{"id":14897,"date":"2025-10-02T04:12:23","date_gmt":"2025-10-02T04:12:23","guid":{"rendered":"https:\/\/newestek.com\/?p=14897"},"modified":"2025-10-02T04:12:23","modified_gmt":"2025-10-02T04:12:23","slug":"10-kennzahlen-die-cisos-weiterbringen","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=14897","title":{"rendered":"10 Kennzahlen, die CISOs weiterbringen"},"content":{"rendered":"
\n
\n
\n
\n
\n
\n
<\/div>\n<\/section>\n
\n
\n

Geht es um Security-Kennzahlen, sollten CISOs sich auf das Wesentliche fokussieren. <\/p>\n<\/figcaption><\/figure>\n

Foto: Vadym Nechyporenko \u2013 shutterstock.com<\/p>\n<\/div>\n

Die Security-Performance zu messen<\/a>, geh\u00f6rt vielleicht nicht zu den aufregendsten Aufgaben eines CISOs \u2013 kann allerdings sehr n\u00fctzlich sein, um eine ganze Reihe von Herausforderungen zu bew\u00e4ltigen. Neben der Erkenntnis dar\u00fcber, wie effektiv ihre Security-Bem\u00fchungen sind, k\u00f6nnen Sicherheitsentscheider mit den richtigen Kennzahlen unter anderem auch strategisches Alignment<\/a> mit dem Business demonstrieren.<\/p>\n

Um jedoch einen echten Nutzen aus den Metriken ziehen zu k\u00f6nnen, ist das oberste Gebot, sich auf diejenigen zu konzentrieren, die belegen, dass die Security das Business st\u00fctzt. Kennzahlen, denen es an Bedeutung oder Kontext mangelt, sind hingegen zu vernachl\u00e4ssigen, wie Richard Absalom, Principal Research Analyst beim Information Security Forum, unterstreicht: \u201cMan kann unz\u00e4hlige Dinge in Sachen Security Performance messen<\/a> \u2013 was mit Blick auf Extraktion und Reporting viel Zeit, M\u00fche und Ressourcen kostet. Fragen Sie sich: Warum messen wir das? Wie hilft uns das? Welche Frage k\u00f6nnen wir damit beantworten? Wenn die Messung nicht dazu beitr\u00e4gt, Stakeholdern oder Entscheidern wichtige Informationen zu liefern, wird sie sehr wahrscheinlich ignoriert.\u201d<\/p>\n

10 Security-Metriken, von denen CISOs profitieren<\/h1>\n

Im Folgenden haben wir im Gespr\u00e4ch mit Experten und Entscheidern zehn Benefits identifiziert, die CISOs mit den jeweils richtigen Security-Metriken realisieren k\u00f6nnen.<\/p>\n

1. Incident-Response-Metriken<\/strong><\/p>\n

Mean Time to Detect (MTTD<\/a>) oder Mean Time to Respond (MTTR<\/a>) liefern beispielsweise quantitative Daten, die CISOs dabei unterst\u00fctzen, objektive Entscheidungen zu treffen. Frank Kim, Fellow am SANS Institute, erkl\u00e4rt: \u201cIndem sie wichtige Sicherheitsindikatoren analysieren und nachverfolgen, k\u00f6nnen CISOs Priorit\u00e4ten setzen, Ressourcen zuweisen und sich auf die Bereiche konzentrieren, die am dringendsten optimiert werden m\u00fcssen.\u201d<\/p>\n

2. Security-Investment-Metriken<\/strong><\/p>\n

Beispielsweise zu wissen, wie hoch der Prozentsatz wichtiger Business-Initiativen mit eingebetteten Sicherheitsprozessen ist, kann CISOs dabei unterst\u00fctzen, den Return on Investment<\/a> (ROI) von Security-Initiativen gegen\u00fcber der Gesch\u00e4ftsleitung und den Stakeholdern nachzuweisen. Insofern aufgezeigt wird, wie diese Bem\u00fchungen zur Risikominderung und dazu beitragen, Zwischenf\u00e4lle zu verhindern.<\/p>\n

