CIO-Cockpit · Transparenz
Wie die Kennzahlen berechnet werden
Das Cockpit verdichtet öffentliche Datenquellen zu operativen Signalen für IT-Entscheider. Jede Kennzahl ist nachvollziehbar: Quelle, Fenster, Formel und Interpretation werden offengelegt.
44
/100
Composite Indicator
CIO Score
Der CIO Score ist ein Lageindikator für externe Steuerungsbelastung der IT-Führung, kein Reifegrad- oder Performance-Benchmark. Er ist der gleichgewichtete Mittelwert der acht Ressort-KPIs; Gleichgewichtung ist eine deklarierte, konservative Setzung ohne unternehmensspezifische Risikopräferenz.
angespannt
Berechnet: 25.06.2026, 21:51 MESZ · Datenstand: 25.06.2026
80-100 robust
60-79 stabil
40-59 angespannt
0-39 kritisch
Berechnung des CIO Score
CIO Score = arithmetischer Mittelwert aus KI-Strategie, Cybersecurity, Cloud & FinOps, IT-Governance, Daten & Analytics, Compliance, IT-Leadership und IT-Beschaffung (verfügbare Ressorts, gleichgewichtet).
Methodik-Version 2.0.0: Normalisierung und additive Aggregation folgen dem Vorgehen für Composite Indicators (OECD/JRC). Trendkomponenten sind symmetrisch normalisiert (keine Veränderung = 50), Mehrfachverwendung von Komponenten wird über offengelegte effektive Gewichte transparent gemacht, fehlende Daten werden ausgeschlossen statt neutral gewertet.
Automatische Aktualisierung: einmal pro Woche. Nächster geplanter Lauf: 02.07.2026, 21:51 MESZ. Die Interpretation wird im selben Lauf nach Datenabruf, Normalisierung und Score-Berechnung neu erzeugt.
- KI-Strategie: 40/100
- Cybersecurity: 42/100
- Cloud & FinOps: 60/100
- IT-Governance: 41/100
- Daten & Analytics: 53/100
- Compliance: 21/100
- IT-Leadership: 40/100
- IT-Beschaffung: 58/100
Aktualisierungsprotokoll
KPI-Berechnung, Quellenabruf und Interpretation
KPI
Zeitstempel
Quellenabruf
Datenstand: 25.06.2026
KPI berechnet: 25.06.2026, 21:51 MESZ
Interpretation: 25.06.2026, 21:51 MESZ
Datenstand: 25.06.2026
KPI berechnet: 25.06.2026, 21:51 MESZ
Interpretation: 25.06.2026, 21:51 MESZ
Datenstand: 25.06.2026
KPI berechnet: 25.06.2026, 21:51 MESZ
Interpretation: 25.06.2026, 21:51 MESZ
Datenstand: 25.06.2026
KPI berechnet: 25.06.2026, 21:51 MESZ
Interpretation: 25.06.2026, 21:51 MESZ
Datenstand: 25.06.2026
KPI berechnet: 25.06.2026, 21:51 MESZ
Interpretation: 25.06.2026, 21:51 MESZ
Datenstand: 25.06.2026
KPI berechnet: 25.06.2026, 21:51 MESZ
Interpretation: 25.06.2026, 21:51 MESZ
Datenstand: 25.06.2026
KPI berechnet: 25.06.2026, 21:51 MESZ
Interpretation: 25.06.2026, 21:51 MESZ
Datenstand: 25.06.2026
KPI berechnet: 25.06.2026, 21:51 MESZ
Interpretation: 25.06.2026, 21:51 MESZ
Ressort-KPIs
Ein verständlicher Score pro Ressort
KI-Strategie
40/100
KI-Readiness
Wie viel belastbarer Vorlauf für KI-Governance und AI-Act-Vorbereitung bleibt und wie stabil das Kosten- und OSS-Umfeld für KI-Plattformen ist.
- Formel
- KI-Readiness = gewichteter Mittelwert der normalisierten Komponenten (50 % AI-Act-Runway, 25 % USD-Kostendruck, 25 % OSS-Advisory-Trend); fehlende Komponenten werden mit renormalisierten Gewichten ausgeschlossen.
- Nutzung
- Für KI-Roadmaps, Systeminventar, Use-Case-Priorisierung und Governance-Eskalationen nutzen.
- Implikation
- Ein niedriger Wert bedeutet: KI-Initiativen brauchen mehr Governance-Fokus, bevor neue Use Cases skaliert werden.
Komponenten
AI-Act-Runway
10/100 · Gewicht 50 %
- Messwert
- 38 Tage · AI-Act-Fenster
- Benchmark
- Regulatorik-Normalisierung: 365+ Tage Vorlauf bis zum nächsten Anwendungsmeilenstein = 100; Fälligkeitstag = 0; linear dazwischen. Begründung: Implementierungsprogramme benötigen erfahrungsgemäß mindestens ein Jahr Vorlauf.
- Normalisierung
- Je weniger Kalendertage bis zum nächsten gepflegten AI-Act-Meilenstein bleiben, desto niedriger der Score. Zwischen Rechtsänderungen ist die Komponente ein deterministischer Countdown.
- Quelle
-
Verordnung (EU) 2024/1689 (AI Act), Anwendungsfristen Art. 113
- Formel
- Kalendertage zwischen Stichtag der KPI-Erhebung und dem nächsten Meilenstein des redaktionell gepflegten Anwendungsfristen-Plans (Art. 113 AI Act inkl. Omnibus-Änderungen).
USD-Kostendruck
38/100 · Gewicht 25 %
- Messwert
- +1,2 % · Cloud-USD-Faktor
- Benchmark
- FinOps-Normalisierung: 30-Tage-Mittel der USD-Kosten in EUR gegenüber der Vorperiode; ±5 %-Band, keine Veränderung = 50.
