Fünf Kennzahlen, die der Aufsichtsrat wirklich versteht
6 Min. Lesezeit
Ein Szenario aus dem Aufsichtsratstermin: vierzig Folien, eine Million geblockter Angriffe im Balkendiagramm, ein grünes Compliance-Dashboard. Das Gremium nickt und stellt keine Rückfrage. Drei Monate später fällt ein Kernprozess für zwei Tage aus. Dieselben Aufsichtsräte fragen, warum niemand das Risiko auf dem Schirm hatte. Das Problem war nicht zu wenig Bericht. Es war der falsche. Wer geblockte Angriffe zählt, liefert Aktivität. Wer strategisches Risiko sichtbar macht, liefert eine Entscheidungsgrundlage. Der Unterschied entscheidet, ob ein CISO ernst genommen wird.
Das Wichtigste in Kürze
- Das BSIG bindet die Leitung, nicht das Gremium: Paragraf 38 verpflichtet die Geschäftsleitung, die Risikomanagementmaßnahmen umzusetzen und deren Umsetzung zu überwachen. Ein direkter Berichtsweg vom CISO an den Aufsichtsrat steht dort nicht.
- Der Informationsbedarf kommt aus dem Gesellschaftsrecht: Der Aufsichtsrat überwacht die Geschäftsführung nach Paragraf 111 AktG, die Leitung berichtet mindestens vierteljährlich zur Lage der Gesellschaft. Cyberrisiko gehört zu dieser Lage.
- Fünf Kennzahlen genügen: Kontrollwirksamkeit, Wiederherstellungsfähigkeit, Drittanbieter-Status, Reaktionsreife und eine vorausschauende Bedrohungslage. Vier zeigen einen Trend, die fünfte ist ein vorausschauendes Lagebild. Jede hat einen klaren Bezug zum Geschäft.
- Volumenmetriken gehören nicht ins Gremium: Geblockte Angriffe, Firewall-Alarme und grüne Häkchen erzeugen Anmutung von Sicherheit ohne Aussagekraft für eine strategische Entscheidung.
Verwandt:Welche Entscheidungsrechte des CISO schriftlich geregelt sein müssen / Teilzeit-CISO: Was extern liegen darf, was intern bleiben muss
Was gehört ins Cyber-Reporting an den Aufsichtsrat?
Was ist Board-Reporting im Cybersecurity-Kontext? Board-Reporting ist die verdichtete, entscheidungsorientierte Berichterstattung über die Cyber-Risikolage an das Aufsichts- oder Kontrollgremium. Es übersetzt den technischen Sicherheitsstatus in wenige strategische Kennzahlen mit Trend und Geschäftsbezug, damit das Gremium die Wirksamkeit der Sicherheitsmaßnahmen beurteilen kann, ohne in operative Zählstatistiken abzurutschen.
Der häufigste Fehler ist die Verwechslung von Fleiß mit Aussage. Ich habe Berichte gesehen, die auf dreißig Seiten jede Firewall-Regel und jeden abgewehrten Scan auflisteten. Beeindruckend anzusehen, wertlos für eine Entscheidung. Ein Aufsichtsrat will nicht wissen, wie viele Angriffe abprallten. Er will wissen, ob das Unternehmen einen Angriff übersteht, der durchkommt. Das ist eine andere Frage. Sie verlangt andere Zahlen.
Warum die Leitung haftet und der Aufsichtsrat trotzdem Zahlen braucht
Die Rechtslage wird oft verkürzt. Paragraf 38 BSIG, in Kraft seit dem 6. Dezember 2025, verpflichtet die Geschäftsleitung besonders wichtiger und wichtiger Einrichtungen, die Risikomanagementmaßnahmen nach Paragraf 30 umzusetzen und deren Umsetzung zu überwachen. Absatz 3 verlangt zusätzlich, dass die Mitglieder der Geschäftsleitung regelmäßig an Schulungen teilnehmen. Ein direkter Berichtsweg vom CISO an den Aufsichtsrat steht im BSIG jedoch nicht.
