Cyberbedrohungen schweben wie das Damoklesschwert über den IT-Sicherheitsverantwortlichen. Es ist nicht mehr länger die Frage ob, sondern vielmehr wann es das eigene Unternehmen trifft und wie mit dem Angriffsszenario umgegangen wird. Aktive Prävention, ein IT-Risikomanagement und ein nachhaltiges Notfallmanagement bilden eine solide Basis. Doch wie sieht es mit der Transparenz aus? Der Weg zur Schaffung dieser ist meist unklar. Ziele in Form von Kennzahlen fördern die Effizienz, da vorhandene Ressourcen auf die wichtigen Maßnahmen und Initiativen gelegt werden. Daraus resultiert, dass Unternehmen, die Messgrößen für den Status quo der Sicherheit und deren Fortschrittsverfolgung einsetzen, nachweislich ein besseres Cybersicherheitsprogramm innehaben. Da überrascht es, dass fast vier von fünf Unternehmen der Überblick über ihr IT-Sicherheitsmanagement beziehungsweise ihre IT-Sicherheitsdienste fehlt.

Dabei wäre genau diese Transparenz samt Dokumentation für verantwortliche Experten hinsichtlich Effizienz entscheidend und kommt bei Gesellschaftern und Aktionären gut an.

Die Wahl der angemessenen Cybersicherheitskennzahlen

Um die Cybersicherheit mit Metriken und KPIs zu verbessern, sind valide Daten, eine gute Vorgehensweise sowie eine hohe Ausdauer erforderlich. Es ist erwiesen, dass Unternehmen, die Kennzahlen nutzen, effizienter und kostengünstiger in Bezug auf die Cybersicherheit sind. Gesellschafter und Aktionäre schätzen Kennzahlen, die zeigen, wie die Verantwortlichen die Lage beurteilen und die IT-Sicherheit erhöhen. Dabei darf nicht vergessen werden, dass die Kennzahlen an die Unternehmensziele, an die IT-Strategieziele und an den Reifegrad der IT angepasst werden müssen. Zudem sollte die Zielgröße im Hinblick auf Größe und Branche angemessen bleiben. Zugegeben, KPIs und Metriken verringern das Risiko mitnichten, von schwerwiegenden Angriffen betroffen zu sein, fördern jedoch die Transparenz und Verbesserung der Resilienz.

Sven Hillebrecht ist General Manager des IT-Beratungsunternehmens Adlon.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.