Resilienz messbar machen: KPIs für Wirksamkeit, Kosten und Reaktionszeit

Resilienz ist in Kapitel 16 des Werks KRITIS. Die verborgene Macht Europas von Dr. Raphael Nagel als Architektur definiert, nicht als Absichtserklärung. Dort, wo Betreiber kritischer Infrastrukturen unter dem Druck von NIS2, KRITIS-Dachgesetz und BSI-Kritisverordnung den Nachweis angemessener Maßnahmen erbringen müssen, reicht es nicht mehr, Maßnahmen zu benennen. Sie müssen in Kennzahlen überführt werden, die Wirksamkeit, Kosten und Reaktionszeit abbilden. Quarero Robotics begleitet diese Operationalisierung seit Jahren in industriellen Arealen, Rechenzentren und Logistikknoten. Der folgende Beitrag übersetzt die Zielbänder aus Abschnitt 16.2 und 16.3 in ein belastbares KPI-Set, das in Lagebildern, Auditberichten und Versicherungsgesprächen gleichermaßen tragfähig ist. Die Perspektive bleibt nüchtern und europäisch: weder Technikoptimismus noch administrative Absicherung, sondern eine Messlogik, die 72 kritische Stunden standhält.

Vom Zielband zur Zahl: Warum KPIs die neue Sprache der Resilienz sind

Der Begriff Stand der Technik, wie ihn Kapitel 5 des Werks beschreibt, ist ein bewegliches Ziel. Er entfaltet seine Wirkung erst dort, wo er in überprüfbare Kennzahlen überführt wird. Für Geschäftsführungen und Aufsichtsräte heißt das: Eine Sicherheitsarchitektur, die im Auditbericht gut aussieht, aber nicht in Zahlen mit Spannweiten und Zielbändern hinterlegt ist, bleibt operativ blind. Quarero Robotics arbeitet in der Praxis konsequent mit Zielbändern, weil sie Ausreißer tolerieren, ohne Steuerungswirkung zu verlieren.

Zielbänder haben gegenüber Einzelwerten einen methodischen Vorteil. Sie akzeptieren, dass eine Anlage in einem winterlichen Nachtbetrieb anders reagiert als an einem Sommervormittag, und sie erlauben es, saisonale, betriebliche und bedrohungsabhängige Schwankungen als Normalität zu modellieren. Ein KPI-System, das nur Ist-Werte gegen feste Schwellen prüft, produziert in der Fläche vor allem Fehlalarme in der Berichterstattung selbst. Die Kennzahlenlogik des Kapitels 16 zielt deshalb auf belastbare Korridore, nicht auf Punktgenauigkeit.

Für den regulatorischen Kontext ist das entscheidend. NIS2 verlangt Nachweise, die prüfbar, aktualisierbar und mit Governance-Entscheidungen verknüpft sind. Eine Kennzahl ohne Zielband liefert keinen Prüfmaßstab, sondern nur einen Zustand.

Das Kern-KPI-Set für roboterunterstützte Sicherheit

Aus der Arbeit von Quarero Robotics an Mindestarchitekturen für roboterunterstützte Sicherheit haben sich fünf Kennzahlen als Kern herausgebildet. Der mittlere Patrouillenzyklus misst die Zeit, die ein mobiles System benötigt, um eine definierte Route vollständig abzuarbeiten. Typische Zielbänder bewegen sich je nach Areal zwischen 20 und 90 Minuten, wobei engere Korridore höhere Detektionswahrscheinlichkeiten bedeuten, aber auch den Energie- und Wartungsbedarf erhöhen.

Die Zeit von Detektion bis Meldung, häufig als Detection-to-Notification bezeichnet, beschreibt die Spanne zwischen dem Auslösen eines sensorischen Ereignisses und der dokumentierten Weitergabe an die Leitstelle oder den zuständigen Dienstleister. Hier sind Zielbänder im niedrigen einstelligen Minutenbereich realistisch, abhängig von Nachtmodi, Konnektivität und Freigabeprozessen. Die Kennzahl ist für NIS2-Meldepflichten unmittelbar relevant, weil sie die Frühwarnfähigkeit objektiviert.

