Security KPIs definieren: Was Geschäftsführung wirklich messen muss
Security KPIs wie MTTD und MTTR messbar machen: Welche Cybersecurity-Metriken KMU-Geschäftsführer kennen müssen und wie NIS-2 das einfordert.
Security KPIs definieren: Was Geschäftsführung wirklich messen muss
Key Takeaways
- Ohne messbare Kennzahlen bleibt IT-Sicherheit ein Bauchgefühl – kein tragfähiges Fundament für unternehmerische Entscheidungen.
- MTTD und MTTR sind die zwei wichtigsten operativen Metriken, die zeigen, ob Ihr Sicherheitsbetrieb funktioniert.
- Patch Coverage und offene CVEs nach Schweregrad sind die Kennzahlen, die NIS-2 und Cyberversicherungen zunehmend einfordern.
- Ein übersichtliches Dashboard mit fünf bis sieben KPIs schlägt ein technisch überfrachtetes Reporting um Längen.
Warum Cybersecurity messbar sein muss
Stellen Sie sich vor, Ihr Controlling würde jeden Monat einen Stapel Kontoauszüge auf den Tisch legen, aber keine GuV, kein Liquiditäts-Dashboard, keine Kennzahlen. Niemand würde das akzeptieren. In der IT-Sicherheit passiert genau das in Dutzenden mittelständischer Unternehmen täglich.
Der IT-Verantwortliche weiß intuitiv, ob die Lage gut oder schlecht ist. Die Geschäftsführung ahnt es. Aber sobald eine konkrete Frage kommt – „Wie schnell erkennen wir Angriffe?
Häufige Fragen
Was ist der Unterschied zwischen MTTD und MTTR?
MTTD (Mean Time to Detect) misst die Zeit vom Beginn eines Sicherheitsvorfalls bis zur Erkennung durch Ihr Team. MTTR (Mean Time to Respond) misst die Zeit von der Erkennung bis zur vollständigen Eindämmung. Beide Metriken zusammen zeigen, wie effektiv Ihr Sicherheitsbetrieb ist: MTTD bewertet die Erkennungsqualität Ihres SIEM oder SOC, MTTR bewertet die Reaktionsfähigkeit Ihres Teams. Ein niedriger MTTD bringt wenig, wenn MTTR zu hoch ist – und umgekehrt.
Welche Security KPIs sind für die NIS-2-Compliance relevant?
NIS-2 schreibt keine Zielwerte vor, verlangt aber nachweisbare Überwachung durch die Geschäftsleitung (§ 30 BSIG-E). Besonders relevant sind: MTTD und MTTR für die Meldepflicht bei signifikanten Vorfällen (24h/72h-Fristen nach Artikel 23 NIS-2), Patch Coverage und offene CVEs als Nachweis für das Schwachstellenmanagement, sowie Incident-Logs mit Zeitstempeln für Behördenanfragen nach einem Vorfall. Ohne strukturierte KPIs fehlt die Nachweisgrundlage bei Audits oder nach einem Sicherheitsvorfall.
Wie oft sollte die Geschäftsführung Security KPIs reviewen?
Monatliche Reviews sind für die meisten KMU der richtige Rhythmus. Das Security-Dashboard sollte fünf bis sieben Kernmetriken enthalten und in dreißig Minuten abgearbeitet werden können. Quartallich empfiehlt sich ein tieferer Blick auf Trends: Verbessert sich MTTD über Zeit? Sinkt die Zahl offener kritischer CVEs? Kritische Incidents – also Ransomware-Verdacht, Datenpannen oder kompromittierte Admin-Konten – werden ad hoc an die Geschäftsführung eskaliert, unabhängig vom Reportingzyklus.