Security Dashboard aufbauen: Welche Metriken auf den Bildschirm gehören

Was ein Security Dashboard leisten muss

Ein Security Dashboard ist kein Dekorationselement für den Flachbildschirm im Flur und kein Spielzeug für Technikbegeisterte. Es ist ein Entscheidungswerkzeug. In weniger als 30 Sekunden muss es eine Person in die Lage versetzen, eine der folgenden Fragen zu beantworten:

• Gibt es gerade etwas, das meine sofortige Aufmerksamkeit braucht?
• Werden wir besser oder schlechter?
• Wo müssen wir investieren oder nachsteuern?
• Können wir die nächste Prüfung bestehen?

Wenn dein Dashboard keine dieser Fragen beantwortet, ist es nutzlos. Wenn es alle vier beantwortet, ist es eines der wertvollsten Werkzeuge in deinem ISMS.

Die drei Dashboard-Ebenen

Nicht jeder braucht dasselbe Dashboard. Der Geschäftsführer braucht andere Informationen als der Security-Analyst. Die Lösung: Drei Dashboard-Ebenen für drei Zielgruppen.

Ebene 1: Executive Dashboard (Geschäftsleitung)

Zielgruppe: Geschäftsführung, Vorstand, C-Level

Zweck: Gesamtüberblick über den Sicherheitsstatus. Handlungsbedarf erkennen. Investitionsentscheidungen unterstützen.

Aktualisierung: Wöchentlich oder monatlich

Design-Prinzip: Maximal eine Bildschirmseite. Ampelfarben. Trends. Keine technischen Details. Wenn die Geschäftsleitung fragen muss, was eine Metrik bedeutet, gehört sie nicht auf dieses Dashboard.

Metriken:

1. Gesamtrisikostatus (Ampel): Eine aggregierte Bewertung des aktuellen Risikoniveaus. Grün = alle identifizierten Risiken sind auf akzeptablem Niveau. Gelb = einzelne Risiken über dem Akzeptanzniveau, Maßnahmen laufen. Rot = kritische Risiken ohne angemessene Behandlung.

2. Offene kritische Schwachstellen: Anzahl ungepatchter Schwachstellen mit CVSS >= 9.0 auf produktiven Systemen. Zielwert: 0. Jede Zahl > 0 erfordert eine Erklärung.

3. Aktive Sicherheitsvorfälle: Anzahl und Schweregrad der aktuell laufenden Incidents. Keine aktiven kritischen Incidents = grün. Laufende Incidents mit hohem Schweregrad = rot.

4. Compliance-Status: Prozentualer Erfüllungsgrad der relevanten Compliance-Anforderungen (NIS2, ISO 27001, branchenspezifische Vorgaben). Mit Trend-Pfeil.

5. Patch-Compliance: Prozentsatz der Systeme, die innerhalb des definierten Zeitrahmens gepatcht wurden. Differenziert nach kritisch/hoch/mittel.

6. Nächste Meilensteine: Die drei wichtigsten anstehenden Termine (nächster Audit, auslaufendes Zertifikat, Compliance-Deadline).

Ebene 2: Management Dashboard (ISB, IT-Leitung)

Zielgruppe: Informationssicherheitsbeauftragter, IT-Leitung, ISMS-Team

Zweck: Operative Steuerung des ISMS. Engpässe erkennen. Ressourcen zuweisen. Maßnahmen priorisieren.

Aktualisierung: Täglich bis wöchentlich

Design-Prinzip: Zwei bis drei Bildschirmseiten. Mehr Detail als das Executive Dashboard, aber immer noch fokussiert auf Handlungsrelevanz. Zeigt nicht nur den Status, sondern auch die Ursachen.

Metriken:

7. Risikobehandlungsfortschritt: Überfällige Maßnahmen nach Bereich/Verantwortlichem. Ampel pro Maßnahme. Gantt-ähnliche Darstellung für zeitkritische Maßnahmen.

8. Schwachstellen-Pipeline: Anzahl offener Schwachstellen nach Alter (< 7 Tage, 7-30 Tage, 30-90 Tage, > 90 Tage) und Kritikalität. Die Alterung ist der entscheidende Indikator: Schwachstellen, die seit 90 Tagen offen sind, deuten auf strukturelle Probleme hin.

9. Incident-Trend: Anzahl und Typ der Incidents der letzten 12 Monate als Balkendiagramm. Mit Overlay der durchschnittlichen Reaktionszeit (MTTR). Zeigt saisonale Muster und langfristige Trends.

