Dienstag, 12. Mai 2026
Strategie · Technologie · Entscheidung
CIO-Cockpit · Transparenz

Wie die Kennzahlen berechnet werden

Das Cockpit verdichtet öffentliche Datenquellen zu operativen Signalen für IT-Entscheider. Jede Kennzahl ist nachvollziehbar: Quelle, Fenster, Formel und Interpretation werden offengelegt.

Stand 25.06.2026 8 Kennzahlen 8 Ressort-KPIs 7 Quellen CIO Score berechnet 25.06.2026, 21:51 MESZ Methodenpapier
44 /100
Composite Indicator

CIO Score

Der CIO Score ist ein Lageindikator für externe Steuerungsbelastung der IT-Führung, kein Reifegrad- oder Performance-Benchmark. Er ist der gleichgewichtete Mittelwert der acht Ressort-KPIs; Gleichgewichtung ist eine deklarierte, konservative Setzung ohne unternehmensspezifische Risikopräferenz.

angespannt Berechnet: 25.06.2026, 21:51 MESZ · Datenstand: 25.06.2026
80-100 robust 60-79 stabil 40-59 angespannt 0-39 kritisch

Berechnung des CIO Score

CIO Score = arithmetischer Mittelwert aus KI-Strategie, Cybersecurity, Cloud & FinOps, IT-Governance, Daten & Analytics, Compliance, IT-Leadership und IT-Beschaffung (verfügbare Ressorts, gleichgewichtet).

Methodik-Version 2.0.0: Normalisierung und additive Aggregation folgen dem Vorgehen für Composite Indicators (OECD/JRC). Trendkomponenten sind symmetrisch normalisiert (keine Veränderung = 50), Mehrfachverwendung von Komponenten wird über offengelegte effektive Gewichte transparent gemacht, fehlende Daten werden ausgeschlossen statt neutral gewertet.

Automatische Aktualisierung: einmal pro Woche. Nächster geplanter Lauf: 02.07.2026, 21:51 MESZ. Die Interpretation wird im selben Lauf nach Datenabruf, Normalisierung und Score-Berechnung neu erzeugt.

  • KI-Strategie: 40/100
  • Cybersecurity: 42/100
  • Cloud & FinOps: 60/100
  • IT-Governance: 41/100
  • Daten & Analytics: 53/100
  • Compliance: 21/100
  • IT-Leadership: 40/100
  • IT-Beschaffung: 58/100
Aktualisierungsprotokoll KPI-Berechnung, Quellenabruf und Interpretation
KPI Zeitstempel Quellenabruf
Aktive Exploitlast 27 · +8 ggü. Vorperiode
Datenstand: 25.06.2026 KPI berechnet: 25.06.2026, 21:51 MESZ Interpretation: 25.06.2026, 21:51 MESZ
CISA Known Exploited Vulnerabilities Catalog: Abruf 25.06.2026, 21:50 MESZ
KEV-Ransomware-Anteil 14,8 % · Langfrist-Basis 20,1 %
Datenstand: 25.06.2026 KPI berechnet: 25.06.2026, 21:51 MESZ Interpretation: 25.06.2026, 21:51 MESZ
CISA Known Exploited Vulnerabilities Catalog: Abruf 25.06.2026, 21:50 MESZ
Kritische CVEs 140 · -19 ggü. Vorperiode
Datenstand: 25.06.2026 KPI berechnet: 25.06.2026, 21:51 MESZ Interpretation: 25.06.2026, 21:51 MESZ
NVD CVE API 2.0: Abruf 25.06.2026, 21:50 MESZ
EPSS-Hochrisiko 2.438 · +18 in 7 Tagen
Datenstand: 25.06.2026 KPI berechnet: 25.06.2026, 21:51 MESZ Interpretation: 25.06.2026, 21:51 MESZ
FIRST EPSS API: Abruf 25.06.2026, 21:50 MESZ
OSS-Patchdruck 126 · -64 ggü. Vorperiode
Datenstand: 25.06.2026 KPI berechnet: 25.06.2026, 21:51 MESZ Interpretation: 25.06.2026, 21:51 MESZ
GitHub Global Security Advisories API: Abruf 25.06.2026, 21:51 MESZ
Cloud-USD-Faktor +1,2 % · EUR/USD 1,1342
Datenstand: 25.06.2026 KPI berechnet: 25.06.2026, 21:51 MESZ Interpretation: 25.06.2026, 21:51 MESZ
EZB Euro Foreign Exchange Reference Rates: Abruf 25.06.2026, 21:51 MESZ
Arbeitsstellenmarkt 642.810 · +1 % ggü. Vorjahr
Datenstand: 25.06.2026 KPI berechnet: 25.06.2026, 21:51 MESZ Interpretation: 25.06.2026, 21:51 MESZ
Eckwerte gemeldete Arbeitsstellen: Abruf 25.06.2026, 21:51 MESZ
AI-Act-Fenster 38 Tage · bis 02.08.2026
Datenstand: 25.06.2026 KPI berechnet: 25.06.2026, 21:51 MESZ Interpretation: 25.06.2026, 21:51 MESZ
Verordnung (EU) 2024/1689 (AI Act), Anwendungsfristen Art. 113: redaktionell gepflegt 25.06.2026, 21:51 MESZ
Ressort-KPIs Ein verständlicher Score pro Ressort
KI-Strategie 40/100

KI-Readiness

Wie viel belastbarer Vorlauf für KI-Governance und AI-Act-Vorbereitung bleibt und wie stabil das Kosten- und OSS-Umfeld für KI-Plattformen ist.

Formel
KI-Readiness = gewichteter Mittelwert der normalisierten Komponenten (50 % AI-Act-Runway, 25 % USD-Kostendruck, 25 % OSS-Advisory-Trend); fehlende Komponenten werden mit renormalisierten Gewichten ausgeschlossen.
Nutzung
Für KI-Roadmaps, Systeminventar, Use-Case-Priorisierung und Governance-Eskalationen nutzen.
Implikation
Ein niedriger Wert bedeutet: KI-Initiativen brauchen mehr Governance-Fokus, bevor neue Use Cases skaliert werden.