Der Informationsanspruch des Gremiums entsteht auf einer anderen Ebene. Der Aufsichtsrat überwacht die Geschäftsführung nach Paragraf 111 AktG, bei der GmbH mit Aufsichtsrat gilt Paragraf 52 GmbHG entsprechend. Bei der Aktiengesellschaft berichtet der Vorstand dem Aufsichtsrat nach Paragraf 90 AktG mindestens vierteljährlich über den Gang der Geschäfte und die Lage der Gesellschaft. Bei der GmbH mit fakultativem Aufsichtsrat ergibt sich der Takt aus dem Auskunftsrecht des Gremiums und der Informationsordnung, in der Praxis meist ebenfalls quartalsweise. Ein Cyberrisiko, das Verfügbarkeit, Integrität oder Vertraulichkeit geschäftskritischer Dienste bedroht, gehört zu dieser Lage. Daraus folgt der strukturierte Informationsbedarf, kein separates Board-Reporting-Gesetz.
Für den CISO hat das eine praktische Konsequenz. Sein Bericht adressiert formal die Geschäftsleitung, die ihn braucht, um ihre Überwachungspflicht nach Paragraf 38 zu erfüllen und um dem Aufsichtsrat Rede und Antwort zu stehen. Gutes Reporting versetzt die Leitung in die Lage, kompetent zu berichten. Genau hier liegt der Hebel, den viele Sicherheitsverantwortliche unterschätzen.
Fünf Kennzahlen, die eine Entscheidung tragen
Die folgenden fünf Indikatoren decken den strategischen Informationsbedarf ab. Sie sind keine gesetzlich vorgeschriebene Liste. Sie leiten sich aus den Mindestmaßnahmen des Paragraf 30 Absatz 2 BSIG ab und übersetzen sie in eine Sprache, die ein Kontrollgremium aus anderen Risikobereichen kennt.
| Kennzahl | Was sie beantwortet | Ersetzt das Theater von | BSIG-Bezug |
|---|---|---|---|
| Kontrollwirksamkeit | Funktioniert, was wir beschlossen haben? | Grüne Compliance-Häkchen, Zertifikatsfolie | Paragraf 30 Abs. 2 Nr. 6 (Wirksamkeitsbewertung) |
| Wiederherstellungsfähigkeit | Wie schnell laufen Kernprozesse nach Ausfall wieder? | „Backups laufen“ ohne Recovery-Nachweis | Paragraf 30 Abs. 2 Nr. 3 (Betrieb, Backup, Krisenmanagement) |
| Drittanbieter-Status | Welche kritischen Abhängigkeiten sind ungeprüft? | Gesamtzahl aktiver SaaS-Verträge | Paragraf 30 Abs. 2 Nr. 4 (Lieferkettensicherheit) |
| Reaktionsreife | Konnten wir unter Druck handeln? | Anzahl geblockter Angriffe, Alarm-Volumen | Paragraf 30 Abs. 2 Nr. 2 (Vorfallbewältigung) |
| Bedrohungslage (Forward-Look) | Welches Vorhaben verändert unser Risiko? | Statische Risikomatrix, CVE-Liste ohne Bezug | Paragraf 30 Abs. 2 Nr. 1 (Risikoanalyse) |
Kontrollwirksamkeit. Der Anteil der geschäftskritischen Kontrollen, die eine definierte Wirksamkeitsschwelle erreichen, dargestellt mit der Veränderung zum Vorquartal und den drei größten offenen Lücken samt geplantem Schließungstermin. Beispiele sind die Abdeckung mit Mehr-Faktor-Authentisierung bei privilegierten Konten, die Einhaltung der Patch-Frist bei internetexponierten Systemen oder die Logging-Abdeckung. Das Gremium erkennt hier dasselbe Prüfmuster wie bei internen Kontrollen im Finanzbereich. Die Ampel ist zweitrangig, der Trend ist die Aussage.
Wiederherstellungsfähigkeit. Für definierte kritische Geschäftsprozesse die in Übungen oder realen Störungen erreichte Wiederanlaufzeit und der maximal tolerierte Datenverlust, dazu das Datum der letzten erfolgreichen Wiederherstellungsübung. Diese Kennzahl übersetzt technische Resilienz in betriebswirtschaftliche Ausfallzeit, eine Größe, die jeder Aufsichtsrat aus der Produktion oder der Logistik kennt. Die Zahl der erfolgreichen Backups sagt dagegen nichts, solange die Wiederherstellung nie getestet wurde.
