KPIs (Key Performance Indicators) sind essenzielle Kennzahlen, um den Erfolg von Unternehmen, Projekten oder Prozessen zu messen und zu steuern. In der Informationssicherheit sind KPIs besonders wichtig, um Risiken zu erkennen, Sicherheitsmaßnahmen zu bewerten und Compliance-Anforderungen einzuhalten.
Wir nutzen in ISMS Projekten seit vielen Jahren KPIs und achten dabei, diese stets nach dem KISS Prinzip (Keep-It-Short-and-Simple, externer Link) auszuwählen und umzusetzen. Natürlich sollten die KPIs kundenspezifisch an die Unternehmensgröße und den ‑schwerpunkt angepasst werden.
Bei der Erstellung unseres KPI-Sets haben wir folgende Merksätze berücksichtigt:
- 1
Security-KPIs sollten immer auf konkrete Risiken einzahlen und an Business-Zielen ausgerichtet sein.
👉 Aber, nicht messen, was leicht messbar ist – sondern was relevant ist! - 2
Das Management / der Vorstand benötigen risikoorientierte, aggregierte KPIs, hingegen Security Operations benötigen technische, operative Messwerte.
👉 Ein KPI sollte ohne lange Erklärung verständlich sein! - 3
KPIs benötigen ein klare Definition, verlässliche Datenquellen, möglichst automatisierte Erhebung und konsistente Messintervalle.
👉 Auf schlechte Daten folgen schlechte Entscheidungen! - 4
Die Erhebung der KPI-Werte bezieht sich nicht auf einen Zeitpunkt, sondern auf die gesamte Periode.
👉 Bei jährlicher oder quartalsweiser KPI-Erhebung wird oft erst knapp vor dem Stichtag nachgearbeitet! - 5
Ein guter Security-KPI zeigt Abweichungen klar auf, löst konkrete Maßnahmen aus und hat definierte Schwellenwerte (Grün / Gelb / Rot).
👉 Die KPI „Anzahl von Sicherheitsvorfälle “ alleine kann keine konkreten Maßnahmen auslösen, jedoch die KPI „Sicherheitsvorfälle durch menschliche Fehler“ schon! - 6
Achten Sie auf eine Balance aus Leading KPIs (präventiv) und Lagging KPIs (reaktiv).
👉 Gute KPI-Sets enthalten beide Typen! - 7
KPIs sollten über die Zeit vergleichbar sein und Trends sichtbar machen, ggf. sogar internes oder externes Benchmarking erlauben.
👉 Ein einzelner Wert ist weniger wertvoll als ein Trend! - 8
Weniger ist mehr: Lieber 10 gute KPIs als 50 irrelevante.
👉 KPIs regelmäßig reviewen & anpassen und veraltete KPIs konsequent streichen!
Für das Jahr 2026 empfehlen die SEC4YOU BeraterInnen den Kunden, die ein Informationssicherheits-Managementsystem nach ISO 27001, TISAX®, DORA oder NIS2 umsetzen, mit den folgenden sieben KPIs aus Ausgangsbasis zu starten.
Security Awareness
#1 Abdeckungsgrad der Security Awareness Schulungen
Da Phishing und Social Engineering zu den gefährlichsten Cyberbedrohungen zählen, ist es wichtig, dass alle MitarbeiterInnen regelmäßig im Bereich Informationssicherheit sensibilisiert werden und alle gültigen InfoSec Vorgaben des Unternehmens kennen.
KPI Berechnung (in %)
1) MitarbeiterInnen mit IT-Accounts
Erhebung: quartalsweise | Ziel 100% | Grün z.B. ab 90%
Business Continuity
#2 Backup aller IT-Systeme
Backups sind eine essenzielle Sicherheitsmaßnahme für IT-Systeme. Ohne sie kann ein Datenverlust schwerwiegende finanzielle und betriebliche Folgen haben. Mit dieser KPI wird gemessen ob alle IT-Systeme, IT-Dienste. Datenbestände — egal ob OnPrem, im Rechenzentrum oder in der Cloud — regelmäßig gesichert werden.