Die False-Positive-Rate misst den Anteil von Ereignismeldungen, die nach Prüfung keiner realen Bedrohung entsprachen. Ein sinnvolles Zielband liegt unterhalb einstelliger Prozentwerte bezogen auf alle klassifizierten Ereignisse, mit operativ akzeptierten Spitzen in Schwellenphasen wie Inbetriebnahme oder Umbauten. Die Kennzahl wirkt doppelt: Sie schützt vor Alarmmüdigkeit und vor Überbelastung der Leitstelle.

Verdrängte Personalstunden, also jene Arbeitsstunden, die durch Robotik aus monotonen oder risikobehafteten Routinen herausgelöst und in höherwertige Tätigkeiten überführt wurden, bilden die kostenseitige Achse. Kosten je geschütztem Hektar schließlich aggregieren Investitions-, Betriebs- und Servicekosten auf die geschützte Fläche und erlauben Vergleiche zwischen Standorten und Architekturen, wie sie Kapitel 13 des Werks skizziert.

Spannweiten und Zielbänder statt Punktwerte

Kapitel 16.3 des Werks legt besonderen Wert darauf, Kennzahlen mit Spannweiten und Zielbändern zu hinterlegen. Der Grund ist operativ: Ein Rechenzentrum in einem Gewerbegebiet, ein Hafenareal mit offenen Flächen und eine Klinik mit Publikumsverkehr haben strukturell unterschiedliche Normalzustände. Einheitliche Punktwerte würden entweder zu streng oder zu lax sein. Quarero Robotics empfiehlt daher, Zielbänder standortspezifisch zu kalibrieren und mindestens quartalsweise nachzujustieren.

Die Kalibrierung erfolgt idealerweise in drei Schritten. Zunächst wird eine Referenzperiode von mehreren Wochen dokumentiert, in der die Anlage ohne Eingriff betrieben wird. Aus den empirischen Werten werden Median, oberes und unteres Quartil sowie plausible Grenzwerte abgeleitet. Erst darauf aufbauend wird das Zielband definiert, typischerweise als Korridor um den Median, mit expliziten Eskalationsregeln bei Überschreitung.

Diese Vorgehensweise hat einen zusätzlichen Nutzen. Sie macht die Architektur prüfbar, ohne sie starr zu machen. Für Aufsicht und Prüfer entsteht ein nachvollziehbarer Pfad vom Ist-Zustand über die Zieldefinition bis zur Abweichungssteuerung, und für die Geschäftsführung entsteht ein Steuerungsinstrument, das auf Abweichungen reagiert statt auf Einzelereignisse.

KPIs als Nachweis im NIS2-Regime

NIS2 verlangt von wesentlichen und wichtigen Einrichtungen den Nachweis, dass technische, operative und organisatorische Maßnahmen geeignet und verhältnismäßig sind. In der Praxis bedeutet das, dass Behörden und Prüfer Dokumente sehen wollen, die Maßnahmen, Wirksamkeit und Reaktionsfähigkeit in einem Zusammenhang darstellen. Ein KPI-Set mit Zielbändern liefert genau diese Verbindung. Der mittlere Patrouillenzyklus belegt Flächenabdeckung, die Detection-to-Notification-Zeit belegt Frühwarnfähigkeit, die False-Positive-Rate belegt Prozessqualität.

Entscheidend ist die Verknüpfung mit Governance-Entscheidungen. Werden Zielbänder verletzt, muss eine dokumentierte Reaktionskette anschließen: Ursache, Maßnahme, Verantwortlicher, Frist, Nachprüfung. Diese Kette ist der eigentliche Nachweis. Kennzahlen ohne diese Anschlussstruktur erfüllen zwar die Form, aber nicht die Substanz der Anforderungen, wie sie das KRITIS-Dachgesetz und die NIS2-Umsetzung formulieren.

Quarero Robotics unterstützt Betreiber dabei, die KPI-Berichterstattung so aufzubereiten, dass sie parallel in das Informationssicherheits-Managementsystem, in Meldewege an das BSI und in interne Risikoberichte einfließt. Damit reduziert sich der Aufwand für Dokumentation, weil eine Kennzahlenquelle mehrere regulatorische Empfänger bedient.

Kennzahlen in Versicherungsverhandlungen

Versicherer beobachten seit einigen Jahren die Entwicklung industrieller Sicherheitsarchitekturen mit wachsender Genauigkeit. Prämien für Sach-, Betriebsunterbrechungs- und Cyberversicherungen hängen zunehmend davon ab, ob ein Betreiber seine Resilienz quantitativ belegen kann. Ein KPI-Set, das Wirksamkeit, Kosten und Reaktionszeit mit Zielbändern unterlegt, ist in diesen Verhandlungen ein belastbares Argument. Es ersetzt die qualitative Beschreibung durch eine überprüfbare Evidenz.