Drittanbieter-Status. Der Anteil kritischer Lieferanten mit aktueller Risikobewertung, die offenen Hochrisiko-Findings und ein Hinweis auf Konzentration, wenn ein einzelner Anbieter mehrere Kernfunktionen trägt. Drittanbieter sind strategische Abhängigkeiten. Abhängigkeit ist eine Sprache, die ein Kontrollgremium versteht. Wie ein Lieferkettenrisiko zum steuerbaren Programm wird, habe ich an anderer Stelle ausführlicher beschrieben.
Reaktionsreife. Für relevante Vorfälle und Übungen, keine Alltagsalarme, zählen drei Dinge: die Zeit bis zur Eindämmung, ob die Eskalationspfade gegriffen haben und der Umsetzungsstand der Maßnahmen aus den Nachbetrachtungen. Als Governance-Indikator lässt sich der Status der Meldepflichten nach Paragraf 32 BSIG ergänzen. Die zentrale Frage nach einem Ernstfall lautet nicht, wie viele Angriffe abprallten. Sie lautet, ob das Team den einen handhaben konnte, der durchkam.
Bedrohungslage als Forward-Look. Die einzige vorausschauende Größe im Satz, zugleich die wichtigste. Sie ist weniger eine Zahl als ein strukturiertes Lagebild. Welche laufenden Geschäftsinitiativen verändern die Risikolage, etwa eine Cloud-Migration, eine KI-Einführung oder eine ERP-Umstellung? Welche neuen Bedrohungsszenarien treffen die Kernbranche? Pro Eintrag die erwartete Auswirkung, die vorgesehene Gegenmaßnahme und der Punkt, an dem das Gremium über Risikoappetit, Budget oder einen Zustimmungsvorbehalt entscheidet. In vielen Terminen dominiert der Rückblick auf abgeschlossene Programme. Der Forward-Look muss deshalb bewusst vorbereitet werden, sonst fehlt er. Genau diese Lücke schließt ein guter CISO aktiv.
Was im Gremium nichts zu suchen hat
Ebenso wichtig wie die Auswahl der fünf Kennzahlen ist die Disziplin, den Rest wegzulassen. Operative Metriken gehören in den Bericht des CISO an die Geschäftsleitung, sie gehören in das Sicherheitsteam und in das Betriebslagebild. Im Aufsichtsgremium richten sie Schaden an, weil sie Aufmerksamkeit binden, ohne eine Entscheidung zu ermöglichen.
Geblockte Angriffe und Firewall-Alarme sind reine Volumenzahlen. Sie steigen mit der Größe des Unternehmens und sagen über die Wirksamkeit nichts aus. Patch-Zahlen ohne den Bezug zu einer vereinbarten Frist sind Aktivität ohne Maßstab. Ein grünes Compliance-Dashboard oder ein frisches Zertifikat belegen, dass ein Prozess einmal geprüft wurde, nicht, dass eine Kontrolle heute greift. Wer diese Kennzahlen zeigt, erzeugt eine Anmutung von Sicherheit, die beim ersten echten Vorfall zerbricht.
Der Rhythmus: quartalsweise Lage, sofortige Ausnahme
Das BSIG schreibt keine Berichtsfrequenz an das Gremium vor. Der Takt ergibt sich aus dem Gesellschaftsrecht. Bei der Aktiengesellschaft berichtet der Vorstand nach Paragraf 90 AktG mindestens vierteljährlich zur Lage, bei der GmbH ergibt sich ein vergleichbarer Takt aus Auskunftsrecht und Informationsordnung. Daran orientiert sich das Cyber-Reporting. Der Quartalsbericht zeigt Ist-Wert und Trend je Kennzahl, der Jahresbericht ergänzt die strategische Programmreife. Bei einem erheblichen Vorfall oder einer weitreichenden IT-Entscheidung greift der Ad-hoc-Weg, den Paragraf 90 AktG über den Vorsitzenden des Aufsichtsrats eröffnet.
