Wie effizient ein Security-Operations-Center (SOC) arbeitet, ist durchaus messbar. Leider lassen sich Unternehmen oft von nichtssagenden Metriken blenden. Ontinue, Experte für Managed-Extended-Detection and Response (MXDR), erklärt anhand von drei Personas, wie Unternehmen maßgeschneiderte KPIs definieren.
Schließt ein Security-Operations-Center täglich hunderte Tickets von Security-Incidents, ist das erst einmal beeindruckend. Diese Zahl kann allerdings trügen, denn in vielen Fällen handelt es sich um repetitive und vorhersehbare Vorfälle, die keinerlei echte Bedrohung darstellen. Sie manuell anzusehen und zu schließen, evoziert weder einen Mehrwert für das Unternehmen noch ist es ein valider Indikator für erfolgreiche oder effiziente Arbeit des SOC. Im Gegenteil: Diese konstante Ablenkung bindet Mitarbeiterressourcen und ist damit sogar kontraproduktiv. Wie Unternehmen sinnvollere KPIs definieren und herausfinden, was für die verschiedenen Stakeholder wichtige Indikatoren für Erfolg sind, erklärt Ontinue.
Persona #1: Das C-Level und die Geschäftsführung
Viele bestehende KPIs, die das C-Level misst, sind zu sehr auf das Vorfallvolumen ausgerichtet. Zwar zeigt die Anzahl an Alerts, gefundenen Schwachstellen oder blockierten Angriffen, wie aktiv ein Security-Operations-Center ist. Diese Zahlen liefern jedoch kaum Aussagen über das tatsächliche Unternehmensrisiko oder den geschäftlichen Einfluss von Cybersecurity-Maßnahmen. Was auf der Strecke bleibt, ist die Transparenz darüber, ob die Investitionen in ein SOC tatsächlich zu einer messbaren Reduktion des Risikos führen. Das Ziel sollte sein, Cyberrisiken verständlich in Business-Kontext zu übersetzen und strategische Entscheidungen zu unterstützen. Wichtige Fragen sind daher beispielsweise, ob sich das Gesamtrisiko reduziert, ob die Reaktionszeiten innerhalb der definierten Risikotoleranz liegen und ob zusätzliche Investitionen erforderlich sind. Sinnvolle Metriken sind daher risikoorientiert und trendbasiert, etwa die Entwicklung der Risikoexposition, die durchschnittliche Behebungszeit kritischer Schwachstellen, Mean-Time to Contain bei sicherheitsrelevanten Vorfällen oder der Anteil kritischer Assets innerhalb akzeptabler Risikoschwellen.
Persona #2: Der Security-Manager
Auf Ebene der Security-Manager sind bestehende KPIs häufig zu stark auf Geschwindigkeit oder Ticketvolumen fokussiert. Die Anzahl bearbeiteter Security-Incidents oder die durchschnittliche Reaktionszeit geben zwar einen Hinweis auf die Aktivität eines SOC, sagen allerdings wenig über die tatsächliche Effektivität der Sicherheitsprozesse aus. Dadurch kann der Fokus zu sehr auf Quantität liegen, während Qualität, Prozessoptimierung und Ressourceneffizienz zu wenig Beachtung finden. Oberste Prämisse der KPIs sollte auf Ebene der Security-Manager die operative Leistungsfähigkeit sein. Sie müssen Transparenz in der Organisation herstellen und Verbesserungspotenziale in Prozessen, Workflows und Ressourcennutzung sichtbar machen. Wichtige Aspekte sind die Effizienz von Detection- und Response-Prozessen, die Qualität von Eskalationen sowie die Auslastung des SOC. Sinnvolle Metriken sind beispielsweise das Verhältnis von True Positives gegenüber False-Positives, die Umwandlungsrate von Alerts zu Incidents, der Grad der Automatisierung bei Untersuchungen sowie die Einhaltung von Remediation-SLAs bei kritischen Schwachstellen.
Persona #3: Der SOC-Analyst
Auf Analystenebene geht es bei vielen bestehenden KPIs vorrangig um Aktivität, also beispielsweise die Anzahl bearbeiteter Alerts oder geschlossener Tickets. Diese Kennzahlen fördern jedoch oft ein Arbeiten nach Volumen statt nach Qualität und tragen zur sogenannten Alert Fatigue bei. Sie zeigen letztlich kaum, ob aktuelle Detection-Regeln effektiv sind oder ob Analysten ihre Zeit tatsächlich mit relevanten Bedrohungen verbringen. Sinnvollere KPIs offenbaren die Qualität der Alerts, die Effizienz von Untersuchungen und die kontinuierliche Verbesserung der Detection. So können Security-Operations-Center den Anteil unnötiger oder redundanter Arbeit reduzieren und ihre Analysten sich stärker auf echte Sicherheitsvorfälle fokussieren. Sinnvolle Metriken sind daher zum Beispiel die False-Positive-Rate, das Signal-zu-Noise-Verhältnis von Alerts, die durchschnittliche Untersuchungszeit pro bestätigtem Incident, der Automatisierungsgrad bei Analysen sowie Kennzahlen zur Reduktion redundanter oder wiederkehrender Alerts.
„Viel zu lange haben Security-Operations ihren Erfolg an Aktivität statt an Ergebnissen gemessen“, betont Craig Jones, Chief Security Officer bei Ontinue. „Ein stark ausgelastetes SOC bedeutet jedoch nicht zwangsläufig eine sichere Organisation, häufig ist sogar das Gegenteil der Fall. Wenn Teams von Alerts überflutet werden und den ganzen Tag Tickets schließen, bleibt weniger Zeit, um tatsächliche Angriffe zu stoppen. Entscheidend sind daher Kennzahlen, die zeigen, ob das Risiko tatsächlich sinkt: weniger kritische Schwachstellen, schnellere Eindämmung realer Vorfälle und mehr Zeit für die Untersuchung echter Bedrohungen. Die Aufgabe moderner Security Operations, unterstützt durch KI und Automatisierung, besteht darin, Störfaktoren zu eliminieren. So können sich Security-Operations-Center auf den Schutz ihres Unternehmens konzentrieren.“
Ontinue









