Kantyra Kantyra

← Alle artikelen

Algemeen

Wie messen und steuern Sie Ihre Informationssicherheit?

Alain Rees · 12-07-2026 · 10 min leestijd

Als CISO und als CISO Office möchten Sie wissen, wo Sie stehen, sowohl auf Ebene der Organisation als auch auf der Ebene Ihrer eigenen Funktion. Die Berichterstattung an die Geschäftsleitung ergibt sich daraus von selbst. Das eigentliche Ziel ist, genug zu messen, um steuern und rechtzeitig nachsteuern zu können. In diesem Artikel lesen Sie, wie Sie das mit Indikatoren tun, wie Sie zwischen Leisten und Zielerreichung unterscheiden und wie Sie auf zwei Ebenen messen, ohne in Zahlen zu ertrinken.

Kurz gefasst

  • Sie messen nicht, um zu berichten, sondern um steuern und rechtzeitig nachsteuern zu können.
  • Ein Leistungsindikator (KPI) zeigt, wie Sie leisten, ein Zielindikator (KGI) zeigt, ob Sie das Ziel erreichen.
  • Sie messen auf zwei Ebenen, nämlich der Organisation und dem CISO Office.
  • Jeder Indikator hat einen Zielwert und eine Richtung, und periodische Messungen liefern den Trend und eine Ampel.
  • Beginnen Sie mit manuellen Messungen, die für jedes Thema funktionieren, und automatisieren Sie später, wo es möglich ist.

Der Unterschied zwischen Messen und Berichten

Viele Organisationen berichten zwar über Informationssicherheit, messen aber zu wenig, um wirklich danach steuern zu können. Ein Bericht sagt im Nachhinein, was geschehen ist, während Sie mit guten Messungen während der Fahrt nachsteuern können. Dieser Unterschied ist groß. Eine Geschäftsleitung, die jedes Quartal einen Bericht erhält, weiß, wie es stand, aber ein CISO, der dem Trend folgt, sieht kommen, dass ein Ziel außer Reichweite gerät, und kann noch etwas dagegen tun.

Messen dient daher vor allem Ihrer eigenen Steuerung. Die Berichterstattung an die Geschäftsleitung ergibt sich daraus von selbst, denn wenn Sie die richtigen Dinge messen, haben Sie die Geschichte für die Geschäftsleitung bereits fertig.

Zwei Arten von Indikatoren, der KPI und der KGI

Um steuern zu können, verwenden Sie zwei Arten von Indikatoren, die einander ergänzen.

Ein Leistungsindikator, der KPI, zeigt, wie gut Sie auf dem Weg zu einem Ziel leisten. Die durchschnittliche Behebungszeit kritischer Schwachstellen ist ein solcher Indikator, denn er sagt, wie schnell Sie arbeiten.

Ein Zielindikator, der KGI, zeigt, ob Sie das Ziel auch wirklich erreichen. Der Anteil der kritischen Schwachstellen, die innerhalb der vereinbarten Frist behoben wurden, ist ein solcher Indikator, denn er sagt, ob Sie die Norm erreichen, die Sie sich selbst gesetzt haben.

Die beiden gehören zusammen. Der KPI steuert Ihre tägliche Arbeit, der KGI überwacht, ob diese Arbeit zum gewünschten Ergebnis führt. Zusammen verhindern sie, dass Sie hart arbeiten, ohne Ihr Ziel zu erreichen, oder Ihr Ziel erreichen, ohne zu wissen wie.

Zwei Perspektiven, die Organisation und das CISO Office

Wo Sie stehen, ist eine Frage auf zwei Ebenen, und Sie messen beide.

Die Perspektive der Organisation zeigt, wie die Organisation im Bereich Sicherheit dasteht. Denken Sie an die Schwachstellen, die rechtzeitig behoben wurden, die Vorfälle, die fristgerecht gemeldet wurden, und die Kontinuitätspläne, die erprobt wurden.

