CIO-Cockpit · Transparenz

Wie die Kennzahlen berechnet werden

Das Cockpit verdichtet öffentliche Datenquellen zu operativen Signalen für IT-Entscheider. Jede Kennzahl ist nachvollziehbar: Quelle, Fenster, Formel und Interpretation werden offengelegt.

Stand 12.05.2026 8 Kennzahlen 8 Ressort-KPIs 7 Quellen Methodenpapier

53 /100

Composite Indicator

CIO Score

Der CIO Score ist der gleichgewichtete Mittelwert der acht Ressort-KPIs. Gleichgewichtung vermeidet eine scheinpräzise Gewichtung, solange keine unternehmensspezifische Risikopriorisierung vorliegt.

angespannt

80-100 robust 60-79 stabil 40-59 angespannt 0-39 kritisch

Berechnung des CIO Score

CIO Score = arithmetischer Mittelwert aus KI-Strategie, Cybersecurity, Cloud & FinOps, IT-Governance, Daten & Analytics, Compliance, IT-Leadership und IT-Beschaffung.

Normalisierung und additive Aggregation folgen dem Vorgehen für Composite Indicators: Indikatoren werden auf eine gemeinsame Skala transformiert und transparent gewichtet aggregiert.

KI-Strategie: 54/100
Cybersecurity: 44/100
Cloud & FinOps: 89/100
IT-Governance: 15/100
Daten & Analytics: 57/100
Compliance: 35/100
IT-Leadership: 53/100
IT-Beschaffung: 75/100

Ressort-KPIs Ein verständlicher Score pro Ressort

KI-Strategie 54/100

KI-Readiness

Wie viel belastbarer Vorlauf für KI-Governance, AI-Act-Vorbereitung und skalierbare Plattformentscheidungen bleibt.

Formel: KI-Readiness = gewichteter Mittelwert der normalisierten Komponenten (85 % AI-Act-Runway, 15 % USD-Kostenstabilität).
Nutzung: Für KI-Roadmaps, Systeminventar, Use-Case-Priorisierung und Governance-Eskalationen nutzen.
Implikation: Ein niedriger Wert bedeutet: KI-Initiativen brauchen mehr Governance-Fokus, bevor neue Use Cases skaliert werden.

Komponenten

AI-Act-Runway 46/100 · Gewicht 85 %

Messwert: 82 Tage · AI-Act-Fenster
Benchmark: Regulatorik-Normalisierung: 180+ Tage Vorlauf = 100; Fälligkeitstag = 0; lineare Distanz zum AI-Act-Meilenstein.
Normalisierung: Je weniger Kalendertage bis zum offiziellen Meilenstein bleiben, desto niedriger der Score.
Quelle: AI Act Service Desk Timeline
Formel: Kalendertage zwischen Stichtag der KPI-Erhebung und dem offiziellen AI-Act-Meilenstein 02.08.2026.

USD-Kostenstabilität 100/100 · Gewicht 15 %

Messwert: -0,4 % · Cloud-USD-Faktor
Benchmark: FinOps-Normalisierung: 0 % oder günstiger gegenüber dem 30-Beobachtungen-Durchschnitt = 100; +10 % = 0.
Normalisierung: Nur Verteuerung wird bestraft. Ein günstigerer USD-Effekt bleibt bei 100 Punkten gedeckelt.
Quelle: EZB Euro Foreign Exchange Reference Rates
Formel: USD-Kosten in EUR = 1 / EUR-USD-Referenzkurs. KPI = aktueller USD-Kostenwert / Durchschnitt der letzten 30 Beobachtungen - 1.

Cybersecurity 44/100

Cyber-Resilienz

Verdichtet Exploitdruck, kritische CVE-Last, EPSS-Wahrscheinlichkeit und KEV-Fristdruck.

Formel: Cyber-Resilienz = gewichteter Mittelwert der normalisierten Komponenten (35 % KEV-Trend, 25 % CVSS-Critical-Trend, 25 % EPSS-Hochrisiko-Trend, 15 % KEV-Fristdisziplin).
Nutzung: Als Priorisierungssignal für Security-Operations, Patch-Fenster und Board-Risikoberichte einsetzen.
Implikation: Ein niedriger Wert spricht für erhöhte Triage-Last und stärkeren Fokus auf aktiv ausgenutzte Schwachstellen.

