< Zurück
Blog

Metriken, auf die es ankommt: Ein praktischer Rahmen für SOC Metrische Höhen

Veröffentlicht April 30, 2026 Zuletzt aktualisiert am 6. Mai 2026

Der zweite Teil einer Serie von Artikeln über Sicherheitsrisiken von Craig Jones, Chief Security Officer, Ontinue

Unser zweiter Artikel in der Serie über Sicherheitsrisiken von Ontinue befasst sich eingehender mit dem Konzept der metrischen Höhen, das ursprünglich in Sicherheitstheater: Fleißige Metriken in der SOC sind eine tolle Show, aber eine schreckliche Verteidigung. Die Verwendung verrauschter Metriken zur Darstellung des Erfolgs von Security Operations Centers (SOCs) mag beeindruckend aussehen, ist aber eine gefährliche und illusorische Messmethode.

Metric Altitudes ist ein von uns entwickeltes Framework, mit dem wir 100% unserer SOC-Metriken in Bezug auf bestimmte Zielgruppen kategorisieren können. So erhalten die wichtigsten Stakeholder ein klares und genaues Verständnis ihrer Verteidigungsposition über den gesamten Erkennungs- und Reaktionszyklus hinweg - und, was besonders wichtig ist, wir können die Auswirkungen der sich entwickelnden künstlichen Intelligenz auf die SOC-Effektivität quantifizieren.

Wie in unserem White Paper beschrieben, Den Hype durchschauen (Seite 4) sollten nur etwa 3% der Warnungen in einem “ruhigen”, strategischen SOC als sofortiger Handlungsbedarf auffallen. Das bedeutet jedoch nicht, dass die restlichen 97% überflüssig sind. Ganz im Gegenteil. Tatsächlich hat jede der verbleibenden 97% Warnungen eine eigene Bedeutung, eigene Maßnahmen und eigene Zielgruppen, um sie richtig zu verstehen und zu behandeln.

Grundsätzliches: Kategorisierung von Sicherheitstheatern in metrische Höhenstufen

Viele Sicherheitsteams kämpfen mit Metriken, die entweder zu abstrakt für die Entscheidungsfindung oder zu taktisch sind, um den Geschäftswert zu demonstrieren. Metriken sind nicht dazu gedacht, beeindruckende Dashboards zu erstellen oder Technologieanschaffungen oder Arbeitsplätze mit unbedeutenden Zahlen zu rechtfertigen. Sie wurden entwickelt, um echte betriebliche Ergebnisse zu messen: schnellere Erkennung, qualitativ hochwertigere Untersuchungen, geringere Belastung des CISO und nachweisliche Risikominderung. Jede der Hunderte von Metriken in der Bibliothek von Ontinue (jetzt verfügbar) ist auf eine der vier Grundlagen von Sicherheitsmaßnahmen zurückzuführen:

  • Geschwindigkeit
  • Qualität
  • Governance
  • Auswirkungen auf die Wirtschaft

Zusätzlich umfasst jede Metrik:

  • Berechnungsmethoden
  • Die genauen Messpunkte, die von bestimmten, bereits vorhandenen Systemen benötigt werden

Was unser Konzept der metrischen Höhen einzigartig praktisch macht, ist, dass es nicht nur definiert, was zu messen ist, sondern auch erklärt wie um sie zu messen.

Dadurch werden auch abstrakte Konzepte wie Mittlere Ermittlungszeit (MTTI) in konkrete Datenerfassungsanforderungen (z. B. "alert_created_time", "validated_time" und die Zeitstempel dazwischen).

In der Bibliothek wird unterschieden zwischen:

  • Grundlegende Messpunkte - was herkömmliche SOCs heute verfolgen können
  • AI-instrumentierte Messstellen - zusätzliche Telemetrie erforderlich, um den Beitrag der KI zu verstehen

Mit diesem zweigleisigen System können Unternehmen die Auswirkungen von KI messen durch direkter Vergleich, als eine Annahme.

Gebaut für jeden Stakeholder

Metric Altitudes erkennt eine grundlegende Wahrheit: Verschiedene Zielgruppen benötigen unterschiedliche Ansichten über die Sicherheitsleistung. Zum Beispiel:

  • Verwaltungsratsmitglieder/CEOs sich um strategische Ergebnisse und Risikominderung kümmern.
  • CISOs brauchen operative Einblicke in die Dienstleistungsqualität und kontinuierliche Verbesserungen.
  • Sicherheitsmanager taktische Metriken zur Optimierung der Arbeitsabläufe und der Ressourcenzuweisung benötigen.

In der Bibliothek werden mehr als 100 Metriken auf drei “Höhenstufen” abgebildet, wobei deutlich wird, welche Metriken für welche Zielgruppe wichtig sind:

  1. Strategische
  2. Operativ
  3. Taktische

So wird sichergestellt, dass die Vorstände nicht in taktischen Details ertrinken, während die Manager an der Front die nötige Transparenz erhalten, um laufende Cyberangriffe abzuwehren (im Gegensatz zur wiederholten Reaktion auf routinemäßige tägliche Warnmeldungen).

