carmasec

KPI im ISMS

Fünf Schritte zum Kennzahlensystem

Zurück zum Themenmagazin
Hintergrund Gitternetz

KPI sollten stets an das eigene Unternehmen angepasst sein: Ein universelles Standard-Set eignet sich wenig. In diesem Leitfaden zeigen wir, wie Sie ein individuelles, jederzeit anpassbares und auf das Unternehmen zugeschnittenes KPI-System aufbauen.

KPI im ISMS - Fünf Schritte zum Kennzahlensystem - TitelbildDen Verantwortlichen in einem Unternehmen wird diese Situation nicht fremd sein: Die Planung, Einführung und der Ausbau eines Kennzahlen-Systems wirkt wie eine Sisyphos-Arbeit. Das Unternehmen wurde bis ins kleinste Detail analysiert, um ein erfolgreiche Managementsystem für Informationssicherheit (ISMS) zu entwickeln. Und nun soll es erneut evaluiert werden, um nützliche Kennzahlen zu identifizieren.

Es ist nicht kompliziert, ein ISMS KPI-Set zu entwerfen, das die individuellen Anforderungen des Unternehmens berücksichtigt. Eine wichtige Orientierung stellen die Richtlinien und Empfehlungen aus ISO/IEC 27004:2016 dar. Darüber hinaus ist es ratsam, in diesem Prozess externe Experten der Cybersicherheit einzubeziehen, die auf die Erstellung und Optimierung eines ISMS spezialisiert sind.

Dieser Leitfaden ist aber bereits ein guter Einstieg: wir präsentieren Ihnen die fünf wichtigsten Schritte – von der Erstellung der Kennzahlen, über typische Anforderungen, bis hin zu tückischen Fallen.

Schritt 1: Rücken Sie die Ziele des ISMS ins Zentrum Ihrer Betrachtung

Das ISMS stellt das Fundament für das künftige Kennzahlensystem in einem Unternehmen dar. Es beinhaltet alle erforderlichen Informationen für das KPI-Set. Geschäftsbereiche, Risiken, Ziele und Maßnahmen bilden in der Bestimmung der KPI die wesentlichen Quellen ab. Der CISO muss die Fragen „Welches Ziel hat diese Maßnahme?“, „Wer ist davon betroffen?“ und „Welches Risiko versuchen wir hiermit zu vermindern?“ stets beantworten können.

Ein weiterer Tipp ist, von Beginn an bereits vorhandene Informationsquellen zu nutzen. Dank der Digitalisierung produziert und erhebt jedes Unternehmen unabhängig vom Kennzahlensystem einen Pool an Daten. Die Personalabteilung dokumentiert beispielsweise bereits in ihrem Lernmanagementsystem (LMS) die Teilnahme neuer Mitarbeiter an Awareness-Schulungen. Diese Information kann der CISO als Grundlage eines KPI nutzen.

Schritt 2: Beginnen Sie jetzt mit dem Aufbau des KPI-Systems

Der wichtigste, wenn auch aufwendigste Schritt, ist die Entscheidung, welche Kennzahlen für die Bewertung des ISMS relevant sind. Dabei hilft ein Blick auf die im ersten Schritt zusammengetragenen Ziele, Risiken und Maßnahmen. Die ersten KPI werden am besten in den Bereichen der höchsten Risiken erstellt. Ausgehend von diesen Risiken ergibt sich im ISMS das jeweilige Verfahren: Ging beispielsweise in der Vergangenheit ein hohes Sicherheitsrisiko von den Angestellten aus? Sehen die Entscheidungsträger deswegen eine Security-Awareness-Schulung vor? Ein erster KPI sollte sich also darauf beziehen.

Ein KPI ist zudem immer zielorientiert. Es reicht demzufolge nicht, nur Messungen zu den Teilnehmerzahlen aufzuführen. Denn dahinter verbirgt sich keine Aussage über den Erfolg der Maßnahme. Stattdessen müssen die Verantwortlichen Ziel- und Toleranzwerte festlegen. Diese ermöglichen, Diskrepanzen zu erkennen und hieraus entsprechende Maßnahmen abzuleiten. Um beim Beispiel zu bleiben: Wenn mehr als 90 Prozent der Mitarbeiter an den Schulungen teilnehmen, gilt die Maßnahme als erfolgreich. Liegt die Teilnehmerquote nur zwischen 90 und 60 Prozent, ist eine strengere Beobachtung der Entwicklung notwendig. Bei noch weniger Teilnehmern sollten die Entscheidungsträger eine Intervention planen.

Die erste Fassung eines KPI-Sets sollte klein gehalten werden. Es ist besser, eine übersichtliche Menge an KPI auf korrekte Weise zu implementieren als Gefahr zu laufen, dass Informationen untergehen. Das System wird sich im Laufe der Optimierung ohnehin weiterentwickeln.

Schritt 3: Bestimmen Sie die Methodik

Um an die Informationen für die KPI zu gelangen, hat der CISO drei Alternativen:

  1. Die passenden Daten wurden bereits gesammelt und werden der spezifischen Zielsetzung angepasst.
  2. Die Daten existieren, allerdings wird der Meldeprozess angepasst.
  3. Eine gänzlich neue Messung wird eingeführt.

Unabhängig von diesen Alternativen sollten die wesentlichen Punkte der Methodik im Vorhinein festgehalten werden:

  • wie die Messungen stattfinden, beziehungsweise wo die Daten zu finden sind
  • anhand welcher Formel die Werte berechnet werden
  • wer für die jeweilige Datenerhebung verantwortlich ist
  • innerhalb welcher Zeiträume die Daten gesammelt, ausgewertet und berichtet werden
  • ob der KPI langfristig überwacht werden soll oder nur aktuell von Relevanz ist.