Komponenten

AI-Act-Runway 10/100 · Gewicht 50 %
Messwert
38 Tage · AI-Act-Fenster
Benchmark
Regulatorik-Normalisierung: 365+ Tage Vorlauf bis zum nächsten Anwendungsmeilenstein = 100; Fälligkeitstag = 0; linear dazwischen. Begründung: Implementierungsprogramme benötigen erfahrungsgemäß mindestens ein Jahr Vorlauf.
Normalisierung
Je weniger Kalendertage bis zum nächsten gepflegten AI-Act-Meilenstein bleiben, desto niedriger der Score. Zwischen Rechtsänderungen ist die Komponente ein deterministischer Countdown.
Quelle
Verordnung (EU) 2024/1689 (AI Act), Anwendungsfristen Art. 113
Formel
Kalendertage zwischen Stichtag der KPI-Erhebung und dem nächsten Meilenstein des redaktionell gepflegten Anwendungsfristen-Plans (Art. 113 AI Act inkl. Omnibus-Änderungen).
USD-Kostendruck 38/100 · Gewicht 25 %
Messwert
+1,2 % · Cloud-USD-Faktor
Benchmark
FinOps-Normalisierung: 30-Tage-Mittel der USD-Kosten in EUR gegenüber der Vorperiode; ±5 %-Band, keine Veränderung = 50.
Normalisierung
USD-Verteuerung senkt den Score unter 50, USD-Vergünstigung hebt ihn symmetrisch darüber.
Quelle
EZB Euro Foreign Exchange Reference Rates
Formel
USD-Kosten in EUR = 1 / EUR-USD-Referenzkurs. KPI = Mittel der letzten 30 Beobachtungen / Mittel der 30 Beobachtungen davor - 1.
OSS-Advisory-Trend 100/100 · Gewicht 25 %
Messwert
126 GHSA critical · OSS-Patchdruck
Benchmark
GitHub-Benchmark: reviewed Global Security Advisories mit severity=critical; symmetrische Trendnormalisierung mit ±20 %-Band, keine Veränderung = 50.
Normalisierung
Mehr kritische Open-Source-Advisories gegenüber der Vorperiode senken den Score unter 50, weniger heben ihn darüber.
Quelle
GitHub Global Security Advisories API
Formel
GitHub Global Advisories API: type=reviewed, severity=critical, published im 30-Tage-Fenster; paginiert gezählt.
Cybersecurity 42/100

Cyber-Resilienz

Verdichtet Exploitdruck, EPSS-Wahrscheinlichkeitslage, kritische CVE-Last und den Ransomware-Anteil der aktiven Exploit-Welle.

Formel
Cyber-Resilienz = gewichteter Mittelwert der normalisierten Komponenten (30 % KEV-Trend, 30 % EPSS-Hochrisiko-Trend, 20 % CVSS-Critical-Trend, 20 % KEV-Ransomware-Anteil); fehlende Komponenten werden mit renormalisierten Gewichten ausgeschlossen.
Nutzung
Als Priorisierungssignal für Security-Operations, Patch-Fenster und Board-Risikoberichte einsetzen.
Implikation
Ein niedriger Wert spricht für erhöhte Triage-Last und stärkeren Fokus auf aktiv ausgenutzte Schwachstellen.

Komponenten

KEV-Trend 0/100 · Gewicht 30 %
Messwert
27 neue KEV · Aktive Exploitlast
Benchmark
Symmetrische Trendnormalisierung: keine Veränderung = 50 Punkte; -20 % oder besser = 100; +20 % oder schlechter = 0.
Normalisierung
Je stärker die Zahl aktiv ausgenutzter Schwachstellen gegenüber der Vorperiode steigt, desto niedriger der Score; Rückgänge erhöhen ihn spiegelbildlich.
Quelle
CISA Known Exploited Vulnerabilities Catalog
Formel
Anzahl der Einträge im CISA-KEV-Katalog mit dateAdded innerhalb der letzten 30 Tage; Vergleich mit dem vorhergehenden 30-Tage-Fenster.
EPSS-Hochrisiko-Trend 43/100 · Gewicht 30 %
Messwert
2.438 CVEs >70 % · EPSS-Hochrisiko
Benchmark
EPSS-Benchmark: Wahrscheinlichkeit von Ausnutzungsaktivität in den nächsten 30 Tagen; >70 % ist ein deklarierter redaktioneller Hochrisiko-Schnitt. Symmetrisches ±5 %-Band je 7 Tage.
Normalisierung
Score = 50 - (7-Tage-Veränderung / 5 %) x 50, begrenzt auf 0-100. Sprünge über 25 % gelten als Modellwechsel und werden ausgeschlossen.
Quelle
FIRST EPSS API
Formel
FIRST EPSS API: Anzahl aller CVE mit epss > 0,7; Vergleich mit dem Stand sieben Tage zuvor (date-Parameter).
CVSS-Critical-Trend 80/100 · Gewicht 20 %
Messwert
140 kritische CVEs · Kritische CVEs
Benchmark
NVD/CVSS-Benchmark: Critical entspricht CVSS v3.x 9.0-10.0; symmetrische Trendnormalisierung mit ±20 %-Band, keine Veränderung = 50.
Normalisierung
Sinkt die Zahl neuer Critical-CVEs, steigt der Score über 50; steigt sie, fällt er unter 50.
Quelle
NVD CVE API 2.0
Formel
NVD CVE API: pubStartDate/pubEndDate der letzten 30 Tage, Filter cvssV3Severity=CRITICAL, Wert totalResults.
KEV-Ransomware-Anteil 63/100 · Gewicht 20 %
Messwert
14,8 % der neuen KEV · KEV-Ransomware-Anteil
Benchmark
Selbstkalibrierende Normalisierung gegen den Gesamtkatalog: Anteil = Langfrist-Basis ergibt 50 Punkte; 0 % = 100; doppelte Basis oder mehr = 0.
Normalisierung
Score = 100 - 50 x (aktueller Ransomware-Anteil / langfristiger Kataloganteil), begrenzt auf 0-100. Unter 5 neuen Einträgen wird kein Score gebildet.
Quelle
CISA Known Exploited Vulnerabilities Catalog
Formel
Anteil = KEV-Einträge mit knownRansomwareCampaignUse = "Known" im 30-Tage-Fenster / alle neuen KEV-Einträge im Fenster. Vergleichsbasis ist der Anteil im Gesamtkatalog.
Cloud & FinOps 60/100

