Skip to content

Erkläre den Unterschied zwischen Security-KPIs und -KRIs, mit Beispielen.

Kurzantwort

Ein KPI (Key Performance Indicator) misst, wie gut eine Sicherheitsaktivität gegenüber ihrem Ziel abschneidet — zum Beispiel Mean Time to Detect, Patch-SLA-Einhaltung oder Prozentsatz der Systeme mit MFA. Ein KRI (Key Risk Indicator) ist ein vorausschauendes Signal, dass das Risikoexposure auf ein inakzeptables Niveau ansteigt, mit einer Schwelle, die Handeln auslösen sollte — zum Beispiel die Zahl überfälliger kritischer Patches, die Anzahl unverwalteter Geräte oder fehlgeschlagene Access Reviews mit steigendem Trend. KPIs sagen dir, wie es läuft; KRIs warnen dich, wohin es sich entwickelt.

Kennzahlen sind die Art und Weise, wie die Sicherheit mit dem Rest des Unternehmens kommuniziert. Interviewer fragen das, weil das Verwechseln von KPIs und KRIs häufig ist und der Unterschied bestimmt, ob ein Dashboard Handeln antreibt oder nur eine Folie schmückt.

KPIs: Wie gut schneiden wir ab?

Ein Key Performance Indicator misst die Leistung gegenüber einem Ziel. Er ist weitgehend rückwärts- oder gegenwartsgerichtet und sagt dir, ob eine Kontrolle oder ein Prozess seine Aufgabe erfüllt. Beispiele:

  • Mean Time to Detect / Respond (MTTD / MTTR).
  • Patch-SLA-Einhaltung — Prozentsatz der kritischen Patches, die innerhalb der Zielvorgabe eingespielt wurden.
  • MFA-Abdeckung — Prozentsatz der Konten mit aktivierter MFA.
  • Meldequote bei Phishing-Simulationen.

KPIs beantworten: Sind wir darin gut?

KRIs: Wohin entwickeln wir uns?

Ein Key Risk Indicator ist ein vorausschauendes, vorlaufendes Signal, dass das Risikoexposure steigt — hin zu einem inakzeptablen Niveau. Das bestimmende Merkmal ist eine Schwelle und Toleranz, die an den Risikoappetit gebunden ist, sodass ein Überschreiten Handeln auslöst. Beispiele:

  • Zahl der überfälligen kritischen Patches mit steigendem Trend.
  • Anzahl unverwalteter oder unbekannter Geräte im Netzwerk.
  • Zunehmend fehlgeschlagene oder ausgelassene Access Reviews.
  • Volumen gewährter Ausnahmen/Risikoakzeptanzen.

KRIs beantworten: Wird das gefährlich?

Die Überschneidung

Dieselben Rohdaten können beides speisen: Patch-Einhaltung als KPI (Leistung) und überfällige kritische Patches jenseits einer Schwelle als KRI (Warnung). Was es zu einem KRI macht, ist die Verknüpfung mit einer Risikoschwelle und einem Eskalations-Trigger.

Warum das wichtig ist

Starke Kandidaten erklären, dass KPIs die Leistung messen, während KRIs vorlaufende, an den Risikoappetit gebundene Signale mit Handlungsschwellen sind. Zu zeigen, wie eine Kennzahl beide Rollen erfüllen kann — und die Präsentation für einen Vorstand gegenüber Ingenieuren anzupassen —, demonstriert echte Reporting-Reife.

Wahrscheinliche Anschlussfragen

  • Wie legst du eine sinnvolle Schwelle und Toleranz für einen KRI fest?
  • Kann dieselbe zugrunde liegende Kennzahl sowohl als KPI als auch als KRI dienen? Gib ein Beispiel.
  • Wie würdest du diese einem Vorstand gegenüber einem Engineering-Team präsentieren?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.