goSecurity BLOG

24. Januar 2026
|In Business Continuity, Datenschutz, goSecurity, Informationssicherheit, ISMS / ISO, ISO-Zertifizierung
|By ISO Team
HOMEBlog goSecurity, ISMS / ISO, ISO-ZertifizierungWie kann man ein ISMS steuern und messen?

Wie kann man ein ISMS steuern und messen?

In vielen Bereichen unseres Lebens steuern und messen wir uns. Warum tun wir das eigentlich? Nun, ich bin kein Evolutionsforscher, aber wenn wir kurz überlegen, wo wir als Menschen heute stehen, dann kann dies nur erreicht worden sein, indem wir uns ständig über die Jahrtausende neue Ziele gesetzt haben und motiviert waren, etwas zu erreichen. Sei es aus intrinsischen Motiven gewesen oder externe Einflüsse, die uns dazu bewogen haben. In jedem Fall haben wir versucht, die uns auferlegten Ziele zu erreichen.  Auf dem Weg dorthin haben wir uns – und das tun wir auch heute noch ständig – mit Vergleichen beschäftigt. Auch wenn diese Vergleiche in vielen Fällen unbewusst passieren, wir tun es, ob wir es wollen oder nicht. Das ständige Vergleichen und die Neubewertung einer Situation haben uns veranlasst, entsprechend zu reagieren, und haben schliesslich dazu geführt, dass sich unser Lebensstandard im Vergleich zu früher merklich verbessert hat.

Aber was hat diese Einleitung denn mit dem Thema Informationssicherheit zu tun? Meiner Meinung nach ziemlich viel! Lassen Sie uns aber von vorn beginnen.

Ich erlaube mir, die Frage zu stellen: Warum haben Sie sich für die Einführung eines ISMS entschieden?  Haben Sie die Zertifizierung aus intrinsischen Motivationen gewählt, weil Sie ein grundlegendes Sicherheitsniveau in der Organisation erreichen wollen? Oder haben Sie ggfs. das Potenzial der Wettbewerbschancen gesehen? In jedem Fall haben Sie sich ein Ziel gesetzt und wollen dies nun erreichen.  Auf dem Weg dorthin werden oder haben Sie festgestellt, dass immer wieder Anpassungen und Änderungen vorgenommen werden. Diese Anpassungen sind aus Entscheidungen getroffen worden. Warum werden Entscheidungen getroffen? Vielleicht ist ein möglicher Grund der bewusste oder unbewusste Vergleich.  Wir haben in diesem Text doch einige Wörter wie bspw. „Steuern“, „Anpassen“ und „Verändern“ womit könnte man diese Wörter in den Kontext bringen? Richtig mit Messen und Steuern.

Die ISO 27001:2022 fordert aktiv, dass Sie ein ISMS steuern. Wie sie das machen, obliegt Ihnen.

Im Kapitel 9.1 der ISO 27001:2022 finden wir folgende Überschrift: „Überwachung, Messung, Analyse und Bewertung“. Genau dieser Abschnitt beschäftigt sich mit dem Thema des Steuerns und Messens des Informationssicherheitsmanagementsystems. Spezifische Anforderungen finden sich dann in lit. a-f.

Aber warum das Ganze? Nur wenn Sie wissen, wie es um Ihre Informationssicherheit steht (messen) können Sie geeignete Massnahmen definieren, um das definierte Ziel zu erreichen (steuern).  William Edwards Demming sagte einmal:

„You can`t manage what you can`t measure.“

Aber wie kann ich nun sicherstellen, dass mein ISMS entsprechend gesteuert und gelenkt wird?

Im ISMS greifen wir hier auf Key Performance Indikatoren (KPI) zurück. Es gibt noch andere Indikatoren, auf die wir weiter unten kurz eingehen.  Ich bin mir sicher, dass Ihnen der Begriff KPI geläufiger ist, darum habe ich diesen gewählt.

