Cybersecurity-Kennzahlen und KPIs: Was Sie 2025 im Blick behalten sollten

Angesichts zunehmender und immer raffinierterer Cyberbedrohungen benötigen Unternehmen konkrete Mittel, um zu messen, wie gut sie ihre kritischen Ressourcen schützen. Cybersicherheitsmetriken verschaffen uns Klarheit, indem sie zeigen, ob sich Investitionen in Technologie, Schulungen und Prozesse auszahlen. Allerdings geben nur 23 % der Unternehmen an, dass ihre Kennzahlen von den Führungskräften gut verstanden werden, was auf eine Diskrepanz zwischen Sicherheitsmaßnahmen und Unternehmensführung hindeutet. Daher wollen wir uns einen Moment Zeit nehmen, um zu verstehen, welche Cybersicherheitskennzahlen wirklich wichtig sind, warum sie wichtig sind und wie man sie in den modernen IT-Ökosystemen von heute richtig verfolgt.

Zunächst definieren wir Cybersicherheitsmetriken, ihre Rolle im Risikomanagement, bei der Compliance und bei der Darstellung des ROI. Zweitens erläutern wir, warum Metriken wichtig sind, lassen die sprunghaften Zunahmen bei Lösegeldzahlungen für sich sprechen und betonen die Notwendigkeit einer kontinuierlichen Überwachung. Auf der Grundlage der Cybersicherheitsmetriken und -maßnahmen des NIST werden wir dann die wichtigsten Metrikkategorien aufschlüsseln und etwa 30 Metriken auflisten, die es zu verfolgen gilt.

Was sind Cybersicherheitsmetriken?

Cybersicherheitsmetriken messen die Sicherheitslage eines Unternehmens, indem sie bestimmte Datenpunkte über einen bestimmten Zeitraum hinweg messen (z. B. durchschnittliche Patch-Zeiten, Erfolg bei der Reaktion auf Vorfälle, Häufigkeit erfolgreicher Phishing-Angriffe). Über allgemeine Risikobewertungen hinaus handelt es sich hierbei um einen strukturierten Ansatz, der sich eingehend mit Leistungsbenchmarks auf operativer, Compliance- und strategischer Ebene befasst. Unabhängig davon, ob es sich um NIST-Cybersicherheitsmetriken und -maßnahmen oder um interne Frameworks handelt, vermitteln uns gut ausgewählte KPIs einen objektiven Überblick darüber, wie gut die Abwehrmaßnahmen gegen neue Bedrohungen funktionieren.

Sie tragen aber auch zur Abstimmung bei: Sicherheitsteams können Führungskräften datengestützte Ergebnisse liefern. Bis Ende 2025 werden Protokolle von Mobilgeräten, IoT-Sensoren, Cloud-Workloads und anderen Quellen eingehen, was die Auswahl und das Verständnis der richtigen Metriken noch schwieriger machen wird.

Warum sind Cybersicherheitsmetriken wichtig?

Cybersicherheitsmetriken haben mehrere geschäftskritische Ziele, von der Rechtfertigung von Budgetanträgen bis hin zur schnelleren Erkennung versteckter Eindringlinge. Mit ihrer Hilfe setzen Unternehmen realistische Ziele, erkennen Prozessschwächen und zeigen die Einhaltung sich weiterentwickelnder Vorschriften.

Da die durchschnittliche Ransomware von 812.380 USD im Jahr 2022 auf 1.542.333 USD im Jahr 2023 gestiegen ist, haben sich die Risiken für die Cybersicherheit erheblich erhöht. Nachdem wir nun einen Aspekt kennen, wollen wir uns die fünf weiteren Gründe ansehen, warum Kennzahlen wichtig sind.