- Normalisierung
- USD-Verteuerung senkt den Score unter 50, USD-Vergünstigung hebt ihn symmetrisch darüber.
- Quelle
-
EZB Euro Foreign Exchange Reference Rates
- Formel
- USD-Kosten in EUR = 1 / EUR-USD-Referenzkurs. KPI = Mittel der letzten 30 Beobachtungen / Mittel der 30 Beobachtungen davor - 1.
OSS-Advisory-Trend
100/100 · Gewicht 25 %
- Messwert
- 126 GHSA critical · OSS-Patchdruck
- Benchmark
- GitHub-Benchmark: reviewed Global Security Advisories mit severity=critical; symmetrische Trendnormalisierung mit ±20 %-Band, keine Veränderung = 50.
- Normalisierung
- Mehr kritische Open-Source-Advisories gegenüber der Vorperiode senken den Score unter 50, weniger heben ihn darüber.
- Quelle
-
GitHub Global Security Advisories API
- Formel
- GitHub Global Advisories API: type=reviewed, severity=critical, published im 30-Tage-Fenster; paginiert gezählt.
Cybersecurity
42/100
Cyber-Resilienz
Verdichtet Exploitdruck, EPSS-Wahrscheinlichkeitslage, kritische CVE-Last und den Ransomware-Anteil der aktiven Exploit-Welle.
- Formel
- Cyber-Resilienz = gewichteter Mittelwert der normalisierten Komponenten (30 % KEV-Trend, 30 % EPSS-Hochrisiko-Trend, 20 % CVSS-Critical-Trend, 20 % KEV-Ransomware-Anteil); fehlende Komponenten werden mit renormalisierten Gewichten ausgeschlossen.
- Nutzung
- Als Priorisierungssignal für Security-Operations, Patch-Fenster und Board-Risikoberichte einsetzen.
- Implikation
- Ein niedriger Wert spricht für erhöhte Triage-Last und stärkeren Fokus auf aktiv ausgenutzte Schwachstellen.
Komponenten
KEV-Trend
0/100 · Gewicht 30 %
- Messwert
- 27 neue KEV · Aktive Exploitlast
- Benchmark
- Symmetrische Trendnormalisierung: keine Veränderung = 50 Punkte; -20 % oder besser = 100; +20 % oder schlechter = 0.
- Normalisierung
- Je stärker die Zahl aktiv ausgenutzter Schwachstellen gegenüber der Vorperiode steigt, desto niedriger der Score; Rückgänge erhöhen ihn spiegelbildlich.
- Quelle
-
CISA Known Exploited Vulnerabilities Catalog
- Formel
- Anzahl der Einträge im CISA-KEV-Katalog mit dateAdded innerhalb der letzten 30 Tage; Vergleich mit dem vorhergehenden 30-Tage-Fenster.
EPSS-Hochrisiko-Trend
43/100 · Gewicht 30 %
- Messwert
- 2.438 CVEs >70 % · EPSS-Hochrisiko
- Benchmark
- EPSS-Benchmark: Wahrscheinlichkeit von Ausnutzungsaktivität in den nächsten 30 Tagen; >70 % ist ein deklarierter redaktioneller Hochrisiko-Schnitt. Symmetrisches ±5 %-Band je 7 Tage.
- Normalisierung
- Score = 50 - (7-Tage-Veränderung / 5 %) x 50, begrenzt auf 0-100. Sprünge über 25 % gelten als Modellwechsel und werden ausgeschlossen.
- Quelle
-
FIRST EPSS API
- Formel
- FIRST EPSS API: Anzahl aller CVE mit epss > 0,7; Vergleich mit dem Stand sieben Tage zuvor (date-Parameter).
CVSS-Critical-Trend
80/100 · Gewicht 20 %
- Messwert
- 140 kritische CVEs · Kritische CVEs
- Benchmark
- NVD/CVSS-Benchmark: Critical entspricht CVSS v3.x 9.0-10.0; symmetrische Trendnormalisierung mit ±20 %-Band, keine Veränderung = 50.
- Normalisierung
- Sinkt die Zahl neuer Critical-CVEs, steigt der Score über 50; steigt sie, fällt er unter 50.
- Quelle
-
NVD CVE API 2.0
- Formel
- NVD CVE API: pubStartDate/pubEndDate der letzten 30 Tage, Filter cvssV3Severity=CRITICAL, Wert totalResults.
KEV-Ransomware-Anteil
63/100 · Gewicht 20 %
- Messwert
- 14,8 % der neuen KEV · KEV-Ransomware-Anteil
- Benchmark
- Selbstkalibrierende Normalisierung gegen den Gesamtkatalog: Anteil = Langfrist-Basis ergibt 50 Punkte; 0 % = 100; doppelte Basis oder mehr = 0.
- Normalisierung
- Score = 100 - 50 x (aktueller Ransomware-Anteil / langfristiger Kataloganteil), begrenzt auf 0-100. Unter 5 neuen Einträgen wird kein Score gebildet.
- Quelle
-
CISA Known Exploited Vulnerabilities Catalog
- Formel
- Anteil = KEV-Einträge mit knownRansomwareCampaignUse = "Known" im 30-Tage-Fenster / alle neuen KEV-Einträge im Fenster. Vergleichsbasis ist der Anteil im Gesamtkatalog.
Cloud & FinOps
60/100
Cloud-Stabilität
Misst, ob USD-basierte Cloud-Kosten und Open-Source-Patchdruck die Plattformagenda belasten.
- Formel
- Cloud-Stabilität = gewichteter Mittelwert der normalisierten Komponenten (65 % USD-Kostendruck, 35 % OSS-Advisory-Trend); fehlende Komponenten werden mit renormalisierten Gewichten ausgeschlossen.
- Nutzung
- Für Budget-Forecasts, Cloud-Vertragsgespräche und FinOps-Steuerung nutzen.
