ISO 27001: IT-Sicherheitsleistung messen ohne KPI-Theater

Viele Unternehmen lesen in ISO 27001 sinngemäß: Die Informationssicherheitsleistung muss gemessen und bewertet werden - und denken sofort an Tabellenhölle, KPI-Theater und Kennzahlen, die am Ende niemandem helfen. Genau so sollte man es nicht machen.

Der Punkt hinter der Norm ist deutlich sinnvoller: Wenn Sie Informationssicherheit steuern wollen, müssen Sie erkennen können, ob Ihre Anstrengungen überhaupt etwas bringen. ISO 27001 ist ein Standard für ein ISMS, das aufgebaut, umgesetzt, aufrechterhalten und fortlaufend verbessert werden soll. Dazu gehört zwangsläufig auch, die eigene Leistung zu beobachten und zu bewerten.

Die kurze Antwort

Informationssicherheitsleistung sinnvoll zu messen heißt nicht, möglichst viele Kennzahlen zu produzieren. Es heißt, wenige brauchbare Kennzahlen aus klaren Zielen abzuleiten.

Ein guter Weg dafür ist:

• erst das Ziel festlegen;
• dann die richtige Frage formulieren;
• und erst danach die passende Kennzahl wählen.

Genau diese Logik passt sehr gut zu ISO 27001 und deckt sich auch mit dem Goal-Question-Metric-Ansatz, der Kennzahlen ausdrücklich zielorientiert ableitet statt einfach Zahlen zu sammeln.

Warum ISO 27001 überhaupt Leistungsmessung verlangt

ISO 27001 will kein ISMS, das nur auf dem Papier gut aussieht. Die Norm will ein System, das wirkt. Deshalb reicht es nicht, Richtlinien zu schreiben und Maßnahmen einzuführen. Sie müssen auch erkennen können, ob diese Maßnahmen den gewünschten Effekt haben.

Der häufigste Denkfehler

Der häufigste Denkfehler lautet: Dann brauchen wir jetzt ganz viele Security-KPIs.

Nein.

Viele Kennzahlen erzeugen oft nur zwei Dinge: Beschäftigung und  Scheingenauigkeit.

Wenn Sie zwanzig Zahlen erfassen, aber keine davon hilft Ihnen bei Entscheidungen, ist das keine Steuerung. Es ist Deko. ISO 27001 Abschnitt 9.1 wird in verständlichen Erläuterungen genau als strukturierter Prozess für Überwachung, Messung, Analyse und Bewertung beschrieben - nicht als Aufforderung zur Kennzahlensammlung um ihrer selbst willen.

Erst das Ziel. Dann die Frage. Dann die Metrik.

Das ist die wichtigste Reihenfolge im ganzen Thema.

Die GQM-Logik ist genau dafür nützlich: Ziele zuerst, daraus Fragen ableiten und erst danach Metriken wählen. Fraunhofer beschreibt GQM ausdrücklich als zielorientierten Ansatz zur Messung von Produkten und Prozessen. Das ist für Informationssicherheit ideal, weil es verhindert, dass Sie mit Kennzahlen starten, bevor überhaupt klar ist, was Sie erreichen wollen.

Schritt 1: Das Sicherheitsziel sauber benennen

Ohne Ziel können Sie keine sinnvolle Leistung messen.

Ein Ziel könnte zum Beispiel sein:

• kritische Systeme verlässlich verfügbar halten;
• Sicherheitsvorfälle schneller erkennen;
• privilegierte Zugriffe sauber steuern;
• Schwachstellen schneller schließen;
• Sicherheitsbewusstsein der Mitarbeiter verbessern.

Wichtig ist, dass das Ziel konkret genug ist, um später eine brauchbare Frage daraus zu machen. ISO 27001 verlangt ein ISMS, das an Risiken und Geschäftsziele anschlussfähig ist. Genau deshalb sollten Ihre Messziele nicht abstrakt sein, sondern zu Ihren realen Sicherheitszielen passen.

Schritt 2: Die richtige Frage stellen

Jetzt wird es praktisch.

Wenn das Ziel lautet: "Unsere kritische Anwendung soll verlässlich verfügbar sein", dann könnte eine gute Frage sein:

"Wie viele Minuten ungeplanter Ausfall hatten wir pro Monat in der Kernnutzungszeit?"

Wenn das Ziel lautet: "Wir wollen Sicherheitsvorfälle schneller erkennen",
dann könnte die Frage lauten:

"Wie lange dauert es im Durchschnitt von einem sicherheitsrelevanten Ereignis bis zur Erkennung?"

Die Frage ist der eigentliche Schlüssel. Sie übersetzt ein abstraktes Ziel in etwas, das man wirklich beobachten kann. Genau so funktioniert GQM: Ziele werden über Fragen präzisiert, und daraus werden geeignete Messgrößen abgeleitet.

