Die acht wichtigsten Sicherheitsmetriken

Kennzahlen und Metriken wie KPIs sind essenziell, um die Effektivität der Cyberabwehr zu bewerten, da sie

• Schwachstellen,
• Bedrohungen und
• Reaktionsfähigkeit

sichtbar machen.

Trotz der Vielzahl möglicher Indikatoren sind nur wenige besonders relevant und unverzichtbar für eine erfolgreiche Cybersicherheitsstrategie. Hier sind einige der relevantesten:

1. Mittlere Zeit bis zur Entdeckung

Die mittlere Erkennungszeit (MTD) ist eine zentrale Kennzahl um die Fähigkeit eines Unternehmens zu bewerten, Cyberbedrohungen frühzeitig zu erkennen und Schäden zu begrenzen. Ein niedriger MTD-Wert gilt laut Analysten als Indikator für eine effektive Sicherheitsorganisation.

Dennoch betont Mehdi Houdaigui, US Cyber and Transformation Leader bei der Unternehmensberatung Deloitte, dass MTD nur eine von vielen wichtigen Metriken ist. Unternehmen sollten sich auch auf strategisch relevante Kennzahlen konzentrieren.

2. Cyber-Belastbarkeit

Cyber-Resilienz ist laut John Wheeler, CSO beim Dienstleistungsunternehmen Cognizant, das entscheidende Kriterium für ein wirksames Sicherheitsprogramm. Er betont, dass die Anzahl abgewehrter Angriffe nicht ausschlaggebend sei. Wichtig sei vielmehr die Fähigkeit, sich schnell und effektiv von Sicherheitsvorfällen zu erholen.

Entscheidend für ihn ist zudem, ob das Unternehmen trotz eines Angriffs funktionsfähig bleibt und das Vertrauen der Kunden wahrt. Er begründet dies damit, dass Resilienz vorübergehende Störungen von dauerhaftem Schaden trenne.

3. Netzwerk-, System- und Endpunkttransparenz

Ohne ausreichende Sichtbarkeit der IT-Umgebungen lassen sich Sicherheitsrisiken nicht erkennen oder beheben, warnt Sandra McLeod, Interim-CISO bei Zoom. Besonders gefährlich sind blinde Flecken, etwa in Entwicklungsumgebungen.

Zudem kritisiert sie, dass viele Unternehmen KPIs zwar erfassen, aber nicht aktiv in Entscheidungen einfließen lassen. Ein weiterer Risikofaktor ist ein trügerisches Sicherheitsgefühl aufgrund guter Kennzahlen, die nicht das vollständige Lagebild widerspiegeln.

4. Ziel-Fragen-Metrik (GQM)

Richard Caralli, Senior Cybersecurity Advisor bei Axio, einem SaaS-basierten Anbieter von Cybermanagement-Software, empfiehlt den Ziel-Fragen-Metrik-Ansatz (GQM). GQM, so der Experte, hilft besonders aussagekräftige Metriken für Führungskräfte zu entwickeln.

Hierfür beantwortet es konkrete Fragen mit messbaren Daten – etwa zur rechtzeitigen Behebung von Schwachstellen – und macht so langfristige Kompetenztrends sichtbar. Auch Sicherheitsprozesse sollen sich so fördern und verbessern lassen.

5. Verhältnis der Kostenvermeidung

Die Cost Avoidance Ratio (CAR) ist laut Tim Lawless, Master Software Architect am Cybersecurity Manufacturing Innovation Institute, ein wirkungsvolles Maß zu bewerten wie wirksam ein Cybersicherheitsprogramm ist. Sie vergleicht die Kosten für

• Prävention,
• Erkennung und
• Reaktion

mit den potenziellen Verlusten bei unterlassenen Maßnahmen.

Ein hoher CAR-Wert zeigt dabei, dass Investitionen in Cybersicherheit Schäden reduzieren und die betriebliche Resilienz stärken.

6. Mittlere Zeit zwischen Ausfällen

In jedem Unternehmen, besonders aber im Finanzwesen, ist Zuverlässigkeit von grundlegender Bedeutung, so Jason Pack, Chief Revenue Officer beim Kreditunternehmen Freedom Debt Relief, einem Anbieter von Schuldenerlassdiensten. Die mittlere Betriebsdauer zwischen Ausfällen (MTBF) ist hier eine zentrale Kennzahl um die Systemzuverlässigkeit zu bewerten

Eine hohe MTBF steht für stabile, vertrauenswürdige Systeme, die für kontinuierliche Dienste wie Online-Banking entscheidend sind. Sie hilft,

• Risiken frühzeitig zu erkennen,
• Wartung effizient zu planen und
• das Vertrauen der Kunden sowie regulatorische Anforderungen zu erfüllen.

7. Zeit bis zur Eindämmung

Die Zeit bis zur Eindämmung (TTC) ist laut Antony Marceles, einem Technologieberater und Gründer des Softwareentwicklungsunternehmens Pumex, ein entscheidender Faktor für die Cyber-Resilienz eines Unternehmens: Sie misst, wie schnell Bedrohungen, nachdem sie erkannt wurden, isoliert und neutralisiert werden.

Eine kurze TTC zeigt eine gut integrierte Sicherheitsstrategie mit effektiver Automatisierung und eingespielten Abläufen – und kann entscheidend sein, um größere Schäden zu vermeiden.

8. Verringerung der erfolgreichen Phishing-Versuche

Die Zahl erfolgreicher Phishing-Versuche (RISPA) zu reduzieren, zielt direkt auf ein sehr menschliches Element in der Sicherheit ab, so Gyan Chawdhary, Vizepräsident beim IT-Cybersicherheitsunternehmen Security Compass. Er weist darauf hin, dass eine gut gestaltete Phishing-E-Mail trotz der besten technischen Kontrollen einen Mitarbeiter dazu verleiten kann, Anmeldeinformationen preiszugeben oder Malware herunterzuladen..

Die Erfolgsrate solcher Angriffe zu verfolgen und den Mitarbeitenden zu zeigen, wie effektiv Schulungen und technische Maßnahmen sind, verbessert ihr Verhalten. Ohne solche Metriken fehlt den Unternehmen die nötige Transparenz über Schwachstellen und den Erfolg ihrer Sicherheitsstrategien, was zu Fehlinvestitionen und einem erhöhten Risiko führen kann.