Komponenten

KEV-Trend 0/100 · Gewicht 35 %

Messwert: 31 neue KEV · Aktive Exploitlast
Benchmark: Trendnormalisierung: Vorperiode = 70 Punkte; -20 % oder besser = 100; +20 % oder schlechter = 0.
Normalisierung: Je stärker die Zahl aktiv ausgenutzter Schwachstellen gegenüber der Vorperiode steigt, desto niedriger der Score.
Quelle: CISA Known Exploited Vulnerabilities Catalog
Formel: Anzahl der Einträge im CISA-KEV-Katalog mit dateAdded innerhalb der letzten 30 Tage.

CVSS-Critical-Trend 100/100 · Gewicht 25 %

Messwert: 269 kritische CVEs · Kritische CVEs
Benchmark: NVD/CVSS-Benchmark: Critical entspricht CVSS v3.x 9.0-10.0; Trendnormalisierung wie beim KEV-Trend.
Normalisierung: Sinkt die Zahl neuer Critical-CVEs deutlich, steigt der Score; steigt sie deutlich, fällt der Score.
Quelle: NVD CVE API 2.0
Formel: NVD CVE API: pubStartDate/pubEndDate der letzten 30 Tage, Filter cvssV3Severity=CRITICAL, Wert totalResults.

EPSS-Hochrisiko-Trend 69/100 · Gewicht 25 %

Messwert: 4.352 CVEs >70 % · EPSS-Hochrisiko
Benchmark: EPSS-Benchmark: EPSS ist die prognostizierte Exploit-Wahrscheinlichkeit in den nächsten 30 Tagen; >70 % wird als bewusst strenger redaktioneller Hochrisiko-Schnitt ausgewiesen.
Normalisierung: Der Score nutzt den 7-Tage-Trend der CVEs oberhalb dieser Wahrscheinlichkeitsschwelle.
Quelle: FIRST EPSS API
Formel: FIRST EPSS API: Anzahl aller CVE mit epss > 0,7; Vergleich mit dem Stand sieben Tage zuvor.

KEV-Fristdisziplin 10/100 · Gewicht 15 %

Messwert: 28 überfällig · KEV-Patchfenster
Benchmark: CISA-Benchmark: KEV-Einträge haben eine verbindliche dueDate; 0 % überfällig = 100 Punkte, 100 % überfällig = 0 Punkte.
Normalisierung: Score = 100 x (1 - überfällige KEV-Einträge im 30-Tage-Fenster / neue KEV-Einträge im 30-Tage-Fenster).
Quelle: CISA Known Exploited Vulnerabilities Catalog
Formel: Für alle neuen KEV-Einträge der letzten 30 Tage: dueDate minus Stichtag in Tagen; daraus der Median.

Cloud & FinOps 89/100

Cloud-Stabilität

Misst, ob USD-basierte Cloud-Kosten und Open-Source-Patchdruck die Plattformagenda belasten.

Formel: Cloud-Stabilität = gewichteter Mittelwert der normalisierten Komponenten (80 % USD-Kostenstabilität, 20 % OSS-Advisory-Trend).
Nutzung: Für Budget-Forecasts, Cloud-Vertragsgespräche und FinOps-Steuerung nutzen.
Implikation: Ein niedriger Wert bedeutet, dass Kosten- oder Lieferkettenvolatilität stärker in Architekturentscheidungen einfließen sollte.

Komponenten

USD-Kostenstabilität 100/100 · Gewicht 80 %

Messwert: -0,4 % · Cloud-USD-Faktor
Benchmark: FinOps-Normalisierung: 0 % oder günstiger gegenüber dem 30-Beobachtungen-Durchschnitt = 100; +10 % = 0.
Normalisierung: Nur Verteuerung wird bestraft. Ein günstigerer USD-Effekt bleibt bei 100 Punkten gedeckelt.
Quelle: EZB Euro Foreign Exchange Reference Rates
Formel: USD-Kosten in EUR = 1 / EUR-USD-Referenzkurs. KPI = aktueller USD-Kostenwert / Durchschnitt der letzten 30 Beobachtungen - 1.