- Implikation
- Ein niedriger Wert bedeutet, dass Kosten- oder Lieferkettenvolatilität stärker in Architekturentscheidungen einfließen sollte.
Komponenten
USD-Kostendruck
38/100 · Gewicht 65 %
- Messwert
- +1,2 % · Cloud-USD-Faktor
- Benchmark
- FinOps-Normalisierung: 30-Tage-Mittel der USD-Kosten in EUR gegenüber der Vorperiode; ±5 %-Band, keine Veränderung = 50.
- Normalisierung
- USD-Verteuerung senkt den Score unter 50, USD-Vergünstigung hebt ihn symmetrisch darüber.
- Quelle
-
EZB Euro Foreign Exchange Reference Rates
- Formel
- USD-Kosten in EUR = 1 / EUR-USD-Referenzkurs. KPI = Mittel der letzten 30 Beobachtungen / Mittel der 30 Beobachtungen davor - 1.
OSS-Advisory-Trend
100/100 · Gewicht 35 %
- Messwert
- 126 GHSA critical · OSS-Patchdruck
- Benchmark
- GitHub-Benchmark: reviewed Global Security Advisories mit severity=critical; symmetrische Trendnormalisierung mit ±20 %-Band, keine Veränderung = 50.
- Normalisierung
- Mehr kritische Open-Source-Advisories gegenüber der Vorperiode senken den Score unter 50, weniger heben ihn darüber.
- Quelle
-
GitHub Global Security Advisories API
- Formel
- GitHub Global Advisories API: type=reviewed, severity=critical, published im 30-Tage-Fenster; paginiert gezählt.
IT-Governance
41/100
Governance-Wirksamkeit
Bündelt die Steuerungslast aus aktiver Ausnutzung, Ransomware-Exposition, OSS-Lieferkette und regulatorischem Umsetzungsdruck.
- Formel
- Governance-Wirksamkeit = gewichteter Mittelwert der normalisierten Komponenten (30 % KEV-Ransomware-Anteil, 30 % KEV-Trend, 20 % AI-Act-Runway, 20 % OSS-Advisory-Trend); fehlende Komponenten werden mit renormalisierten Gewichten ausgeschlossen.
- Nutzung
- Für Governance-Reviews, Risikokomitees und SLA-Diskussionen verwenden.
- Implikation
- Ein niedriger Wert zeigt, dass Entscheidungsrechte, Eskalationen oder Asset-Transparenz überprüft werden sollten.
Komponenten
KEV-Ransomware-Anteil
63/100 · Gewicht 30 %
- Messwert
- 14,8 % der neuen KEV · KEV-Ransomware-Anteil
- Benchmark
- Selbstkalibrierende Normalisierung gegen den Gesamtkatalog: Anteil = Langfrist-Basis ergibt 50 Punkte; 0 % = 100; doppelte Basis oder mehr = 0.
- Normalisierung
- Score = 100 - 50 x (aktueller Ransomware-Anteil / langfristiger Kataloganteil), begrenzt auf 0-100. Unter 5 neuen Einträgen wird kein Score gebildet.
- Quelle
-
CISA Known Exploited Vulnerabilities Catalog
- Formel
- Anteil = KEV-Einträge mit knownRansomwareCampaignUse = "Known" im 30-Tage-Fenster / alle neuen KEV-Einträge im Fenster. Vergleichsbasis ist der Anteil im Gesamtkatalog.
KEV-Trend
0/100 · Gewicht 30 %
- Messwert
- 27 neue KEV · Aktive Exploitlast
- Benchmark
- Symmetrische Trendnormalisierung: keine Veränderung = 50 Punkte; -20 % oder besser = 100; +20 % oder schlechter = 0.
- Normalisierung
- Je stärker die Zahl aktiv ausgenutzter Schwachstellen gegenüber der Vorperiode steigt, desto niedriger der Score; Rückgänge erhöhen ihn spiegelbildlich.
- Quelle
-
CISA Known Exploited Vulnerabilities Catalog
- Formel
- Anzahl der Einträge im CISA-KEV-Katalog mit dateAdded innerhalb der letzten 30 Tage; Vergleich mit dem vorhergehenden 30-Tage-Fenster.
AI-Act-Runway
10/100 · Gewicht 20 %
- Messwert
- 38 Tage · AI-Act-Fenster
- Benchmark
- Regulatorik-Normalisierung: 365+ Tage Vorlauf bis zum nächsten Anwendungsmeilenstein = 100; Fälligkeitstag = 0; linear dazwischen. Begründung: Implementierungsprogramme benötigen erfahrungsgemäß mindestens ein Jahr Vorlauf.
- Normalisierung
- Je weniger Kalendertage bis zum nächsten gepflegten AI-Act-Meilenstein bleiben, desto niedriger der Score. Zwischen Rechtsänderungen ist die Komponente ein deterministischer Countdown.
- Quelle
-
Verordnung (EU) 2024/1689 (AI Act), Anwendungsfristen Art. 113
- Formel
- Kalendertage zwischen Stichtag der KPI-Erhebung und dem nächsten Meilenstein des redaktionell gepflegten Anwendungsfristen-Plans (Art. 113 AI Act inkl. Omnibus-Änderungen).
OSS-Advisory-Trend
100/100 · Gewicht 20 %
- Messwert
- 126 GHSA critical · OSS-Patchdruck
- Benchmark
- GitHub-Benchmark: reviewed Global Security Advisories mit severity=critical; symmetrische Trendnormalisierung mit ±20 %-Band, keine Veränderung = 50.
- Normalisierung
- Mehr kritische Open-Source-Advisories gegenüber der Vorperiode senken den Score unter 50, weniger heben ihn darüber.
- Quelle
-
GitHub Global Security Advisories API
- Formel
- GitHub Global Advisories API: type=reviewed, severity=critical, published im 30-Tage-Fenster; paginiert gezählt.
