KPIs

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
Messen

Vor- und Nachteile von Key Performance Indicators (KPIs) für Informationssicherheits-Managementsysteme (ISMS). Praxisnahe Tipps zur optimalen Nutzung von Leistungskennzahlen in der IT-Sicherheit. Erfahre, wie KPIs die Effektivität steigern, aber auch Fallstricke bergen können.

Einleitung

Die kontinuierliche Steuerung und Überwachung der Informationssicherheit ist angesichts zunehmender Cyberbedrohungen und strengerer regulatorischer Anforderungen von zentraler Bedeutung. Key Performance Indicators (KPIs) spielen dabei eine Schlüsselrolle, da sie nicht nur den aktuellen Stand der Sicherheitsmaßnahmen messbar machen könnten, sondern auch Trends aufzeigen und Optimierungspotenziale identifizieren. KPIs liefern somit eine scheinbar objektive Grundlage, um die Effektivität des Informationssicherheits-Managementsystems (ISMS) zu bewerten und gezielt zu steuern.

Ein wesentlicher Aspekt ist die Integration dieser Kennzahlen in den Managementbericht. Dieser Bericht dient als Kommunikationsinstrument zwischen den operativen Teams und der Geschäftsführung und stellt sicher, dass Sicherheitsrisiken, Fortschritte und erforderliche Maßnahmen transparent dargestellt werden. Durch den regelmäßigen Abgleich der KPIs mit den strategischen Zielen lönnte es möglich werden, fundierte Entscheidungen zu treffen und das Sicherheitsniveau kontinuierlich zu verbessern.

Auf dieser Seite werden nicht nur mögliche Kennzahlen mit ihren Definitionen, Erhebungsmethoden und Bewertungsansätzen vorgestellt, sondern auch methodische Grundlagen für den Aufbau eines KPI-Systems im ISMS erläutert. Dadurch erhält der Leser einen umfassenden Einblick in den gesamten Prozess der KPI-Entwicklung und -Anwendung und deren Problematik, was als Basis für die eigene Implementierung genutzt werden kann.

Vor- und Nachteile von KPIs

KPIs (Key Performance Indicators) sind wichtige Werkzeuge im Management von Informationssicherheits-Managementsystemen (ISMS). Sie bieten sowohl Vorteile als auch Nachteile, die sorgfältig abgewogen werden müssen.

Vorteile von KPIs

Objektive Messung

  • KPIs liefern (begrenzt) quantifizierbare Daten zur Leistung des ISMS.
  • Sie ermöglichen eine faktenbasierte Entscheidungsfindung.

Zielfokussierung

  • KPIs helfen, die Aufmerksamkeit auf wichtige Ziele und Prioritäten zu lenken.
  • Sie unterstützen die Ausrichtung der Aktivitäten an den strategischen Zielen.

Frühwarnsystem

  • Abweichungen von Zielwerten können frühzeitig erkannt werden.
  • Dies ermöglicht proaktives Handeln, bevor Probleme eskalieren.

Transparenz und Kommunikation

  • KPIs vereinfachen die Kommunikation des ISMS-Status an Stakeholder.
  • Sie fördern das Verständnis für die Bedeutung der Informationssicherheit im Unternehmen.

Kontinuierliche Verbesserung

  • Regelmäßige Messung und Auswertung unterstützen den PDCA-Zyklus.
  • Trends können über längere Zeiträume analysiert werden.

Nachteile von KPIs

Überbetonung quantitativer Aspekte

  • Qualitative Aspekte der Informationssicherheit können vernachlässigt werden.
  • Nicht alles Wichtige ist messbar, nicht alles Messbare ist wichtig.

Fehlinterpretation

  • KPIs können ohne ausreichenden Kontext falsch interpretiert werden.
  • Es besteht die Gefahr, Korrelation mit Kausalität zu verwechseln.

Aufwand für Datenerhebung

  • Die Erfassung und Auswertung von KPIs kann ressourcenintensiv sein.
  • Der Nutzen muss den Aufwand rechtfertigen.