OSS-Advisory-Trend 47/100 · Gewicht 20 %

Messwert: 192 GHSA critical · OSS-Patchdruck
Benchmark: GitHub-Benchmark: reviewed Global Security Advisories mit severity=critical; Trendnormalisierung wie beim KEV-Trend.
Normalisierung: Mehr kritische Open-Source-Advisories gegenüber der Vorperiode senken den Score.
Quelle: GitHub Global Security Advisories API
Formel: GitHub Global Advisories API: type=reviewed, severity=critical, published im 30-Tage-Fenster; paginiert gezählt.

IT-Governance 15/100

Governance-Wirksamkeit

Fokussiert auf die Fähigkeit, externe Fristen und sicherheitskritische Steuerung konsequent zu operationalisieren.

Formel: Governance-Wirksamkeit = gewichteter Mittelwert der normalisierten Komponenten (55 % KEV-Fristdisziplin, 25 % KEV-Trend, 20 % OSS-Advisory-Trend).
Nutzung: Für Governance-Reviews, Risikokomitees und SLA-Diskussionen verwenden.
Implikation: Ein niedriger Wert zeigt, dass Entscheidungsrechte, Eskalationen oder Asset-Transparenz überprüft werden sollten.

Komponenten

KEV-Fristdisziplin 10/100 · Gewicht 55 %

Messwert: 28 überfällig · KEV-Patchfenster
Benchmark: CISA-Benchmark: KEV-Einträge haben eine verbindliche dueDate; 0 % überfällig = 100 Punkte, 100 % überfällig = 0 Punkte.
Normalisierung: Score = 100 x (1 - überfällige KEV-Einträge im 30-Tage-Fenster / neue KEV-Einträge im 30-Tage-Fenster).
Quelle: CISA Known Exploited Vulnerabilities Catalog
Formel: Für alle neuen KEV-Einträge der letzten 30 Tage: dueDate minus Stichtag in Tagen; daraus der Median.

KEV-Trend 0/100 · Gewicht 25 %

Messwert: 31 neue KEV · Aktive Exploitlast
Benchmark: Trendnormalisierung: Vorperiode = 70 Punkte; -20 % oder besser = 100; +20 % oder schlechter = 0.
Normalisierung: Je stärker die Zahl aktiv ausgenutzter Schwachstellen gegenüber der Vorperiode steigt, desto niedriger der Score.
Quelle: CISA Known Exploited Vulnerabilities Catalog
Formel: Anzahl der Einträge im CISA-KEV-Katalog mit dateAdded innerhalb der letzten 30 Tage.

OSS-Advisory-Trend 47/100 · Gewicht 20 %

Messwert: 192 GHSA critical · OSS-Patchdruck
Benchmark: GitHub-Benchmark: reviewed Global Security Advisories mit severity=critical; Trendnormalisierung wie beim KEV-Trend.
Normalisierung: Mehr kritische Open-Source-Advisories gegenüber der Vorperiode senken den Score.
Quelle: GitHub Global Security Advisories API
Formel: GitHub Global Advisories API: type=reviewed, severity=critical, published im 30-Tage-Fenster; paginiert gezählt.

Daten & Analytics 57/100

Daten-Governance-Readiness

Bewertet das Umfeld für datengetriebene KI- und Analytics-Governance aus Regulatorik, Plattformkosten und OSS-Risiko.

Formel: Daten-Governance-Readiness = gewichteter Mittelwert der normalisierten Komponenten (55 % AI-Act-Runway, 25 % OSS-Advisory-Trend, 20 % USD-Kostenstabilität).
Nutzung: Für Data-Governance-Roadmaps, Datenprodukt-Priorisierung und AI-Readiness-Programme nutzen.
Implikation: Ein niedriger Wert bedeutet, dass Datenkataloge, Verantwortlichkeiten und Nachweise zeitnah belastbar werden müssen.

Komponenten

AI-Act-Runway 46/100 · Gewicht 55 %

Messwert: 82 Tage · AI-Act-Fenster
Benchmark: Regulatorik-Normalisierung: 180+ Tage Vorlauf = 100; Fälligkeitstag = 0; lineare Distanz zum AI-Act-Meilenstein.
Normalisierung: Je weniger Kalendertage bis zum offiziellen Meilenstein bleiben, desto niedriger der Score.
Quelle: AI Act Service Desk Timeline
Formel: Kalendertage zwischen Stichtag der KPI-Erhebung und dem offiziellen AI-Act-Meilenstein 02.08.2026.

