Alain Rees · 12-07-2026 · 10 min leestijd
Als CISO und als CISO Office möchten Sie wissen, wo Sie stehen, sowohl auf Ebene der Organisation als auch auf der Ebene Ihrer eigenen Funktion. Die Berichterstattung an die Geschäftsleitung ergibt sich daraus von selbst. Das eigentliche Ziel ist, genug zu messen, um steuern und rechtzeitig nachsteuern zu können. In diesem Artikel lesen Sie, wie Sie das mit Indikatoren tun, wie Sie zwischen Leisten und Zielerreichung unterscheiden und wie Sie auf zwei Ebenen messen, ohne in Zahlen zu ertrinken.
Kurz gefasst
- Sie messen nicht, um zu berichten, sondern um steuern und rechtzeitig nachsteuern zu können.
- Ein Leistungsindikator (KPI) zeigt, wie Sie leisten, ein Zielindikator (KGI) zeigt, ob Sie das Ziel erreichen.
- Sie messen auf zwei Ebenen, nämlich der Organisation und dem CISO Office.
- Jeder Indikator hat einen Zielwert und eine Richtung, und periodische Messungen liefern den Trend und eine Ampel.
- Beginnen Sie mit manuellen Messungen, die für jedes Thema funktionieren, und automatisieren Sie später, wo es möglich ist.
Viele Organisationen berichten zwar über Informationssicherheit, messen aber zu wenig, um wirklich danach steuern zu können. Ein Bericht sagt im Nachhinein, was geschehen ist, während Sie mit guten Messungen während der Fahrt nachsteuern können. Dieser Unterschied ist groß. Eine Geschäftsleitung, die jedes Quartal einen Bericht erhält, weiß, wie es stand, aber ein CISO, der dem Trend folgt, sieht kommen, dass ein Ziel außer Reichweite gerät, und kann noch etwas dagegen tun.
Messen dient daher vor allem Ihrer eigenen Steuerung. Die Berichterstattung an die Geschäftsleitung ergibt sich daraus von selbst, denn wenn Sie die richtigen Dinge messen, haben Sie die Geschichte für die Geschäftsleitung bereits fertig.
Um steuern zu können, verwenden Sie zwei Arten von Indikatoren, die einander ergänzen.
Ein Leistungsindikator, der KPI, zeigt, wie gut Sie auf dem Weg zu einem Ziel leisten. Die durchschnittliche Behebungszeit kritischer Schwachstellen ist ein solcher Indikator, denn er sagt, wie schnell Sie arbeiten.
Ein Zielindikator, der KGI, zeigt, ob Sie das Ziel auch wirklich erreichen. Der Anteil der kritischen Schwachstellen, die innerhalb der vereinbarten Frist behoben wurden, ist ein solcher Indikator, denn er sagt, ob Sie die Norm erreichen, die Sie sich selbst gesetzt haben.
Die beiden gehören zusammen. Der KPI steuert Ihre tägliche Arbeit, der KGI überwacht, ob diese Arbeit zum gewünschten Ergebnis führt. Zusammen verhindern sie, dass Sie hart arbeiten, ohne Ihr Ziel zu erreichen, oder Ihr Ziel erreichen, ohne zu wissen wie.
Wo Sie stehen, ist eine Frage auf zwei Ebenen, und Sie messen beide.
Die Perspektive der Organisation zeigt, wie die Organisation im Bereich Sicherheit dasteht. Denken Sie an die Schwachstellen, die rechtzeitig behoben wurden, die Vorfälle, die fristgerecht gemeldet wurden, und die Kontinuitätspläne, die erprobt wurden.
Die Perspektive des CISO Office zeigt, wie Ihre eigene Funktion beim Steuern und Überwachen dessen leistet. Denken Sie an die Beurteilungen, die rechtzeitig geprüft wurden, die Register, die aktuell sind, und die Berichterstattung, die rechtzeitig bei der Geschäftsleitung vorliegt.
Diese beiden können auseinanderlaufen. Die Organisation kann gut dastehen, während das CISO Office hinterherhinkt, oder umgekehrt. Indem Sie beide messen, behalten Sie den blinden Fleck im Blick, der entsteht, wenn Sie nur auf eine Ebene schauen.
Ein brauchbarer Indikator ist mehr als eine Zahl. Je Indikator legen Sie eine Reihe von Eigenschaften fest:
Mit diesen Eigenschaften wird ein Indikator eigenständig lesbar. Jeder sieht auf einen Blick, was gemessen wird, was das Ziel ist und wer dafür zuständig ist.
Ein Indikator erwacht durch das Messen zum Leben. Periodisch halten Sie einen Wert fest, mit dem Datum, der Zahl und einer kurzen Erläuterung. Aus dieser Reihe von Messungen ergibt sich von selbst der Trend und der aktuelle Stand.