KPI Berechnung (in %)
1) Nicht relevante IT-Systeme benötigen eine dokumentierte Ausnahme.
Erhebung: quartalsweise | Ziel 100% | Grün bei 100%
Sicherheitsvorfälle
#3 Sicherheitsvorfälle durch menschliche Fehler
Sicherheitsvorfälle durch menschliche Fehler können zwar nie vollständig ausgeschlossen, aber durch verschiedene Maßnahmen wie Awareness-Schulungen, klare Sicherheitsrichtlinien und eine positive Fehlerkultur mit Meldewesen erheblich reduziert werden.
KPI Berechnung (als Wert)
zum Beispiel 3 Vorfälle im Quartal bei 250 MitarbeiterInnen ergibt: 3 x 100 / 250 = 1,2 = gerundet KPI von 1
Erhebung: quartalsweise | Ziel 0 | Grün z.B. bei <2
Cyberhygiene
#4 Effektivität beim Patch-Management
Alle IT-Systeme werden gepatcht und es gibt keine offenen Schwachstellen durch verwundbare Software
KPI Berechnung (in %)
zum Beispiel 240 gepatchte IT-Systeme (“Dashboard: Status Compliant”) im Quartal bei 255 IT-Systemen: 250 / 255 = KPI 94%
Erhebung: quartalsweise | Ziel 100% | Grün z.B. ab 90%
Verfügbarkeit
#5 Einhaltung der SLA von IT-Diensten
Die im IT-Service-Management definierten Service Level Agreements (SLA) speziell in Bezug auf Verfügbarkeit und Betriebsstabilität der selbst betriebenen IT-Dienste werden gemessen und die Einhaltung der SLAs in einem Quartal wird als KPI erfasst.
KPI Berechnung (in %)
zum Beispiel 30 SLA überwachte IT-Dienste, 2 Ausfälle von IT-Diensten im Quartal: ( 30 — 2 ) / 30 = gerundeter KPI-Wert ist 93%
Erhebung: quartalsweise | Ziel 100% | Grün z.B. bei 98%
Aktualität ISMS
#6 Aktualität der InfoSec Richtlinien und Dokumentationen
Aktuelle und veröffentlichte Informationssicherheits-Richtlinien sind essenziell, um ein Unternehmen vor Cyberbedrohungen zu schützen, gesetzliche Anforderungen zu erfüllen und klare Sicherheitsstandards für alle Mitarbeiter zu setzen. Der ISB/CISO pflegt eine Liste der ISMS Dokumentationen und ist verpflichtet diese aktuell zu halten und relevante Dokumente an die interessierten Parten zu veröffentlichen.
KPI Berechnung (in %)
1) Die Liste der InfoSec Informationen umfasst u.a. das ISMS Management-Handbuch, InfoSec Richtlinien, relevante Prozesse
Erhebung: jährlich | Ziel 100% | Grün bei 100%
Kontinuierliche Verbesserung
#7 Audit Feststellungen werden fristgerecht behoben
Es ist wichtig, dass Auditfeststellungen fristgerecht behoben werden, weil sie oft Sicherheitslücken, Compliance-Verstöße oder betriebliche Risiken aufdecken. Eine schnelle Behebung stellt sicher, dass das Unternehmen rechtliche, finanzielle und sicherheitsrelevante Risiken minimiert. Die KPI misst, ob Feststellungen und Schwachstellen gemäß ihrer Schwere bewertet sind und mit der nötigen Priorität versehen, fristgerecht geschlossen werden.
KPI Berechnung (in %)
1) Zu dem Auditfeststellungen zählen sowohl technisch/organisatorische Schwächen im Bereich Informationssicherheit,
als auch technische Schwachstellen/Exploits ab einer mittleren Kritikalität.
zum Beispiel bei 45 Feststellungen des lfd. Jahres ist die Behandlungsfrist erreicht, davon wurden 41 fristgerecht geschlossen: 41 / 45 = KPI 91%
Erhebung: quartalsweise | Ziel 100% | Grün z.B. ab 90%