Ein Wort zum Finanzsektor. Für Unternehmen, die unter DORA fallen, ist die Verordnung das speziellere Recht. Das Leitungsorgan definiert, genehmigt und überwacht dort den Rahmen für das Risikomanagement der Informations- und Kommunikationstechnik. Seine Mitglieder unterliegen nach Artikel 5 Absatz 4 DORA einer eigenen Fortbildungspflicht. DORA verschärft damit vor allem die Governance und die Informationsflüsse an das Leitungsorgan. Die fünf Kennzahlen bleiben tragfähig, der Takt gegenüber dem Aufsichtsrat bleibt gesellschaftsrechtlich und wird um die Erwartungen der Finanzaufsicht ergänzt.
Am Ende ist gutes Board-Reporting eine Übersetzungsleistung. Wenige Größen, jede mit einem Trend oder einem Lagebild und einem Satz zum Geschäft, jede mit einer klaren Empfehlung. Das ist weniger Material als die üblichen vierzig Folien und deutlich mehr Wirkung. Verdichtung schafft Raum für die relevanten Rückfragen. Und gute Rückfragen sind das, was ein CISO aus dem Aufsichtsratstermin mitnehmen will.
Häufige Fragen
Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.
Welche Kennzahlen erwartet ein Aufsichtsrat vom CISO?
Das Gesetz nennt keine feste Liste. In der Praxis tragen fünf strategische Indikatoren: die Wirksamkeit kritischer Kontrollen, die Wiederherstellungsfähigkeit geschäftskritischer Prozesse, der Risikostatus kritischer Drittanbieter, die Reaktionsreife bei Vorfällen und eine vorausschauende Bedrohungs- und Veränderungslage. Jede sollte Trend und Geschäftsbezug zeigen.
Wie oft sollte Cyberrisiko im Aufsichtsrat behandelt werden?
Das BSIG 2025 schreibt keine Frequenz an das Gremium vor. Bei der Aktiengesellschaft berichtet der Vorstand dem Aufsichtsrat nach Paragraf 90 AktG mindestens vierteljährlich zur Lage der Gesellschaft, bei der GmbH mit Aufsichtsrat ergibt sich ein vergleichbarer Rhythmus aus Auskunftsrecht und Informationsordnung. Cyberberichte orientieren sich daran: quartalsweise für Lage und Trend, sofort bei erheblichen Vorfällen oder strategischen IT-Entscheidungen.
Was verlangt Paragraf 38 BSIG von der Geschäftsleitung?
Paragraf 38 verpflichtet die Geschäftsleitung besonders wichtiger und wichtiger Einrichtungen, die Risikomanagementmaßnahmen nach Paragraf 30 umzusetzen und deren Umsetzung zu überwachen. Zusätzlich müssen die Mitglieder der Geschäftsleitung nach Absatz 3 regelmäßig an Schulungen teilnehmen. Einen direkten Berichtsweg vom CISO an den Aufsichtsrat nennt das BSIG nicht. Der CISO berichtet der Geschäftsleitung. Der Aufsichtsrat erhält seine Informationen über deren Berichtspflicht nach dem Gesellschaftsrecht.
Welche Kennzahlen sind für das Board-Reporting ungeeignet?
Ungeeignet sind volumenbasierte Betriebsmetriken ohne Geschäftsbezug: geblockte Angriffe, Firewall-Alarme, Patch-Zahlen ohne Fristkontext sowie reine Compliance-Häkchen oder Zertifikatsnachweise ohne Wirksamkeitsbeleg. Sie erzeugen den Eindruck von Aktivität, liefern dem Gremium aber keine Grundlage für eine strategische Risikoentscheidung.
Lesetipps der Redaktion
- Welche Entscheidungsrechte des CISO schriftlich geregelt sein müssen
- Welche Controls beim Tool-Abbau nicht wegfallen dürfen
- NIS2 nach der Frist: Jetzt beginnt die BSI-Aufsicht
Mehr aus dem MBF Media Netzwerk
Bildquelle: KI-generiert (Juli 2026)