In unserer digitalen Welt sind Informationssicherheit und Datenschutz zentrale Themen für Unternehmen jeder Größe. Ein Informationssicherheits-Managementsystem (ISMS) bietet wie ein Datenschutz-Managementsystem (DSMS) einen strukturierten Ansatz, um Informationen zu schützen und Risiken zu minimieren. Um die Effektivität eines solchen Managementsystems zu bewerten und zu verbessern, sind Kennzahlen und KPIs (Key Performance Indicator) unerlässlich.
Der Inhalt im Überblick
Was sind Kennzahlen und KPIs?
Beide sind wichtige Instrumente zur Leistungsbewertung, unterscheiden sich jedoch in ihrer Anwendung und Bedeutung.
Kennzahlen sind ein allgemeiner Begriff für quantitative Werte, die verschiedene Aspekte eines Unternehmens oder Prozesses messen, wie beispielsweise Umsatz, Kosten oder die Anzahl der Mitarbeiter. Diese können zur Analyse, Kontrolle oder Berichterstattung eingesetzt werden.
Im Gegensatz dazu sind KPIs spezifische Kennzahlen, die gezielt zur Messung des Fortschritts in Bezug auf definierte Ziele oder strategische Vorgaben dienen. Sie sind in der Regel entscheidend für die Bewertung des Erfolges eines Unternehmens oder Projekts. Beispiele für KPIs sind das Umsatzwachstum im Vergleich zum Vorjahr, der Kundenzufriedenheitsindex oder der Marktanteil.
Kurz gesagt: Alle KPIs sind Kennzahlen, aber nicht alle Kennzahlen sind KPIs.
KPIs im Informationssicherheits-Managementsystem
Im Kontext eines ISMS sind KPIs entscheidend, um die Sicherheitslage zu bewerten, die Effizienz der Sicherheitsmaßnahmen zu überprüfen und die Einhaltung von Vorschriften sicherzustellen. Sie dienen nicht nur als Werkzeuge zur Leistungsbewertung, sondern auch als Kommunikationsmittel zwischen den verschiedenen Stakeholdern, einschließlich der Geschäftsführung, der IT-Abteilung oder in Awarenesskampagnen.
Mögliche wichtige Kennzahlen für ein ISMS sind:
- Anzahl der Sicherheitsvorfälle
Diese Kennzahl erfasst die Häufigkeit von Vorfällen, die die Informationssicherheit gefährden. Ein Anstieg kann auf Schwachstellen im System hinweisen. - Reaktionszeit auf Vorfälle
Die Zeitspanne, die benötigt wird, um auf Sicherheitsvorfälle zu reagieren. Eine verkürzte Reaktionszeit kann die Auswirkungen eines Vorfalls erheblich minimieren. - Schulungsbeteiligung
Die Anzahl der Mitarbeiter, die an Schulungen teilnehmen, zeigt, wie gut das Bewusstsein für Sicherheitsfragen innerhalb der Organisation gefördert wird. - Durchgeführte Dienstleister-Audits
Diese Kennzahl misst den Anteil der erfolgreich abgeschlossenen Audits bei Ihren Dienstleistern. - Anzahl der Schwachstellen
Die Identifizierung und Dokumentation von Schwachstellen in Systemen und Anwendungen sind wichtig, um proaktive Sicherheitsmaßnahmen zu ergreifen. - Durchschnittliche Zeit zur Behebung von Schwachstellen
Diese Kennzahl misst, wie schnell Schwachstellen nach ihrer Identifizierung behoben werden. Eine kurze Behebungszeit ist ein Indikator für ein effektives Sicherheitsmanagement. - Verfügbarkeit des Produktivsystems
Die Uptime im Verhältnis zur Downtime Ihrer Systeme. Diese könnte auch für sicherheitsrelevante Systeme gemessen werden. - Anzahl der durchgeführten Management-Reviews
Diese Kennzahl erfasst die Treffen mit dem Top-Management. Eine Messung der Treffen des ISMS-Teams oder die Teilnahme kann auch eine sinnvolle Kennzahl bilden. - Mitarbeiterzufriedenheit
Umfragen zur Mitarbeiterzufriedenheit können wertvolle Einblicke in die Wahrnehmung der Informationssicherheit im Unternehmen geben. Außerdem kann wertvolles Feedback erhoben werden. - Anzahl der Überprüfungen der Sicherheitsrichtlinien
Die Anzahl der durchgeführten Überprüfungen und Aktualisierungen der Sicherheitsrichtlinien pro Jahr zeigt, wie dynamisch das ISMS ist und wie gut es auf neue Bedrohungen reagiert.
Und im Datenschutz-Managementsystem?
Kennzahlen sind auch essenziell für ein effektives Datenschutz-Managementsystem (DSMS), da sie die Leistungsfähigkeit und Compliance des Systems messen und sichtbar machen. Wichtige KPIs im DSMS laufen analog zu den oben vorgestellten Kennzahlen im ISMS. Sie umfassen beispielsweise die Anzahl oder Schwere der Datenschutzvorfälle, die durchschnittliche Reaktionszeit auf diese Vorfälle und die Schulungsbeteiligung der Mitarbeiter. Durch die regelmäßige Überwachung dieser Zahlen können Organisationen Schwachstellen identifizieren, die Effektivität ihrer Datenschutzmaßnahmen bewerten und den gesetzlichen Dokumentationsanforderungen besser entsprechen.