Daten & Analytics
53/100
Daten-Governance-Readiness
Bewertet das Umfeld für datengetriebene KI- und Analytics-Governance aus Regulatorik, OSS-Risiko und Plattformkosten.
- Formel
- Daten-Governance-Readiness = gewichteter Mittelwert der normalisierten Komponenten (40 % OSS-Advisory-Trend, 35 % AI-Act-Runway, 25 % USD-Kostendruck); fehlende Komponenten werden mit renormalisierten Gewichten ausgeschlossen.
- Nutzung
- Für Data-Governance-Roadmaps, Datenprodukt-Priorisierung und AI-Readiness-Programme nutzen.
- Implikation
- Ein niedriger Wert bedeutet, dass Datenkataloge, Verantwortlichkeiten und Nachweise zeitnah belastbar werden müssen.
Komponenten
OSS-Advisory-Trend
100/100 · Gewicht 40 %
- Messwert
- 126 GHSA critical · OSS-Patchdruck
- Benchmark
- GitHub-Benchmark: reviewed Global Security Advisories mit severity=critical; symmetrische Trendnormalisierung mit ±20 %-Band, keine Veränderung = 50.
- Normalisierung
- Mehr kritische Open-Source-Advisories gegenüber der Vorperiode senken den Score unter 50, weniger heben ihn darüber.
- Quelle
-
GitHub Global Security Advisories API
- Formel
- GitHub Global Advisories API: type=reviewed, severity=critical, published im 30-Tage-Fenster; paginiert gezählt.
AI-Act-Runway
10/100 · Gewicht 35 %
- Messwert
- 38 Tage · AI-Act-Fenster
- Benchmark
- Regulatorik-Normalisierung: 365+ Tage Vorlauf bis zum nächsten Anwendungsmeilenstein = 100; Fälligkeitstag = 0; linear dazwischen. Begründung: Implementierungsprogramme benötigen erfahrungsgemäß mindestens ein Jahr Vorlauf.
- Normalisierung
- Je weniger Kalendertage bis zum nächsten gepflegten AI-Act-Meilenstein bleiben, desto niedriger der Score. Zwischen Rechtsänderungen ist die Komponente ein deterministischer Countdown.
- Quelle
-
Verordnung (EU) 2024/1689 (AI Act), Anwendungsfristen Art. 113
- Formel
- Kalendertage zwischen Stichtag der KPI-Erhebung und dem nächsten Meilenstein des redaktionell gepflegten Anwendungsfristen-Plans (Art. 113 AI Act inkl. Omnibus-Änderungen).
USD-Kostendruck
38/100 · Gewicht 25 %
- Messwert
- +1,2 % · Cloud-USD-Faktor
- Benchmark
- FinOps-Normalisierung: 30-Tage-Mittel der USD-Kosten in EUR gegenüber der Vorperiode; ±5 %-Band, keine Veränderung = 50.
- Normalisierung
- USD-Verteuerung senkt den Score unter 50, USD-Vergünstigung hebt ihn symmetrisch darüber.
- Quelle
-
EZB Euro Foreign Exchange Reference Rates
- Formel
- USD-Kosten in EUR = 1 / EUR-USD-Referenzkurs. KPI = Mittel der letzten 30 Beobachtungen / Mittel der 30 Beobachtungen davor - 1.
Compliance
21/100
Regulatorik-Runway
Misst Fristendruck aus dem AI Act sowie melde- und berichtsrelevante Sicherheitslage (aktive Ausnutzung, Ransomware) als Compliance-Signale.
- Formel
- Regulatorik-Runway = gewichteter Mittelwert der normalisierten Komponenten (50 % AI-Act-Runway, 25 % KEV-Ransomware-Anteil, 25 % KEV-Trend); fehlende Komponenten werden mit renormalisierten Gewichten ausgeschlossen.
- Nutzung
- Für Compliance-Backlogs, Nachweispflichten und Verantwortlichkeitsklärung verwenden.
- Implikation
- Ein niedriger Wert erhöht das Risiko später Nachdokumentation und unklarer Kontrolleigner.
Komponenten
AI-Act-Runway
10/100 · Gewicht 50 %
- Messwert
- 38 Tage · AI-Act-Fenster
- Benchmark
- Regulatorik-Normalisierung: 365+ Tage Vorlauf bis zum nächsten Anwendungsmeilenstein = 100; Fälligkeitstag = 0; linear dazwischen. Begründung: Implementierungsprogramme benötigen erfahrungsgemäß mindestens ein Jahr Vorlauf.
- Normalisierung
- Je weniger Kalendertage bis zum nächsten gepflegten AI-Act-Meilenstein bleiben, desto niedriger der Score. Zwischen Rechtsänderungen ist die Komponente ein deterministischer Countdown.
- Quelle
-
Verordnung (EU) 2024/1689 (AI Act), Anwendungsfristen Art. 113
- Formel
- Kalendertage zwischen Stichtag der KPI-Erhebung und dem nächsten Meilenstein des redaktionell gepflegten Anwendungsfristen-Plans (Art. 113 AI Act inkl. Omnibus-Änderungen).
KEV-Ransomware-Anteil
63/100 · Gewicht 25 %
- Messwert
- 14,8 % der neuen KEV · KEV-Ransomware-Anteil
- Benchmark
- Selbstkalibrierende Normalisierung gegen den Gesamtkatalog: Anteil = Langfrist-Basis ergibt 50 Punkte; 0 % = 100; doppelte Basis oder mehr = 0.
- Normalisierung
- Score = 100 - 50 x (aktueller Ransomware-Anteil / langfristiger Kataloganteil), begrenzt auf 0-100. Unter 5 neuen Einträgen wird kein Score gebildet.
- Quelle
-
CISA Known Exploited Vulnerabilities Catalog
- Formel
- Anteil = KEV-Einträge mit knownRansomwareCampaignUse = "Known" im 30-Tage-Fenster / alle neuen KEV-Einträge im Fenster. Vergleichsbasis ist der Anteil im Gesamtkatalog.
