherheitsgefühl vermitteln.
Erhebung: Quartalsweise.
Warum wichtig: Zeigt, ob das ISMS lebt oder ob es einmal aufgebaut und dann vergessen wurde.
KPI 12: Audit-Finding-Erledigungsrate
Definition: Anteil der Audit-Findings (intern und extern), die innerhalb der vereinbarten Frist behoben wurden.
Formel: (Fristgerecht erledigte Findings / Gesamtzahl offener Findings) x 100
Zielwert: > 90 %. Für Major Findings: 100 % innerhalb der vereinbarten Frist.
Erhebung: Nach jedem Audit, laufendes Tracking bis zur Erledigung.
Warum wichtig: Offene Audit-Findings zeigen, dass identifizierte Probleme nicht behoben werden. Das ist ein Risiko und ein Compliance-Problem.
Bereich 4: Incident Management
KPI 13: Anzahl Sicherheitsvorfälle
Definition: Gesamtzahl der gemeldeten und bestätigten Sicherheitsvorfälle im Berichtszeitraum, differenziert nach Schweregrad.
Zielwert: Kein absoluter Zielwert. Der Trend ist entscheidend. Ein Anstieg kann auf eine verschlechterte Sicherheitslage hindeuten, aber auch auf eine verbesserte Erkennung (was positiv ist). Wichtig ist die qualitative Analyse: Warum ist der Wert gestiegen oder gesunken?
Erhebung: Monatlich aus dem Incident-Management-System.
Warum wichtig: Die grundlegendste Incident-Kennzahl. Gibt der Geschäftsleitung einen Überblick über die Bedrohungslage.
KPI 14: Mittlere Erkennungszeit (MTTD)
Definition: Durchschnittliche Zeit von der Erstinfektion/dem Beginn des Vorfalls bis zur Erkennung.
Formel: Summe (Erkennungszeitpunkt - Vorfallsbeginn) / Anzahl erkannter Vorfälle
Zielwert: < 24 Stunden für kritische Vorfälle. Branchendurchschnitt liegt bei mehreren Wochen (laut IBM Cost of a Data Breach Report). Jede Verbesserung ist signifikant.
Erhebung: Für jeden Vorfall als Teil der Incident-Analyse.
Warum wichtig: Je schneller du einen Vorfall erkennst, desto geringer ist der Schaden. Eine sinkende MTTD zeigt, dass deine Erkennungsfähigkeiten besser werden.
KPI 15: Mittlere Reaktionszeit (MTTR)
Definition: Durchschnittliche Zeit von der Erkennung eines Vorfalls bis zur vollständigen Eindämmung.
Formel: Summe (Eindämmungszeitpunkt - Erkennungszeitpunkt) / Anzahl erkannter Vorfälle
Zielwert: < 4 Stunden für kritische Vorfälle. < 24 Stunden für hohe Vorfälle. Für NIS2-pflichtige Unternehmen: Erstmeldung ans BSI innerhalb von 24 Stunden.
Erhebung: Für jeden Vorfall als Teil der Incident-Analyse.
Warum wichtig: Zeigt, wie schnell dein Incident-Response-Prozess reagiert. Ein steigender Wert deutet auf Ressourcenprobleme oder Prozesslücken hin.