OSS-Advisory-Trend 47/100 · Gewicht 25 %

Messwert: 192 GHSA critical · OSS-Patchdruck
Benchmark: GitHub-Benchmark: reviewed Global Security Advisories mit severity=critical; Trendnormalisierung wie beim KEV-Trend.
Normalisierung: Mehr kritische Open-Source-Advisories gegenüber der Vorperiode senken den Score.
Quelle: GitHub Global Security Advisories API
Formel: GitHub Global Advisories API: type=reviewed, severity=critical, published im 30-Tage-Fenster; paginiert gezählt.

USD-Kostenstabilität 100/100 · Gewicht 20 %

Messwert: -0,4 % · Cloud-USD-Faktor
Benchmark: FinOps-Normalisierung: 0 % oder günstiger gegenüber dem 30-Beobachtungen-Durchschnitt = 100; +10 % = 0.
Normalisierung: Nur Verteuerung wird bestraft. Ein günstigerer USD-Effekt bleibt bei 100 Punkten gedeckelt.
Quelle: EZB Euro Foreign Exchange Reference Rates
Formel: USD-Kosten in EUR = 1 / EUR-USD-Referenzkurs. KPI = aktueller USD-Kostenwert / Durchschnitt der letzten 30 Beobachtungen - 1.

Compliance 35/100

Regulatorik-Runway

Misst Fristendruck aus AI Act und externen KEV-Due-Dates als Compliance-nahe Steuerungssignale.

Formel: Regulatorik-Runway = gewichteter Mittelwert der normalisierten Komponenten (70 % AI-Act-Runway, 30 % KEV-Fristdisziplin).
Nutzung: Für Compliance-Backlogs, Nachweispflichten und Verantwortlichkeitsklärung verwenden.
Implikation: Ein niedriger Wert erhöht das Risiko später Nachdokumentation und unklarer Kontrolleigner.

Komponenten

AI-Act-Runway 46/100 · Gewicht 70 %

Messwert: 82 Tage · AI-Act-Fenster
Benchmark: Regulatorik-Normalisierung: 180+ Tage Vorlauf = 100; Fälligkeitstag = 0; lineare Distanz zum AI-Act-Meilenstein.
Normalisierung: Je weniger Kalendertage bis zum offiziellen Meilenstein bleiben, desto niedriger der Score.
Quelle: AI Act Service Desk Timeline
Formel: Kalendertage zwischen Stichtag der KPI-Erhebung und dem offiziellen AI-Act-Meilenstein 02.08.2026.

KEV-Fristdisziplin 10/100 · Gewicht 30 %

Messwert: 28 überfällig · KEV-Patchfenster
Benchmark: CISA-Benchmark: KEV-Einträge haben eine verbindliche dueDate; 0 % überfällig = 100 Punkte, 100 % überfällig = 0 Punkte.
Normalisierung: Score = 100 x (1 - überfällige KEV-Einträge im 30-Tage-Fenster / neue KEV-Einträge im 30-Tage-Fenster).
Quelle: CISA Known Exploited Vulnerabilities Catalog
Formel: Für alle neuen KEV-Einträge der letzten 30 Tage: dueDate minus Stichtag in Tagen; daraus der Median.

IT-Leadership 53/100

Führungskapazität

Kombiniert Arbeitsmarktumfeld, Security-Last und Regulierungsfenster zu einem Führungskapazitäts-Signal.

Formel: Führungskapazität = gewichteter Mittelwert der normalisierten Komponenten (55 % Arbeitsmarkt-Entlastung, 25 % Security-Führungsdruck, 20 % AI-Act-Runway).
Nutzung: Für Kapazitätsplanung, Hiring-Prioritäten und Eskalationen gegenüber Geschäftsführung nutzen.
Implikation: Ein niedriger Wert spricht für hohe Führungsbelastung und die Notwendigkeit, Prioritäten explizit zu schneiden.