KEV-Trend
0/100 · Gewicht 25 %
- Messwert
- 27 neue KEV · Aktive Exploitlast
- Benchmark
- Symmetrische Trendnormalisierung: keine Veränderung = 50 Punkte; -20 % oder besser = 100; +20 % oder schlechter = 0.
- Normalisierung
- Je stärker die Zahl aktiv ausgenutzter Schwachstellen gegenüber der Vorperiode steigt, desto niedriger der Score; Rückgänge erhöhen ihn spiegelbildlich.
- Quelle
-
CISA Known Exploited Vulnerabilities Catalog
- Formel
- Anzahl der Einträge im CISA-KEV-Katalog mit dateAdded innerhalb der letzten 30 Tage; Vergleich mit dem vorhergehenden 30-Tage-Fenster.
IT-Leadership
40/100
Führungskapazität
Kombiniert Arbeitsmarktumfeld, Security-Last und Regulierungsfenster zu einem Führungskapazitäts-Signal.
- Formel
- Führungskapazität = gewichteter Mittelwert der normalisierten Komponenten (55 % Arbeitsmarkt-Entlastung, 35 % Security-Führungsdruck, 10 % AI-Act-Runway); fehlende Komponenten werden mit renormalisierten Gewichten ausgeschlossen.
- Nutzung
- Für Kapazitätsplanung, Hiring-Prioritäten und Eskalationen gegenüber Geschäftsführung nutzen.
- Implikation
- Ein niedriger Wert spricht für hohe Führungsbelastung und die Notwendigkeit, Prioritäten explizit zu schneiden.
Komponenten
Arbeitsmarkt-Entlastung
45/100 · Gewicht 55 %
- Messwert
- +1 % ggü. Vorjahr · Arbeitsstellenmarkt
- Benchmark
- Arbeitsmarkt-Normalisierung: -10 % gemeldete Stellen ggü. Vorjahr = 100; +10 % = 0; 0 % = 50 (symmetrisch).
- Normalisierung
- Ein sinkender Gesamtstellenmarkt wird als Entlastung für Recruitingdruck gewertet; der KPI ist nicht IT-spezifisch und als Kontextsignal deklariert.
- Quelle
-
Eckwerte gemeldete Arbeitsstellen
- Formel
- Bundesagentur-API: aktueller Bestand gemeldeter Arbeitsstellen für Deutschland; Delta = Veränderung zum Vorjahresmonat in Prozent.
Security-Führungsdruck
41/100 · Gewicht 35 %
- Messwert
- Mittel aus KEV-, Critical-CVE- und EPSS-Trend · Aktive Exploitlast
- Benchmark
- Gleichgewichteter Mittelwert der verfügbaren normalisierten Security-Trendkomponenten.
- Normalisierung
- Verdichtet externe Security-Last als Führungskapazitätsfaktor; fehlende Teilkomponenten werden ausgeschlossen.
- Quelle
-
CISA Known Exploited Vulnerabilities Catalog
- Formel
- Anzahl der Einträge im CISA-KEV-Katalog mit dateAdded innerhalb der letzten 30 Tage; Vergleich mit dem vorhergehenden 30-Tage-Fenster.
AI-Act-Runway
10/100 · Gewicht 10 %
- Messwert
- 38 Tage · AI-Act-Fenster
- Benchmark
- Regulatorik-Normalisierung: 365+ Tage Vorlauf bis zum nächsten Anwendungsmeilenstein = 100; Fälligkeitstag = 0; linear dazwischen. Begründung: Implementierungsprogramme benötigen erfahrungsgemäß mindestens ein Jahr Vorlauf.
- Normalisierung
- Je weniger Kalendertage bis zum nächsten gepflegten AI-Act-Meilenstein bleiben, desto niedriger der Score. Zwischen Rechtsänderungen ist die Komponente ein deterministischer Countdown.
- Quelle
-
Verordnung (EU) 2024/1689 (AI Act), Anwendungsfristen Art. 113
- Formel
- Kalendertage zwischen Stichtag der KPI-Erhebung und dem nächsten Meilenstein des redaktionell gepflegten Anwendungsfristen-Plans (Art. 113 AI Act inkl. Omnibus-Änderungen).
IT-Beschaffung
58/100
Beschaffungs-Stabilität
Bewertet Kosten- und Lieferkettenstabilität für Technologieentscheidungen mit externer Abhängigkeit.
- Formel
- Beschaffungs-Stabilität = gewichteter Mittelwert der normalisierten Komponenten (45 % USD-Kostendruck, 30 % OSS-Advisory-Trend, 25 % Arbeitsmarkt-Entlastung); fehlende Komponenten werden mit renormalisierten Gewichten ausgeschlossen.
- Nutzung
- Für Vendor-Auswahl, Vertragsreviews, Preisgleitklauseln und Exit-Planung nutzen.
- Implikation
- Ein niedriger Wert bedeutet, dass Währungs-, OSS- und Lieferantenrisiken stärker in TCO-Entscheidungen gehören.
Komponenten
USD-Kostendruck
38/100 · Gewicht 45 %
- Messwert
- +1,2 % · Cloud-USD-Faktor
- Benchmark
- FinOps-Normalisierung: 30-Tage-Mittel der USD-Kosten in EUR gegenüber der Vorperiode; ±5 %-Band, keine Veränderung = 50.
- Normalisierung
- USD-Verteuerung senkt den Score unter 50, USD-Vergünstigung hebt ihn symmetrisch darüber.
- Quelle
-
EZB Euro Foreign Exchange Reference Rates
- Formel
- USD-Kosten in EUR = 1 / EUR-USD-Referenzkurs. KPI = Mittel der letzten 30 Beobachtungen / Mittel der 30 Beobachtungen davor - 1.