10. Asset-Coverage: Anteil der IT- und OT-Assets, die im ISMS erfasst und mit einer aktuellen Risikobewertung versehen sind. Zeigt blinde Stellen auf.

11. Schulungsstatus: Schulungsquote nach Abteilung und Fälligkeit. Welche Abteilungen sind überfällig? Wo steht die nächste Phishing-Simulation an?

12. Audit-Finding-Tracker: Offene Findings nach Quelle (internes Audit, externes Audit, Selbstbewertung), Schweregrad und Fälligkeit.

13. Supplier-Risk-Status: Übersicht über die Sicherheitsbewertung der wichtigsten Dienstleister und Lieferanten. Besonders relevant für NIS2-pflichtige Unternehmen.

Ebene 3: Operatives Dashboard (Security-Team)

Zielgruppe: Security-Analysten, Systemadministratoren, SOC-Team (falls vorhanden)

Zweck: Echtzeit-Überblick über die technische Sicherheitslage. Anomalien erkennen. Incidents priorisieren.

Aktualisierung: Echtzeit oder nahezu Echtzeit

Design-Prinzip: Datenintensiv. Technische Details. Filterfähig und drilldown-fähig.

Metriken:

14. Aktive Alerts: Offene Security-Alerts aus SIEM, EDR, Firewall und OT-Monitoring, gruppiert nach Schweregrad und Status (neu, in Bearbeitung, eskaliert).

15. Netzwerk-Anomalien: Ungewöhnliche Kommunikationsmuster, neue Geräte im Netzwerk, verdächtige DNS-Anfragen, Verbindungen zu bekannten C2-Servern.

16. Authentifizierungs-Anomalien: Fehlgeschlagene Login-Versuche, Anmeldungen aus ungewöhnlichen Standorten, gleichzeitige Anmeldungen desselben Benutzers.

17. Endpoint-Status: Anteil der Endpoints mit aktuellem Virenschutz, aktiver EDR-Agent, aktuellem Betriebssystem.

18. Firewall-Status: Top-Blocked-Traffic, neue Regelverletzungen, Verbindungen zu blockierten Zielen.

Metriken auswählen: Die Prinzipien

Weniger ist mehr

Die größte Versuchung beim Dashboard-Design ist, zu viele Metriken aufzunehmen. Ein Dashboard mit 40 Kacheln ist kein Dashboard, sondern ein Wimmeldbild. Für das Executive Dashboard: maximal 6 Metriken. Für das Management Dashboard: maximal 15. Für das operative Dashboard: so viele wie nötig, aber mit klarer Gruppierung und Filterung.

Nur automatisiert erhebbare Metriken

Jede Metrik, die manuell erhoben werden muss, wird über kurz oder lang veralten. Manuelle Erhebung funktioniert für einen Quartalsbericht. Für ein Dashboard, das täglich oder wöchentlich aktuell sein soll, ist sie nicht tragfähig. Beschränke dich auf Metriken, für die du automatisierte Datenquellen hast.

Kontext zeigen

Eine Zahl ohne Kontext ist wertlos. „Patch-Compliance: 87 %" sagt wenig. „Patch-Compliance: 87 % (Ziel: 95 %, Vormonat: 82 %, Trend: steigend)" erzählt eine Geschichte. Jede Metrik braucht mindestens: den aktuellen Wert, den Zielwert, den Vorperiodenwert und eine visuelle Trendanzeige.

Handlungsrelevanz

Jede Metrik auf dem Dashboard muss eine Antwort auf die Frage „Und was mache ich jetzt?" ermöglichen. Wenn eine Metrik rot ist, muss klar sein, welche Aktion folgt. Wenn bei keiner Farbe eine Aktion folgt, braucht die Metrik nicht auf dem Dashboard zu stehen.

Datenquellen und Integration

Ein Dashboard ist nur so gut wie seine Datenquellen. Für ein mittelständisches Unternehmen kommen typischerweise folgende Quellen in Frage:

IT-Systeme

OT-Systeme

ISMS-Daten

Integration

Die ideale Lösung: Alle Datenquellen speisen in eine zentrale Plattform, die die Dashboards generiert. In der Praxis ist das oft das SIEM (für operative Daten) und das ISMS-Tool (für Governance-Daten).

