Field notes

GRC-KPIs, die zählen: So belegen Sie Compliance mit Zahlen

Die meisten GRC-KPIs sind wertlos. Hier sind die, die Compliance tatsächlich belegen und Entscheidungen steuern.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy4 Min. Lesezeit
GRC KPIs That Matter: How to Prove Compliance with Numbers

Die meisten Organisationen verfolgen zu viele GRC KPIs; und fast alle davon sind bedeutungslos.Führungskräfte ignorieren sie, Auditoren vertrauen ihnen nicht, und Teams können nicht auf ihrer Grundlage handeln.Wer Compliance mit Zahlen belegen möchte, braucht KPIs, die die Realität abbilden, und keine, die lediglich Dashboards schmücken.

Die GRC-Welt ist besessen von Metriken: Risikoscores, RAG-Status, Kontrollzählungen, Auditfortschritt, Reifegraddiagramme, Heatmaps, Spinnennetzgrafiken.Doch hier ist die Wahrheit, die man erst nach Jahren in der Praxis lernt:Die meisten KPIs sagen nichts über Compliance aus; sie sagen nur, was gemessen wurde.

Beispiel aus einem realen Projekt:A company claimed “98% compliance maturity” because their dashboard said so.Der Auditor stellte eine einzige Frage:“Which 2% is missing?”Niemand wusste es.Weil der KPI eine Schaufensterzahl war, kein Nachweis.

Sehen wir uns die KPIs an, die wirklich zählen; diejenigen, mit denen Sie Compliance belegen, Entscheidungen verteidigen und Maßnahmen anstoßen können.

1. Kontrolleabdeckung: Der wichtigste KPI, den niemand richtig verfolgt

Compliance beginnt mit einer Frage:Wie viel Ihres Kontrollrahmenwerks ist tatsächlich umgesetzt?

But this KPI is often inflated, guessed, or “optimistically updated.”

Die korrekte Version sieht so aus:Kontrollabdeckung = (Anzahl der mit Nachweisen umgesetzten Kontrollen) ÷ (Gesamtzahl der anwendbaren Kontrollen)

Anekdote:Ein Fintech-Unternehmen behauptete eine 80-prozentige ISO-Compliance.Als wir nur belegte Kontrollen zugrunde legten, betrug die tatsächliche Abdeckung 47 %.Schmerzhaft, aber ehrlich.Und endlich nützlich.

Kontrollabdeckung belegt Umsetzung, nicht Absicht.

2. Nachweiserfüllungsrate: Der stille Compliance-Killer

Sie sind nicht compliant, weil Sie Kontrollen haben.Sie sind compliant, weil Sie nachweisen können, dass Sie wirksame Kontrollen haben.

Dieser KPI misst genau das:Bei wie vielen umgesetzten Kontrollen sind Nachweise vorhanden, geprüft und auditbereit?

Beispiel:Ein Unternehmen hatte vorbildliche Richtlinien und solide technische Kontrollen.Doch 62 % der Nachweise fehlten oder waren veraltet.Ergebnis: Auditversagen.

Nachweiserfüllung ist das, was Auditoren interessiert.Und das, was Boards vertrauen.

3. Behebungsgeschwindigkeit: Tempo schlägt Perfektion

Führungskräfte beurteilen Sie nicht nach der Anzahl der Feststellungen.Sie beurteilen Sie danach, wie schnell Sie diese schließen.

Behebungsgeschwindigkeit misst:

  • durchschnittliche Zeit zum Schließen einer Feststellung
  • durchschnittliche Zeit zum Schließen eines hochriskanten Problems
  • Verbesserungsrate von Monat zu Monat

Geschwindigkeit zeigt Reife besser als jede Heatmap.

4. Offene Hochrisikoprobleme: Der KPI, der Führungskräfte wirklich interessiert

Executives don’t care about “total findings.”Sie interessieren sich dafür, was dem Unternehmen schaden kann.

Verfolgen Sie:Anzahl offener Hochrisikoproblemeundwie lange diese bereits offen sind.

Eine einfache Übersicht:Offene Hochrisikoprobleme → 7Durchschnittliche Offenstehungsdauer (Tage) → 63

Das ist der KPI, mit dem Budgets genehmigt werden.

5. Richtlinienakzeptanzrate: Der am meisten unterschätzte KPI im GRC

Richtlinien nützen nichts, wenn niemand sie liest.Kontrollen nützen nichts, wenn niemand sie anwendet.

Richtlinienakzeptanz misst:

  • wer die Richtlinie gelesen hat
  • wer sie bestätigt hat
  • wer sie einhält

Beispiele:

  • 94 % der Mitarbeitenden haben die Schulung zur akzeptablen Nutzung abgeschlossen
  • 61 % haben die Schulung zu sicherem Programmieren abgeschlossen
  • 38 % halten die Anforderungen der Passwortrichtlinie ein

6. Eindämmungszeit bei Vorfällen: Der KPI, der Ihre Reaktionsfähigkeit belegt

Compliance betrifft nicht nur Prävention; sie betrifft auch Reaktion.