OSS-Advisory-Trend
100/100 · Gewicht 30 %
- Messwert
- 126 GHSA critical · OSS-Patchdruck
- Benchmark
- GitHub-Benchmark: reviewed Global Security Advisories mit severity=critical; symmetrische Trendnormalisierung mit ±20 %-Band, keine Veränderung = 50.
- Normalisierung
- Mehr kritische Open-Source-Advisories gegenüber der Vorperiode senken den Score unter 50, weniger heben ihn darüber.
- Quelle
-
GitHub Global Security Advisories API
- Formel
- GitHub Global Advisories API: type=reviewed, severity=critical, published im 30-Tage-Fenster; paginiert gezählt.
Arbeitsmarkt-Entlastung
45/100 · Gewicht 25 %
- Messwert
- +1 % ggü. Vorjahr · Arbeitsstellenmarkt
- Benchmark
- Arbeitsmarkt-Normalisierung: -10 % gemeldete Stellen ggü. Vorjahr = 100; +10 % = 0; 0 % = 50 (symmetrisch).
- Normalisierung
- Ein sinkender Gesamtstellenmarkt wird als Entlastung für Recruitingdruck gewertet; der KPI ist nicht IT-spezifisch und als Kontextsignal deklariert.
- Quelle
-
Eckwerte gemeldete Arbeitsstellen
- Formel
- Bundesagentur-API: aktueller Bestand gemeldeter Arbeitsstellen für Deutschland; Delta = Veränderung zum Vorjahresmonat in Prozent.
Benchmark-Logik
Standards und Normalisierung
OECD / EC-JRC (2008): Handbook on Constructing Composite Indicators - Methodology and User Guide
Rahmen für Normalisierung auf eine gemeinsame Skala, transparente Gewichtung und additive Aggregation.
Greco, Ishizaka, Tasiou, Torrisi (2019): On the Methodological Framework of Composite Indices. Social Indicators Research 141, 61-94
Begründet die Offenlegung effektiver Gewichte und die Einordnung der Gleichgewichtung als normative, nicht empirische Setzung.
CISA Binding Operational Directive 22-01 / KEV Catalog
KEV-Einträge belegen aktive Ausnutzung. Die Due Dates binden US-Bundesbehörden (FCEB) und dienen hier nur als externes Referenzsignal, nicht als Disziplin-Messung.
FIRST CVSS v3.1 Specification: Qualitative Severity Rating Scale (Critical = 9.0-10.0)
Critical-CVE-Volumen basiert auf der CVSS-v3-Schweregradskala, wie sie die NVD anwendet.
FIRST EPSS: Wahrscheinlichkeit von Ausnutzungsaktivität in den nächsten 30 Tagen, täglich aktualisiert
EPSS wird als 30-Tage-Ausnutzungswahrscheinlichkeit interpretiert; die 70-Prozent-Schwelle ist ein deklarierter redaktioneller Hochrisiko-Schnitt; Modellwechsel werden per Guard abgefangen.
Verordnung (EU) 2024/1689, Art. 113 (Geltungsbeginn) inkl. Digital-Omnibus-Änderungen (vorläufige Einigung 07.05.2026)
Kalendertage bis zum nächsten Anwendungsmeilenstein werden als regulatorischer Runway verwendet; der Meilensteinplan wird redaktionell gepflegt.
EZB Euro Foreign Exchange Reference Rates (Referenzkurse, ca. 16:00 MEZ)
Referenzkurse zu Informationszwecken als Basis des USD-Kostendrucks; keine Transaktionskurse.
Messwerte
Berechnung, Quelle, Nutzung und Implikation
Cybersecurity
27
Aktive Exploitlast
Neue CISA-KEV-Einträge seit 26.05.2026; letzter Katalogeintrag vom 25.06.2026. KEV listet ausschließlich Schwachstellen mit belegter aktiver Ausnutzung.
- Signal
- +8 ggü. Vorperiode
- Datenstand
- 25.06.2026
- KPI berechnet
- 25.06.2026, 21:51 MESZ
- Interpretation
- 25.06.2026, 21:51 MESZ
- Formel
- Anzahl der Einträge im CISA-KEV-Katalog mit dateAdded innerhalb der letzten 30 Tage; Vergleich mit dem vorhergehenden 30-Tage-Fenster.
Berechnung
- Aktuelles Fenster: 26.05.2026 bis 25.06.2026 = 27 Einträge
- Vorperiode: 19 Einträge
- Delta: +8
- Median des CISA-Remediation-Fensters (dueDate - dateAdded): 3 Tage
Nutzung
- Als wöchentliches Priorisierungssignal für Patch-, Exposure-Management- und Security-Operations-Reviews nutzen.
- Mit eigener Asset-Inventur abgleichen: relevant sind vor allem Einträge, deren Hersteller oder Produkte im Unternehmen vorkommen.
Implikationen
- Ein steigender Wert bedeutet mehr real beobachtete Ausnutzung und erhöhten Druck auf das Schwachstellenmanagement.
- Die Zugangsrate hängt auch von CISA-Analysekapazität und Publikationsrhythmus ab; einzelne Wochen können Batch-Effekte enthalten.
Quellen
Rohdaten
- currentCount: 27
- previousCount: 19
- delta: 8
- latestDate: 2026-06-25
- remediationMedianDays: 3
Vulnerability Management
14,8 %
KEV-Ransomware-Anteil
Anteil der neuen KEV-Einträge der letzten 30 Tage, die laut CISA in bekannten Ransomware-Kampagnen verwendet werden (Feld knownRansomwareCampaignUse).
- Signal
- Langfrist-Basis 20,1 %
- Datenstand
- 25.06.2026
- KPI berechnet
- 25.06.2026, 21:51 MESZ
- Interpretation
- 25.06.2026, 21:51 MESZ
- Formel
- Anteil = KEV-Einträge mit knownRansomwareCampaignUse = "Known" im 30-Tage-Fenster / alle neuen KEV-Einträge im Fenster. Vergleichsbasis ist der Anteil im Gesamtkatalog.