1. Demonstration des ROI gegenüber der Unternehmensleitung: Da CISOs die Sicherheitsausgaben gegenüber Führungskräften rechtfertigen müssen, die Cybersicherheit oft als Kostenfaktor betrachten, müssen sie der Unternehmensleitung den ROI demonstrieren. Führungskräfte können die konkreten Vorteile von Sicherheitsinvestitionen erkennen, wenn ihnen wichtige Kennzahlen zur Cybersicherheit wie die Reduzierung der Vorfallzahlen, verbesserte Patch-SLAs oder Verbesserungen bei der Wiederherstellungszeit präsentiert werden. Diese datengestützte Darstellung schließt die Lücke zwischen Fachjargon und ROI-orientierten Prioritäten des Vorstands und ist ein leistungsstarkes Werkzeug für Marketingfachleute. Faktische Kennzahlen, keine Vermutungen, sind das Argument für solide Budgets angesichts zunehmender Bedrohungen.
2. Risikoprioritäten: Nicht alle Schwachstellen oder Ereignisse sind gleichermaßen riskant. Teams analysieren Beispiele für Cybersicherheitsmetriken, um herauszufinden, welche Bereiche wie Endpunkte, privilegierte Konten oder öffentlich zugängliche Anwendungen das größte Risiko bergen. Anschließend weisen sie diesen Hotspots Ressourcen und Personal zu und vermeiden so unnötigen Aufwand für Schwachstellen mit geringen Auswirkungen. Diese Präzision führt zu einer strategischeren Sichtweise auf alltägliche Aufgaben und die Risikoperspektive.
3. Schnellere Erkennung und Reaktion auf Vorfälle: Angreifer profitieren von einer langsamen Erkennung. Je mehr Zeit sie haben, um unentdeckt zu bleiben, desto mehr Daten können sie exfiltrieren oder sabotieren. Teams können anhand von Kennzahlen wie der mittleren Erkennungszeit (lt;a href="/blog/mttd-mean-time-to-detect-detailed-explanation/" target="_blank" rel="noopener">MTTD) oder die Reaktionszeit (MTTR) verfolgen. Im Laufe der Zeit zeigen diese Kennzahlen ein ausgereiftes Sicherheitsprogramm an, wenn sie sich kontinuierlich verbessern. Es ist offensichtlich, dass Kennzahlen und Maßnahmen zur Cybersicherheit mit einer schnelleren Erkennung einhergehen, was zu Einsparungen, einem besseren Ruf und Geschäftskontinuität führt.
4. Compliance und Einhaltung gesetzlicher Vorschriften: Mit Vorschriften wie der DSGVO und PCI DSS sind Nachweise für gute Sicherheitskontrollen erforderlich. Kennzahlen zur Patch-Compliance, zur Überprüfung des Benutzerzugriffs oder zur Verschlüsselungsabdeckung helfen dabei, diese Kontrollen in einem Audit nachzuweisen. Unternehmen mit etablierten Kennzahlen-Frameworks liefern sofortige, überprüfbare Berichte, anstatt nach Ad-hoc-Daten zu suchen. Die Compliance-Bereitschaft lässt sich leichter mit Frameworks wie den NIST-Metriken und -Maßnahmen für Cybersicherheit in Einklang bringen.
5. Unterstützung kontinuierlicher Verbesserungszyklen: Sicherheit ist nicht statisch, Angriffe entwickeln sich weiter, und daher müssen auch die Abwehrmaßnahmen weiterentwickelt werden. Eine monatliche oder vierteljährliche Überprüfung der Cybersicherheitsmetriken hilft dabei, Trends zu erkennen: Gibt es nach neuen Schulungen einen Rückgang der Phishing-Versuche? Sind die Verzögerungen bei der Installation von Patches immer noch zu hoch? Dies ist eine zyklische Bewertung, die eine iterative Kultur fördert, in der jede Verbesserung oder Verschlechterung offensichtlich ist. Mit der Zeit werden Kennzahlen zum Leitfaden für die Transformation der Sicherheit, sodass Entscheidungen eher auf der Grundlage von Fakten als von Intuition getroffen werden können.

Kategorien von Cybersicherheitskennzahlen

Der Umfang und die Funktion von Metriken sind sehr unterschiedlich. Einige Organisationen messen die täglichen operativen Aufgaben, andere überwachen umfassendere Compliance- und Risikostufen. In diesem Abschnitt werden die drei Hauptkategorien aufgeschlüsselt: operative Metriken, Compliance-Metriken und Risikomanagement-Metriken.

Anhand dieser Gruppierungen wird deutlich, wie Unternehmen Cybersicherheitsmetriken so anordnen können, dass sie verschiedene Ziele erreichen, z. B. die Erfüllung gesetzlicher Vorschriften und die Kontrolle strategischer Risiken.

1. Betriebliche Kennzahlen: Dazu gehören betriebliche Kennzahlen wie das Patchen von Schwachstellen, das Scannen nach neuen Bedrohungen oder die Analyse der Benutzeraktivitäten. Sie zeigen, ob die Kernprozesse reibungslos laufen und ob sich Rückstände aufbauen. Beispiele hierfür sind die Zeit bis zum Patchen kritischer Schwachstellen oder die Anzahl der noch ungeschützten Endpunkte. Die konsequente Verfolgung dieser Kennzahlen führt zu sofortigen Verbesserungen der Systemintegrität und der Benutzersicherheit. Kleine Lücken können sich schnell zu riesigen Löchern für Angreifer entwickeln, wenn Sie sie übersehen.
2. Compliance-Kennzahlen: Regierungen und Aufsichtsbehörden verlangen zunehmend Echtzeit-Nachweise für Sicherheitskontrollen. Datenaufbewahrung, die Einführung von Multi-Faktor-Authentifizierung oder Passwortrotationspläne sind gängige Compliance-Kennzahlen. Diese Kennzahlen können erfasst und verwendet werden, um schnell Nachweise für Audits zu erstellen und rechtliche Risiken zu reduzieren. Wenn Sie hier nicht konform sind, kann dies zu Geldstrafen oder Reputationsschäden führen, weshalb Compliance-Kennzahlen unerlässlich sind.
3. Risikobasierte Kennzahlen: Dazu gehören Kennzahlen, die auf dem Risikoniveau basieren, wie z. B. fortgeschrittene Bedrohungen oder nicht gepatchte Systeme. Sie quantifizieren, wie anfällig Unternehmensressourcen für Schwachstellen sind (wie bekannte CVEs) und erzeugen eine Risikobewertung, um die Ressourcenzuweisung zu steuern. Diese Metriken kombinieren die technische Schwere und die geschäftlichen Auswirkungen, um die Cybersicherheitsmetriken und -maßnahmen des NIST mit Entscheidungen auf Vorstandsebene zu verknüpfen. Aggregierte Risikobewertungen sind eine Möglichkeit, um zu sehen, ob sich Ihre Bedrohungslage im Laufe der Zeit mit neuen Sicherheitsstrategien verbessert, verschlechtert oder stabil geblieben ist.