Wenn eine vollständige Integration nicht möglich ist, sind auch separate Dashboards akzeptabel, solange sie klar definierte Verantwortlichkeiten haben. Wichtig ist, dass die Daten regelmäßig und automatisiert aktualisiert werden.

Dashboard-Design: Praktische Tipps

Farbschema

Verwende ein konsistentes Farbschema mit klarer Bedeutung:

• Grün: Zielwert erreicht, kein Handlungsbedarf
• Gelb/Orange: Zielwert knapp verfehlt, Beobachtung nötig
• Rot: Zielwert deutlich verfehlt, Handlungsbedarf
• Grau: Keine Daten verfügbar (ebenfalls ein Alarmsignal)

Vermeide mehr als diese vier Farben. Jede zusätzliche Farbe verwässert die Aussage.

Layout

Executive Dashboard: Große Kacheln, viel Weißraum, keine Scrollbalken. Die wichtigste Information (gibt es ein kritisches Problem?) muss sofort erkennbar sein, auch aus drei Metern Entfernung.

Management Dashboard: Modulares Grid-Layout. Jeder Bereich (Risiko, Compliance, Incidents, Schwachstellen) hat eine eigene Sektion. Tabs oder Navigation für verschiedene Bereiche sind akzeptabel.

Operatives Dashboard: Dichte Darstellung mit Filtern. Sortierbare Tabellen, Zeitleisten, Drill-Down-Möglichkeit von der Übersicht zum Detail.

Aktualisierung

Definiere für jede Metrik die Aktualisierungsfrequenz und mache sie auf dem Dashboard sichtbar. Ein „Stand: 14.03.2026, 08:00 Uhr" gibt dem Betrachter Vertrauen in die Aktualität. Ein Dashboard ohne Zeitstempel wirkt wie ein Foto von gestern.

Alerts

Das Dashboard sollte aktive Alerting-Funktionen haben. Wenn eine kritische Metrik den Schwellenwert überschreitet, wird nicht nur die Kachel rot, sondern es wird aktiv benachrichtigt (E-Mail, Slack/Teams, SMS). Das Dashboard ist dann die Detailansicht für den Alert.

Häufige Fehler beim Dashboard-Design

Der Datengrab-Fehler

Du zeigst alle verfügbaren Daten, weil du sie hast. Das Ergebnis: Ein Dashboard mit 50 Kacheln, das niemand nutzt. Lösung: Beginne mit den Fragen, die beantwortet werden sollen, und wähle nur die Metriken, die diese Fragen beantworten.

Der Eitelkeits-Fehler

Du zeigst nur Metriken, die gut aussehen. Die Backup-Erfolgsrate ist 99,8 %, die Schulungsquote ist 97 %, alles ist grün. Aber die Patch-Compliance für kritische Schwachstellen ist nicht auf dem Dashboard, weil sie bei 62 % liegt. Ein Dashboard, das nur gute Nachrichten zeigt, ist kein Steuerungsinstrument, sondern Selbstbetrug.

Der Kontext-Fehler

Du zeigst eine Zahl ohne Vergleichswert. „47 Sicherheitsvorfälle diesen Monat" klingt nach viel. Aber wenn es im Vormonat 120 waren und der Durchschnitt bei 80 liegt, ist 47 ein Erfolg. Ohne Kontext führt die Zahl zu falschen Schlussfolgerungen.

Der Aktualitäts-Fehler

Dashboard-Daten, die eine Woche alt sind, sind für operative Entscheidungen wertlos. Und ein „Echtzeit"-Label auf Daten, die nur einmal täglich aktualisiert werden, ist irreführend. Sei ehrlich über die Aktualität und passe die Aktualisierungsfrequenz an den Nutzungszweck an.

Der Silo-Fehler

Du hast separate Dashboards für Netzwerk-Security, Endpoint-Security, Cloud-Security und ISMS-Compliance, aber keines, das den Gesamtzustand zeigt. Die Geschäftsleitung will nicht vier Dashboards lesen, sie will eine Antwort auf die Frage: Sind wir sicher?

Der Aufbau in drei Phasen

Phase 1: Executive Dashboard (2-4 Wochen)

Beginne mit dem Executive Dashboard. Es hat den größten Hebel (Sichtbarkeit bei der Geschäftsleitung) und den geringsten Datenanspruch (5-6 Metriken). Viele der Daten kannst du initial manuell erheben und dann schrittweise automatisieren.