Manipulation und Fehlsteuerung

  • KPIs können zu unerwünschtem Verhalten führen, wenn sie falsch gesetzt werden.
  • Beispiel: Fokus auf leicht erreichbare Ziele oder gute Zahlen statt auf wichtige Sicherheitsaspekte.

Veraltete oder irrelevante Metriken

  • KPIs müssen regelmäßig überprüft und angepasst werden.
  • Veraltete KPIs können zu Fehlentscheidungen führen.

Komplexitätsreduktion

  • KPIs vereinfachen komplexe Zusammenhänge, was zu Informationsverlust führen kann.
  • Wichtige Nuancen können übersehen werden.

Sinvolles Vorgehen

Um die Vorteile von KPIs zu maximieren und die Nachteile zu minimieren, sollten du folgende Dinge beachten:

  • KPIs sorgfältig auswählen und regelmäßig auf ihre Relevanz überprüfen.
  • Eine ausgewogene Mischung aus quantitativen und qualitativen Metriken verwenden.
  • Den Kontext bei der Interpretation von KPIs immer berücksichtigen.
  • KPIs als Hilfsmittel, nicht als alleiniges Entscheidungskriterium betrachten.
  • Die Datenerhebung so effizient wie möglich gestalten.
  • Eine Kultur der kontinuierlichen Verbesserung fördern, statt nur auf Zahlen zu schauen.

Durch einen bewussten und ausgewogenen Einsatz von KPIs kannst du die Effektivität deines ISMS steigern und gleichzeitig potenzielle Fallstricke vermeiden.

Relevante KPIs

Im folgenden sind einige relevante KPIs, deren Erhebung und Bewertung beschrieben.

Sicherheitsvorfälle

  • Definition: Anzahl und Schwere von Sicherheitsvorfällen (z. B. Datenlecks, Malware-Angriffe).
  • Erhebung:
    • Über Sicherheitsüberwachungstools (SIEM, IDS/IPS).
    • Manuelle Meldungen durch Mitarbeitende oder IT-Teams.
  • Bewertung:
    • Reduktion der Anzahl und Schwere von Vorfällen über einen definierten Zeitraum zeigt Verbesserung.
    • Vergleich mit vorherigen Perioden oder Branchenbenchmarks.

Anzahl der offenen Risiken

  • Definition: Anzahl der identifizierten, aber noch nicht behandelten Risiken.
  • Erhebung:
    • Aus dem Risikoregister des ISMS.
    • Über regelmäßige Risikoanalysen.
  • Bewertung:
    • Ein hoher Anteil offener Risiken deutet auf Verzögerungen bei der Umsetzung von Maßnahmen hin.
    • Ziel ist eine kontinuierliche Reduktion offener Risiken.

Zeit bis zur Behebung von Schwachstellen

  • Definition: Durchschnittliche Zeitspanne zwischen der Identifikation einer Schwachstelle und deren Behebung.
  • Erhebung:
    • Über Schwachstellenmanagement-Tools (z. B. Vulnerability Scanner).
    • Manuelle Dokumentation durch IT-Teams.
  • Bewertung: Kürzere Behebungszeiten zeigen eine effektive Reaktion auf Sicherheitsprobleme.

Awareness-Level der Mitarbeitenden

  • Definition: Prozentsatz der Mitarbeitenden, die erfolgreich an Schulungen zur Informationssicherheit teilgenommen haben oder Sicherheitsfragen korrekt beantworten können.
  • Erhebung:
    • Teilnahmequoten an Schulungen.
    • Ergebnisse aus simulierten Phishing-Kampagnen oder Tests.
  • Bewertung: Hohe Teilnahmequoten und positive Testergebnisse deuten auf ein gesteigertes Sicherheitsbewusstsein hin.

Auditabweichungen

  • Definition: Anzahl und Schwere von Abweichungen, die in internen oder externen Audits festgestellt werden.
  • Erhebung: Durch Auditberichte (intern/extern).
  • Bewertung: Eine Reduktion von Abweichungen zeigt eine Verbesserung der ISMS-Prozesse.