Der Vergleich mit dem Zielwert liefert anschließend eine Ampel. Steht der Wert auf oder über dem Zielwert, ist der Indikator auf Kurs und färbt sich grün. Liegt er knapp darunter, verlangt er Aufmerksamkeit und färbt sich orange. Bleibt er zurück, färbt er sich rot. So sehen Sie mit einem Blick, wo es gut läuft und wo Sie eingreifen müssen, ohne erst eine Tabelle zergliedern zu müssen.
Die Erläuterung bei jeder Messung ist wichtiger, als sie scheint. Sie erklärt einen Ausreißer, hält eine Annahme fest und macht die Messung später nachvollziehbar.
Beim Messen lohnt es sich, praktisch zu beginnen. Manuelle periodische Messungen bilden die beste Grundlage, denn sie funktionieren für jedes Thema. Auch einen Indikator wie die Meldebereitschaft bei Phishing, der aus Ihrer Sensibilisierungsplattform stammt, halten Sie so einfach fest.
Einen Teil der Indikatoren können Sie später automatisch aus Daten speisen, die Sie bereits haben. Denken Sie an die durchschnittliche Behebungszeit, die Anzahl der Risiken oberhalb der Toleranz, die Fristen aus NIS2, die Überprüfungsdaten Ihrer Register und den Umsetzungsgrad Ihrer Anwendbarkeitserklärung. Das ist ein sinnvoller nächster Schritt, auch wenn es keine Voraussetzung ist, um zu beginnen.
Alles für jeden Indikator automatisch messen zu wollen, ist eine Falle. Es würde einen enormen und teils unmöglichen Aufbau erfordern, während eine manuelle Messung pro Quartal Ihnen oft schon genau genug sagt, um zu steuern. Beginnen Sie daher manuell und automatisieren Sie gezielt dort, wo es wirklich Zeit spart.
Wenn Sie messen, entstehen zwei Arten von Überblick, die einander ergänzen.
Für Ihre eigene Steuerung nutzen Sie eine Scorecard, also einen Überblick mit je Indikator der Ampel und einem Mini-Trend, gruppiert nach Perspektive und nach Thema. Diese Scorecard ist Ihr Arbeitsinstrument, mit dem Sie in einem Bild sehen, wo Sie stehen und wo Sie nachsteuern müssen.
Für die Geschäftsleitung fassen Sie dies in einem Block mit Leistungs- und Zielindikatoren in der regulären Managementberichterstattung zusammen. Die Geschäftsleitung muss nicht jeden Indikator sehen, will aber den Stand in groben Zügen, den Trend und die Punkte, die Aufmerksamkeit verlangen. So bleibt das Messen nah am Ziel: Es ist die Brücke zwischen Ihrer täglichen Steuerung und der Rechenschaft gegenüber der Geschäftsleitung.
Indikatoren gehören in die Basis Ihres Managementsystems, zu jedem Plan, denn es ist Vorstands- und Managementinformation, genau wie die Managementberichterstattung selbst. Ihre Verwaltung liegt bei den Managern und Verwaltern, die auch die zugrunde liegenden Themen verwalten, damit der Indikator nah an der Quelle bleibt.
So schließt das Messen direkt an Ihre Informationssicherheit und Risikomanagement (ISMS) und an Themen wie Schwachstellenmanagement an. Die Indikatoren bilden so die Steuerungsschicht über dem Rest Ihrer Beherrschung, statt einer losen Sammlung von Zahlen.
Die untenstehenden Beispiele helfen Ihnen weiter. Wählen Sie eine kleine Anzahl aus, denn besser ein paar Indikatoren, die Sie wirklich pflegen, als eine lange Liste, die verwässert.