Phase 2: Management Dashboard (4-8 Wochen)

Erweitere um das Management Dashboard. Hier brauchst du Anbindungen an mehr Datenquellen (Patch-Management, Ticketsystem, ISMS-Tool). Investiere in die Automatisierung der Datenerhebung, bevor du das Dashboard baust. Ein manuell befülltes Management Dashboard wird nach zwei Monaten nicht mehr aktualisiert.

Phase 3: Operatives Dashboard (laufend)

Das operative Dashboard wächst organisch mit deinen technischen Fähigkeiten. Beginne mit den Daten, die dein SIEM oder deine Security-Tools bereits liefern. Erweitere schrittweise um OT-Monitoring, Cloud-Security-Daten und Identity-Daten.

Tools und Plattformen

Die Wahl der Dashboard-Plattform hängt von deinen vorhandenen Systemen und deinem Budget ab. Hier eine Übersicht der gängigen Ansätze:

Option 1: Integriertes SIEM-Dashboard

Wenn du bereits ein SIEM betreibst (Microsoft Sentinel, Elastic SIEM, Splunk), bietet es integrierte Dashboard-Funktionen. Der Vorteil: Die sicherheitsrelevanten Daten sind bereits vorhanden. Der Nachteil: ISMS-Governance-Daten (Risikostatus, Maßnahmenfortschritt, Audit-Findings) fehlen typischerweise.

Geeignet für: Das operative Dashboard (Ebene 3) und Teile des Management Dashboards (Ebene 2).

Option 2: Business-Intelligence-Tool

Tools wie Power BI, Grafana oder Tableau können Daten aus verschiedenen Quellen aggregieren und visualisieren. Du baust dir die Dashboards selbst und hast volle Kontrolle über das Design und die Datenintegration.

Geeignet für: Alle drei Ebenen, erfordert aber Aufwand für die Datenintegration und Dashboard-Erstellung. Grafana ist besonders beliebt für technische Security-Dashboards, Power BI für Executive Dashboards.

Option 3: ISMS-Tool mit Dashboard

Spezialisierte ISMS-Tools liefern Dashboards, die direkt auf den im Tool verwalteten Daten basieren: Risikostatus, Maßnahmenfortschritt, Compliance-Status, Asset-Inventar. Die Integration mit technischen Sicherheitsdaten (SIEM, EDR, Vulnerability Scanner) variiert je nach Tool.

Geeignet für: Das Executive Dashboard (Ebene 1) und das Management Dashboard (Ebene 2), ergänzt durch operative Daten aus dem SIEM. ISMS Lite liefert ein integriertes Dashboard mit Echtzeit-Metriken aus Risiken, Maßnahmen und Vorfällen, das sowohl Executive- als auch Management-Ansichten abdeckt.

Option 4: Eigenentwicklung

Für Unternehmen mit Entwickler-Ressourcen: Ein einfaches Dashboard auf Basis von Web-Technologien (React, Vue, Chart.js), das Daten per API aus verschiedenen Quellen zieht. Maximale Flexibilität, aber auch maximaler Entwicklungs- und Wartungsaufwand.

Geeignet für: Unternehmen mit spezifischen Anforderungen, die keine Standardlösung abdeckt. Für die meisten mittelständischen Unternehmen ist der Aufwand nicht gerechtfertigt.

Einführung und Akzeptanz

Das beste Dashboard nützt nichts, wenn es niemand anschaut. Die Einführung eines Security Dashboards ist nicht nur ein technisches Projekt, sondern auch ein Change-Management-Thema.

Das Dashboard sichtbar machen

Hänge einen Bildschirm mit dem Executive Dashboard an einen prominenten Ort: im Flur der IT-Abteilung, im Besprechungsraum der Geschäftsleitung oder im Eingangsbereich des Serverraums. Die physische Präsenz macht das Dashboard zu einem natürlichen Gesprächsanlass. Wenn der Geschäftsführer auf dem Weg zum Meeting eine rote Kachel sieht, fragt er nach. Und das ist genau das, was du willst.

Rituale etablieren

Binde das Dashboard in bestehende Besprechungsformate ein. Das Weekly des IT-Teams beginnt mit einem Blick auf das operative Dashboard. Das monatliche Management-Meeting enthält einen festen Agenda-Punkt „Security Status" basierend auf dem Executive Dashboard. Das quartalsweise ISMS-Review nutzt das Management Dashboard als Grundlage.

