Security-Teams messen heute mehr als je zuvor. Patch-Quoten, blockierte E-Mails, Awareness-Trainings – die Dashboards sind voll. Doch wenn der Vorstand fragt, ob das Unternehmen ausreichend geschützt ist, können die meisten CISOs das mit ihren KPIs nicht belastbar beantworten. Denn klassische Metriken messen Fleiß, nicht Wirksamkeit.