Komponenten

Arbeitsmarkt-Entlastung 55/100 · Gewicht 55 %

Messwert: -1 % ggü. Vorjahr · Arbeitsstellenmarkt
Benchmark: Arbeitsmarkt-Normalisierung: -10 % gemeldete Stellen ggü. Vorjahr = 100; +10 % = 0; 0 % = 50.
Normalisierung: Ein sinkender Gesamtstellenmarkt wird als Entlastung für Recruitingdruck gewertet; der KPI ist nicht IT-spezifisch.
Quelle: Eckwerte gemeldete Arbeitsstellen
Formel: Bundesagentur-API: aktueller Bestand gemeldeter Arbeitsstellen für Deutschland; Delta = Veränderung zum Vorjahresmonat in Prozent.

Security-Führungsdruck 56/100 · Gewicht 25 %

Messwert: Mittel aus KEV, Critical-CVEs und EPSS · Aktive Exploitlast
Benchmark: Gleichgewichteter Mittelwert der drei normalisierten Security-Komponenten.
Normalisierung: Verdichtet externe Security-Last als Führungskapazitätsfaktor.
Quelle: CISA Known Exploited Vulnerabilities Catalog
Formel: Anzahl der Einträge im CISA-KEV-Katalog mit dateAdded innerhalb der letzten 30 Tage.

AI-Act-Runway 46/100 · Gewicht 20 %

Messwert: 82 Tage · AI-Act-Fenster
Benchmark: Regulatorik-Normalisierung: 180+ Tage Vorlauf = 100; Fälligkeitstag = 0; lineare Distanz zum AI-Act-Meilenstein.
Normalisierung: Je weniger Kalendertage bis zum offiziellen Meilenstein bleiben, desto niedriger der Score.
Quelle: AI Act Service Desk Timeline
Formel: Kalendertage zwischen Stichtag der KPI-Erhebung und dem offiziellen AI-Act-Meilenstein 02.08.2026.

IT-Beschaffung 75/100

Beschaffungs-Stabilität

Bewertet Kosten- und Lieferkettenstabilität für Technologieentscheidungen mit externer Abhängigkeit.

Formel: Beschaffungs-Stabilität = gewichteter Mittelwert der normalisierten Komponenten (50 % USD-Kostenstabilität, 30 % OSS-Advisory-Trend, 20 % Arbeitsmarkt-Entlastung).
Nutzung: Für Vendor-Auswahl, Vertragsreviews, Preisgleitklauseln und Exit-Planung nutzen.
Implikation: Ein niedriger Wert bedeutet, dass Währungs-, OSS- und Lieferantenrisiken stärker in TCO-Entscheidungen gehören.

Komponenten

USD-Kostenstabilität 100/100 · Gewicht 50 %

Messwert: -0,4 % · Cloud-USD-Faktor
Benchmark: FinOps-Normalisierung: 0 % oder günstiger gegenüber dem 30-Beobachtungen-Durchschnitt = 100; +10 % = 0.
Normalisierung: Nur Verteuerung wird bestraft. Ein günstigerer USD-Effekt bleibt bei 100 Punkten gedeckelt.
Quelle: EZB Euro Foreign Exchange Reference Rates
Formel: USD-Kosten in EUR = 1 / EUR-USD-Referenzkurs. KPI = aktueller USD-Kostenwert / Durchschnitt der letzten 30 Beobachtungen - 1.

OSS-Advisory-Trend 47/100 · Gewicht 30 %

Messwert: 192 GHSA critical · OSS-Patchdruck
Benchmark: GitHub-Benchmark: reviewed Global Security Advisories mit severity=critical; Trendnormalisierung wie beim KEV-Trend.
Normalisierung: Mehr kritische Open-Source-Advisories gegenüber der Vorperiode senken den Score.
Quelle: GitHub Global Security Advisories API
Formel: GitHub Global Advisories API: type=reviewed, severity=critical, published im 30-Tage-Fenster; paginiert gezählt.

Arbeitsmarkt-Entlastung 55/100 · Gewicht 20 %

Messwert: -1 % ggü. Vorjahr · Arbeitsstellenmarkt
Benchmark: Arbeitsmarkt-Normalisierung: -10 % gemeldete Stellen ggü. Vorjahr = 100; +10 % = 0; 0 % = 50.
Normalisierung: Ein sinkender Gesamtstellenmarkt wird als Entlastung für Recruitingdruck gewertet; der KPI ist nicht IT-spezifisch.
Quelle: Eckwerte gemeldete Arbeitsstellen
Formel: Bundesagentur-API: aktueller Bestand gemeldeter Arbeitsstellen für Deutschland; Delta = Veränderung zum Vorjahresmonat in Prozent.