Cloud-Stabilität

Misst, ob USD-basierte Cloud-Kosten und Open-Source-Patchdruck die Plattformagenda belasten.

Formel
Cloud-Stabilität = gewichteter Mittelwert der normalisierten Komponenten (65 % USD-Kostendruck, 35 % OSS-Advisory-Trend); fehlende Komponenten werden mit renormalisierten Gewichten ausgeschlossen.
Nutzung
Für Budget-Forecasts, Cloud-Vertragsgespräche und FinOps-Steuerung nutzen.
Implikation
Ein niedriger Wert bedeutet, dass Kosten- oder Lieferkettenvolatilität stärker in Architekturentscheidungen einfließen sollte.

Komponenten

USD-Kostendruck 38/100 · Gewicht 65 %
Messwert
+1,2 % · Cloud-USD-Faktor
Benchmark
FinOps-Normalisierung: 30-Tage-Mittel der USD-Kosten in EUR gegenüber der Vorperiode; ±5 %-Band, keine Veränderung = 50.
Normalisierung
USD-Verteuerung senkt den Score unter 50, USD-Vergünstigung hebt ihn symmetrisch darüber.
Quelle
EZB Euro Foreign Exchange Reference Rates
Formel
USD-Kosten in EUR = 1 / EUR-USD-Referenzkurs. KPI = Mittel der letzten 30 Beobachtungen / Mittel der 30 Beobachtungen davor - 1.
OSS-Advisory-Trend 100/100 · Gewicht 35 %
Messwert
126 GHSA critical · OSS-Patchdruck
Benchmark
GitHub-Benchmark: reviewed Global Security Advisories mit severity=critical; symmetrische Trendnormalisierung mit ±20 %-Band, keine Veränderung = 50.
Normalisierung
Mehr kritische Open-Source-Advisories gegenüber der Vorperiode senken den Score unter 50, weniger heben ihn darüber.
Quelle
GitHub Global Security Advisories API
Formel
GitHub Global Advisories API: type=reviewed, severity=critical, published im 30-Tage-Fenster; paginiert gezählt.
IT-Governance 41/100

Governance-Wirksamkeit

Bündelt die Steuerungslast aus aktiver Ausnutzung, Ransomware-Exposition, OSS-Lieferkette und regulatorischem Umsetzungsdruck.

Formel
Governance-Wirksamkeit = gewichteter Mittelwert der normalisierten Komponenten (30 % KEV-Ransomware-Anteil, 30 % KEV-Trend, 20 % AI-Act-Runway, 20 % OSS-Advisory-Trend); fehlende Komponenten werden mit renormalisierten Gewichten ausgeschlossen.
Nutzung
Für Governance-Reviews, Risikokomitees und SLA-Diskussionen verwenden.
Implikation
Ein niedriger Wert zeigt, dass Entscheidungsrechte, Eskalationen oder Asset-Transparenz überprüft werden sollten.

Komponenten

KEV-Ransomware-Anteil 63/100 · Gewicht 30 %
Messwert
14,8 % der neuen KEV · KEV-Ransomware-Anteil
Benchmark
Selbstkalibrierende Normalisierung gegen den Gesamtkatalog: Anteil = Langfrist-Basis ergibt 50 Punkte; 0 % = 100; doppelte Basis oder mehr = 0.
Normalisierung
Score = 100 - 50 x (aktueller Ransomware-Anteil / langfristiger Kataloganteil), begrenzt auf 0-100. Unter 5 neuen Einträgen wird kein Score gebildet.
Quelle
CISA Known Exploited Vulnerabilities Catalog
Formel
Anteil = KEV-Einträge mit knownRansomwareCampaignUse = "Known" im 30-Tage-Fenster / alle neuen KEV-Einträge im Fenster. Vergleichsbasis ist der Anteil im Gesamtkatalog.
KEV-Trend 0/100 · Gewicht 30 %
Messwert
27 neue KEV · Aktive Exploitlast
Benchmark
Symmetrische Trendnormalisierung: keine Veränderung = 50 Punkte; -20 % oder besser = 100; +20 % oder schlechter = 0.
Normalisierung
Je stärker die Zahl aktiv ausgenutzter Schwachstellen gegenüber der Vorperiode steigt, desto niedriger der Score; Rückgänge erhöhen ihn spiegelbildlich.
Quelle
CISA Known Exploited Vulnerabilities Catalog
Formel
Anzahl der Einträge im CISA-KEV-Katalog mit dateAdded innerhalb der letzten 30 Tage; Vergleich mit dem vorhergehenden 30-Tage-Fenster.
AI-Act-Runway 10/100 · Gewicht 20 %
Messwert
38 Tage · AI-Act-Fenster
Benchmark
Regulatorik-Normalisierung: 365+ Tage Vorlauf bis zum nächsten Anwendungsmeilenstein = 100; Fälligkeitstag = 0; linear dazwischen. Begründung: Implementierungsprogramme benötigen erfahrungsgemäß mindestens ein Jahr Vorlauf.
Normalisierung
Je weniger Kalendertage bis zum nächsten gepflegten AI-Act-Meilenstein bleiben, desto niedriger der Score. Zwischen Rechtsänderungen ist die Komponente ein deterministischer Countdown.
Quelle
Verordnung (EU) 2024/1689 (AI Act), Anwendungsfristen Art. 113
Formel
Kalendertage zwischen Stichtag der KPI-Erhebung und dem nächsten Meilenstein des redaktionell gepflegten Anwendungsfristen-Plans (Art. 113 AI Act inkl. Omnibus-Änderungen).
OSS-Advisory-Trend 100/100 · Gewicht 20 %
Messwert
126 GHSA critical · OSS-Patchdruck
Benchmark
GitHub-Benchmark: reviewed Global Security Advisories mit severity=critical; symmetrische Trendnormalisierung mit ±20 %-Band, keine Veränderung = 50.
Normalisierung
Mehr kritische Open-Source-Advisories gegenüber der Vorperiode senken den Score unter 50, weniger heben ihn darüber.
Quelle
GitHub Global Security Advisories API
Formel
GitHub Global Advisories API: type=reviewed, severity=critical, published im 30-Tage-Fenster; paginiert gezählt.
Daten & Analytics 53/100