Wichtige Cybersicherheitsmetriken, die Sie verfolgen sollten

Die Entscheidung, welche Metriken ausgewählt werden sollen, ist schwierig. Die Frage lautet: Messen Sie alles oder konzentrieren Sie sich auf einen strategischen Satz? Um diese Frage zu beantworten, haben wir rund 30 aussagekräftige Kennzahlen aus verschiedenen Quellen zusammengestellt, darunter Beispiele für Cybersicherheitskennzahlen aus führenden Frameworks.

Jede Kennzahl steht für einen bestimmten Aspekt Ihrer Sicherheitslage, von operativen und complianceorientierten bis hin zu strategischen Aspekten. Sehen wir uns die einzelnen Kennzahlen genauer an.

1. Mean Time to Detect (MTTD)

Die Mean Time to Detect (MTTD) ist eine der wichtigsten Kennzahlen für Cybersicherheit. Sie gibt an, wie lange Bedrohungen unentdeckt bleiben können. Eine hohe MTTD deutet auf langsame Erkennungsprozesse oder unzureichende Überwachung hin. Unternehmen können durch die Verfolgung der MTTD Verbesserungen ihrer Erkennungsfähigkeiten nachweisen. Ein kontinuierlicher Rückgang der MTTD deutet auf eine proaktivere Sicherheitsumgebung hin.

2. Durchschnittliche Reaktionszeit (MTTR)

Wie lange dauert es, nachdem eine Anomalie erkannt wurde, bis die Teams die Bedrohung eindämmen, die Lücken schließen oder die Malware beseitigen? Eine niedrigere MTTR deutet darauf hin, dass die Arbeitsabläufe gut koordiniert sind und Vorfälle gut gehandhabt werden. Zusammen mit MTTD bietet er einen vollständigen Überblick über die Wirksamkeit der Sicherheitsmaßnahmen. MTTD/MTTR wird von vielen Vorständen bei der Festlegung von Budgets oder der Auswahl von Anbieterlösungen stark gewichtet.

3. Mean Time to Contain (MTTC)

Dies bezieht sich auf die Zeit, die benötigt wird, um die Ausbreitung der Bedrohung zu stoppen, im Gegensatz zu ihrer vollständigen Beseitigung. Wenn ein Endpunkt kompromittiert wurde, hat sich der Angreifer dann auf andere Endpunkte verlagert? Eine kurze MTTC zeugt von guten Kontrollen der lateralen Bewegung und schnellen Quarantänen. Die mit der Cybersicherheitsdimension in Resonanz stehenden Kennzahlen sind Erkennung, Reaktion und Umgebungssegmentierung.

4. Phishing-Klickrate

Phishing ist nach wie vor ein wichtiger Angriffsvektor, der zum Diebstahl von Anmeldedaten oder zu Ransomware-Infektionen führen kann. Ein Beispiel für eine Cybersicherheitskennzahl ist die Anzahl der Mitarbeiter, die auf simulierte Phishing-Links klicken. Dies ist das Ergebnis effektiver Schulungen und vorsichtigen Nutzerverhaltens. Die Klickraten könnten erhöht sein, was Auffrischungsschulungen oder weiterführende Sensibilisierungskampagnen erforderlich machen würde.

5. Patch-Compliance-Rate

Nicht gepatchte Schwachstellen bieten Angriffsflächen für Exploits. Dies wird als Patch-Compliance-Rate gemessen. Die Patch-Compliance bezieht sich auf den Prozentsatz der Endpunkte, auf denen die neueste Version kritischer oder schwerwiegender Patches installiert ist. Eine hohe Compliance-Rate entspricht den Cybersicherheitsmetriken und -maßnahmen des NIST und bedeutet ein minimales Risiko der Ausnutzung bekannter Fehler. Viele Unternehmen haben Patch-Compliance-Ziele (z. B. 95 % oder 99 %), um zeitnah Schwachstellenmanagement.

6. Wiederauftreten von Schwachstellen

Die gleiche Schwachstelle tritt erneut auf, weil die Korrekturen nicht vollständig abgeschlossen sind oder der Code erneut eingeführt wird. Diese Kennzahl wird verwendet, um zu verfolgen, wie oft eine zuvor behobene Schwachstelle in der Umgebung erneut auftritt. Ein hohes Wiederauftreten deutet auf ein tiefer liegendes Prozessproblem bei DevOps oder ein falsch ausgerichtetes Patch-Management hin. Eine robuste und konsistente Verbesserung der Cybersicherheitskennzahlen wird durch die Verringerung des Wiederauftretens erreicht.