Zuerst ist es wichtig, sich Gedanken darüber zu machen, in welcher Form Sie Messmethoden implementieren wollen [1]. Möchten Sie hier auf Tools zurückgreifen, die Sie bei der Messung unterstützen, oder klassisch mittels Dokumenten? Welche Methode Sie wählen, obliegt Ihnen. Die Norm macht hierzu keine Vorgaben möchte aber, dass Sie die oben beschriebenen Anforderungen umsetzen.

Im ISMS greifen wir üblicherweise auf die Definition von Key Performance Indikatoren (KPI) zurück. Es gibt noch andere Kennzahlen, die verwendet werden können.  Im weiteren Verlauf des Blogs sprechen wir darüber.

Das Ziel und der Zweck des Ganzen sind es am Ende eine Kennzahlensystem zu haben, dass es der „obersten Leitung“ erlaubt zu prüfen, ob das ISMS seine beabsichtigten Ziele erreicht hat und wie der aktuelle IST-Stand ist. Ausserdem sollte geprüft werden, ob es Abweichungen zum definierten SOLL gibt, sodass gleich entsprechende Massnahmen geplant werden können.  Hierdurch wird der kontinuierliche Verbesserungsprozess (KVP) sichergestellt.  Übrigens haben Sie mit einem Kennzahlensystem auch eine gute Möglichkeit, im Management-Review die Ergebnisse zielgruppengerecht zu adressieren.

Aber wie erreiche ich so ein entsprechendes Kennzahlensystem? Zuerst muss etwas Gedankenarbeit in die Entwicklung eines derartigen Kennzahlensystems fliessen.

Hierzu kann man sich zu folgenden Punkten Gedanken machen:

  • Überlegen Sie sich, wo und wann und in welchem Zyklus entsprechende Zahlen erfasst werden sollen. Denken Sie hier an das Berichtswesen. Wenn Sie so etwas nicht haben, dann legen Sie die Zeiträume so fest, dass diese auch realistisch / terminierbar sind

  • In welcher Form und in welchem Format möchte ich entsprechende Kennzahlen aufbereitet haben?  Nutzen Sie Prozesse und oder Tools, die Sie in Ihrem Unternehmen schon etabliert haben (Spart Kosten und Zeit)

Wenn Sie sich über die obigen Fragen Gedanken gemacht haben, dann können Sie mehr ins Detail gehen und den Blick auf die Informationssicherheit legen:

  • Welche Ziele verfolgen Sie mit Ihrem ISMS? Besser gesagt welche Informationssicherheitsziele haben Sie definiert?

  • Welche Art von Kennzahlen benötige ich für meine Organisation und meinen Bereich. Je nach Grösse, Umfang und den definierten Zielen können KPIs ausreichen.

  • Möchten Sie mehr ins Detail, dann wäre es zu empfehlen, noch zusätzliche Kennzahlen wie bspw. KRI & KCI in Ihre Betrachtung mit aufzunehmen.

Gemäss ISO 27001:2022, normative Referenz 9.1 muss Ihre Organisation und Ihr Kennzahlensystem folgende „Anforderungen“ erfüllen:

  • Was überwacht und gemessen wird (inkl. Prozesse und Massnahmen im Kontext der Informationssicherheit)

  • Welche Methoden Sie zur Überwachung, Messung, Analyse und Bewertung als notwendig erachten

  • Wann & wer die Überwachung durchführen wird

  • Wann & wie die Ergebnisse der Überwachung zu analysieren und zu bewerten sind

Es werden „drei“ Indikatoren unterschieden, die definiert und logischerweise gemessen werden können:

  • KPI (Key-Performance-Indikatoren)

  • KRI (Key-Risk-Indikatoren)

  • KCI (Key-Control-Indikatoren)

Die erste Art von Indikatoren legt den Fokus auf die Bewertung entsprechender technischer und organisatorischer Massnahmen fest. Hierbei liegt der Fokus der Bewertung des Erreichungsgrades im Kontext der Informationssicherheitsziele.  Hier eignen sich KPIs, die den Fokus auf die Informationssicherheit legen.