Daten-Governance-Readiness

Bewertet das Umfeld für datengetriebene KI- und Analytics-Governance aus Regulatorik, OSS-Risiko und Plattformkosten.

Formel
Daten-Governance-Readiness = gewichteter Mittelwert der normalisierten Komponenten (40 % OSS-Advisory-Trend, 35 % AI-Act-Runway, 25 % USD-Kostendruck); fehlende Komponenten werden mit renormalisierten Gewichten ausgeschlossen.
Nutzung
Für Data-Governance-Roadmaps, Datenprodukt-Priorisierung und AI-Readiness-Programme nutzen.
Implikation
Ein niedriger Wert bedeutet, dass Datenkataloge, Verantwortlichkeiten und Nachweise zeitnah belastbar werden müssen.

Komponenten

OSS-Advisory-Trend 100/100 · Gewicht 40 %
Messwert
126 GHSA critical · OSS-Patchdruck
Benchmark
GitHub-Benchmark: reviewed Global Security Advisories mit severity=critical; symmetrische Trendnormalisierung mit ±20 %-Band, keine Veränderung = 50.
Normalisierung
Mehr kritische Open-Source-Advisories gegenüber der Vorperiode senken den Score unter 50, weniger heben ihn darüber.
Quelle
GitHub Global Security Advisories API
Formel
GitHub Global Advisories API: type=reviewed, severity=critical, published im 30-Tage-Fenster; paginiert gezählt.
AI-Act-Runway 10/100 · Gewicht 35 %
Messwert
38 Tage · AI-Act-Fenster
Benchmark
Regulatorik-Normalisierung: 365+ Tage Vorlauf bis zum nächsten Anwendungsmeilenstein = 100; Fälligkeitstag = 0; linear dazwischen. Begründung: Implementierungsprogramme benötigen erfahrungsgemäß mindestens ein Jahr Vorlauf.
Normalisierung
Je weniger Kalendertage bis zum nächsten gepflegten AI-Act-Meilenstein bleiben, desto niedriger der Score. Zwischen Rechtsänderungen ist die Komponente ein deterministischer Countdown.
Quelle
Verordnung (EU) 2024/1689 (AI Act), Anwendungsfristen Art. 113
Formel
Kalendertage zwischen Stichtag der KPI-Erhebung und dem nächsten Meilenstein des redaktionell gepflegten Anwendungsfristen-Plans (Art. 113 AI Act inkl. Omnibus-Änderungen).
USD-Kostendruck 38/100 · Gewicht 25 %
Messwert
+1,2 % · Cloud-USD-Faktor
Benchmark
FinOps-Normalisierung: 30-Tage-Mittel der USD-Kosten in EUR gegenüber der Vorperiode; ±5 %-Band, keine Veränderung = 50.
Normalisierung
USD-Verteuerung senkt den Score unter 50, USD-Vergünstigung hebt ihn symmetrisch darüber.
Quelle
EZB Euro Foreign Exchange Reference Rates
Formel
USD-Kosten in EUR = 1 / EUR-USD-Referenzkurs. KPI = Mittel der letzten 30 Beobachtungen / Mittel der 30 Beobachtungen davor - 1.
Compliance 21/100

Regulatorik-Runway

Misst Fristendruck aus dem AI Act sowie melde- und berichtsrelevante Sicherheitslage (aktive Ausnutzung, Ransomware) als Compliance-Signale.

Formel
Regulatorik-Runway = gewichteter Mittelwert der normalisierten Komponenten (50 % AI-Act-Runway, 25 % KEV-Ransomware-Anteil, 25 % KEV-Trend); fehlende Komponenten werden mit renormalisierten Gewichten ausgeschlossen.
Nutzung
Für Compliance-Backlogs, Nachweispflichten und Verantwortlichkeitsklärung verwenden.
Implikation
Ein niedriger Wert erhöht das Risiko später Nachdokumentation und unklarer Kontrolleigner.