7. Blockierte Einbruchsversuche

Dazu gehört die Anzahl der böswilligen Anmeldeversuche, Port-Scans oder bekannten Exploit-Payloads, die Ihre Abwehrmaßnahmen erfolgreich blockiert haben. Allerdings kann diese Zahl durch zufällige Scan-Bots aufgebläht werden. Auch wenn sie durch zufällige Scan-Bots aufgebläht werden kann, spiegelt sie doch die Risikoexposition in der Umgebung wider. Unterscheiden Sie gezielte Angriffe von Hintergrundgeräuschen im Internet, indem Sie sie mit Honeypot-Daten korrelieren. Die Betrachtung der Einbruchsversuche im Zeitverlauf hilft dabei, Regelsätze oder die Sicherheitslage zu verfeinern.

8. Rate fehlgeschlagener Anmeldeversuche

Überwachen Sie die Anzahl der fehlgeschlagenen Anmeldeversuche pro Tag oder Woche. Einige fehlgeschlagene Anmeldeversuche sind normal (Tippfehler), aber ein plötzlicher Anstieg könnte ein Zeichen für Brute-Force-Angriffe oder das Testen gestohlener Anmeldedaten sein. Diese Metriken werden in der Regel von einem speziellen Log-Analysesystem oder SIEM generiert. Heben Sie potenzielles böswilliges Verhalten hervor, indem Sie es mit dem Kontext der Benutzer (Standort oder ungewöhnliche Zeiten) abgleichen.

9. Schweregrad von Vorfällen

Kategorisieren Sie entdeckte Vorfälle (z. B. Warnmeldungen oder potenzielle Sicherheitsverletzungen) nach Schweregrad (niedrig, mittel, hoch, kritisch). Anhand der Überwachung von Trends können Sie erkennen, ob Ihre Umgebung stärker angegriffen wird oder ob Verbesserungen bei der Erkennung zu einem Rückgang der Warnmeldungen mit hohem Schweregrad führen. Darüber hinaus kann diese Maßnahme bei der Ressourcenplanung helfen: Häufige kritische Vorfälle erfordern möglicherweise mehr Personal oder spezielle Tools.

10. Grundursache von Sicherheitsvorfällen

Stellen Sie fest, ob die Probleme durch Fehlkonfigurationen, Phishing, veraltete Software oder den Missbrauch von Privilegien verursacht werden. Vorfälle können nach Ursachenkategorien unterteilt werden, und Teams können in die richtigen Lösungen investieren (fortgeschrittene Anti-Phishing-Schulungen oder verbesserte Patch-Prozesse). Veränderungen in der Verteilung im Laufe der Zeit zeigen, ob Richtlinien wirksam gegen größere Schwachstellen vorgehen. Diese Kennzahl fördert einen datengestützten Ansatz zur Prioritätensetzung.

11. Abschluss von Schulungen zur Sensibilisierung der Benutzer

Dies ist die Anzahl der abgeschlossenen obligatorischen Sicherheitsschulungsmodule oder Phishing-Übungen. Sie steht auch im Zusammenhang mit den Cybersicherheitsmetriken und -maßnahmen für die Bereitschaft der Belegschaft, wie z. B. der Phishing-Klickrate oder dem Potenzial für Insider-Bedrohungen. Es handelt sich um eine Belegschaft mit hohen Abschlussquoten und guten Quiz-Ergebnissen, die daher besser in der Lage ist, verdächtige Links oder Social-Engineering-Taktiken zu erkennen. Wenn die Compliance hinterherhinkt, ist mit Schwachstellen aufgrund von Versäumnissen auf Benutzerebene zu rechnen.

12. Prozentualer Anteil der Systeme unter EDR-Abdeckung

Endpunkte, die nicht in EDR oder Next-Gen-AV sind blinde Flecken, die nicht durch EDR abgedeckt sind. Dies ist eine Kennzahl für die Anzahl der Geräte mit aktueller Endpunktdetektion. Bei großen, dezentralisierten Organisationen kann die Abdeckung für Remote- oder neu hinzugefügte Systeme nachlassen. Eine Abdeckung von nahezu 100 % entspricht den Cybersicherheitsdimensionen für Endpunktschutz und gewährleistet eine konsistente Erkennung von Eindringlingen.

13. Durchschnittliche Kosten pro Vorfall

Ein finanziell orientierter KPI, der als Gesamtkosten für die Reaktion auf Vorfälle, Ausfallzeiten, Rechtskosten und Auswirkungen auf die Marke während eines bestimmten Zeitraums geteilt durch die Anzahl der Vorfälle berechnet wird. Ein Aufwärtstrend könnte auf eine stärkere Infiltration oder langsamere Reaktionszeiten hindeuten. Führungskräfte, die allzu oft den ROI oder die Quantifizierung von Risiken verlangen, reagieren positiv auf Kostenkennzahlen. Wenn die durchschnittlichen Kosten pro Vorfall im Laufe der Zeit sinken, ist dies ein Beweis dafür, dass sich Sicherheitsmaßnahmen auszahlen.

14. Anzahl der Verstöße gegen Sicherheitsrichtlinien

Überwachen Sie, wie oft Mitarbeiter oder Prozesse gegen Ihre Sicherheitsregeln verstoßen: Datenklassifizierung, unbefugte Softwareinstallationen, Verwendung von Wechselmedien usw. Die Zahl könnte aufgrund von Unkenntnis der Richtlinien oder unzureichender Schulung der Benutzer steigen. Eine gezielte Behebung dieses Problems wird durch die Abstimmung mit Benutzergruppen erleichtert. Die Einhaltung von Richtlinien wird von den Cybersicherheitsmetriken und -maßnahmen des NIST häufig als ein Schlüsselfaktor für eine robuste Risikoposition identifiziert.