Schauen wir uns die drei Ebenen und die wichtigsten Kennzahlen*, die für jede Ebene wichtig sind, genauer an.

*Hinweis: Die tatsächlichen Messgrößen sind hier als separater Artikel verlinkt.

1. Vorstandsebene/CEO-Ebene (Der Blick aus 30.000 Fuß Höhe)

Auf Vorstands- und CEO-Ebene müssen Cybersicherheitskennzahlen die Risikovermeidung messen, einschließlich der Aufrechterhaltung des guten Rufs und der Auswirkungen auf die Kapitalrendite (ROI), im Gegensatz zur Transparenz einzelner Warnungen oder Untersuchung Arbeitsabläufe. Sie benötigen klare Daten, die zeigen, dass das Unternehmen die Anfälligkeit für größere Cyber-Ereignisse verringert, den Unternehmenswert schützt und sicherstellt, dass die Sicherheitsinvestitionen effektive Ergebnisse liefern.

Wirksame Kennzahlen auf Vorstands- und Geschäftsführerebene sollten vier grundlegende Fragen beantworten: Wie exponiert sind wir? Verbessern wir uns? Investieren wir in die richtigen Kontrollen? Wie viel Budget wird benötigt, um etwaige Lücken zu schließen?

Die folgenden Beispiele für Kennzahlen sollen Vorständen und Geschäftsführern helfen, Cybersicherheit als eine Funktion der geschäftlichen Widerstandsfähigkeit und nicht als eine rein technische Disziplin zu verstehen.

Zu den wichtigsten zu messenden Parametern gehören:

  • Finanzielle Risikobelastung: Geschätzte Auswirkungen verschiedener Arten von Bedrohungsszenarien im Quartalsvergleich in Dollar.
  • Bereitschaft zur Cyber-Versicherung: Status der kritischen Kontrollen, die für die Erneuerung von Policen oder verbesserte Versicherungsbedingungen erforderlich sind.
  • Benchmarking der Industrie: Vergleich der wichtigsten Defensivindikatoren, wie z. B. die mittlere Zeit bis zur Schadensbehebung (MTTC), mit anderen Organisationen desselben Sektors.
  • Strategischer ROI: Prozentualer Anteil des Sicherheitsbudgets und der Operationen, die automatisiert und ergänzt werden durch Agentische KI um greifbare Effizienzgewinne zu erklären, die auch die Verteidigung verbessern.

2. CISO-Ebene (Die 10.000-Fuß-Sicht)

Da CISOs an der Schnittstelle zwischen Strategie und Ausführung agieren, müssen Metriken auf dieser Ebene einen klaren Überblick darüber geben, wie effektiv ein Sicherheitsprogramm funktioniert, wo Engpässe bestehen und wo zusätzliche Investitionen oder Prozessänderungen erforderlich sind.

Die Metriken befassen sich mit dem Zustand des Betriebs, der Einhaltung von Vorschriften, der Reife des Sicherheitsprogramms und der kontinuierlichen Verbesserung. Dadurch können CISOs wichtige operative Fragen beantworten, wie z. B.: Verbessern sich unsere Abwehrkräfte? Wo häuft sich das Risiko an? Welche Kontrollen sind unzureichend?

Die folgenden Indikatoren helfen CISOs, Ressourcen effektiv zuzuweisen, Investitionsentscheidungen zu rechtfertigen und den Programmfortschritt gegenüber der Geschäftsleitung zu demonstrieren.

Zu den wichtigsten zu messenden Parametern gehören:

  • Reifegrad des Programms: Fortschritte gegenüber etablierten Rahmenwerken wie NIST, CSF oder ISO 27001.
  • Kritische Schwachstelle Burn-down: Durchschnittlich benötigte Zeit für die Behebung von “kritischen” Schwachstellen im Vergleich zu “hoch” eingestuften Schwachstellen.
  • Sicherheit Schulden: Prozentsatz der Anlagen, bei denen zentrale Kontrollen fehlen, z. B. Endpunkt-Erkennung, Identitätsschutz oder Protokollierung.
  • Zusammenfassung der Auswirkungen des Vorfalls: Gesamte Ausfallzeiten, Betriebsunterbrechungen oder finanzielle Auswirkungen aufgrund von Sicherheitsvorfällen.

3. SOC Analysten-Ebene (Die Bodenansicht)

An der operativen Front benötigen SOC-Analysten Metriken, die die unmittelbare Verteidigungsleistung widerspiegeln. Diese Informationen helfen den Verteidigern zu verstehen, ob die Ermittlungen schnell genug voranschreiten, ob die Automatisierung sich das Rauschen aneignet und ob das Team echte Bedrohungen eindämmt, bevor sie eskalieren.

