Compliance-Lexikon · Grundbegriff
Security Posture
[sɪˈkjʊərɪti ˈpɒstʃə] · auch: Sicherheitsstellung, Sicherheitslage, Cyber-Sicherheitsstatus
Security Posture bezeichnet den Gesamtzustand der Informationssicherheit einer Organisation – bewertet anhand von Schutzmassnahmen, Erkennungsfahigkeiten, Reaktionsbereitschaft und Compliance-Status – als Grundlage fuer Steuerungsentscheidungen und Leitungsorgan-Reporting.
Warum Security Posture ein Fuhrungs- und Compliance-Begriff ist
Security Posture ist die Antwort auf die Frage: „Wie sicher sind wir?“ – gemessen, nicht geschaetzt. NIS-2 und DORA verlangen, dass das Leitungsorgan die Sicherheitslage kennt und aktiv steuert. Ohne ein System zur Messung und Kommunikation der Security Posture koennen weder das Management noch Regulatoren beurteilen, ob das Sicherheitsprogramm wirksam ist.
Wo Security Posture gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | Kap. 9 | Leistungsbewertung: Regelmaessige Bewertung der Wirksamkeit des ISMS als Pflicht – Security Posture als Ergebnisgroesse. |
| NIS-2 / BSIG | § 30 Abs. 1 | Leitungsorganhaftung: Das Leitungsorgan muss die Sicherheitslage kennen und Massnahmen ueberwachen. |
| DORA | Art. 5 | Governance: Leitungsorgan verantwortet IKT-Risikolage und muss darueber informiert sein. |
| BSI Cyber-Sicherheits-Check | vollstaendig | BSI-Reifegradmodell zur Bewertung der Cyber-Sicherheitslage von Organisationen. |
| NIST CSF | Identify / Protect / Detect / Respond / Recover | NIST Cybersecurity Framework strukturiert Security Posture entlang der fuenf Kernfunktionen. |
BAM-Objektreferenz
Haeufige Audit-Fehler
- Keine definierten Security-Posture-KPIs – Sicherheitslage nicht messbar
- Leitungsorgan wird ueber Sicherheitslage nicht regelmaessig informiert
- Security-Metriken technisch fokussiert – kein Bezug zu Geschaeftsrisiken
- Keine Trendanalyse – verbessert oder verschlechtert sich die Sicherheitslage?
Dimensionen der Security Posture
Eine vollstaendige Bewertung der Security Posture umfasst: Schutzmassnahmen (Patch-Stand, MFA-Abdeckung, Verschluesselungsstatus), Erkennungsfahigkeit (SIEM-Abdeckung, MTTDetect), Reaktionsbereitschaft (getestete Incident-Response-Prozesse, MTTReact), Compliance-Status (offene Befunde aus Audits, Massnahmenabdeckungsgrad) und Risikolage (offene Risiken, Restrisiken, akzeptierte Risiken). Diese Dimensionen werden zu einem Gesamtbild verdichtet, das Vergleiche ueber Zeit und mit Benchmarks ermoeglicht.
Security Posture Reporting fuer das Leitungsorgan
Effektives Security-Posture-Reporting fuer das Leitungsorgan folgt drei Prinzipien: Geschaeftsbezug (Sicherheitsmassnahmen in Bezug zu Geschaeftsrisiken, nicht als technische Metriken), Trend (Wohin entwickelt sich die Sicherheitslage?), Handlungsbedarf (Welche Entscheidungen werden vom Leitungsorgan erwartet?). Ein Dashboard mit roten, gelben und gruenen KPIs ist gut – ein Reporting, das dem Leitungsorgan die Entscheidungsgrundlagen gibt, ist besser.
Naechste Ebene
Security Posture in der Praxis: KPIs, Reporting und Evidence
Wie Security Posture gemessen, kommuniziert und im Audit nachgewiesen wird.