15. Zeit bis zur Bereitstellung von Sicherheitspatches

Im Gegensatz zur Compliance-Rate erfasst diese Kennzahl die durchschnittliche Zeit vom Release eines Patches bis zu seiner Bereitstellung in der Umgebung. Kürzere Zeiten bedeuten weniger Zeit für Angriffe. Kombinieren Sie dies mit einem SLA-Ziel, z. B. Patches mit hoher Priorität in weniger als 7 Tagen. Die Zeiträume werden von Teams gemessen, was dabei hilft, Engpässe (Planung von Ausfallzeiten, Abhängigkeit von Anbietern usw.) zu identifizieren und Patch-Pipelines zu optimieren.

16. Zero-Day-Exploit-Fälle

Zählen Sie, wie oft unbekannte oder "in freier Wildbahn" vorkommende Exploits Vorfälle in Ihrer Umgebung verursachen. Zero-Days sind nach wie vor schwer zu blockieren, aber diese Kennzahl gibt Ihnen Aufschluss darüber, ob Sie sie mit fortschrittlichen Erkennungswerkzeugen oder Bedrohungsinformationen blockieren. Wenn Sie eine konstante oder steigende Zahl feststellen, wissen Sie, dass Sie Ihre Reaktion auf Vorfälle verbessern oder Ihr Netzwerk stärker segmentieren müssen.

17. Versuche der Datenexfiltration

Protokollieren Sie, wie viele Versuche verdächtiger großer Dateiübertragungen oder abnormaler Daten-Downloads auftreten. Ein ausgefeiltes Erkennungssystem markiert wirklich bösartige Datenabflüsse, wobei jedoch auch einige Fehlalarme auftreten können. Solch hohe Raten deuten auf eine kompromittierte Umgebung oder einen Insider-Bedrohung, die versucht, IP- oder Kundendaten zu stehlen. Im Laufe der Zeit können Muster analysiert werden, um festzustellen, ob es bestimmte Segmente oder Benutzergruppen gibt, auf die die Angriffe abzielen.

18. DNS- und Command-and-Control-Datenverkehrsvolumen

Malware kommuniziert in der Regel mit externen Servern, um Befehle oder Daten zu erhalten, und generiert so DNS- und Command-and-Control-Datenverkehr. Sie können die Infiltrationsversuche messen, indem Sie verdächtige DNS-Abfragen oder Befehls- und Kontrollmuster verfolgen. Neu entdeckte bösartige Domains können durch einen Anstieg der DNS-Anomalien angezeigt werden. Außerdem ist es hilfreich, infizierte Endpunkte schnell zu isolieren oder bekannte bösartige IP-Adressen mit Intrusion-Detection-Protokollen zu blockieren.

19. Status der Systemhärtung

Wie viele Server oder Endpunkte entsprechen den grundlegenden Sicherheitsrichtlinien (d. h. den CIS-Benchmarks)? Dies ist ein Beispiel für eine operative Cybersicherheitsmetrik, die unter Maßnahmen fällt, mit denen überprüft wird, ob Konfigurationen den empfohlenen Standards entsprechen. Wenn viele Systeme davon abweichen, ist die Umgebung reif für Angriffe. Es entsteht eine Kultur der Nachverfolgung von Verbesserungen und der Konzentration auf minimale Berechtigungen und aktuelle Kryptografieeinstellungen.

20. Überwachung privilegierter Konten

Dies kann durch Zählen der Anzahl der Admin- oder Root-Konten sowie der Häufigkeit ihrer Nutzung verfolgt werden. Die Auswirkungen von Sicherheitsverletzungen nehmen mit einer übermäßigen Anzahl privilegierter Konten oder einer unüberwachten Nutzung zu. Diese Kennzahl dient der Überprüfung der NIST-Kennzahlen und -Maßnahmen zur Cybersicherheit im Zusammenhang mit der Zugriffskontrolle. Eine schlechte Identitätshygiene zeigt sich in einer übermäßigen Verbreitung. Versuchen Sie daher, diese Konten vierteljährlich zu reduzieren oder zu optimieren.

21. Wirksamkeit von Backups und Wiederherstellung Dies ist ein Maß dafür, ob Ihre Backups zum richtigen Zeitpunkt ausgeführt werden, bei Bedarf verfügbar sind und wie schnell Sie Daten nach einem Vorfall wiederherstellen können. Die Ausfallsicherheit wird durch hohe Erfolgsraten mit kurzen Wiederherstellungszeiten angezeigt. Die Wiederherstellung nach einem Ransomware-Angriff ist gefährdet, wenn Backups fehlschlagen oder selten getestet werden. In Verbindung mit DR-Testmetriken erhalten Sie so ein klares Bild davon, wie robust Ihre Geschäftskontinuität tatsächlich ist.