Die Perspektive des CISO Office zeigt, wie Ihre eigene Funktion beim Steuern und Überwachen dessen leistet. Denken Sie an die Beurteilungen, die rechtzeitig geprüft wurden, die Register, die aktuell sind, und die Berichterstattung, die rechtzeitig bei der Geschäftsleitung vorliegt.

Diese beiden können auseinanderlaufen. Die Organisation kann gut dastehen, während das CISO Office hinterherhinkt, oder umgekehrt. Indem Sie beide messen, behalten Sie den blinden Fleck im Blick, der entsteht, wenn Sie nur auf eine Ebene schauen.

Wie Sie einen Indikator aufbauen

Ein brauchbarer Indikator ist mehr als eine Zahl. Je Indikator legen Sie eine Reihe von Eigenschaften fest:

  • den Typ, also ob es ein Leistungsindikator oder ein Zielindikator ist;
  • das Thema, wie Risikomanagement, Schwachstellen, Vorfälle, Datenschutz, Kontinuität, Compliance oder Sensibilisierung;
  • die Perspektive, also die Organisation oder das CISO Office;
  • die Einheit und den Zielwert, damit feststeht, was Sie messen und was Sie erreichen wollen;
  • die Richtung, also ob ein höherer oder ein niedrigerer Wert besser ist;
  • den Eigentümer, der für den Indikator verantwortlich ist.

Mit diesen Eigenschaften wird ein Indikator eigenständig lesbar. Jeder sieht auf einen Blick, was gemessen wird, was das Ziel ist und wer dafür zuständig ist.

Von der Messung zu Trend und Ampel

Ein Indikator erwacht durch das Messen zum Leben. Periodisch halten Sie einen Wert fest, mit dem Datum, der Zahl und einer kurzen Erläuterung. Aus dieser Reihe von Messungen ergibt sich von selbst der Trend und der aktuelle Stand.

Der Vergleich mit dem Zielwert liefert anschließend eine Ampel. Steht der Wert auf oder über dem Zielwert, ist der Indikator auf Kurs und färbt sich grün. Liegt er knapp darunter, verlangt er Aufmerksamkeit und färbt sich orange. Bleibt er zurück, färbt er sich rot. So sehen Sie mit einem Blick, wo es gut läuft und wo Sie eingreifen müssen, ohne erst eine Tabelle zergliedern zu müssen.

Die Erläuterung bei jeder Messung ist wichtiger, als sie scheint. Sie erklärt einen Ausreißer, hält eine Annahme fest und macht die Messung später nachvollziehbar.

Wie Sie messen, manuell als Grundlage und automatisch als nächster Schritt

Beim Messen lohnt es sich, praktisch zu beginnen. Manuelle periodische Messungen bilden die beste Grundlage, denn sie funktionieren für jedes Thema. Auch einen Indikator wie die Meldebereitschaft bei Phishing, der aus Ihrer Sensibilisierungsplattform stammt, halten Sie so einfach fest.

Einen Teil der Indikatoren können Sie später automatisch aus Daten speisen, die Sie bereits haben. Denken Sie an die durchschnittliche Behebungszeit, die Anzahl der Risiken oberhalb der Toleranz, die Fristen aus NIS2, die Überprüfungsdaten Ihrer Register und den Umsetzungsgrad Ihrer Anwendbarkeitserklärung. Das ist ein sinnvoller nächster Schritt, auch wenn es keine Voraussetzung ist, um zu beginnen.

Alles für jeden Indikator automatisch messen zu wollen, ist eine Falle. Es würde einen enormen und teils unmöglichen Aufbau erfordern, während eine manuelle Messung pro Quartal Ihnen oft schon genau genug sagt, um zu steuern. Beginnen Sie daher manuell und automatisieren Sie gezielt dort, wo es wirklich Zeit spart.

Berichten und Steuern

Wenn Sie messen, entstehen zwei Arten von Überblick, die einander ergänzen.

