KPIs (Key Performance Indicators) machen den Erfolg eines ISMS messbar. Ohne Kennzahlen ist eine kontinuierliche Verbesserung nicht möglich. ISO 27001 fordert die Messung der Wirksamkeit des ISMS — dieser Artikel zeigt welche KPIs praxisrelevant sind.
Warum braucht ein ISMS KPIs
ISO 27001 Kapitel 9.1 fordert ausdrücklich die Überwachung, Messung, Analyse und Bewertung der Informationssicherheitsleistung. KPIs machen den Reifegrad messbar, zeigen Trends, rechtfertigen Sicherheitsinvestitionen gegenüber dem Management und sind Basis für den jährlichen Management Review.
Welche KPI-Kategorien sind für ein ISMS relevant
5 Kategorien: (1) Risiko-KPIs: Anzahl offener Hochrisiken, Risikotrend. (2) Vorfalls-KPIs: Anzahl Sicherheitsvorfälle, MTTD/MTTR. (3) Compliance-KPIs: Patchinggrad, Schulungsquote. (4) Technische KPIs: Systemverfügbarkeit, Schwachstellenanzahl. (5) Prozess-KPIs: Audit-Findings, offene Korrekturmaßnahmen.
Was sind die wichtigsten ISMS-KPIs für die Geschäftsführung
GF-relevante KPIs: Sicherheitsvorfälle pro Quartal (Trend), finanzielle Auswirkung von Vorfällen, Reifegrad des ISMS (z.B. nach CMMI), Zertifizierungsstatus, Anteil erfüllter regulatorischer Anforderungen, Kosten vs. vermiedene Schäden. Maximal 5–8 KPIs für GF-Dashboard.
Wie misst man MTTD und MTTR
MTTD (Mean Time to Detect): Durchschnittliche Zeit vom Beginn eines Angriffs bis zur Erkennung. Zielwert: <24 Stunden. MTTR (Mean Time to Respond): Zeit von Erkennung bis Behebung. Zielwert: kritische Vorfälle <4 Stunden, hohe Vorfälle <24 Stunden. Beide werden aus dem Incident-Log berechnet.
Wie oft sollten ISMS-KPIs gemessen werden
Frequenz nach KPI-Typ: Technische KPIs (Patchinggrad, Schwachstellen): wöchentlich automatisiert. Vorfalls-KPIs: monatlich. Risiko-KPIs: quartalsweise. Compliance-KPIs: halbjährlich. Reifegradmessung: jährlich. Management-Reporting: quartalsweise an GF, monatlich an CISO.
Welche Tools nutzt man für ISMS-KPI-Messung
ISMS-Plattformen: SAP GRC, ServiceNow GRC, Dräger ISMS. Open Source: Eramba. Technische Quellen: SIEM-Dashboards (Splunk, Sentinel), Vulnerability Scanner (Tenable, Qualys), Patch-Management-Tools. Visualisierung: Power BI, Grafana, oder einfache Excel-Dashboards für KMU.
✓ Checkliste: Welche KPIs sollte ein ISMS haben?
- Verantwortlichkeiten klar definiert
- Dokumentation vollständig und aktuell
- Risikoanalyse durchgeführt
- Maßnahmen priorisiert und umgesetzt
- Mitarbeiter geschult
- Regelmäßige Überprüfung geplant
- Management informiert und eingebunden
- Compliance-Anforderungen erfüllt
- Technische Maßnahmen implementiert
- Auditierbarkeit sichergestellt
Fazit
Das Thema Welche KPIs sollte ein ISMS haben? ist für moderne Unternehmen unverzichtbar. Es schützt vor Risiken, erfüllt regulatorische Anforderungen und schafft Vertrauen bei Kunden und Partnern. APASEC unterstützt Sie dabei — von der ersten Analyse bis zur nachhaltigen Umsetzung.