22. Versuche zur Eskalation von Benutzerrechten

Überwachung von Protokollen auf wiederholte oder verdächtige Ereignisse zur Erhöhung von Berechtigungen. Eskalationen können von Angreifern oder böswilligen Insidern versucht werden, um normale Einschränkungen zu umgehen. Tiefgreifendere Kompromittierungsversuche kritischer Ressourcen gehen mit einer konstanten oder steigenden Häufigkeit einher. Erkennt Versuche, sich einzuschleusen, und passt die Erkennungsregeln an, um diese schnell zu blockieren oder zu untersuchen, bevor sie sich ausbreiten.

23. Anti-Phishing / E-Mail-Gateway-Effektivität

Wie viele bösartige oder Spam-E-Mails blockieren Ihre E-Mail-Filtersysteme pro Tag im Vergleich zu der Menge, die Sie erhalten? Eine robuste E-Mail-Gateway-Leistung zeichnet sich daher durch eine hohe Blockierungsrate mit minimalen Fehlalarmen aus. Wiederholte Infiltrationsereignisse deuten hingegen auf veraltete Regeln oder einen fehlerhaften Filter hin. Diese Kennzahlen stimmen mit den Kennzahlen und Maßnahmen für Cybersicherheit zur Wirksamkeit der Perimeterverteidigung überein.

24. Browser- und Anwendungs-Patch-Level

Neben Betriebssystem-Updates stellen beliebte Browser oder Anwendungen von Drittanbietern häufig wichtige Infiltrationsvektoren dar. Ein partieller Patch-Ansatz zählt, wie viele Endpunkte ältere Versionen ausführen. Das Festlegen eines Ziels (z. B. "95 % der Browser werden innerhalb von 2 Tagen nach Veröffentlichung des Patches aktualisiert") fördert die Konsistenz bei der Einhaltung von Vorschriften. Das Versäumnis, Browser-Patch-Statistiken zu verfolgen, schafft eine große Schwachstelle, da webbasierte Exploits häufig für Angriffe auf Browser verwendet werden.

25. Bewertungsergebnisse für Schulungen zum Sicherheitsbewusstsein

Erfahren Sie, wie Mitarbeiter bei simulierten Social-Engineering- oder Sicherheitsquizzen abschneiden. Wenn die Durchschnittswerte sinken oder eine Abteilung wiederholt durchfällt, besteht dringender Schulungsbedarf. Diese Werte ergänzen die Phishing-Klickrate und liefern Belege für benutzerbasierte Cybersicherheitsdimensionen. Mit der Zeit verbesserte Werte spiegeln eine ausgereifte Sicherheitskultur wider.

26. Risikobewertung von Drittanbietern

Viele Sicherheitsverletzungen gehen auf Lieferanten oder Dienstleister zurück, deren Netzwerkzugang kompromittiert wurde. Eine Risikobewertung von Anbietern ist eine Möglichkeit, um zu messen, inwieweit ein Drittanbieter Ihre Sicherheitserwartungen erfüllt: Patch-Richtlinien, Verschlüsselungsstandards, Reaktion auf Vorfälle usw. Durch regelmäßige Überprüfung der Bewertungen bleiben Sie über jede Verschlechterung der Partnerlage informiert, bevor sich diese auf Ihre Umgebung auswirkt. Dieser Ansatz schließt eine Lücke in den Cybersicherheitsmetriken und -maßnahmen des NIST, indem er die Risikoüberwachung über die Grenzen Ihres Unternehmens hinaus erweitert.

27. Fehlerquote bei der Cloud-Konfiguration

Mit zunehmender Cloud-Nutzung steigen auch die Gefahren durch falsch konfigurierte S3-Buckets, offene Speichervolumes oder exponierte Verwaltungsschnittstellen. Diese Kennzahl gibt Auskunft darüber, wie viel Prozent der Cloud-Ressourcen nicht über sichere Basiskonfigurationen verfügen. Stärkere DevSecOps-Pipelines und bessere Umgebungsprüfungen führen zu einer geringeren Fehlkonfigurationsrate. Wenn die Zahlen jedoch unverändert bleiben oder steigen, ist dringend Aufmerksamkeit geboten, da offene Datenbanken oder öffentlich lesbare Blobs nach wie vor die Hauptwege für Eindringlinge sind.

28. Ungelöste kritische Schwachstellen im Zeitverlauf

Diese Kennzahl verfolgt nicht nur die Compliance-Rate des Patches, sondern identifiziert auch, wie viele kritische CVEs über einen längeren Zeitraum offen bleiben. Wenn die Zahl stark ansteigt oder auf einem hohen Niveau stagniert, bleiben die Systeme anfällig für schwerwiegende Exploits. Sicherheitsteams betrachten "ungelöste kritische Schwachstellen" als dringenden Rückstand, der sofort gepatcht oder gemindert werden muss. Dies ist ein klarer Indikator dafür, wie gut das Unternehmen mit den schwerwiegendsten Software-Schwachstellen umgeht.

29. Abschlussrate der Sicherheitsbewertung

Viele Unternehmen verlangen regelmäßig interne oder externe Sicherheitsbewertungen (z. B. Penetrationstests und Compliance-Audits durch Dritte). Dies ist der Anteil der geplanten Bewertungen, die vollständig und pünktlich abgeschlossen werden. Niedrige Raten deuten auf Engpässe bei der Planung oder Budgetbeschränkungen bei der Verwendung von Cybersicherheitsmetriken und -maßnahmen hin. Hohe Abschlussraten tragen dazu bei, die Bereitschaft zu validieren und Lücken zu identifizieren, in denen keine kontinuierliche Risikoerkennung stattfindet.

