Security-Teams messen heute mehr als je zuvor. Patch-Quoten, blockierte E-Mails, Awareness-Trainings – die Dashboards sind voll. Doch wenn der Vor­stand fragt, ob das Unternehmen ausreichend geschützt ist, können die meisten CISOs das mit ihren KPIs nicht belastbar beantworten. Denn klassische Metriken messen Fleiß, nicht Wirksamkeit.