Schritt 3: Erst jetzt die Kennzahl festlegen

Viele steigen genau hier zu früh ein. Besser ist: Erst wenn Ziel und Frage sauber sind, legen Sie die Metrik fest.

Das kann zum Beispiel sein:

• Minuten Ausfallzeit pro Monat;
• Anteil fristgerecht geschlossener kritischer Schwachstellen;
• Zahl erfolgreicher Restore-Tests;
• Zeit bis zur Sperrung ausgeschiedener Benutzerkonten;
• Quote bestandener Awareness-Checks;
• Anteil privilegierter Konten mit MFA.

Die Kennzahl ist also nicht der Anfang, sondern das Ergebnis der Vorarbeit.

Wenige Kennzahlen sind meist besser als viele

In der Praxis funktionieren oft drei bis fünf gute Kennzahlen pro wichtigem Themenfeld besser als ein aufgeblasenes Dashboard.

Warum?

Weil gute Kennzahlen etwas gemeinsam haben:

• sie sind verständlich;
• sie sind entscheidungsrelevant;
• und sie lassen sich mit vertretbarem Aufwand erheben.

Sobald eine Kennzahl nur deshalb existiert, weil sie "professionell klingt", wird sie schnell wertlos. ISO 27001 verlangt Messung und Bewertung, aber keine mathematische Selbstbeschäftigung.

Was man gut messen kann

Sinnvolle Themen für Kennzahlen sind zum Beispiel:

Verfügbarkeit

Wie stabil laufen kritische Systeme wirklich?

Schwachstellenmanagement

Wie schnell werden relevante Lücken erkannt und behandelt?

Zugriffskontrolle

Wie sauber werden Konten vergeben, geändert und entzogen?

Awareness

Verstehen Mitarbeiter typische Sicherheitsrisiken besser als vorher?

Incident Handling

Werden Vorfälle schneller erkannt, eingeordnet und bearbeitet?

Backup und Wiederherstellung

Funktioniert Wiederanlauf auch praktisch - oder nur in der Theorie?

Das sind typische Felder, in denen Kennzahlen tatsächlich helfen können, die Wirksamkeit des ISMS zu bewerten. Diese Einordnung ist eine praktische Ableitung aus ISO 27001 als ISMS-Standard und aus der in Abschnitt 9.1 geforderten Leistungsbewertung.

Was man besser nicht misst

Nicht alles, was sich zählen lässt, ist auch nützlich.

Schwache Kennzahlen sind zum Beispiel:

• Zahl geschriebener Richtlinien;
• Zahl besuchter Meetings;
• Zahl verschickter Awareness-Mails;
• Zahl offener Excel-Zeilen;
• reine Tool-Statistiken ohne Zusammenhang zum Ziel.

Solche Zahlen wirken beschäftigt, sagen aber oft wenig darüber aus, ob Ihre Informationssicherheit tatsächlich besser geworden ist.

Die Kennzahl braucht einen Bewertungsmaßstab

Eine Zahl allein ist noch keine Aussage.

Wenn Sie sagen: "Wir hatten 18 Minuten ungeplanten Ausfall im Monat", dann ist die eigentliche Frage:

Ist das gut oder schlecht?

Deshalb brauchen Sie einen Bewertungsmaßstab. Das kann sein:

• Zielwert;
• Schwellenwert;
• Ampel;
• Schulnote;
• Prozentwert;
• Trendvergleich über mehrere Monate.

Erst dadurch wird aus einer Zahl eine Steuerungsinformation.

Das Ziel ist Steuerung, nicht Statistik

Messung ist in ISO 27001 kein Selbstzweck. Sie soll Entscheidungen verbessern.

Wenn eine Kennzahl zeigt, dass kritische Schwachstellen zu lange offenbleiben, ist die eigentliche Folge nicht "schöne Zahl im Report", sondern: Maßnahmen anpassen, Verantwortung klären, Priorität erhöhen. Genau darin liegt der Sinn von Überwachung, Analyse und Bewertung im ISMS.

Was will der Auditor sehen?

Ein Auditor will in der Regel nicht sehen, dass Sie ein besonders buntes Kennzahlencockpit gebaut haben.

Er will erkennen, dass Sie sinnvoll messen:

• mit nachvollziehbaren Zielen;
• mit verständlichen Kennzahlen;
• mit klarem Bewertungsmaßstab;
• und mit erkennbaren Konsequenzen aus den Ergebnissen.

Eine kleine Zahl guter Metriken, die wirklich genutzt werden, wirkt fast immer stärker als ein großes Dashboard, das nur für den Audittermin lebt. Diese Erwartung passt direkt zur Logik von ISO 27001 Abschnitt 9.1: messen, analysieren, bewerten - und daraus Steuerung ableiten.

FAQ

Wenn Sie Ihre Informationssicherheitsleistung so messen wollen, dass daraus echte Steuerung statt Kennzahlendeko wird, dann Sprechen Sie mit uns oder Sie schreiben uns etwas gleich hier auf der Seite in den Chat (rechts unten).