30. Vorfälle mit Offenlegung von ePHI (Electronic Protected Health Information, elektronisch geschützte Gesundheitsdaten)

Die Offenlegung von ePHI stellt für Gesundheitsorganisationen, die mit medizinischen Daten umgehen, ein enormes Risiko für ihren Ruf und hinsichtlich der Einhaltung gesetzlicher Vorschriften dar. Diese Kennzahl wird berechnet, indem gezählt wird, wie oft ohne Genehmigung auf patientenbezogene Daten zugegriffen oder diese offengelegt werden. Die Einhaltung von HIPAA oder ähnlichen Gesetzen wird durch die Verfolgung von ePHI-Expositionen unterstrichen, was wiederum strenge Zugriffskontrollen und Verschlüsselung erforderlich macht. Ein Anstieg ist eine dringende Lücke, die in der Datenverwaltung geschlossen werden muss, und ein Abwärtstrend deutet darauf hin, dass sich der Umgang mit Daten verbessert.

Herausforderungen bei der Messung von Cybersicherheitsmetriken

Die Vorteile liegen auf der Hand, doch der Aufbau eines effektiven Metrik-Frameworks ist alles andere als einfach. Die Messung von Cybersicherheitsmetriken kann ein umfangreicher Prozess sein, der von Datenvolumenbeschränkungen bis hin zu immateriellen Bedrohungen reicht.

Im Folgenden werden fünf zentrale Herausforderungen aufgeführt, die eine konsistente, zuverlässige Nachverfolgung verhindern, sowie Möglichkeiten, wie Unternehmen diese überwinden können:

1. Keine Standardisierung: Vorfälle oder Schwachstellen werden von verschiedenen Teams oder Anbietern unterschiedlich definiert. Aufgrund dieser Inkonsistenz sind die Daten über Abteilungen oder Multi-Cloud-Umgebungen hinweg unübersichtlich. Ohne standardisierte Definitionen oder ein gemeinsames Klassifizierungssystem sind Vergleiche zwischen unterschiedlichen Dingen nicht aussagekräftig. Die Lösung besteht darin, einheitliche Namenskonventionen zu entwerfen, die von einem Governance-Gremium oder Referenzrahmenwerken (wie den NIST-Metriken und -Maßnahmen für Cybersicherheit) validiert werden.
2. Übermäßige Abhängigkeit von automatisierten Tools: Automatisierung kann die Datenerfassung beschleunigen, aber es gibt einige Metriken, die eine menschliche Interpretation erfordern (z. B. Ursachen- oder Schweregradbewertung). Rein toolgesteuerte Metriken führen eher zu Fehlalarmen oder unvollständigen Korrelationen. Maschinelle Effizienz und kompetente Analyse müssen ausgewogen sein. Diese Synergie trägt dazu bei, die Sicherheitslage der Umgebung genau darzustellen.
3. Siloartige Daten und Systeme: In großen Unternehmen sind Protokolle und Schwachstellenscans häufig über verschiedene SIEMs, EDRs oder Cloud-Dashboards verteilt. Wenn Sie keine einheitliche Plattform oder eine Art von toolübergreifender Integration haben, ist es schwierig, aussagekräftige Beispiele für Cybersicherheitsmetriken zu erstellen. Die Daten sind nach wie vor in Abteilungs-Silos eingeschlossen. Um dies zu überwinden, benötigt man eine konsolidierte Architektur oder gut abgestimmte Datenpipelines.
4. Fehlinterpretation von Kennzahlen durch Stakeholder: Führungskräfte oder Vorstandsmitglieder können einige der Kennzahlen falsch interpretieren oder unterschätzen, wenn sie nur die Kosten oder allgemeine Daten betrachten. Diese Diskrepanz kann zu einem Problem werden, wenn Sicherheitsteams Entscheidungen auf der Grundlage nuancierter operativer Kennzahlen treffen. Dashboards oder Übersetzungen wie risikobasierte Bewertungen oder Auswirkungen auf das Geschäft sind klar verständlich. Der Zweck besteht darin, die Sprachbarriere zwischen technischen Sicherheitsmitarbeitern und der Unternehmensleitung zu überbrücken.
5. Veränderte Bedrohungslage: Eine heute relevante Kennzahl kann obsolet werden, wenn die Angreifer ihre TTPs ändern. Beispielsweise sind speicherbasierte oder dateilose Malware mittlerweile beliebter als die alten signaturbasierten Bedrohungen. Diese kontinuierliche Iteration Ihres Kennzahlensatzes stellt sicher, dass Sie neue Infiltrationswinkel oder Zero-Day-Exploit-Raten verfolgen. Wenn Sie sich nicht anpassen, messen Sie alte Bedrohungen und übersehen die aktuellen.