Kennzahlen erheben und berichten
Datenquellen
Die meisten ISMS-Kennzahlen können aus vorhandenen Systemen automatisiert oder halbautomatisiert erhoben werden:
| KPI | Datenquelle |
|---|---|
| Patch-Compliance | Patch-Management-System, WSUS, Intune |
| Backup-Erfolgsrate | Backup-Software, Monitoring |
| MFA-Abdeckung | Identity Provider (Entra ID, Keycloak) |
| Schulungsquote | LMS, Schulungsprotokoll |
| Phishing-Rate | Phishing-Simulations-Tool |
| Incident-Kennzahlen | Ticketsystem, SIEM |
| Risikokennzahlen | ISMS-Tool, Risikoregister |
| Richtlinien-Review | ISMS-Tool, Dokumentenmanagement |
| Audit-Findings | Audit-Berichte, Maßnahmentracking |
Reporting-Frequenz
Nicht jede Kennzahl muss gleich häufig berichtet werden:
Monatlich (operatives Reporting): Patch-Compliance, Backup-Erfolgsrate, Incident-Kennzahlen, Phishing-Simulationsrate (wenn Simulation stattfand)
Quartalsweise (taktisches Reporting): Alle 15 KPIs als Gesamtübersicht, Trendanalyse, Abweichungsanalyse
Jährlich (Management Review): Zusammenfassung aller Quartalsberichte, Jahrestrends, Zielerreichung, Ableitung von Maßnahmen und Ressourcenbedarf für das nächste Jahr
Darstellung
Für das Management Review empfiehlt sich eine einseitige Übersicht mit Ampelfarben:
- Grün: Zielwert erreicht oder übertroffen
- Gelb: Zielwert knapp verfehlt (innerhalb einer definierten Toleranz)
- Rot: Zielwert deutlich verfehlt
Ergänze die Ampelübersicht um Trendpfeile (steigend, stabil, fallend), um die Entwicklung auf einen Blick sichtbar zu machen. Für jede rote Ampel sollte es eine kurze Erklärung und einen Maßnahmenvorschlag geben.
Kennzahlen im Management Review präsentieren
Das Management Review ist der Moment, in dem deine Kennzahlen ihre Wirkung entfalten. Hier entscheidet sich, ob die Geschäftsleitung versteht, wie es um die Informationssicherheit steht, und ob sie bereit ist, die notwendigen Ressourcen bereitzustellen.
Struktur des KPI-Berichts
Ein bewährter Aufbau für den KPI-Bericht im Management Review:
Seite 1: Executive Summary. Die Ampelübersicht aller 15 KPIs mit Trendpfeilen. Dazu drei bis fünf Sätze, die die Gesamtlage zusammenfassen. Die Geschäftsleitung soll in 30 Sekunden wissen, ob es ein Problem gibt.
Seite 2-3: Detailanalyse der auffälligen KPIs. Für jede gelbe oder rote Ampel: Was ist der aktuelle Wert? Was ist der Zielwert? Was ist die Ursache der Abweichung? Welche Maßnahme wird vorgeschlagen? Bis wann wird die Verbesserung erwartet?
Seite 4: Trends und Jahresvergleich. Alle 15 KPIs im Zeitverlauf der letzten vier Quartale (oder zwölf Monate). Hier zeigt sich, ob das ISMS insgesamt besser wird. Eine konsistent steigende Patch-Compliance oder sinkende Reaktionszeit ist die stärkste Argumentation für die Wirksamkeit des ISMS.
Seite 5: Ressourcenbedarf. Basierend auf den Kennzahlen: Welche Investitionen oder Ressourcen werden benötigt, um die Zielwerte zu erreichen? Hier wird die Verbindung zwischen Kennzahlen und Budget hergestellt.
Die richtigen Fragen antizipieren
Die Geschäftsleitung wird typischerweise drei Fragen stellen:
-
Sind wir sicher genug? Beantworte diese Frage mit dem Gesamtrisikostatus und dem Vergleich zum Vorjahr. Zeige, welche kritischen Risiken behandelt wurden und welche offen sind.
-
Werden wir besser? Beantworte diese Frage mit den Trendlinien. Wenn die Trends positiv sind, unterstreiche die Wirksamkeit der bisherigen Maßnahmen. Wenn sie negativ sind, erkläre die Ursachen und schlage Gegenmaßnahmen vor.
-
Was braucht ihr? Hier kommen die konkreten Ressourcenbedarfe: Budget für ein neues Tool, zusätzliche Personenstunden für ein Projekt, Genehmigung für eine Schulungsmaßnahme. Verknüpfe jeden Bedarf mit einer konkreten Kennzahl, die sich dadurch verbessern wird.
Von KPIs zu Maßnahmen: Der Regelkreis
Kennzahlen sind nur dann nützlich, wenn sie zu Handlungen führen. Der Regelkreis sieht so aus:
Messen: Kennzahl erheben und gegen den Zielwert prüfen.
Analysieren: Warum weicht der Ist-Wert vom Soll-Wert ab? Ist es ein technisches Problem, ein Ressourcenproblem oder ein Prozessproblem?