Systemverfügbarkeitsrate

  • Definition: Prozentsatz der Zeit, in der kritische Systeme verfügbar sind (z. B. SLA-Einhaltung).
  • Erhebung: Über Monitoring-Systeme (z. B. Uptime-Monitoring).
  • Bewertung: Hohe Verfügbarkeitsraten weisen auf robuste Sicherheitsmaßnahmen hin.

Anzahl der Zugriffsverletzungen

  • Definition: Anzahl unautorisierter Zugriffe auf Systeme oder Daten.
  • Erhebung: Über Protokollanalysen (z. B. SIEM-Systeme).
  • Bewertung: Eine Reduktion zeigt eine Verbesserung des Zugriffsmanagements.

Kosten für Sicherheitsmaßnahmen pro Vorfall

  • Definition: Verhältnis zwischen den Kosten für präventive Maßnahmen und den Kosten für die Behebung eines Vorfalls.
  • Erhebung: Finanzdaten aus Budgetberichten und Vorfallkostenanalysen.
  • Bewertung: Ein ausgewogenes Verhältnis zeigt eine effiziente Ressourcenverwendung.

Anzahl der privilegierten Benutzerkonten

  • Definition: Anzahl der Benutzerkonten mit erweiterten Zugriffsrechten innerhalb des Systems.
  • Erhebung: Regelmäßige Überprüfung der Benutzerkonten und ihrer Berechtigungen durch das Identity- und Access-Management-System.
  • Bewertung: Ein hoher Anteil privilegierter Konten kann das Risiko von Sicherheitsvorfällen erhöhen. Eine Reduzierung oder strikte Kontrolle dieser Konten ist anzustreben.

Anzahl der durchgeführten Notfallübungen

  • Definition: Häufigkeit, mit der Notfallpläne getestet werden, um die Reaktionsfähigkeit auf Sicherheitsvorfälle zu gewährleisten.
  • Erhebung: Dokumentation der durchgeführten Notfallübungen und Tests der Notfallpläne.
  • Bewertung: Regelmäßige Übungen (z. B. jährlich) sind wünschenswert. Eine geringe Anzahl kann auf mangelnde Vorbereitung hinweisen.

Anzahl der bewerteten Drittparteien

  • Definition: Anzahl externer Partner und Dienstleistender, die hinsichtlich ihrer Sicherheitsstandards überprüft wurden.
  • Erhebung: Erfassung der durchgeführten Sicherheitsbewertungen und Audits bei Drittparteien.
  • Bewertung: Ein hoher Anteil bewerteter Drittparteien zeigt ein proaktives Risikomanagement. Fehlende Bewertungen können Sicherheitslücken darstellen.

Anzahl der verhinderten Datenabflüsse

  • Definition: Anzahl der erkannten und verhinderten Versuche, sensible Daten unautorisiert zu übertragen.
  • Erhebung: Überwachung durch Data Loss Prevention (DLP)-Systeme und Sicherheitslogs.
  • Bewertung: Eine hohe Zahl verhinderter Datenabflüsse kann auf effektive Sicherheitsmaßnahmen hinweisen, aber auch auf häufige Versuche des Datenabflusses.

Anzahl der inaktiven Benutzerkonten

  • Definition: Anzahl der Benutzerkonten, die über einen definierten Zeitraum (z. B. 90 Tage) nicht genutzt wurden.
  • Erhebung: Analyse der Anmeldeprotokolle und Aktivitätsberichte.
  • Bewertung: Viele inaktive Konten können ein Sicherheitsrisiko darstellen. Regelmäßige Überprüfung und Deaktivierung nicht genutzter Konten sind empfehlenswert.

Wie werden KPIs bewertet?

  • Zielwerte festlegen: Für jeden KPI sollten (realistische) Zielwerte definiert werden, z. B. "Reduktion der Sicherheitsvorfälle um 10 % pro Jahr".
  • Vergleich mit Benchmarks: Interne Vergleiche (Vorjahreswerte) oder externe Benchmarks (Branchenstandards) helfen bei der Einordnung, sofern eine echte Vergleichbarkeit gegeben ist.
  • Trendanalyse: Die Entwicklung über Zeiträume hinweg zeigt Fortschritte oder Probleme auf.
  • Risikobasierte Gewichtung: KPIs sollten nach ihrer Relevanz für die Unternehmensrisiken priorisiert werden.