Für Ihre eigene Steuerung nutzen Sie eine Scorecard, also einen Überblick mit je Indikator der Ampel und einem Mini-Trend, gruppiert nach Perspektive und nach Thema. Diese Scorecard ist Ihr Arbeitsinstrument, mit dem Sie in einem Bild sehen, wo Sie stehen und wo Sie nachsteuern müssen.

Für die Geschäftsleitung fassen Sie dies in einem Block mit Leistungs- und Zielindikatoren in der regulären Managementberichterstattung zusammen. Die Geschäftsleitung muss nicht jeden Indikator sehen, will aber den Stand in groben Zügen, den Trend und die Punkte, die Aufmerksamkeit verlangen. So bleibt das Messen nah am Ziel: Es ist die Brücke zwischen Ihrer täglichen Steuerung und der Rechenschaft gegenüber der Geschäftsleitung.

Wo dies in Ihrem ISMS hingehört

Indikatoren gehören in die Basis Ihres Managementsystems, zu jedem Plan, denn es ist Vorstands- und Managementinformation, genau wie die Managementberichterstattung selbst. Ihre Verwaltung liegt bei den Managern und Verwaltern, die auch die zugrunde liegenden Themen verwalten, damit der Indikator nah an der Quelle bleibt.

So schließt das Messen direkt an Ihre Informationssicherheit und Risikomanagement (ISMS) und an Themen wie Schwachstellenmanagement an. Die Indikatoren bilden so die Steuerungsschicht über dem Rest Ihrer Beherrschung, statt einer losen Sammlung von Zahlen.

Beispiele für Indikatoren zum Einstieg

Die untenstehenden Beispiele helfen Ihnen weiter. Wählen Sie eine kleine Anzahl aus, denn besser ein paar Indikatoren, die Sie wirklich pflegen, als eine lange Liste, die verwässert.

Organisation, wie steht die Organisation da

Thema Indikator Typ Zielwert
Schwachstellen Kritische Schwachstellen innerhalb der Behebungsfrist behoben KGI ≥ 95 %
Schwachstellen Durchschnittliche Behebungszeit kritischer Schwachstellen KPI ≤ 14 Tage
Risikomanagement Toprisiken mit einem aktuellen Behandlungsplan KGI 100 %
Risikomanagement Risiken oberhalb der Toleranz ohne Akzeptanz KPI 0
Vorfälle Meldepflichtige Vorfälle innerhalb von 72 Stunden gemeldet KGI 100 %
Vorfälle Durchschnittliche Durchlaufzeit vom Vorfall bis zur Behebung KPI sinkend
Datenschutz Verarbeitungen mit einer gültigen Rechtsgrundlage und einer aktuellen Überprüfung KGI 100 %
Kontinuität Kontinuitätspläne, die im vergangenen Jahr erprobt wurden KPI 100 %
Compliance Umsetzungsgrad der Anwendbarkeitserklärung KGI steigend
Sensibilisierung Meldebereitschaft bei Phishing KPI steigend

CISO Office, wie macht es der CISO

Indikator Typ Zielwert
Beurteilungen innerhalb der Frist nach dem Vier-Augen-Prinzip geprüft KPI ≥ 90 %
Risiken mit einem zugewiesenen Eigentümer und Bearbeiter KGI 100 %
Register innerhalb ihres Überprüfungsdatums (Risiken, Dokumente, Verarbeitungen) KPI ≥ 95 %
Überfällige Aufgaben im CISO Office KPI sinkend
Maßnahmen, die rechtzeitig auf Wirksamkeit getestet wurden KPI ≥ 90 %
Quartalsbericht an die Geschäftsleitung rechtzeitig geliefert KGI ja

So beginnen Sie mit Messen und Steuern

  1. Wählen Sie eine kleine Anzahl von Indikatoren. Nehmen Sie je Thema einen oder zwei Indikatoren, verteilt über die zwei Perspektiven.
  2. Legen Sie die Eigenschaften fest. Bestimmen Sie je Indikator den Typ, die Einheit, den Zielwert, die Richtung und den Eigentümer.
  3. Messen Sie periodisch. Halten Sie jede Messung mit dem Datum, dem Wert und einer kurzen Erläuterung fest.
  4. Beurteilen und steuern Sie nach. Verfolgen Sie den Trend und die Ampel und greifen Sie ein, wo ein Indikator zurückbleibt.
  5. Berichten Sie an die Geschäftsleitung. Fassen Sie die Indikatoren in der Managementberichterstattung zusammen und halten Sie sie aktuell.