Benchmark-Logik Standards und Normalisierung

Composite Indicator Methodik

OECD/JRC Handbook on Constructing Composite Indicators

Normalisierung auf eine gemeinsame Skala und transparente additive Aggregation.

Aktiv ausgenutzte Schwachstellen

CISA BOD 22-01 / KEV Catalog dueDate

KEV-Einträge und dueDate werden als harte Frist- und Exploit-Benchmarks verwendet.

Kritische Schwachstellen

NVD/CVSS v3.x Critical = 9.0-10.0

Critical-CVE-Volumen basiert auf der NVD-Schweregradklassifikation.

Exploit-Wahrscheinlichkeit

FIRST EPSS 30-Tage-Ausnutzungswahrscheinlichkeit

EPSS wird als Wahrscheinlichkeit interpretiert; die 70-Prozent-Schwelle ist bewusst als redaktioneller Hochrisiko-Schnitt gekennzeichnet.

AI-Act-Fristen

European Commission AI Act Implementation Timeline

Kalendertage bis zum AI-Act-Meilenstein werden als regulatorischer Runway verwendet.

Messwerte Berechnung, Quelle, Nutzung und Implikation

Cybersecurity 31

Aktive Exploitlast

Neue CISA-KEV-Einträge seit 12.04.2026; letzter Katalogeintrag vom 08.05.2026.

Signal: +12 ggü. Vorperiode
Formel: Anzahl der Einträge im CISA-KEV-Katalog mit dateAdded innerhalb der letzten 30 Tage.

Berechnung

Aktuelles Fenster: 12.04.2026 bis 12.05.2026 = 31 Einträge
Vorperiode: 19 Einträge
Delta: +12

Nutzung

Als wöchentliches Priorisierungssignal für Patch-, Exposure-Management- und Security-Operations-Reviews nutzen.
Mit eigener Asset-Inventur abgleichen: relevant sind vor allem Einträge, deren Hersteller oder Produkte im Unternehmen vorkommen.

Implikationen

Ein steigender Wert bedeutet mehr real beobachtete Ausnutzung und erhöhten Druck auf Schwachstellenmanagement.
Der KPI ersetzt keine interne Betroffenheitsanalyse, zeigt aber, wann Security-Führung mehr Kapazität auf schnelle Triage legen sollte.

Quellen

CISA Known Exploited Vulnerabilities Catalog

Rohdaten

currentCount: 31
previousCount: 19
delta: 12
latestDate: 2026-05-08

Vulnerability Management 0 Tage

KEV-Patchfenster

Median der verbleibenden Tage bis zur CISA-Due-Date für neue KEV-Einträge im 30-Tage-Fenster.

Signal: 28 überfällig
Formel: Für alle neuen KEV-Einträge der letzten 30 Tage: dueDate minus Stichtag in Tagen; daraus der Median.

Berechnung

Stichtag: 12.05.2026
Median offener Fristen: 0 Tage
Überfällige Einträge im Fenster: 28

Nutzung

Zur Steuerung von Patch-SLAs und Eskalationsrunden für aktiv ausgenutzte Schwachstellen verwenden.
Bei überfälligen Einträgen zuerst Internet-exponierte Systeme, privilegierte Systeme und kritische Geschäftsprozesse prüfen.

Implikationen

Kurze oder überfällige Fristen sprechen für operativen Handlungsdruck und mögliche Kapazitätskonflikte im Betrieb.
Ein guter Wert heißt nicht automatisch Entwarnung, wenn betroffene Assets unbekannt oder nicht inventarisiert sind.

Quellen

CISA Known Exploited Vulnerabilities Catalog

Rohdaten

currentCount: 31
patchMedianDays: 0
overdueCount: 28
overdueRatio: 0.9032258064516129

Security Engineering 269

Kritische CVEs

Neu veröffentlichte NVD-CVEs mit CVSS-v3-Schweregrad CRITICAL im 30-Tage-Fenster.