Komponenten

AI-Act-Runway 10/100 · Gewicht 50 %
Messwert
38 Tage · AI-Act-Fenster
Benchmark
Regulatorik-Normalisierung: 365+ Tage Vorlauf bis zum nächsten Anwendungsmeilenstein = 100; Fälligkeitstag = 0; linear dazwischen. Begründung: Implementierungsprogramme benötigen erfahrungsgemäß mindestens ein Jahr Vorlauf.
Normalisierung
Je weniger Kalendertage bis zum nächsten gepflegten AI-Act-Meilenstein bleiben, desto niedriger der Score. Zwischen Rechtsänderungen ist die Komponente ein deterministischer Countdown.
Quelle
Verordnung (EU) 2024/1689 (AI Act), Anwendungsfristen Art. 113
Formel
Kalendertage zwischen Stichtag der KPI-Erhebung und dem nächsten Meilenstein des redaktionell gepflegten Anwendungsfristen-Plans (Art. 113 AI Act inkl. Omnibus-Änderungen).
KEV-Ransomware-Anteil 63/100 · Gewicht 25 %
Messwert
14,8 % der neuen KEV · KEV-Ransomware-Anteil
Benchmark
Selbstkalibrierende Normalisierung gegen den Gesamtkatalog: Anteil = Langfrist-Basis ergibt 50 Punkte; 0 % = 100; doppelte Basis oder mehr = 0.
Normalisierung
Score = 100 - 50 x (aktueller Ransomware-Anteil / langfristiger Kataloganteil), begrenzt auf 0-100. Unter 5 neuen Einträgen wird kein Score gebildet.
Quelle
CISA Known Exploited Vulnerabilities Catalog
Formel
Anteil = KEV-Einträge mit knownRansomwareCampaignUse = "Known" im 30-Tage-Fenster / alle neuen KEV-Einträge im Fenster. Vergleichsbasis ist der Anteil im Gesamtkatalog.
KEV-Trend 0/100 · Gewicht 25 %
Messwert
27 neue KEV · Aktive Exploitlast
Benchmark
Symmetrische Trendnormalisierung: keine Veränderung = 50 Punkte; -20 % oder besser = 100; +20 % oder schlechter = 0.
Normalisierung
Je stärker die Zahl aktiv ausgenutzter Schwachstellen gegenüber der Vorperiode steigt, desto niedriger der Score; Rückgänge erhöhen ihn spiegelbildlich.
Quelle
CISA Known Exploited Vulnerabilities Catalog
Formel
Anzahl der Einträge im CISA-KEV-Katalog mit dateAdded innerhalb der letzten 30 Tage; Vergleich mit dem vorhergehenden 30-Tage-Fenster.
IT-Leadership 40/100

Führungskapazität

Kombiniert Arbeitsmarktumfeld, Security-Last und Regulierungsfenster zu einem Führungskapazitäts-Signal.

Formel
Führungskapazität = gewichteter Mittelwert der normalisierten Komponenten (55 % Arbeitsmarkt-Entlastung, 35 % Security-Führungsdruck, 10 % AI-Act-Runway); fehlende Komponenten werden mit renormalisierten Gewichten ausgeschlossen.
Nutzung
Für Kapazitätsplanung, Hiring-Prioritäten und Eskalationen gegenüber Geschäftsführung nutzen.
Implikation
Ein niedriger Wert spricht für hohe Führungsbelastung und die Notwendigkeit, Prioritäten explizit zu schneiden.

Komponenten

Arbeitsmarkt-Entlastung 45/100 · Gewicht 55 %
Messwert
+1 % ggü. Vorjahr · Arbeitsstellenmarkt
Benchmark
Arbeitsmarkt-Normalisierung: -10 % gemeldete Stellen ggü. Vorjahr = 100; +10 % = 0; 0 % = 50 (symmetrisch).
Normalisierung
Ein sinkender Gesamtstellenmarkt wird als Entlastung für Recruitingdruck gewertet; der KPI ist nicht IT-spezifisch und als Kontextsignal deklariert.
Quelle
Eckwerte gemeldete Arbeitsstellen
Formel
Bundesagentur-API: aktueller Bestand gemeldeter Arbeitsstellen für Deutschland; Delta = Veränderung zum Vorjahresmonat in Prozent.
Security-Führungsdruck 41/100 · Gewicht 35 %
Messwert
Mittel aus KEV-, Critical-CVE- und EPSS-Trend · Aktive Exploitlast
Benchmark
Gleichgewichteter Mittelwert der verfügbaren normalisierten Security-Trendkomponenten.
Normalisierung
Verdichtet externe Security-Last als Führungskapazitätsfaktor; fehlende Teilkomponenten werden ausgeschlossen.
Quelle
CISA Known Exploited Vulnerabilities Catalog
Formel
Anzahl der Einträge im CISA-KEV-Katalog mit dateAdded innerhalb der letzten 30 Tage; Vergleich mit dem vorhergehenden 30-Tage-Fenster.
AI-Act-Runway 10/100 · Gewicht 10 %
Messwert
38 Tage · AI-Act-Fenster
Benchmark
Regulatorik-Normalisierung: 365+ Tage Vorlauf bis zum nächsten Anwendungsmeilenstein = 100; Fälligkeitstag = 0; linear dazwischen. Begründung: Implementierungsprogramme benötigen erfahrungsgemäß mindestens ein Jahr Vorlauf.
Normalisierung
Je weniger Kalendertage bis zum nächsten gepflegten AI-Act-Meilenstein bleiben, desto niedriger der Score. Zwischen Rechtsänderungen ist die Komponente ein deterministischer Countdown.
Quelle
Verordnung (EU) 2024/1689 (AI Act), Anwendungsfristen Art. 113
Formel
Kalendertage zwischen Stichtag der KPI-Erhebung und dem nächsten Meilenstein des redaktionell gepflegten Anwendungsfristen-Plans (Art. 113 AI Act inkl. Omnibus-Änderungen).
IT-Beschaffung 58/100

Beschaffungs-Stabilität

Bewertet Kosten- und Lieferkettenstabilität für Technologieentscheidungen mit externer Abhängigkeit.

Formel
Beschaffungs-Stabilität = gewichteter Mittelwert der normalisierten Komponenten (45 % USD-Kostendruck, 30 % OSS-Advisory-Trend, 25 % Arbeitsmarkt-Entlastung); fehlende Komponenten werden mit renormalisierten Gewichten ausgeschlossen.
Nutzung
Für Vendor-Auswahl, Vertragsreviews, Preisgleitklauseln und Exit-Planung nutzen.
Implikation
Ein niedriger Wert bedeutet, dass Währungs-, OSS- und Lieferantenrisiken stärker in TCO-Entscheidungen gehören.