Zwei Zahlen sind entscheidend:

  • Zeit bis zur Erkennung
  • Zeit bis zur Eindämmung

Dieser KPI belegt operative Reife.Auditoren schätzen ihn.Boards schätzen ihn.Angreifer nicht.

7. Access-Governance-KPIs: Ihr schnellster Weg zu Nichtkonformitäten

Wenn es einen Bereich gibt, in dem Auditoren immer genau hinsehen, dann ist es die Zugriffskontrolle.

Sie benötigen KPIs wie:

  • % der Benutzer mit MFA
  • % der überprüften privilegierten Konten
  • erkannte und entfernte verwaiste Konten
  • Häufigkeit von Zugriffsüberprüfungen
  • eliminierte toxische Kombinationen

Zugriff ist der Bereich, in dem Compliance gewonnen oder verloren wird.

8. Lieferantenrisiko-KPIs: Denn Dritte sind Ihr schwächstes Glied

GRC-Programme scheitern, weil Lieferanten scheitern.

Verfolgen Sie:

  • % der bewerteten kritischen Lieferanten
  • % der überfälligen Bewertungen
  • Hochrisikolieferanten ohne Maßnahmen
  • durchschnittliche Behebungszeit bei Lieferantenproblemen

Lieferanten-KPIs schützen Sie, wenn Ihre Dienstleister es nicht tun.

9. Regulatorische Bereitschaft: Der KPI, den Führungskräfte brauchen, um ruhig schlafen zu können

Dies ist besonders relevant im Kontext von ISO 27001, SOC 2, NIS2, DORA und GDPR.

Verfolgen Sie:

  • % der regulatorischen Anforderungen, die Kontrollen zugeordnet sind
  • % umgesetzt
  • % mit Nachweis
  • Lücken, die Entscheidungen erfordern

KPIs zur regulatorischen Bereitschaft verwandeln Panik in Planung.

10. Reduzierung des Risikoexposures: Der einzige KPI, der echten Fortschritt zeigt

Risikoscores sind oft subjektiv.Das Risiko-exposure ist es nicht.

Dieser KPI misst:Wie viel reales Risiko Sie in diesem Quartal beseitigt haben.

Beispiele:

  • 3 hochriskante Schwachstellen geschlossen
  • MFA auf 12 kritischen Anwendungen implementiert
  • Lieferantenexposure um 35 % reduziert
  • 2 Single Points of Failure beseitigt

Die Tabelle, die GRC KPIs ein für alle Mal in Ordnung bringt

Ein kompaktes Nachschlagewerk:

KPI-TypBelegtWarum er zähltKontrollabdeckungUmsetzungZeigt echte ReifeNachweiserfüllungAuditbereitschaftKein Nachweis = keine ComplianceBehebungsgeschwindigkeitReaktionsfähigkeitSchnelle Behebung = starke GovernanceOffene HochrisikoproblemeExposureTreibt Entscheidungen und BudgetRichtlinienakzeptanzVerhaltenCompliance ist menschlichEindämmungszeit bei VorfällenOperative ReifeZeigt ResilienzAccess-KPIsGovernance-StärkeLiebling der AuditorenLieferanten-KPIsDrittanbietersicherheitGrößter blinder FleckRegulatorische BereitschaftCompliance-HaltungReduziert Unsicherheit auf FührungsebeneExposure-ReduzierungEchter FortschrittZeigt den Wert von Sicherheit

Abschließender Gedanke

GRC KPIs dienen nicht dem Reporting.Sie dienen dazu, zu belegen, dass Ihre Organisation sicher, compliant und auf dem richtigen Weg ist.

Sie brauchen nicht mehr KPIs.Sie brauchen die richtigen KPIs; diejenigen, die die Realität widerspiegeln, Risiken sichtbar machen und Entscheidungen leiten.

Wenn Ihre KPIs bedeutungsvoll werden, hört GRC auf, eine bürokratische Übung zu sein…und wird zu einem Führungsinstrument.

Wenn Sie ein KPI-Framework aufbauen möchten, das Compliance tatsächlich belegt und nicht nur Dashboards schmückt; genau das vermitteln wir im ISO27001 Lead ImplementerNehmen Sie an der nächsten Sitzung teil und verändern Sie, wie Ihre Organisation Sicherheit misst.

Möchten Sie die nächste Feldnotiz in Ihrem Posteingang?

Der GRC Brief Newsletter. Fünf Links und eine kurze Einschätzung, jeden Montag um 8 Uhr MEZ. Drei Minuten Lesezeit.