Berechnung
- Neue KEV-Einträge im Fenster: 27
- Davon mit bekannter Ransomware-Nutzung: 4 (14,8 %)
- Langfristiger Kataloganteil: 327 von 1.629 (20,1 %)
Nutzung
- Als Schweregrad-Signal lesen: Ransomware-genutzte Schwachstellen haben unmittelbares Erpressungs- und Ausfallpotenzial.
- Bei erhöhtem Anteil Backup-Restorefähigkeit, Segmentierung und Notfallübungen prüfen.
Implikationen
- Liegt der Anteil über der langfristigen Katalogbasis, ist die aktuelle Exploit-Welle überdurchschnittlich ransomware-getrieben.
- Bei kleinen Fallzahlen (unter 5 neuen Einträgen) wird kein Score gebildet, weil der Anteil statistisch nicht belastbar ist.
Quellen
Rohdaten
- currentCount: 27
- currentRansomwareCount: 4
- currentShare: 0.14814814814814814
- catalogRansomwareCount: 327
- catalogTotal: 1629
- catalogShare: 0.2007366482504604
Security Engineering
140
Kritische CVEs
Neu veröffentlichte NVD-CVEs mit CVSS-v3-Schweregrad CRITICAL (9.0-10.0) im 30-Tage-Fenster.
- Signal
- -19 ggü. Vorperiode
- Datenstand
- 25.06.2026
- KPI berechnet
- 25.06.2026, 21:51 MESZ
- Interpretation
- 25.06.2026, 21:51 MESZ
- Formel
- NVD CVE API: pubStartDate/pubEndDate der letzten 30 Tage, Filter cvssV3Severity=CRITICAL, Wert totalResults.
Berechnung
- Aktuelles Fenster: 26.05.2026 bis 25.06.2026 = 140
- Vorperiode: 159
- Delta: -19
Nutzung
- Als Volumensignal für Vulnerability-Management-Backlog, Scanner-Regeln und Lieferantenkommunikation nutzen.
- Mit EPSS, KEV und eigener Exposition kombinieren; CVSS kritisch allein reicht nicht für Priorisierung.
Implikationen
- Ein hoher Wert erhöht den Triage-Aufwand und kann Patch-Fenster, Testkapazität und Release-Planung belasten.
- Methodischer Hinweis: Die Zählung erfasst nur CVEs mit vorhandener CVSS-v3-Bewertung; NVD-Anreicherungsrückstände und Nachbewertungen können Fenster rückwirkend verändern.
Quellen
Rohdaten
- currentCount: 140
- previousCount: 159
- delta: -19
Threat Prioritization
2.438
EPSS-Hochrisiko
CVE mit mehr als 70 % Wahrscheinlichkeit von Ausnutzungsaktivität in den nächsten 30 Tagen laut EPSS am 25.06.2026.
- Signal
- +18 in 7 Tagen
- Datenstand
- 25.06.2026
- KPI berechnet
- 25.06.2026, 21:51 MESZ
- Interpretation
- 25.06.2026, 21:51 MESZ
- Formel
- FIRST EPSS API: Anzahl aller CVE mit epss > 0,7; Vergleich mit dem Stand sieben Tage zuvor (date-Parameter).
Berechnung
- Stand 25.06.2026: 2.438
- Vergleich 18.06.2026: 2.420
- Delta: +18
Nutzung
- Für risikobasierte Patch-Reihenfolgen einsetzen, besonders wenn mehr kritische und hohe CVEs vorliegen als zeitnah patchbar sind.
- Mit Asset-Kritikalität und Erreichbarkeit verbinden, bevor daraus ein verbindliches Patch-Ticket entsteht.
Implikationen
- Ein steigender Wert zeigt, dass mehr CVEs mit hoher prognostizierter Ausnutzungswahrscheinlichkeit im Umlauf sind.
- Methodischer Hinweis: EPSS-Modellwechsel verschieben alle Scores gleichzeitig; Sprünge über 25 % in 7 Tagen werden deshalb nicht als Lageänderung gewertet.
Quellen
Rohdaten
- currentCount: 2438
- previousCount: 2420
- delta: 18
- scoreDate: 2026-06-25
Software Supply Chain
126
OSS-Patchdruck
GitHub-reviewed Security Advisories mit Schweregrad critical, veröffentlicht in den letzten 30 Tagen.
- Signal
- -64 ggü. Vorperiode
- Datenstand
- 25.06.2026
- KPI berechnet
- 25.06.2026, 21:51 MESZ
- Interpretation
- 25.06.2026, 21:51 MESZ
- Formel
- GitHub Global Advisories API: type=reviewed, severity=critical, published im 30-Tage-Fenster; paginiert gezählt.
Berechnung
- Aktuelles Fenster: 26.05.2026 bis 25.06.2026 = 126
- Vorperiode: 190
- Alle API-Seiten des Fensters wurden gezählt.
Nutzung
- Als Signal für Open-Source-Supply-Chain-Reviews, Dependabot-/SCA-Regeln und kritische Paketökosysteme nutzen.
- Bei erhöhtem Wert prüfen, ob zentrale Repositories aktuelle Lockfiles, SBOMs und automatische Advisory-Alerts haben.
Implikationen
- Mehr kritische Advisories bedeuten mehr Druck auf Dependency-Updates und Freigabetests.
- Der Wert ist ecosystem-übergreifend; relevant wird er erst durch Abgleich mit den im Unternehmen eingesetzten Paketen.
Quellen
Rohdaten
- currentCount: 126
- previousCount: 190
- delta: -64
- truncated: false
Cloud & FinOps
+1,2 %
Cloud-USD-Faktor
Veränderung der durchschnittlichen USD-Kosten in Euro: aktuelles 30-Beobachtungen-Fenster gegenüber dem vorhergehenden Fenster (EZB-Referenzkurse).