Durch die regelmäßige Erhebung und Bewertung dieser KPIs kannst Du sicherstellen, dass das ISMS effektiv arbeitet und kontinuierlich verbessert wird.

Fazit

Die Verwendung von KPIs im Rahmen eines ISMS bietet zahlreiche Vorteile – etwa die transparente Messbarkeit des Sicherheitsniveaus, eine zielgerichtete Steuerung der Maßnahmen und eine verbesserte Kommunikation mit der Geschäftsführung. Gleichzeitig ist jedoch kritisch zu betrachten, inwieweit rein quantitative Kennzahlen die oftmals qualitativ geprägten Sicherheitsaspekte vollständig abbilden können.

Weitere zentrale Herausforderungen bei der KPI-Nutzung sind:

  • Quantitative versus qualitative Aspekte: Wichtige Elemente wie das Sicherheitsbewusstsein der Mitarbeitenden oder die Effektivität der internen Kommunikation bleiben oft unberücksichtigt.
  • Falsche Sicherheit: Eine zu starke Fokussierung auf isolierte Kennzahlen kann den Eindruck erwecken, dass alle Risiken ausreichend adressiert sind, während tatsächliche Schwachstellen oder neue Bedrohungen unentdeckt bleiben.
  • Dynamik des Bedrohungsumfelds: Die rasche Weiterentwicklung von IT-Landschaften und Bedrohungsszenarien erfordert einen kontinuierlichen Anpassungsprozess der KPIs, um deren Aussagekraft zu erhalten.

Die kritische Betrachtung zeigt, dass KPIs als Bestandteil eines ganzheitlichen Managementsystems verstanden werden müssen, in dem quantitative und qualitative Elemente miteinander verknüpft sind. Insbesondere die regelmäßige Integration der KPIs in den Managementbericht ist essenziell, um den aktuellen Stand der Informationssicherheit transparent darzustellen und notwendige Anpassungen zeitnah einzuleiten.

Ein Beispiel für die Problematik von KPIs

Ein Unternehmen misst als KPI die Anzahl seiner Sicherheitsvorfälle. Über zwei Jahre hinweg lag dieser Wert mit leichten Schwankungen im MIttel bei 2-3 Vorfällen pro Monat, ohne erkennbare Tendenz. Die Unternehmensleitung setzte als Ziel, das ISMS weiterzuentwickeln und die Zahl der Vorfälle jährlich um 10 % zu reduzieren.

Im darauffolgenden Jahr stieg die durchschnittliche Anzahl der Vorfälle jedoch deutlich auf 4-5 pro Monat, mit einer leichten, kontinuierlichen Steigerung. Aus rein objektiver KPI-Sicht scheint sich die Situation somit erheblich verschlechtert zu haben und das Ziel der Unternehmensleitung wurde deutlich verfehlt.

Tatsächlich wurden aber im gleichen Zeitraum signifikante Verbesserungen umgesetzt, die das ISMS nachhaltig gestärkt haben. So wurde eine umfassende Sensibilisierungskampagne für alle Mitarbeitenden eingeführt und ein Ticketsystem zur Meldung von Sicherheitsvorfällen etabliert, welches eine niedrigschwellige, einfache Meldung ermöglicht – im Gegensatz zur bisherigen, umständlichen Lösung über ein kaum genutztes Formular. Damit konnten Vorfälle erfasst werden, die vorher aufgrund mangelnder Sensibilität und umständlicher Meldeverfahren nie gemeldet wurden.

Dieses Beispiel zeigt, dass eine Verschlechterung einzelner KPIs nicht zwangsläufig einen Rückschritt in der Sicherheitsleistung signalisiert, sondern wie in diesem Fall auf eine höhere Meldungsbereitschaft und somit auf eine verbesserte Sicherheitskultur hindeuten kann.

Der Fokus auf KPIs kann also auch ein völlig falsches Bild vermitteln oder völlig falsche Anreize schaffe!

Eine möglicherweise bessere Alternative könnte ein Reifegradmodell sein.

Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=KPIs&oldid=1655