Best Practices für die Nutzung von Cybersicherheitsmetriken

Ein klar definierter Satz von Metriken hilft Teams, sich in komplexen Risikoumgebungen zurechtzufinden. Metriken haben jedoch nur dann eine echte Wirkung, wenn sie zu einem integralen Bestandteil der täglichen Geschäftsprozesse eines Unternehmens werden.

Im Folgenden finden Sie fünf bewährte Verfahren zur Vereinheitlichung von Metriken mit umfassenderen Sicherheitsabläufen, von einheitlichen Definitionen bis hin zu datengesteuerten Kulturwandeln:

1. Metriken an Geschäftszielen ausrichten: Jede Metrik sollte mit einem bestimmten Geschäftsergebnis verknüpft sein, z. B. mit dem Vertrauen der Benutzer, der Compliance-Situation oder Kosteneinsparungen durch weniger Sicherheitsverletzungen. Diese Ausrichtung verhindert auch, dass Metriken aus Eitelkeit oder Tradition verfolgt werden. Stattdessen tragen sie zum Geschäftswachstum oder zum Ruf der Marke bei. Sie sichern sich die Zustimmung der Führungskräfte, indem Sie zeigen, dass Cybersicherheitsmetriken mit Umsatzzielen oder Markentreue verbunden sind.
2. Metriken einfach und umsetzbar gestalten: Hundert Metriken auf einem Dashboard sind überwältigend und nicht umsetzbar. Wählen Sie eine Reihe wichtiger Cybersicherheitsmetriken aus, die direkt geschäftliche Entscheidungen beeinflussen, z. B. Patch-Compliance oder Phishing-Klickraten. Jede Kennzahl sollte auch die Frage beantworten: "Was werden wir anders machen, wenn sich diese Zahl ändert?" Wenn die Frage unklar ist, ist der Wert der Metrik fragwürdig.
3. Schaffen Sie eine Feedbackschleife für kontinuierliche Verbesserung: Wenn die Phishing-Raten um 10 % gestiegen sind, könnten Sie sofort die betroffenen Abteilungen schulen. Führen Sie die neue Schulung durch und messen Sie die Ergebnisse. Wenn die Rate nicht sinkt, ist es an der Zeit, die Strategien erneut anzupassen. Mit diesem Feedback-Zyklus werden Cybersicherheitsmetriken zu einem dynamischen Verbesserungsmotor und sind keine statischen oder veralteten Dashboards mehr.
4. Kombinieren Sie Metriken mit Risiken oder Kosten: Kennzahlen wie "75 ungepatchte Schwachstellen" sind ohne das Risiko oder die Kosten, die entstehen, wenn diese Schwachstellen nicht behoben werden, nicht aussagekräftig. Ordnen Sie beispielsweise jede offene kritische Schwachstelle möglichen Datenlecks oder Imageschäden zu. Die risikobasierte Gewichtung entspricht den Erwartungen der Führungskräfte und fördert die schnelle Installation von Patches. Die Synergie fördert fundiertere, prioritätsbasierte Sicherheitsentscheidungen.
5. Fördern Sie die Sichtbarkeit von Kennzahlen und die Zusammenarbeit: Aktualisieren Sie die Metriken regelmäßig mit funktionsübergreifenden Teams (DevOps, Finanzen, Personalwesen usw.), um zu sehen, wie sich die Sicherheitslage entwickelt. Nicht-technische Mitarbeiter werden sich potenzieller Bedrohungen bewusst, und durch die Zusammenarbeit wird eine sicherheitsbewusste Kultur gefördert. Tools, die die Möglichkeit bieten, Metrikdaten nach Region, Produktlinie, Umgebung usw. aufzuschlüsseln, verbessern ebenfalls die Verantwortlichkeit. Sicherheit wird allmählich zu einer Aufgabe, die von der gesamten Organisation geteilt wird und nicht nur von der IT-Abteilung überprüft wird.

Fazit

Effektive Cybersicherheitsmetriken sind für die Entscheidungsfindung unerlässlich, da sich die Bedrohungsvektoren vervielfachen und Vorstände konkrete ROI-Zahlen verlangen. Metriken wandeln immaterielle Risiken in messbare Daten um und schaffen so eine Verbindung zwischen technischen Details und der Aufsicht durch die Geschäftsleitung. Ob es sich nun um Patch-Zykluszeiten, die Nutzung privilegierter Konten oder die Erkennungsrate komplexer Bedrohungen handelt – sorgfältig ausgewählte Metriken machen den Fortschritt im Bereich Sicherheit transparent. Wenn Ihr Team einen strukturierten Ansatz verfolgt, beispielsweise durch die Ausrichtung an den Cybersicherheitsmetriken und -maßnahmen des NIST, kann es Schwachstellen identifizieren, Verantwortlichkeiten durchsetzen und Ressourcen strategisch einsetzen.

Daten allein reichen jedoch nicht aus, um erfolgreich zu sein. Es erfordert teamübergreifende Zusammenarbeit, kontinuierliche Verbesserung und Lösungen, die Protokolle, Schwachstellenbefunde und Bedrohungsinformationen auf einer Ebene sichtbar machen. Sie können maßgeschneiderte Metriken erhalten, mit denen Ihr Unternehmen sowohl alltägliche Sicherheitsaufgaben als auch sich entwickelnde Bedrohungsherausforderungen messen kann.

"