Organisation, wie steht die Organisation da
| Thema | Indikator | Typ | Zielwert |
|---|---|---|---|
| Schwachstellen | Kritische Schwachstellen innerhalb der Behebungsfrist behoben | KGI | ≥ 95 % |
| Schwachstellen | Durchschnittliche Behebungszeit kritischer Schwachstellen | KPI | ≤ 14 Tage |
| Risikomanagement | Toprisiken mit einem aktuellen Behandlungsplan | KGI | 100 % |
| Risikomanagement | Risiken oberhalb der Toleranz ohne Akzeptanz | KPI | 0 |
| Vorfälle | Meldepflichtige Vorfälle innerhalb von 72 Stunden gemeldet | KGI | 100 % |
| Vorfälle | Durchschnittliche Durchlaufzeit vom Vorfall bis zur Behebung | KPI | sinkend |
| Datenschutz | Verarbeitungen mit einer gültigen Rechtsgrundlage und einer aktuellen Überprüfung | KGI | 100 % |
| Kontinuität | Kontinuitätspläne, die im vergangenen Jahr erprobt wurden | KPI | 100 % |
| Compliance | Umsetzungsgrad der Anwendbarkeitserklärung | KGI | steigend |
| Sensibilisierung | Meldebereitschaft bei Phishing | KPI | steigend |
CISO Office, wie macht es der CISO
| Indikator | Typ | Zielwert |
|---|---|---|
| Beurteilungen innerhalb der Frist nach dem Vier-Augen-Prinzip geprüft | KPI | ≥ 90 % |
| Risiken mit einem zugewiesenen Eigentümer und Bearbeiter | KGI | 100 % |
| Register innerhalb ihres Überprüfungsdatums (Risiken, Dokumente, Verarbeitungen) | KPI | ≥ 95 % |
| Überfällige Aufgaben im CISO Office | KPI | sinkend |
| Maßnahmen, die rechtzeitig auf Wirksamkeit getestet wurden | KPI | ≥ 90 % |
| Quartalsbericht an die Geschäftsleitung rechtzeitig geliefert | KGI | ja |
Was ist der Unterschied zwischen einem KPI und einem KGI? Ein Leistungsindikator (KPI) zeigt, wie gut Sie leisten, zum Beispiel die durchschnittliche Behebungszeit. Ein Zielindikator (KGI) zeigt, ob Sie das Ziel erreichen, zum Beispiel den Anteil, der innerhalb der Frist behoben wurde. Der KPI steuert die Arbeit, der KGI überwacht das Ergebnis.
Warum messen Sie auf zwei Ebenen? Weil die Organisation und das CISO Office auseinanderlaufen können. Die Organisation kann gut leisten, während Ihre eigene Funktion hinterherhinkt, oder umgekehrt. Indem Sie beide messen, behalten Sie das Ganze im Blick.
Müssen Sie alles automatisch messen? Nein. Manuelle periodische Messungen funktionieren für jedes Thema und sind eine gute Grundlage. Einen Teil können Sie später automatisch aus Daten speisen, die Sie bereits haben, auch wenn alles zu automatisieren unnötig und teils unmöglich ist.
Wie oft müssen Sie messen? Für die meisten Indikatoren genügt eine Messung pro Quartal, um steuern zu können, passend zu Ihrer Managementberichterstattung. Für schnell bewegliche Themen können Sie häufiger messen.
Was ist ein guter Zielwert? Ein Zielwert ist erreichbar, aber ehrgeizig, und passt zu Ihrer Risikobereitschaft. Geben Sie zusätzlich eine Richtung an, damit klar ist, ob ein höherer oder ein niedrigerer Wert besser ist.
In Kantyra tun Sie dies mit einem generischen Baustein, dem Indikator, der für jedes Thema funktioniert. Sie wählen je Indikator den Typ, das Thema und die Perspektive, Sie legen die Einheit, den Zielwert und die Richtung fest und Sie weisen einen Eigentümer zu. Anschließend halten Sie periodisch eine Messung fest, woraufhin der Trend, der aktuelle Stand und die Ampel von selbst entstehen. Um Ihnen den Einstieg zu erleichtern, wählen Sie bei Bedarf einen Indikator aus einer mitgelieferten Liste mit Beispielen.
Für Ihre eigene Steuerung sehen Sie alles auf einer Scorecard mit Ampel und Mini-Trend wieder, gruppiert nach Perspektive und nach Thema. Für die Geschäftsleitung kommt es in einem Block mit Leistungs- und Zielindikatoren in der Managementberichterstattung zusammen. So messen Sie, wo Sie stehen, steuern rechtzeitig nach und legen gegenüber der Geschäftsleitung Rechenschaft ab, alles innerhalb Ihres ISMS. Fordern Sie eine Demo an und entdecken Sie, wie Sie mit Indikatoren Ihre Informationssicherheit steuern.
Kantyra ist eine europäische ISMS- und GRC-Plattform, mit der Organisationen ihre Informationssicherheit, ihr Risikomanagement und ihre Compliance nachweisbar verwalten, im Einklang mit Normen wie ISO 27001 und ISO 22301 und mit Rechtsvorschriften wie der DSGVO, NIS2 und der KI-Verordnung.
In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.
Plan een demoWie Sie Schwachstellenmanagement als CISO steuern, von der Richtlinie bis zur Rechenschaft gegenüber der Geschäftsleitung.
So bauen Sie Penetrationstests strukturiert auf, von der Pentest-Richtlinie und dem Kalender bis zum Bericht und zur Nachverfolgung der Erkenntnisse.
Die DSGVO verlangt, dass Sie den Umgang mit personenbezogenen Daten nicht nur sorgfältig regeln, sondern auch nachweisen können.