Handeln: Maßnahme definieren und umsetzen. Die Maßnahme muss spezifisch, terminiert und einer Person zugeordnet sein.
Prüfen: Hat die Maßnahme die Kennzahl verbessert? Wenn ja: Lessons Learned dokumentieren. Wenn nein: Alternative Maßnahme definieren.
Dieser Regelkreis entspricht dem PDCA-Zyklus, der das Rückgrat jedes ISMS bildet. Ohne ihn bleibt die Kennzahl eine passive Beobachtung statt ein aktives Steuerungsinstrument. In ISMS Lite werden die wichtigsten KPIs automatisch aus den dokumentierten Maßnahmen, Risiken und Vorfällen berechnet und im Dashboard visualisiert.
Ein konkretes Beispiel: Die Patch-Compliance für kritische Schwachstellen liegt bei 72 % (Zielwert: 95 %). Die Analyse zeigt: 60 % der überfälligen Patches betreffen Systeme, für die der Softwarehersteller noch keine Freigabe erteilt hat. Die Maßnahme: Eskalationsprozess mit den Herstellern einführen und Compensating Controls für Systeme ohne Herstellerfreigabe definieren. Nächste Messung: In drei Monaten prüfen, ob die Maßnahme wirkt.
Typische Fallstricke
Zu viele Kennzahlen. Wenn du 50 KPIs hast, liest niemand den Bericht. Starte mit den wichtigsten 5-7 und erweitere schrittweise. Besser wenige Kennzahlen, die regelmäßig erhoben und diskutiert werden, als viele, die in einer Tabelle verstauben.
Kennzahlen ohne Zielwert. Eine Kennzahl ohne Zielwert ist nur eine Zahl. Definiere für jede Kennzahl einen Zielwert und eine Toleranz. Nur so kannst du beurteilen, ob das Ergebnis gut oder schlecht ist.
Falsche Anreize. Wenn die Phishing-Simulationsrate als Leistungsindikator für Abteilungsleiter verwendet wird, werden Abteilungsleiter anfangen, ihre Mitarbeiter vor der Simulation zu warnen. Kennzahlen sollen die Sicherheit verbessern, nicht das Reporting.
Erhebungsaufwand unterschätzen. Wenn eine Kennzahl manuell erhoben werden muss, wird sie nach drei Monaten nicht mehr erhoben. Automatisiere so viel wie möglich. Wenn Automatisierung nicht möglich ist, bewerte den Aufwand ehrlich und entscheide, ob die Kennzahl den Aufwand wert ist.
Trends ignorieren. Ein einzelner Wert sagt wenig aus. Der Trend über mehrere Quartale zeigt, ob du besser wirst oder nicht. Zeige immer mindestens die letzten vier Quartalswerte.
Der Startplan: Fünf KPIs für den Anfang
Wenn du heute bei null stehst und nicht weißt, wo du anfangen sollst: Wähle diese fünf KPIs als Startset. Sie decken die wichtigsten Bereiche ab, sind mit vertretbarem Aufwand erhebbar und liefern sofort Mehrwert.
-
Patch-Compliance-Rate (KPI 4): Zeigt den operativen Grundzustand. Wenn du nicht weißt, ob deine Systeme aktuell sind, weißt du nichts über deine Sicherheitslage.
-
Backup-Erfolgsrate (KPI 7): Zeigt, ob du im Ernstfall wiederherstellen kannst. Die existenziellste Frage nach einem Ransomware-Angriff.
-
Security-Awareness-Schulungsquote (KPI 9): Zeigt, ob der menschliche Faktor adressiert wird. Und sie ist für NIS2 nachweispflichtig.
-
Anzahl Sicherheitsvorfälle (KPI 13): Die grundlegendste Kennzahl. Ohne sie hast du keinen Überblick über die Bedrohungslage.
-
Risikobehandlungsrate (KPI 1): Zeigt, ob dein Risikomanagement funktioniert. Wenn Risiken identifiziert, aber nicht behandelt werden, ist das ISMS eine Fassade.
Mit diesen fünf KPIs kannst du ein erstes Management Review substanziell gestalten. Nach sechs Monaten, wenn die Datenerhebung routiniert läuft, erweiterst du schrittweise auf die vollen 15 KPIs.