Implementierung und Überwachung von KPIs
Die Implementierung von KPIs und Kennzahlen im ISMS erfordert einen klaren Plan. Zunächst sollten relevante Werte identifiziert werden, die auf die spezifischen Sicherheitsziele und -anforderungen der Organisation abgestimmt sind. Anschließend müssen die erforderlichen Datenquellen festgelegt werden, um die KPIs zu messen. Dies kann durch interne Audits, Sicherheitstests oder durch die Analyse von Vorfalldaten geschehen.
Es ist wichtig, KPIs regelmäßig zu überwachen und die Ergebnisse zu analysieren. Basierend auf diesen Erkenntnissen sollten Maßnahmen zur Verbesserung der Sicherheitslage ergriffen werden. Eine kontinuierliche Anpassung und Verbesserung des ISMS ist entscheidend, um den sich ständig verändernden Bedrohungen und Compliance-Anforderungen gerecht zu werden.
Definieren Sie daher für jeden KPI:
- Überwachung und Messung:
Bestimmen Sie, welche spezifischen Aspekte überwacht und gemessen werden sollen (z. B. Anzahl der Datenschutzvorfälle, Reaktionszeiten). - Messzeitpunkt und -methode:
Legen Sie fest, wann und wie die Messungen erfolgen (z. B. monatlich, durch automatisierte Systeme oder manuelle Auswertungen). - Analyse und Bewertung:
Definieren Sie, wann und wie die Ergebnisse analysiert und bewertet werden (z. B. vierteljährliche Reviews, Analyse durch das Datenschutzteam). - Verantwortlichkeiten:
Bestimmen Sie, wer für die einzelnen Schritte verantwortlich ist (z. B. Datenschutzbeauftragter, IT-Abteilung). - Nachweise:
Halten Sie fest, welche Dokumentationen und Nachweise über die Überwachungs- und Messergebnisse geführt werden (z. B. Protokolle, Berichte oder Screenshots).
Es gilt, ein Überwachungs- und Messsystem zu implementieren, das einen klaren Nutzen bringt, ohne dass die Erhebung und Auswertung der Daten zu einer übermäßigen administrativen Belastung werden.
Für den Anfang ist an einer Kennzahl ohne direkte Steuerungswirkung nichts falsch. Sie verdeutlicht geleistete Arbeit und unterstützt Sie bei Ihren Rechenschaftspflichten. Mit höherem Reifegrad des Managementsystems können Kennzahlen dann zu KPIs weiterentwickelt werden.
Kennzahlen und KPIs: Zentral für effektive Managementsysteme
Kennzahlen sind ein unverzichtbares Werkzeug im Managementsystem. Sie bieten Ihnen eine objektive Grundlage für die Bewertung der Maßnahmen und ermöglichen es, proaktiv auf Bedrohungen zu reagieren. Durch die regelmäßige Überwachung und Anpassung der KPIs können Organisationen sicherstellen, dass ihr Datenschutz und Ihre Informationssicherheit nicht nur den aktuellen Standards entsprechen, sondern auch zukunftssicher sind.
Die insbesondere unter ISMS aufgeführten Kennzahlen haben zwei typische Schwächen. Erstens sind sie sie sehr auditorientiert und zweitens sind sie nicht risikoadjustiert. Natürlich, die Durchdringungsquote von Dienstleisteraudits und Managementreviews freut den Auditor und für das QM-System gibt es mal wieder ein Fleißkärtchen – was die Security angeht ist das völlig irrelevant. Was nützen mir 10 Dienstleisteraudits, wenn darunter nicht die 2 relevanten Betriebsdienstleister sind? Da sind wir dann auch schon beim nächsten Punkt – Risokoadjustierung. Die Zahl der Incidents, bspw. im Rahmen eines SIEM, ist völlig unwichtig. Mich interessiert der Anteil bzw. die Anzahl der Icidents mit „high-risk“ oder im IT Servicemanagement der Anteil der Tickets mit Prio 1 oder Prio 2. Nächstes Beispiel: Schwachstellen. Die Anzahl der Schwachstellen bspw. nach einem PenTest kann enorm sein, aber ohne Berücksichtigung der Schwere und der Relevanz fürs Business (BIA) ist die Menge erstmal unwichtig. Ein KPI muss nicht nur möglichst Zähler und Nenner haben, er muss auch Relevanz im Sinne der Informationssicherheit haben und damit muss er eigentlich auch immer risikoorientiert sein. Die Kunst ist es die messbaren und entscheidenden KPI zu identifizieren.
Die „Zahl der verabschiedeten Vorgabedokumente“ (ist mir tatsächlich mal untergekommen) mag den Auditor beeindrucken – für mich sind solche Kennzahlen ein QM-Offenbarungseid.
Vielen Dank für Ihre ergänzenden Anmerkungen. In der Tat ist das Thema komplex. Die von Ihnen zurecht benannten „typischen Schwächen“ sind immanent bei Kennzahlen mit einer gewissen Allgemeingültigkeit. Es gilt ein Überwachungssystem zu implementieren, das einen klaren Nutzen bringt und das mit höherem Reifegrad dann auch eine risikoorientierte Steuerungswirkung entfaltet.
Ein „Ziel“ (Kennzahl“ ist sehr schnell gefunden. Ein „hochqualitatives Ziel“ (KPI), welches Steuerungscharakter entwickelt, ist individuell und braucht Arbeit und Aufmerksamkeit. Bei Management-Systemen muss diesbezüglich der kontinuierliche Verbesserungsprozess beachtet werden. Leider gilt zu häufig „wasch mir den Pelz, aber mach mich nicht nass“. Von daher: Danke, volle Zustimmung.