Skip to content

Der Vorstand möchte Sicherheits-„Metriken". Welche ist am aussagekräftigsten zu berichten?

Kurzantwort

Metriken auf Vorstandsebene sollten mit Risiko und Ergebnissen verbunden sein: Erkennungs- und Reaktionszeiten (MTTD/MTTR), Einhaltung von Patch-SLAs bei kritischen Systemen, Kontrollabdeckung und wie sich das Restrisiko gegenüber der Risikobereitschaft entwickelt. Die Zahl der von der Firewall blockierten Angriffe, die Zählung von Antivirus-Signaturen und die Gesamtzahl empfangener E-Mails sind eitle Zahlen — sie klingen beeindruckend, sagen der Führung aber nichts darüber, ob das Risiko sinkt. Der Vorstand steuert Risiko, also müssen Metriken ihm den Trend zeigen und ihn entscheiden lassen.

Vorstände wollen keine Aktivität bewundern; sie wollen wissen, ob das Cyberrisiko unter Kontrolle ist und sich in die richtige Richtung entwickelt. Das Szenario prüft, ob ein CISO Ergebnis-Metriken, die Governance informieren, von eitlen Metriken unterscheiden kann, die nur beschäftigt wirken.

Warum risikoorientierte Maße richtig sind

Gute Vorstandsmetriken beantworten „Werden wir besser im Risikomanagement?". Das bedeutet die mittlere Erkennungszeit (MTTD) und die mittlere Reaktionszeit (MTTR) — wie schnell Sie Vorfälle finden und eindämmen; die Einhaltung der Patch-SLAs bei kritischen Assets — ob Ihre wichtigsten Systeme innerhalb der vereinbarten Fenster behoben werden; die Kontrollabdeckung — welcher Anteil Ihres Bestands tatsächlich durch Schlüsselkontrollen geschützt ist; und der Trend des Restrisikos gegenüber der Risikobereitschaft des Vorstands. Jede ist eine Zahl, auf die die Führung reagieren kann: finanzieren, akzeptieren oder vorantreiben. Sie zeigen die Richtung über die Zeit, keine Momentaufnahme von Aufwand.

Warum die anderen Optionen scheitern

  • Von der Firewall blockierte Angriffe. Eine riesige Zahl, die fast nichts bedeutet — das Internet ist laut, und „blockierte" Angriffe sind meist automatisiertes Hintergrund-Scanning. Sie sagt dem Vorstand nicht, ob das reale Risiko sinkt.
  • Aktualisierte Antivirus-Signaturen. Das misst den Veröffentlichungstakt eines Anbieters, nicht Ihre Sicherheitslage. Reine Aktivität, kein Ergebnis.
  • Gesamtzahl empfangener E-Mails. Völlig vom Risiko entkoppelt. Eine Mengenstatistik ohne angehängte Entscheidung.

Worauf der Interviewer achtet

Er will, dass Sie begreifen: Eine Metrik ist nur nützlich, wenn der Vorstand daraus eine Entscheidung ableiten kann. MTTD/MTTR, Patch-SLAs und Kontrollabdeckung knüpfen direkt ans Risiko an und ermöglichen Steuerung; „blockierte Angriffe" und Signaturzählungen sind Theater, das Vertrauen aufbläht, ohne es zu informieren. Der schwache Kandidat greift zur großen, beeindruckend klingenden Zahl — genau die Falle: Es wirkt wie Berichterstattung, vermittelt aber kein Risiko und keinen Trend, nach dem der Vorstand steuern kann.

Wahrscheinliche Anschlussfragen

  • Warum ist MTTD/MTTR für den Vorstand relevanter als eine Zählung blockierter Angriffe?
  • Wie würden Sie eine Metrik im Trend gegenüber der Risikobereitschaft auf einer einzigen Folie darstellen?
  • Welche Gefahr birgt es, einem Vorstand über die Zeit eitle Metriken zu berichten?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.