Komponenten

USD-Kostendruck 38/100 · Gewicht 45 %
Messwert
+1,2 % · Cloud-USD-Faktor
Benchmark
FinOps-Normalisierung: 30-Tage-Mittel der USD-Kosten in EUR gegenüber der Vorperiode; ±5 %-Band, keine Veränderung = 50.
Normalisierung
USD-Verteuerung senkt den Score unter 50, USD-Vergünstigung hebt ihn symmetrisch darüber.
Quelle
EZB Euro Foreign Exchange Reference Rates
Formel
USD-Kosten in EUR = 1 / EUR-USD-Referenzkurs. KPI = Mittel der letzten 30 Beobachtungen / Mittel der 30 Beobachtungen davor - 1.
OSS-Advisory-Trend 100/100 · Gewicht 30 %
Messwert
126 GHSA critical · OSS-Patchdruck
Benchmark
GitHub-Benchmark: reviewed Global Security Advisories mit severity=critical; symmetrische Trendnormalisierung mit ±20 %-Band, keine Veränderung = 50.
Normalisierung
Mehr kritische Open-Source-Advisories gegenüber der Vorperiode senken den Score unter 50, weniger heben ihn darüber.
Quelle
GitHub Global Security Advisories API
Formel
GitHub Global Advisories API: type=reviewed, severity=critical, published im 30-Tage-Fenster; paginiert gezählt.
Arbeitsmarkt-Entlastung 45/100 · Gewicht 25 %
Messwert
+1 % ggü. Vorjahr · Arbeitsstellenmarkt
Benchmark
Arbeitsmarkt-Normalisierung: -10 % gemeldete Stellen ggü. Vorjahr = 100; +10 % = 0; 0 % = 50 (symmetrisch).
Normalisierung
Ein sinkender Gesamtstellenmarkt wird als Entlastung für Recruitingdruck gewertet; der KPI ist nicht IT-spezifisch und als Kontextsignal deklariert.
Quelle
Eckwerte gemeldete Arbeitsstellen
Formel
Bundesagentur-API: aktueller Bestand gemeldeter Arbeitsstellen für Deutschland; Delta = Veränderung zum Vorjahresmonat in Prozent.
Benchmark-Logik Standards und Normalisierung

Composite-Indicator-Methodik

OECD / EC-JRC (2008): Handbook on Constructing Composite Indicators - Methodology and User Guide

Rahmen für Normalisierung auf eine gemeinsame Skala, transparente Gewichtung und additive Aggregation.

Grenzen zusammengesetzter Indizes

Greco, Ishizaka, Tasiou, Torrisi (2019): On the Methodological Framework of Composite Indices. Social Indicators Research 141, 61-94

Begründet die Offenlegung effektiver Gewichte und die Einordnung der Gleichgewichtung als normative, nicht empirische Setzung.

Aktiv ausgenutzte Schwachstellen

CISA Binding Operational Directive 22-01 / KEV Catalog

KEV-Einträge belegen aktive Ausnutzung. Die Due Dates binden US-Bundesbehörden (FCEB) und dienen hier nur als externes Referenzsignal, nicht als Disziplin-Messung.

Kritische Schwachstellen

FIRST CVSS v3.1 Specification: Qualitative Severity Rating Scale (Critical = 9.0-10.0)

Critical-CVE-Volumen basiert auf der CVSS-v3-Schweregradskala, wie sie die NVD anwendet.

Exploit-Wahrscheinlichkeit

FIRST EPSS: Wahrscheinlichkeit von Ausnutzungsaktivität in den nächsten 30 Tagen, täglich aktualisiert

EPSS wird als 30-Tage-Ausnutzungswahrscheinlichkeit interpretiert; die 70-Prozent-Schwelle ist ein deklarierter redaktioneller Hochrisiko-Schnitt; Modellwechsel werden per Guard abgefangen.

AI-Act-Fristen

Verordnung (EU) 2024/1689, Art. 113 (Geltungsbeginn) inkl. Digital-Omnibus-Änderungen (vorläufige Einigung 07.05.2026)

Kalendertage bis zum nächsten Anwendungsmeilenstein werden als regulatorischer Runway verwendet; der Meilensteinplan wird redaktionell gepflegt.

Wechselkurs-Referenz

EZB Euro Foreign Exchange Reference Rates (Referenzkurse, ca. 16:00 MEZ)

Referenzkurse zu Informationszwecken als Basis des USD-Kostendrucks; keine Transaktionskurse.

Messwerte Berechnung, Quelle, Nutzung und Implikation
Cybersecurity 27

Aktive Exploitlast

Neue CISA-KEV-Einträge seit 26.05.2026; letzter Katalogeintrag vom 25.06.2026. KEV listet ausschließlich Schwachstellen mit belegter aktiver Ausnutzung.

Signal
+8 ggü. Vorperiode
Datenstand
25.06.2026
KPI berechnet
25.06.2026, 21:51 MESZ
Interpretation
25.06.2026, 21:51 MESZ
Formel
Anzahl der Einträge im CISA-KEV-Katalog mit dateAdded innerhalb der letzten 30 Tage; Vergleich mit dem vorhergehenden 30-Tage-Fenster.

Berechnung

  • Aktuelles Fenster: 26.05.2026 bis 25.06.2026 = 27 Einträge
  • Vorperiode: 19 Einträge
  • Delta: +8
  • Median des CISA-Remediation-Fensters (dueDate - dateAdded): 3 Tage

Nutzung

  • Als wöchentliches Priorisierungssignal für Patch-, Exposure-Management- und Security-Operations-Reviews nutzen.
  • Mit eigener Asset-Inventur abgleichen: relevant sind vor allem Einträge, deren Hersteller oder Produkte im Unternehmen vorkommen.

Implikationen

  • Ein steigender Wert bedeutet mehr real beobachtete Ausnutzung und erhöhten Druck auf das Schwachstellenmanagement.
  • Die Zugangsrate hängt auch von CISA-Analysekapazität und Publikationsrhythmus ab; einzelne Wochen können Batch-Effekte enthalten.