Gut zu wissen: Der perfekte KPI ist PRAGMATIC

Experten identifizierten über Jahrzehnte eine Menge an Kriterien, um zu entscheiden, welche Kennzahlen sinnvolle KPI ergeben. Der Ansatz von Kran Brotby und Gary Hinson umschreibt die wichtigsten Anforderungen anhand des Akronyms PRAGMATIC. Kurz gesagt: KPI sollten pragmatisch sein.

  • Predictability: KPI sollten vorrausschauend sein und Aussagen über die Zukunft treffen.
  • Relevance: Es sollten Daten erhoben werden, die relevante Aussagen über das ISMS ermöglichen.
  • Actionability: Maßnahmen, welche einem KPI folgen, sollten definiert und durchsetzbar sein.
  • Genuineness: Die Werte sollten aus glaubwürdigen Quellen stammen. Dafür müssen sie überprüfbar und nicht manipulierbar sein.
  • Meaning: Die Ursache und Wichtigkeit des KPI sollte für alle Beteiligten leicht nachvollziehbar sein.
  • Accuracy: Die Daten sollten genau und präzise messbar sein.
  • Timeliness: Die Kennzahl sollte aktuell sein und auf Echtzeitanalysen basieren.
  • Independence: Die Messung sollte objektiv und personenunabhängig stattfinden.
  • Cost: Die Wirtschaftlichkeit sollte stets im angemessenen Verhältnis zur Aussagekraft und zum Nutzen des KPI stehen.

Schritt 4: Erstellen Sie KPI-Steckbriefe und visualisieren Sie die Daten

KPI im ISMS - Fünf Schritte zum Kennzahlensystem - Analytics Report | Quelle: https://www.sisense.com/Nachdem das Unternehmen in den Schritten 1 bis 3 alle notwendigen Informationen eines KPI definiert hat, werden im nächsten Schritt die KPI-Merkmale dokumentiert. Neben digitalen Werkzeugen zur Datensammlung ist die traditionelle Methode des KPI-Steckbriefs ein guter Einstieg. Darin werden die Kennzahlen detailliert beschrieben und voneinander abgegrenzt. Im Anschluss können diese für einen leichten Zugriff in Datenbanken gespeichert werden. Zahlreiche Internetseiten, sowie die ISO 27004, bieten vorgefertigte Steckbrief-Vorlagen zum Ausfüllen.

Doch nicht nur die Dokumentation von KPI, sondern auch die ihrer Werte ist erforderlich. Dafür sollten sich die Verantwortlichen vorab für ein Berichtsformat entscheiden, als Text, numerisch, grafisch oder in Dashboards. Das gewählte Format sollte geeignet sein, um die Beziehung zwischen Kennzahlen festzuhalten. Auch hier kann Vorhandenes genutzt werden: Eine große Auswahl an Analytics-Tools sind darauf spezialisiert, Daten aus Datenbanken in verständliche Grafiken umzuwandeln. Welches am besten zur Organisation passt, hängt von Faktoren wie Budget, Unternehmensgröße und Datenquellen ab.

Schritt 5: Evaluieren Sie das KPI-Set regelmäßig

Der letzte Schritt ist die Kontrolle und Bewertung des Kennzahlensystems. Genau wie das ISMS sollten die KPI einer regelmäßigen Überprüfung, Neubewertung und Aktualisierung unterliegen. Wenn sich etwa die Maßnahme der Awareness-Schulungen als erfolglos erweist und eine neue Vorgehensweise erarbeitet wird, muss auch der KPI angepasst werden. Es ist sinnvoll, nicht genutzte Kennzahlen zu löschen oder hinsichtlich der Ziele zu optimieren.

Bei der Evaluation sollte der CISO Fachabteilungen und Führungskräfte einbeziehen, denen damit die Möglichkeit geboten wird, mit Kennzahlen-fundierten Kenntnissen zur Optimierung des Systems beizutragen.

Gut zu wissen: Fünf Do’s and Don’ts

  1. Warten Sie nicht zu lange mit der Bestimmung der KPI.
    Gerade während der Einführung des ISMS ist die Bewertung des Systems anhand von KPI am wichtigsten. Je länger man anschließend wartet, umso stärker etablieren sich fehlerhafte Verhaltensweisen.
  2. Weniger ist mehr.
    Massen an Daten und Informationen, die für die KPI nutzlos und für die Bewertung des ISMS irrelevant sind, verursachen nur unnötigen Stress für die Verantwortlichen. Wesentliches geht möglicherweise in der Menge unter.
  3. Entscheiden Sie sich nur für KPI innerhalb des eigenen Handlungsrahmens.
    Zu den KPI gehört, auf Warnsignale zu reagieren und das eigene Handeln dementsprechend anzupassen. KPI sollten also nur dort eingesetzt werden, wo Sie auch entschlossen sind, in Aktion zu treten.
  4. Verkomplizieren Sie die KPI nicht unnötig.
    Das Kennzahlensystem sollte für jeden verständlich und nachvollziehbar sein.
  5. Wagen Sie Soft Data.
    Soft Data geht gegen das Prinzip, dass KPI auf harten Fakten basieren müssen. Manchmal ist die persönliche Einschätzung beispielsweise von Ihren Mitarbeitern nützlich. Auf diese Weise eröffnen Sie den Dialog und profitieren von nützlichem Input aus allen Richtungen.