Signal: -200 ggü. Vorperiode
Formel: NVD CVE API: pubStartDate/pubEndDate der letzten 30 Tage, Filter cvssV3Severity=CRITICAL, Wert totalResults.

Berechnung

Aktuelles Fenster: 12.04.2026 bis 12.05.2026 = 269
Vorperiode: 469
Delta: -200

Nutzung

Als Volumensignal für Vulnerability-Management-Backlog, Scanner-Regeln und Lieferantenkommunikation nutzen.
Mit EPSS, KEV und eigener Exposition kombinieren; CVSS kritisch allein reicht nicht für Priorisierung.

Implikationen

Ein hoher Wert erhöht den Triage-Aufwand und kann Patch-Fenster, Testkapazität und Release-Planung belasten.
Ein sinkender Wert reduziert nicht automatisch Risiko, weil wenige kritische CVEs mit aktiver Ausnutzung wichtiger sein können als Masse.

Quellen

NVD CVE API 2.0

Rohdaten

currentCount: 269
previousCount: 469
delta: -200

Threat Prioritization 4.352

EPSS-Hochrisiko

CVE mit mehr als 70 % prognostizierter Exploit-Wahrscheinlichkeit laut EPSS am 12.05.2026.

Signal: +9 in 7 Tagen
Formel: FIRST EPSS API: Anzahl aller CVE mit epss > 0,7; Vergleich mit dem Stand sieben Tage zuvor.

Berechnung

Stand 12.05.2026: 4.352
Vergleich 05.05.2026: 4.343
Delta: +9

Nutzung

Für risikobasierte Patch-Reihenfolgen einsetzen, besonders wenn mehr kritische und hohe CVEs vorliegen als zeitnah patchbar sind.
Mit Asset-Kritikalität und Erreichbarkeit verbinden, bevor daraus ein verbindliches Patch-Ticket entsteht.

Implikationen

Ein steigender Wert zeigt, dass mehr CVEs mit hoher prognostizierter Ausnutzungswahrscheinlichkeit im Umlauf sind.
EPSS ist eine Wahrscheinlichkeit, kein Beweis für Betroffenheit; interne Exposition bleibt entscheidend.

Quellen

FIRST EPSS API

Rohdaten

currentCount: 4352
previousCount: 4343
delta: 9
scoreDate: 2026-05-12

Software Supply Chain 192

OSS-Patchdruck

GitHub-reviewed Security Advisories mit Schweregrad critical, veröffentlicht in den letzten 30 Tagen.

Signal: +12 ggü. Vorperiode
Formel: GitHub Global Advisories API: type=reviewed, severity=critical, published im 30-Tage-Fenster; paginiert gezählt.

Berechnung

Aktuelles Fenster: 12.04.2026 bis 12.05.2026 = 192
Vorperiode: 180
Alle API-Seiten des Fensters wurden gezählt.

Nutzung

Als Signal für Open-Source-Supply-Chain-Reviews, Dependabot-/SCA-Regeln und kritische Paketökosysteme nutzen.
Bei erhöhtem Wert prüfen, ob zentrale Repositories aktuelle Lockfiles, SBOMs und automatische Advisory-Alerts haben.

Implikationen

Mehr kritische Advisories bedeuten mehr Druck auf Dependency-Updates und Freigabetests.
Der Wert ist ecosystem-übergreifend; relevant wird er erst durch Abgleich mit den im Unternehmen eingesetzten Paketen.

Quellen

GitHub Global Security Advisories API

Rohdaten

currentCount: 192
previousCount: 180
delta: 12
truncated: false

Cloud & FinOps -0,4 %

Cloud-USD-Faktor

Abweichung der aktuellen USD-Kosten in Euro vom Durchschnitt der letzten 30 EZB-Beobachtungen.

Signal: EUR/USD 1,1738
Formel: USD-Kosten in EUR = 1 / EUR-USD-Referenzkurs. KPI = aktueller USD-Kostenwert / Durchschnitt der letzten 30 Beobachtungen - 1.

Berechnung

EZB-Stichtag: 12.05.2026
EUR/USD: 1,1738
Kostenabweichung: -0,4 %

Nutzung

Für Cloud-Budgetgespräche nutzen, wenn relevante Provider- oder SaaS-Kosten in USD fakturiert werden.
Mit tatsächlichem USD-Anteil der Cloud- und Softwareverträge multiplizieren, um den unternehmensspezifischen Budgeteffekt zu schätzen.