Im Gegensatz zu den Metriken der Geschäftsführung müssen diese Messungen genau, schnell und direkt mit den täglichen Arbeitsabläufen verknüpft sein, um einen klaren Einblick in die sofortigen Maßnahmen zu geben, die erforderlich sind 24/7. Außerdem ermöglichen sie es den Verteidigern, die Erkennungslogik, die Untersuchungsabläufe und die Automatisierungsstrategien kontinuierlich zu verbessern.

Zu den wichtigsten zu messenden Parametern gehören:

  • Aktive Vorfälle mit hohem Schweregrad: Echtzeitzählung der Bedrohungen, die derzeit untersucht oder eingedämmt werden.
  • AI Autonomierate: Prozentsatz der Warnungen, die vollständig von KI-Agenten gelöst werden, ohne dass ein menschliches Eingreifen erforderlich ist.
  • Falsch-Positiv-Unterdrückungsrate: Menge an gutartigen Alarmen, die durch Tuning und Automatisierung automatisch unterdrückt werden.
  • Mittlere Zeit bis zur Triage (MTTT): Zeit von der Erzeugung des Alarms bis zur ersten Ermittlungsmaßnahme durch das SOC.

*Zusätzlich zu diesem Artikel, der als Leitfaden für die Bestimmung und Zuweisung von metrischen Höhen dient, haben wir folgende Informationen zusammengetragen Ontinue's Bibliothek in ein metrisches Höhennetz.

CISO-Vorstand MetrikenHerunterladen
Leitfaden für Cyber-VerteidigungsmaßnahmenHerunterladen
Teilen

Artikel von

Craig Jones

Leiter der Sicherheitsabteilung

Craig Jones leitet das globale Netzwerk der Security Operations Center (SOCs) von Ontinue. Zu seinen Aufgaben gehören die Leitung und Optimierung der Teams, die für die Sicherheitsüberwachung, die Reaktion auf Vorfälle und die Erkennung von Bedrohungen in den vier SOCs des Unternehmens verantwortlich sind. Zuvor war Craig Jones Vice President of Security Operations bei Ontinue. Bevor er zu Ontinue kam, war Craig acht Jahre lang bei Sophos tätig, wo er zum Senior Director of Global Security Operations aufstieg. Bei Sophos war Craig für die operativen Aspekte des weltweiten Sicherheitsprogramms des Unternehmens verantwortlich und stellte sicher, dass die globale Sicherheitsinfrastruktur der Organisation robust und skalierbar war.

Craig ist ein angesehener Experte auf dem Gebiet der Cybersicherheit und verfügt über Zertifizierungen wie GCIH und CISSP. Er engagiert sich aktiv in der Cybersicherheits-Community, ist seit 2019 ehrenamtlich als Direktor von BSides Cymru/Wales tätig und hält regelmäßig Vorträge auf Branchenveranstaltungen. Seine Vordenkerrolle umfasst Themen wie Incident Response, SOC-Automatisierung, Threat Intelligence und SIEM. Craig hat einen Bachelor-Abschluss in Informationstechnologie von der University of South Wales.

Schlüsselwörter

Verwandte Artikel

Eine Nahaufnahme mit dem Wort 'PASSWORD' in weißer Schrift, umgeben von Binärcode (Nullen und Einsen) auf blauem Hintergrund, die auf Themen wie Cybersicherheit und Datenschutz hinweist.
Blog
10 Milliarden Passwörter sind durchgesickert. Warum es keine Rolle spielt, wenn Sie die Sicherheit richtig handhaben

20. Juni 2025

Weiterlesen >
Ein digitales Mockup eines "Threat Intelligence Report" von Oncontinue mit einem stilisierten Fingerabdruck auf lila-blauem Hintergrund. Auf der rechten Seite wird eine Übersichtsseite angezeigt, die den Text in einem klaren Layout darstellt.
E-Book
2H 2025 Bericht über Bedrohungsdaten

6. April 2026

Weiterlesen >
Eine Person, die ihre Anmeldedaten über ein Touchscreen-Tablet eingibt, mit einem Schloss-Symbol auf dem Bildschirm. Daneben liegt ein Smartphone, auf dem eine Bestätigungsaufforderung angezeigt wird. Dies veranschaulicht, wie Cyberkriminelle integrierte Microsoft-Tools ausnutzen.
Blog
Integrierte Bedrohungen: Wie Cyberkriminelle Microsoft-Tools zu Angriffsvektoren machen

7. Mai 2025

Weiterlesen >
Eine digitale Darstellung eines Mikrochips auf einem gemusterten Leiterplattenhintergrund, mit dem Text "AGENTIC AI" in der Mitte.
Blog
Vertrauen in KI aufbauen: Wie agentenbasierte KI den Sicherheitsdienst verändert

5. August 2025

Weiterlesen >