APASEC unterstützt Sie bei der professionellen Umsetzung — praxisnah und auf Ihr Unternehmen zugeschnitten. Jetzt unverbindlich anfragen →
Häufige Fragen (FAQ)
ISO 27001 Kapitel 9.1 fordert ausdrücklich die Überwachung, Messung, Analyse und Bewertung der Informationssicherheitsleistung. KPIs machen den Reifegrad messbar, zeigen Trends, rechtfertigen Sicherheitsinvestitionen gegenüber dem Management und sind Basis für den jährlichen Management Review.
5 Kategorien: (1) Risiko-KPIs: Anzahl offener Hochrisiken, Risikotrend. (2) Vorfalls-KPIs: Anzahl Sicherheitsvorfälle, MTTD/MTTR. (3) Compliance-KPIs: Patchinggrad, Schulungsquote. (4) Technische KPIs: Systemverfügbarkeit, Schwachstellenanzahl. (5) Prozess-KPIs: Audit-Findings, offene Korrekturmaßnahmen.
GF-relevante KPIs: Sicherheitsvorfälle pro Quartal (Trend), finanzielle Auswirkung von Vorfällen, Reifegrad des ISMS (z.B. nach CMMI), Zertifizierungsstatus, Anteil erfüllter regulatorischer Anforderungen, Kosten vs. vermiedene Schäden. Maximal 5–8 KPIs für GF-Dashboard.
MTTD (Mean Time to Detect): Durchschnittliche Zeit vom Beginn eines Angriffs bis zur Erkennung. Zielwert: <24 Stunden. MTTR (Mean Time to Respond): Zeit von Erkennung bis Behebung. Zielwert: kritische Vorfälle <4 Stunden, hohe Vorfälle <24 Stunden. Beide werden aus dem Incident-Log berechnet.
Frequenz nach KPI-Typ: Technische KPIs (Patchinggrad, Schwachstellen): wöchentlich automatisiert. Vorfalls-KPIs: monatlich. Risiko-KPIs: quartalsweise. Compliance-KPIs: halbjährlich. Reifegradmessung: jährlich. Management-Reporting: quartalsweise an GF, monatlich an CISO.
ISMS-Plattformen: SAP GRC, ServiceNow GRC, Dräger ISMS. Open Source: Eramba. Technische Quellen: SIEM-Dashboards (Splunk, Sentinel), Vulnerability Scanner (Tenable, Qualys), Patch-Management-Tools. Visualisierung: Power BI, Grafana, oder einfache Excel-Dashboards für KMU.
ISMS-Reifegrad nach CMMI: Level 1 (Initial/chaotisch), Level 2 (Managed/dokumentiert), Level 3 (Defined/standardisiert), Level 4 (Quantitatively Managed/gemessen), Level 5 (Optimizing/kontinuierlich verbessert). ISO 27001-Zertifizierung entspricht ca. Level 3. Messung durch interne Audits oder externe Assessment.
Zielwerte definieren: Benchmarks nutzen (Branchendurchschnitt, ENISA-Berichte), historische Baseline ermitteln (letzten 12 Monate), realistisch aber ambitioniert (10–20% Verbesserung pro Jahr), mit Management abstimmen, bei ISO-27001-Audits erklärbar sein. Beispiel: Patchinggrad kritische Systeme Zielwert 98%.
Lagging Indicators: messen vergangene Ereignisse (Anzahl Vorfälle, MTTD). Zeigen ob Maßnahmen gewirkt haben. Leading Indicators: messen aktuelle Aktivitäten die zukünftige Sicherheit beeinflussen (Schulungsquote, offene Patches). Gutes ISMS-KPI-Set enthält beide Typen.
Management Review (ISO 27001 Kap. 9.3): KPIs als Hauptagendapunkt. Vorlage: Status letzter Review, aktuelle KPI-Entwicklung, Abweichungen und Ursachen, Entscheidungsbedarf, neue Ziele. Protokoll und Entscheidungen dokumentieren. Frequenz: mindestens jährlich, empfohlen quartalsweise.