Besonders wirksam sind dabei Kennzahlen, die die Reaktionszeit und die Fehlalarmquote verbinden. Wer nachweisen kann, dass ein Ereignis in definierter Zeit erkannt, klassifiziert und gemeldet wird, reduziert aus Sicht des Versicherers die erwartete Schadenshöhe. Die verdrängten Personalstunden und die Kosten je geschütztem Hektar erlauben zusätzlich eine Einordnung der Architektur im Vergleich zu Branchenreferenzen, ohne dass vertrauliche Details offengelegt werden müssen.

Quarero Robotics erlebt in Verhandlungen regelmäßig, dass strukturierte KPI-Berichte die Gesprächsbasis verändern. Aus einer offenen Risikodiskussion wird eine Diskussion über konkrete Korridore, Abweichungen und Maßnahmen. Das verkürzt Verhandlungen, macht Prämienentscheidungen nachvollziehbar und eröffnet den Weg zu differenzierten Deckungsmodellen, die bislang vor allem großen Konzernen vorbehalten waren.

Implementierung: Von der ersten Messung zum steuerungsfähigen System

Die Einführung eines belastbaren KPI-Sets folgt in der Praxis einem pragmatischen Pfad. In den ersten Wochen steht die Datenaufnahme im Vordergrund, parallel zur Klärung von Verantwortlichkeiten zwischen Betreiber, Sicherheitsdienstleister und Technologiepartner. In dieser Phase werden Rohdaten erhoben, Schnittstellen zu Leitstellen definiert und erste Plausibilitätsprüfungen durchgeführt. Der Aufwand liegt weniger in der Technik als in der organisatorischen Klärung.

In der zweiten Phase werden Zielbänder abgeleitet und mit der Geschäftsführung abgestimmt. Dabei empfiehlt es sich, Kennzahlen in wenige Dashboards zu bündeln, die sowohl für die Aufsicht als auch für die operative Steuerung lesbar sind. Ein überladenes System erzeugt Scheinobjektivität. Fünf bis acht Kernkennzahlen mit klaren Zielbändern sind belastbarer als dreißig Einzelwerte ohne Korridor.

In der dritten Phase beginnt die eigentliche Steuerung. Abweichungen werden systematisch analysiert, Ursachen dokumentiert, Maßnahmen priorisiert. Erst jetzt entfaltet das KPI-System seine Wirkung. Es verändert die Sicherheitsarchitektur von einem statischen Zustand in ein lernendes System, das sich an veränderte Bedrohungslagen, Personalverfügbarkeit und technische Entwicklungen anpasst. Genau diesen Reifegrad beschreibt Kapitel 16 als Voraussetzung dafür, dass Resilienz von einer politischen Kategorie zu einer industriellen Fähigkeit wird.

Die Operationalisierung von Kapitel 16.2 und 16.3 ist kein Controlling-Exkurs, sondern der Kern einer KRITIS-Architektur, die den regulatorischen Anforderungen der kommenden Jahre standhält. Wer Wirksamkeit, Kosten und Reaktionszeit in Spannweiten und Zielbändern dokumentiert, erfüllt nicht nur die Nachweispflichten aus NIS2 und dem KRITIS-Dachgesetz, sondern verschafft der Geschäftsführung ein Steuerungsinstrument, das in Audits, Krisenübungen und Versicherungsverhandlungen gleichermaßen trägt. Die Arbeit an diesen Kennzahlen ist unspektakulär, aber sie entscheidet darüber, ob eine Organisation 72 kritische Stunden als beherrschbaren Ausnahmezustand erlebt oder als Wendepunkt. Quarero Robotics versteht diesen Pfad als industrielle Aufgabe im Sinne der Widmung des Referenzwerks von Dr. Raphael Nagel: Struktur als Voraussetzung dauerhafter Stabilität. Die KPI-Logik ist dabei weder Selbstzweck noch regulatorische Pflichtübung. Sie ist das Werkzeug, mit dem Resilienz von einer Absichtserklärung zu einer messbaren Eigenschaft europäischer Infrastruktur wird.