Bei dem zweiten Indikator, den Key-Risk-Indikatoren (KRI) geht ebenfalls wie bei den KPIs um einen Soll-Ist-Vergleich. Mit dem Unterschied, dass hier gemessen wird wie die Risikotoleranz überschritten wurde.  Natürlich liegt hier der Fokus ebenfalls wieder auf dem ISMS.

Die letzte Art, die sog.  Key-Control-Indikatoren (KCI) sollen sicherstellen, wie effektiv die aufgestellten Ziele im Hinblick auf den Technischen & Organisatorischen Massnahmen (TOMs) & Prozesse umgesetzt werden.  Die Effektivität lässt sich bspw. beurteilen, wenn eine Massnahme im geforderten Zeitraum bspw. in 30 Tage umgesetzt wurde.

Idealerweise sollten die KPIs so definiert werden, dass sie S.M.A.R.T. sind.

Zusammenfassend lässt sich sagen, dass die unterschiedlichen Arten der Indikatoren sich für die Messung eines ISMS eignen. Gerade in der Kombination können diese ein ISMS noch mehr im Detail steuern. Dies liegt darin begründet, dass diese drei Kennzahlentypen wie eine Wechselbeziehung zueinanderstehen. Was bedeutet das jetzt? Das sich die Kennzahlen und das beabsichtigte Ergebnis verändern.

Hier muss die Organisation selbst entscheiden, welche Arten von Indikatoren diese nutzen.

Im Kontext der Informationssicherheit sollten sich diese an den Informationssicherheitszielen orientieren.

Zum Abschluss sind noch zwei Punkte essenziel, bevor wir uns dem Aufbau der Indikatoren widmen:

  • Es ist empfehlenswert, mit wenigen KPIs zu starten und diese sukzessive, um zusätzliche Kennzahlen zu erweitern. Es kann sonst schnell passieren, dass sich diese nicht mehr steuern lassen.

  • Achten Sie auf die Zielgruppen und definieren Sie hier geeignete Kennzahlen.

Nun wollen wir uns anschauen, wie KPIs aufgebaut werden können. Die ISACA hat in ihrem Leitfaden „Bewertung der Leistung eines ISMS durch Schlüsselindikatoren“ [2] folgende Kriterien an die Indikatoren aufgelistet, wobei einige Punkte entsprechend bei einer Toolunterstützung wegfallen.

 

 

Informationsbeschreibung Bedeutung/Zweck
ID Identifizierung des KPI.
Informationsbedarf Beschreiben eines übergeordneten Verständnisses des Ziels.
Messung Hier wird das Ergebnis der eigentlichen Messung beschrieben.
Wertung Hier kann ein Workflow oder aber eine Berechnungsgrundlage stehen.
Ziel Welches Ziel / welches Ergebnis soll mit der Messung erreicht werden?
Umsetzungsnachweise Verlinkung auf den Pfad oder Nachweise anhängen.
Verantwortliche Stelle / Verantwortliche Person / Verantwortliche Rolle Wer ist für die Durchführung und Kontrolle der KPI zuständig?
Datenquelle Wo werden die Daten zur Erfassung, Messung und Bewertung der KPI herangezogen?
Berichtsformat Wo werden die Kennzahlen erfasst, bspw. in Form eines Dashbords oder aber eines Berichtes?

Fazit

KPIs helfen, das eigene ISMS zu messen und damit zu steuern. KPIs zu definieren, benötigt Erfahrung. Mit der Zeit dürfen und sollen sich KPIs der aktuellen Situation anpassen. Sie müssen auf das eigene Unternehmen und das ISMS passen.

Informationen zum Autor: ISO Team

Unser ISO-Team besteht aus einer Mischung von strategischen Führungskräften, erfahrenen IT-Security-Spezialisten und Consultants mit breitem Hintergrund in Technik, Organisation und Kommunikation. Gemeinsam decken wir die gesamte Bandbreite von ISO-Zertifizierungen, ISMS-Einführungen, CISO-Dienstleistungen bis hin zu praxisnaher Prozessgestaltung ab.