Quellen

Rohdaten

  • currentCount: 27
  • previousCount: 19
  • delta: 8
  • latestDate: 2026-06-25
  • remediationMedianDays: 3
Vulnerability Management 14,8 %

KEV-Ransomware-Anteil

Anteil der neuen KEV-Einträge der letzten 30 Tage, die laut CISA in bekannten Ransomware-Kampagnen verwendet werden (Feld knownRansomwareCampaignUse).

Signal
Langfrist-Basis 20,1 %
Datenstand
25.06.2026
KPI berechnet
25.06.2026, 21:51 MESZ
Interpretation
25.06.2026, 21:51 MESZ
Formel
Anteil = KEV-Einträge mit knownRansomwareCampaignUse = "Known" im 30-Tage-Fenster / alle neuen KEV-Einträge im Fenster. Vergleichsbasis ist der Anteil im Gesamtkatalog.

Berechnung

  • Neue KEV-Einträge im Fenster: 27
  • Davon mit bekannter Ransomware-Nutzung: 4 (14,8 %)
  • Langfristiger Kataloganteil: 327 von 1.629 (20,1 %)

Nutzung

  • Als Schweregrad-Signal lesen: Ransomware-genutzte Schwachstellen haben unmittelbares Erpressungs- und Ausfallpotenzial.
  • Bei erhöhtem Anteil Backup-Restorefähigkeit, Segmentierung und Notfallübungen prüfen.

Implikationen

  • Liegt der Anteil über der langfristigen Katalogbasis, ist die aktuelle Exploit-Welle überdurchschnittlich ransomware-getrieben.
  • Bei kleinen Fallzahlen (unter 5 neuen Einträgen) wird kein Score gebildet, weil der Anteil statistisch nicht belastbar ist.

Quellen

Rohdaten

  • currentCount: 27
  • currentRansomwareCount: 4
  • currentShare: 0.14814814814814814
  • catalogRansomwareCount: 327
  • catalogTotal: 1629
  • catalogShare: 0.2007366482504604
Security Engineering 140

Kritische CVEs

Neu veröffentlichte NVD-CVEs mit CVSS-v3-Schweregrad CRITICAL (9.0-10.0) im 30-Tage-Fenster.

Signal
-19 ggü. Vorperiode
Datenstand
25.06.2026
KPI berechnet
25.06.2026, 21:51 MESZ
Interpretation
25.06.2026, 21:51 MESZ
Formel
NVD CVE API: pubStartDate/pubEndDate der letzten 30 Tage, Filter cvssV3Severity=CRITICAL, Wert totalResults.

Berechnung

  • Aktuelles Fenster: 26.05.2026 bis 25.06.2026 = 140
  • Vorperiode: 159
  • Delta: -19

Nutzung

  • Als Volumensignal für Vulnerability-Management-Backlog, Scanner-Regeln und Lieferantenkommunikation nutzen.
  • Mit EPSS, KEV und eigener Exposition kombinieren; CVSS kritisch allein reicht nicht für Priorisierung.

Implikationen

  • Ein hoher Wert erhöht den Triage-Aufwand und kann Patch-Fenster, Testkapazität und Release-Planung belasten.
  • Methodischer Hinweis: Die Zählung erfasst nur CVEs mit vorhandener CVSS-v3-Bewertung; NVD-Anreicherungsrückstände und Nachbewertungen können Fenster rückwirkend verändern.

Quellen

Rohdaten

  • currentCount: 140
  • previousCount: 159
  • delta: -19
Threat Prioritization 2.438

EPSS-Hochrisiko

CVE mit mehr als 70 % Wahrscheinlichkeit von Ausnutzungsaktivität in den nächsten 30 Tagen laut EPSS am 25.06.2026.

Signal
+18 in 7 Tagen
Datenstand
25.06.2026
KPI berechnet
25.06.2026, 21:51 MESZ
Interpretation
25.06.2026, 21:51 MESZ
Formel
FIRST EPSS API: Anzahl aller CVE mit epss > 0,7; Vergleich mit dem Stand sieben Tage zuvor (date-Parameter).

Berechnung

  • Stand 25.06.2026: 2.438
  • Vergleich 18.06.2026: 2.420
  • Delta: +18

Nutzung

  • Für risikobasierte Patch-Reihenfolgen einsetzen, besonders wenn mehr kritische und hohe CVEs vorliegen als zeitnah patchbar sind.
  • Mit Asset-Kritikalität und Erreichbarkeit verbinden, bevor daraus ein verbindliches Patch-Ticket entsteht.

Implikationen

  • Ein steigender Wert zeigt, dass mehr CVEs mit hoher prognostizierter Ausnutzungswahrscheinlichkeit im Umlauf sind.
  • Methodischer Hinweis: EPSS-Modellwechsel verschieben alle Scores gleichzeitig; Sprünge über 25 % in 7 Tagen werden deshalb nicht als Lageänderung gewertet.

Quellen

Rohdaten

  • currentCount: 2438
  • previousCount: 2420
  • delta: 18
  • scoreDate: 2026-06-25
Software Supply Chain 126

OSS-Patchdruck

GitHub-reviewed Security Advisories mit Schweregrad critical, veröffentlicht in den letzten 30 Tagen.

Signal
-64 ggü. Vorperiode
Datenstand
25.06.2026
KPI berechnet
25.06.2026, 21:51 MESZ
Interpretation
25.06.2026, 21:51 MESZ
Formel
GitHub Global Advisories API: type=reviewed, severity=critical, published im 30-Tage-Fenster; paginiert gezählt.

Berechnung

  • Aktuelles Fenster: 26.05.2026 bis 25.06.2026 = 126
  • Vorperiode: 190
  • Alle API-Seiten des Fensters wurden gezählt.