Häufig gestellte Fragen zu Messen und Steuern

Was ist der Unterschied zwischen einem KPI und einem KGI? Ein Leistungsindikator (KPI) zeigt, wie gut Sie leisten, zum Beispiel die durchschnittliche Behebungszeit. Ein Zielindikator (KGI) zeigt, ob Sie das Ziel erreichen, zum Beispiel den Anteil, der innerhalb der Frist behoben wurde. Der KPI steuert die Arbeit, der KGI überwacht das Ergebnis.

Warum messen Sie auf zwei Ebenen? Weil die Organisation und das CISO Office auseinanderlaufen können. Die Organisation kann gut leisten, während Ihre eigene Funktion hinterherhinkt, oder umgekehrt. Indem Sie beide messen, behalten Sie das Ganze im Blick.

Müssen Sie alles automatisch messen? Nein. Manuelle periodische Messungen funktionieren für jedes Thema und sind eine gute Grundlage. Einen Teil können Sie später automatisch aus Daten speisen, die Sie bereits haben, auch wenn alles zu automatisieren unnötig und teils unmöglich ist.

Wie oft müssen Sie messen? Für die meisten Indikatoren genügt eine Messung pro Quartal, um steuern zu können, passend zu Ihrer Managementberichterstattung. Für schnell bewegliche Themen können Sie häufiger messen.

Was ist ein guter Zielwert? Ein Zielwert ist erreichbar, aber ehrgeizig, und passt zu Ihrer Risikobereitschaft. Geben Sie zusätzlich eine Richtung an, damit klar ist, ob ein höherer oder ein niedrigerer Wert besser ist.

Messen und Steuern mit Kantyra

In Kantyra tun Sie dies mit einem generischen Baustein, dem Indikator, der für jedes Thema funktioniert. Sie wählen je Indikator den Typ, das Thema und die Perspektive, Sie legen die Einheit, den Zielwert und die Richtung fest und Sie weisen einen Eigentümer zu. Anschließend halten Sie periodisch eine Messung fest, woraufhin der Trend, der aktuelle Stand und die Ampel von selbst entstehen. Um Ihnen den Einstieg zu erleichtern, wählen Sie bei Bedarf einen Indikator aus einer mitgelieferten Liste mit Beispielen.

Eine Scorecard mit zwei Perspektiven, Organisation und CISO Office, jeweils mit Indikatoren mit einem Typ, einem Wert gegenüber dem Zielwert, einer Ampel und einem Mini-Trend

Für Ihre eigene Steuerung sehen Sie alles auf einer Scorecard mit Ampel und Mini-Trend wieder, gruppiert nach Perspektive und nach Thema. Für die Geschäftsleitung kommt es in einem Block mit Leistungs- und Zielindikatoren in der Managementberichterstattung zusammen. So messen Sie, wo Sie stehen, steuern rechtzeitig nach und legen gegenüber der Geschäftsleitung Rechenschaft ab, alles innerhalb Ihres ISMS. Fordern Sie eine Demo an und entdecken Sie, wie Sie mit Indikatoren Ihre Informationssicherheit steuern.


Kantyra ist eine europäische ISMS- und GRC-Plattform, mit der Organisationen ihre Informationssicherheit, ihr Risikomanagement und ihre Compliance nachweisbar verwalten, im Einklang mit Normen wie ISO 27001 und ISO 22301 und mit Rechtsvorschriften wie der DSGVO, NIS2 und der KI-Verordnung.

Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Algemeen