\u201cDie Stakeholder interessieren sich nicht f\u00fcr die Cyberrisiken, sondern die Gesch\u00e4ftsrisiken, die sich aus dem Cyberbereich ergeben\u201d, konstatiert Brian Contos, CSO bei Sevco Security. Er f\u00fcgt hinzu: \u201cGenauer gesagt geht es dabei um Risiken im Zusammenhang mit Umsatz, Brands, Operations sowie ESG \u2013 Environmental, Social, Governance.\u201d<\/p>\n

3. Security-Awareness-Metriken<\/strong><\/p>\n

In diesen Bereich f\u00e4llt beispielsweise der Prozentsatz der Fachabteilungen, die an entsprechenden Programmen beteiligt sind. Diese Kennzahlen unterst\u00fctzen dabei, zu ermitteln, ob im Unternehmen eine Security-Kultur<\/a> existiert \u2013 oder entsteht. So l\u00e4sst sich darstellen, wie effektiv entsprechende Initiativen auf die allgemeine Sicherheitslage des Unternehmens einzahlen \u2013 was f\u00fcr Sicherheitsentscheider traditionell eine Herausforderung darstellt.<\/p>\n

Fred Rica, ehemals Head of Cyber Practice bei KPMG und Partner beim Wirtschaftspr\u00fcfungsunternehmen BPM, erl\u00e4utert: \u201cCISOs, die dem Vorstand technische Kennzahlen pr\u00e4sentieren, schie\u00dfen oft am Ziel vorbei, weil der Kontext fehlt. Dem Board mitzuteilen, dass 100.000 Events per Firewall blockiert wurden, wird ohne entsprechenden Kontext nicht fruchten.\u201d<\/p>\n

4. Vulnerability-Management-Metriken<\/strong><\/p>\n

Metriken im Bereich Schwachstellenmanagement<\/a>, wie das \u201cWindow of Exposure\u201d, k\u00f6nnen CISOs dabei unterst\u00fctzen, das Risikoprofil ihrer Organisationen besser zu verstehen und Bedrohungen aktiv zu begegnen.<\/p>\n

\u201cLetztlich geht es darum, die zerbrochenen Fenster und unverschlossenen T\u00fcren eines Unternehmens anzugehen\u201d, verbildlicht SANS-Experte Kim. \u201cVulnerability-Management-Metriken geben Aufschluss dar\u00fcber, wie lange die T\u00fcren potenziell offenstehen und unterst\u00fctzen dabei, t\u00e4gliche Arbeitsabl\u00e4ufe zu etablieren, zum Beispiel im Bereich Scanning oder Patching<\/a>.\u201d<\/p>\n

5. Security-Process-Improvement-Metriken<\/strong><\/p>\n

Metriken zur Verbesserung von Sicherheitsprozessen erfassen den Fortschritt im Zeitverlauf und erm\u00f6glichen CISOs, spezifische Ziele zu setzen beziehungsweise zu verfolgen. Ein Beispiel f\u00fcr eine Kennzahl in diesem Bereich w\u00e4re der Prozentsatz von Vorf\u00e4llen mit derselben wiederkehrenden Grundursache.<\/p>\n

\u201cDieser datengesteuerte Ansatz tr\u00e4gt zur kontinuierlichen Verbesserung der Sicherheitspraktiken bei und f\u00f6rdert eine Kultur der Verantwortlichkeit\u201d, h\u00e4lt Kim fest. Anschlie\u00dfend k\u00f6nnten risikobasierte Metriken in Jahresberichte oder Corporate-Governance-Dokumente einflie\u00dfen.<\/p>\n

6. Security-Maturity-Metriken<\/strong><\/p>\n

Metriken zum Security-Reifegrad \u2013 beispielsweise Capability Maturity Scores \u2013 lassen sich mit Branchen-Benchmarks (beispielsweise denen des Center for Internet Security<\/a>) oder auch fr\u00fcheren Ergebnissen abgleichen. Das erm\u00f6glicht Sicherheitsentscheidern, den Security-Reifegrad ihrer Organisation zu verstehen, um im Anschluss realistische Sicherheitsziele und -strategien zu entwickeln.<\/p>\n

Laut ISF-Chefanalyst Absalom sollten Sicherheitsverantwortliche nach Indikatoren und Metriken Ausschau halten, die Aufschluss dar\u00fcber geben, wie gut die Organisation:<\/p>\n