Implikationen

Ein positiver Wert verteuert USD-basierte Cloud-Ausgaben in Euro gegenüber dem kurzfristigen Durchschnitt.
Der KPI erklärt Wechselkurseffekte, nicht Verbrauchsänderungen; FinOps muss beides getrennt ausweisen.

Quellen

EZB Euro Foreign Exchange Reference Rates

Rohdaten

usdCostFactor: -0.003839073733863718
latestUsdPerEur: 1.1738
latestDate: 2026-05-12

IT-Leadership 641.210

Arbeitsstellenmarkt

Gemeldete Arbeitsstellen in Deutschland im Berichtsmonat April 2026; gesamtwirtschaftlicher Frühindikator, nicht IT-spezifisch.

Signal: -1 % ggü. Vorjahr
Formel: Bundesagentur-API: aktueller Bestand gemeldeter Arbeitsstellen für Deutschland; Delta = Veränderung zum Vorjahresmonat in Prozent.

Berechnung

Berichtsmonat: April 2026
Bestand: 641.210
Veränderung zum Vorjahr: -4.860 (-1 %)

Nutzung

Als gesamtwirtschaftlichen Kontext für Recruiting-, Bindungs- und Sourcing-Planung nutzen.
Nicht als IT-Fachkräfte-KPI interpretieren; für IT-spezifische Entscheidungen mit internen Time-to-Hire- und Bewerberdaten ergänzen.

Implikationen

Ein enger Arbeitsmarkt erschwert Besetzung und erhöht den Wert von Retention, Upskilling und externer Delivery-Flexibilität.
Ein entspannterer Gesamtmarkt kann Verhandlungsspielraum schaffen, löst aber spezifische IT-Skill-Engpässe nicht automatisch.

Quellen

Eckwerte gemeldete Arbeitsstellen

Rohdaten

stock: 641210
yoyAbs: -4860
yoyRel: -0.01
month: April 2026

Compliance 82 Tage

AI-Act-Fenster

Tage bis zum nächsten großen AI-Act-Anwendungsdatum für Mehrheit der Regeln, Transparenzpflichten und Enforcement.

Signal: bis 02.08.2026
Formel: Kalendertage zwischen Stichtag der KPI-Erhebung und dem offiziellen AI-Act-Meilenstein 02.08.2026.

Berechnung

Stichtag: 12.05.2026
Meilenstein: 02.08.2026
Restlaufzeit: 82 Tage

Nutzung

Als Countdown für AI-Governance-Roadmaps, Systeminventar, Risikoklassifizierung und Dokumentationslücken nutzen.
In Steering Committees mit konkreten Meilensteinen verbinden: Inventar, Klassifizierung, Owner, Kontrollen, Nachweise.

Implikationen

Je kürzer das Fenster, desto riskanter werden manuelle Nachdokumentation und unklare Verantwortlichkeiten.
Der KPI zeigt Fristendruck; die tatsächliche Betroffenheit hängt davon ab, welche AI-Systeme eingesetzt oder bereitgestellt werden.

Quellen

AI Act Service Desk Timeline

Rohdaten

daysRemaining: 82
deadline: 2026-08-02

Quellenregister Abruf und Aktualität

CISA Known Exploited Vulnerabilities Catalog Cybersecurity and Infrastructure Security Agency

laufend

12.5.2026, 22:34:09 UTC

NVD CVE API 2.0 National Institute of Standards and Technology

laufend

12.5.2026, 22:34:13 UTC

FIRST EPSS API Forum of Incident Response and Security Teams

täglich

12.5.2026, 22:34:13 UTC

GitHub Global Security Advisories API GitHub

laufend

12.5.2026, 22:34:15 UTC

EZB Euro Foreign Exchange Reference Rates European Central Bank

börsentäglich

12.5.2026, 22:34:15 UTC

Eckwerte gemeldete Arbeitsstellen Statistik der Bundesagentur für Arbeit

monatlich

12.5.2026, 22:34:15 UTC

AI Act Service Desk Timeline European Commission

bei Rechtsänderungen

12.5.2026, 22:34:15 UTC