Kennzahlen können als Indikator für die Güte des gesamten Sicherheitsprozesses oder einzelner Teilprozesse und -aspekte dienen. Sie sind ein bewährtes Instrument in der Kommunikation mit der Leitung einer Institution über Erfolge, aber auch Probleme der Informationssicherheit.

Die folgende Tabelle enthält für verschiedene Schichten des IT-Grundschutz-Kompendiums ein Beispiel für eine mögliche Kennzahl. Diese Beispiele zeigen auch, dass mit Kennzahlen sowohl technische als auch organisatorische Aspekte der Informationssicherheit erfasst werden können.

Kennzahlen zur Informationssicherheit

Baustein	Anforderung	Kennzahl
ISMS.1 Sicherheitsmanagement	Die Leitungsebene SOLLTE regelmäßig über den Stand der Informationssicherheit informiert werden.	Anzahl der Leitungsmeetings mit Sicherheitsreport / Anzahl aller Leitungsmeetings
ORP.2 Personal	Aufgaben und Zuständigkeiten von Mitarbeitern SOLLTEN in geeigneter Weise dokumentiert sein.	Anzahl der Mitarbeiterverträge mit Verpflichtung zur sicheren Handhabung von Informationen / Anzahl aller Mitarbeiterverträge
CON.3 Datensicherungskonzept	Die Datensicherung und ein möglicherweise vorzunehmender Restore SOLLTEN regelmäßig getestet werden.	Anzahl erfolgreicher Tests / Gesamtzahl der Tests zur Wiederherstellung gesicherter Daten
OPS.1.1.2 Ordnungsgemäße IT-Administration	Die Befugnisse, Aufgaben und Pflichten der IT-Administratoren SOLLTEN in einer Arbeitsanweisung oder Richtlinie verbindlich festgeschrieben werden.	Anzahl von Arbeitsanweisungen / Anzahl aller Administratoren
DER.1 Detektion von sicherheitsrelevanten Ereignissen	Die gesammelten Ereignismeldungen der IT-Systeme und Anwendungssysteme SOLLTEN auf einer zentralen Protokollinfrastruktur aufbewahrt werden.	Anzahl zentral gesammelter Ereignismeldungen / Anzahl aller Ereignismeldungen
APP.1.1 Office-Produkte	Neue Office-Produkte SOLLTEN vor dem Einsatz auf Kompatibilität mit etablierten Arbeitsmitteln getestet werden.	Anzahl der eingesetzten getesteten Office-Produkte / Anzahl aller eingesetzten Office-Produkte
SYS.1.1 Allgemeiner Server	Ablauf, Rahmenbedingungen und Anforderungen an administrative Aufgaben sowie die Aufgabentrennungen zwischen den verschiedenen Rollen der Benutzer des IT-Systems SOLLTEN in einem Benutzer- und Administrationskonzept festgeschrieben werden.	Anzahl von Servern mit detailliertem Administrationskonzept / Anzahl aller Server

Diese Beispiele verdeutlichen, dass für eine umfassende Bewertung der Informationssicherheit eine Vielzahl an Kennzahlen nötig ist. Erhebung, Berechnung und Aufbereitung der Kennzahlen erfordern unter Umständen einen sehr hohen Aufwand, wobei technische Kennzahlen oft automatisiert erhoben werden können und damit der bei ihnen anfallende Aufwand meist geringer ist als bei organisatorischen Kennzahlen.

Damit der Aufwand in einem angemessenen Verhältnis zum Ergebnis steht, ist es wichtig, dass die Ziele der Kennzahlen klar formuliert und der erforderliche Aufwand für die Erhebung der Messwerte gut abgeschätzt werden. Wenn Sie planen, in Ihrer Institution Kennzahlen zur Informationssicherheit einzuführen, empfiehlt es sich, zunächst mit wenigen Kennzahlen zu starten und diese dann mit Hilfe der gewonnenen Erfahrungen Schritt für Schritt zu ergänzen.