Feedback einholen

Frage die Nutzer regelmäßig: Welche Metrik ist am nützlichsten? Welche verstehst du nicht? Welche fehlt dir? Was würdest du ändern? Ein Dashboard, das auf Feedback reagiert, wird genutzt. Ein Dashboard, das von oben verordnet wird und nie angepasst wird, wird ignoriert.

Erfolge feiern

Wenn eine Metrik sich verbessert (Patch-Compliance steigt von 78 % auf 94 %, Phishing-Klickrate sinkt von 18 % auf 4 %), kommuniziere das aktiv. Verbesserungen sichtbar zu machen, motiviert das Team und zeigt der Geschäftsleitung, dass die Investition in Sicherheit wirkt.

Kennzahlen im Dashboard und im Management Review

Das Dashboard und das Management Review sind zwei Seiten derselben Medaille. Das Dashboard zeigt den aktuellen Status. Das Management Review analysiert die Trends und leitet Maßnahmen ab.

Die Metriken aus dem Dashboard fließen direkt in das Management Review ein. Der Vorteil: Wenn du ein gut gepflegtes Dashboard hast, ist die Vorbereitung des Management Reviews deutlich einfacher. Statt Daten aus verschiedenen Quellen zusammenzusuchen, exportierst du die Dashboard-Daten und ergänzt sie um qualitative Analysen und Empfehlungen. Welche ISMS-Kennzahlen ins Management Review gehören, beschreibt ein eigener Artikel im Detail.

Umgekehrt fließen die Ergebnisse des Management Reviews zurück ins Dashboard: angepasste Zielwerte, neue Metriken, geänderte Schwellenwerte für Alerts.

Das Dashboard als Kommunikationsinstrument

Abschließend ein Perspektivwechsel: Das Security Dashboard ist nicht nur ein Steuerungsinstrument, sondern auch ein Kommunikationsinstrument. Es erzählt eine Geschichte über den Zustand der Informationssicherheit in deinem Unternehmen.

Gegenüber der Geschäftsleitung kommuniziert es: „Wir haben die Lage im Griff" (oder eben nicht). Gegenüber Auditoren kommuniziert es: „Wir messen die Wirksamkeit unseres ISMS systematisch." Gegenüber dem eigenen Team kommuniziert es: „Unsere Arbeit macht einen messbaren Unterschied."

Diese kommunikative Funktion ist mindestens so wichtig wie die operative. Ein ISB, der in einem Management Review ein sauberes Dashboard präsentiert, hat eine deutlich stärkere Position bei Budgetverhandlungen als einer, der nur Bauchgefühl und Anekdoten liefert.

Investiere in die Qualität deines Dashboards. Es ist dein Schaufenster.

OT-Metriken im Dashboard

Wenn dein Unternehmen neben IT auch OT-Systeme betreibt, sollte das Dashboard das widerspiegeln. OT-spezifische Metriken, die auf das Management Dashboard gehören:

OT-Asset-Coverage: Anteil der OT-Assets, die im Asset-Register erfasst und mit einer aktuellen Risikobewertung versehen sind. Zeigt, ob die OT-Welt im ISMS sichtbar ist.

OT-Patch-Status: Anzahl ungepatchter OT-Systeme mit bekannten Schwachstellen, differenziert nach Kritikalität. Hier gelten andere Maßstäbe als in der IT (längere Patch-Zyklen sind normal), aber die Sichtbarkeit ist entscheidend.

Fernwartungszugang-Status: Anzahl aktiver Fernwartungszugänge und deren letzter Audit-Zeitpunkt. Ein Zugang, der seit zwei Jahren nicht überprüft wurde, ist ein Risiko.

OT-Netzwerk-Anomalien: Wenn du ein passives OT-Monitoring betreibst, zeige die Anzahl erkannter Anomalien pro Woche oder Monat. Der Trend ist wichtiger als der Absolutwert.

Diese Metriken gehören nicht auf das Executive Dashboard (dort reicht der Gesamtrisikostatus), aber auf das Management Dashboard sind sie unverzichtbar, wenn OT für dein Unternehmen relevant ist.

Weiterführende Artikel

• ISMS-Kennzahlen: Die 15 KPIs die dein Management Review braucht
• Reifegrad deines ISMS messen: Von Anfänger bis optimiert
• ISMS aufbauen: Der komplette Leitfaden für Unternehmen mit 50 bis 500 Mitarbeitern
• Das Management Review meistern: Vorbereitung, Durchführung und Nachbereitung