- Signal
- EUR/USD 1,1342
- Datenstand
- 25.06.2026
- KPI berechnet
- 25.06.2026, 21:51 MESZ
- Interpretation
- 25.06.2026, 21:51 MESZ
- Formel
- USD-Kosten in EUR = 1 / EUR-USD-Referenzkurs. KPI = Mittel der letzten 30 Beobachtungen / Mittel der 30 Beobachtungen davor - 1.
Berechnung
- EZB-Stichtag: 25.06.2026
- EUR/USD: 1,1342
- Aktuelles Fenster: 30 Beobachtungen, Vorperiode: 30
- Kostenveränderung Periode zu Periode: +1,2 %
Nutzung
- Für Cloud-Budgetgespräche nutzen, wenn relevante Provider- oder SaaS-Kosten in USD fakturiert werden.
- Mit tatsächlichem USD-Anteil der Cloud- und Softwareverträge multiplizieren, um den unternehmensspezifischen Budgeteffekt zu schätzen.
Implikationen
- Ein positiver Wert verteuert USD-basierte Cloud-Ausgaben in Euro gegenüber der Vorperiode; ein negativer Wert entlastet.
- Der KPI erklärt Wechselkurseffekte, nicht Verbrauchsänderungen; FinOps muss beides getrennt ausweisen.
Quellen
Rohdaten
- usdCostChange: 0.012021011671666582
- currentAvgUsdCost: 0.864455421546294
- previousAvgUsdCost: 0.8541872269216799
- latestUsdPerEur: 1.1342
- latestDate: 2026-06-25
IT-Leadership
642.810
Arbeitsstellenmarkt
Gemeldete Arbeitsstellen in Deutschland im Berichtsmonat Mai 2026; gesamtwirtschaftlicher Frühindikator, nicht IT-spezifisch.
- Signal
- +1 % ggü. Vorjahr
- Datenstand
- 25.06.2026
- KPI berechnet
- 25.06.2026, 21:51 MESZ
- Interpretation
- 25.06.2026, 21:51 MESZ
- Formel
- Bundesagentur-API: aktueller Bestand gemeldeter Arbeitsstellen für Deutschland; Delta = Veränderung zum Vorjahresmonat in Prozent.
Berechnung
- Berichtsmonat: Mai 2026
- Bestand: 642.810
- Veränderung zum Vorjahr: +8.340 (+1 %)
Nutzung
- Als gesamtwirtschaftlichen Kontext für Recruiting-, Bindungs- und Sourcing-Planung nutzen.
- Nicht als IT-Fachkräfte-KPI interpretieren; für IT-spezifische Entscheidungen mit internen Time-to-Hire- und Bewerberdaten ergänzen.
Implikationen
- Ein enger Arbeitsmarkt erschwert Besetzung und erhöht den Wert von Retention, Upskilling und externer Delivery-Flexibilität.
- Ein entspannterer Gesamtmarkt kann Verhandlungsspielraum schaffen, löst aber spezifische IT-Skill-Engpässe nicht automatisch.
Quellen
Rohdaten
- stock: 642810
- yoyAbs: 8340
- yoyRel: 0.01
- month: Mai 2026
Compliance
38 Tage
AI-Act-Fenster
Kalendertage bis zum nächsten Anwendungsmeilenstein der Verordnung (EU) 2024/1689: Allgemeine Anwendbarkeit der Verordnung (Art. 113). Meilensteinplan redaktionell gepflegt, Rechtsstand 11.06.2026.
- Signal
- bis 02.08.2026
- Datenstand
- 25.06.2026
- KPI berechnet
- 25.06.2026, 21:51 MESZ
- Interpretation
- 25.06.2026, 21:51 MESZ
- Formel
- Kalendertage zwischen Stichtag der KPI-Erhebung und dem nächsten Meilenstein des redaktionell gepflegten Anwendungsfristen-Plans (Art. 113 AI Act inkl. Omnibus-Änderungen).
Berechnung
- Stichtag: 25.06.2026
- Nächster Meilenstein: 02.08.2026 (Allgemeine Anwendbarkeit der Verordnung (Art. 113))
- Restlaufzeit: 38 Tage
- Hinweis: Die Omnibus-Einigung vom 07.05.2026 verschiebt die Hochrisiko-Pflichten (Anhang III auf 02.12.2027, Anhang I auf 02.08.2028); formale Annahme stand 06/2026 noch aus.
Nutzung
- Als Countdown für AI-Governance-Roadmaps, Systeminventar, Risikoklassifizierung und Dokumentationslücken nutzen.
- In Steering Committees mit konkreten Meilensteinen verbinden: Inventar, Klassifizierung, Owner, Kontrollen, Nachweise.
Implikationen
- Je kürzer das Fenster, desto riskanter werden manuelle Nachdokumentation und unklare Verantwortlichkeiten.
- Der KPI ist zwischen Rechtsänderungen ein deterministischer Countdown; er misst Fristendruck, keine Ereignislage.
Quellen
Rohdaten
- daysRemaining: 38
- deadline: 2026-08-02
- milestoneLabel: Allgemeine Anwendbarkeit der Verordnung (Art. 113)
- provisional: false
- milestonesAsOf: 2026-06-11
Quellenregister
Abruf und Aktualität
laufend
abgerufen
25.06.2026, 21:50 MESZ
laufend
abgerufen
25.06.2026, 21:50 MESZ
täglich
abgerufen
25.06.2026, 21:50 MESZ
laufend
abgerufen
25.06.2026, 21:51 MESZ
börsentäglich
abgerufen
25.06.2026, 21:51 MESZ
monatlich
abgerufen
25.06.2026, 21:51 MESZ
redaktionelle Pflege bei Rechtsänderungen
redaktionell gepflegt
25.06.2026, 21:51 MESZ