Nutzung

  • Als Signal für Open-Source-Supply-Chain-Reviews, Dependabot-/SCA-Regeln und kritische Paketökosysteme nutzen.
  • Bei erhöhtem Wert prüfen, ob zentrale Repositories aktuelle Lockfiles, SBOMs und automatische Advisory-Alerts haben.

Implikationen

  • Mehr kritische Advisories bedeuten mehr Druck auf Dependency-Updates und Freigabetests.
  • Der Wert ist ecosystem-übergreifend; relevant wird er erst durch Abgleich mit den im Unternehmen eingesetzten Paketen.

Quellen

Rohdaten

  • currentCount: 126
  • previousCount: 190
  • delta: -64
  • truncated: false
Cloud & FinOps +1,2 %

Cloud-USD-Faktor

Veränderung der durchschnittlichen USD-Kosten in Euro: aktuelles 30-Beobachtungen-Fenster gegenüber dem vorhergehenden Fenster (EZB-Referenzkurse).

Signal
EUR/USD 1,1342
Datenstand
25.06.2026
KPI berechnet
25.06.2026, 21:51 MESZ
Interpretation
25.06.2026, 21:51 MESZ
Formel
USD-Kosten in EUR = 1 / EUR-USD-Referenzkurs. KPI = Mittel der letzten 30 Beobachtungen / Mittel der 30 Beobachtungen davor - 1.

Berechnung

  • EZB-Stichtag: 25.06.2026
  • EUR/USD: 1,1342
  • Aktuelles Fenster: 30 Beobachtungen, Vorperiode: 30
  • Kostenveränderung Periode zu Periode: +1,2 %

Nutzung

  • Für Cloud-Budgetgespräche nutzen, wenn relevante Provider- oder SaaS-Kosten in USD fakturiert werden.
  • Mit tatsächlichem USD-Anteil der Cloud- und Softwareverträge multiplizieren, um den unternehmensspezifischen Budgeteffekt zu schätzen.

Implikationen

  • Ein positiver Wert verteuert USD-basierte Cloud-Ausgaben in Euro gegenüber der Vorperiode; ein negativer Wert entlastet.
  • Der KPI erklärt Wechselkurseffekte, nicht Verbrauchsänderungen; FinOps muss beides getrennt ausweisen.

Quellen

Rohdaten

  • usdCostChange: 0.012021011671666582
  • currentAvgUsdCost: 0.864455421546294
  • previousAvgUsdCost: 0.8541872269216799
  • latestUsdPerEur: 1.1342
  • latestDate: 2026-06-25
IT-Leadership 642.810

Arbeitsstellenmarkt

Gemeldete Arbeitsstellen in Deutschland im Berichtsmonat Mai 2026; gesamtwirtschaftlicher Frühindikator, nicht IT-spezifisch.

Signal
+1 % ggü. Vorjahr
Datenstand
25.06.2026
KPI berechnet
25.06.2026, 21:51 MESZ
Interpretation
25.06.2026, 21:51 MESZ
Formel
Bundesagentur-API: aktueller Bestand gemeldeter Arbeitsstellen für Deutschland; Delta = Veränderung zum Vorjahresmonat in Prozent.

Berechnung

  • Berichtsmonat: Mai 2026
  • Bestand: 642.810
  • Veränderung zum Vorjahr: +8.340 (+1 %)

Nutzung

  • Als gesamtwirtschaftlichen Kontext für Recruiting-, Bindungs- und Sourcing-Planung nutzen.
  • Nicht als IT-Fachkräfte-KPI interpretieren; für IT-spezifische Entscheidungen mit internen Time-to-Hire- und Bewerberdaten ergänzen.

Implikationen

  • Ein enger Arbeitsmarkt erschwert Besetzung und erhöht den Wert von Retention, Upskilling und externer Delivery-Flexibilität.
  • Ein entspannterer Gesamtmarkt kann Verhandlungsspielraum schaffen, löst aber spezifische IT-Skill-Engpässe nicht automatisch.

Quellen

Rohdaten

  • stock: 642810
  • yoyAbs: 8340
  • yoyRel: 0.01
  • month: Mai 2026
Compliance 38 Tage

AI-Act-Fenster

Kalendertage bis zum nächsten Anwendungsmeilenstein der Verordnung (EU) 2024/1689: Allgemeine Anwendbarkeit der Verordnung (Art. 113). Meilensteinplan redaktionell gepflegt, Rechtsstand 11.06.2026.

Signal
bis 02.08.2026
Datenstand
25.06.2026
KPI berechnet
25.06.2026, 21:51 MESZ
Interpretation
25.06.2026, 21:51 MESZ
Formel
Kalendertage zwischen Stichtag der KPI-Erhebung und dem nächsten Meilenstein des redaktionell gepflegten Anwendungsfristen-Plans (Art. 113 AI Act inkl. Omnibus-Änderungen).

Berechnung

  • Stichtag: 25.06.2026
  • Nächster Meilenstein: 02.08.2026 (Allgemeine Anwendbarkeit der Verordnung (Art. 113))
  • Restlaufzeit: 38 Tage
  • Hinweis: Die Omnibus-Einigung vom 07.05.2026 verschiebt die Hochrisiko-Pflichten (Anhang III auf 02.12.2027, Anhang I auf 02.08.2028); formale Annahme stand 06/2026 noch aus.

Nutzung

  • Als Countdown für AI-Governance-Roadmaps, Systeminventar, Risikoklassifizierung und Dokumentationslücken nutzen.
  • In Steering Committees mit konkreten Meilensteinen verbinden: Inventar, Klassifizierung, Owner, Kontrollen, Nachweise.

Implikationen

  • Je kürzer das Fenster, desto riskanter werden manuelle Nachdokumentation und unklare Verantwortlichkeiten.
  • Der KPI ist zwischen Rechtsänderungen ein deterministischer Countdown; er misst Fristendruck, keine Ereignislage.

Quellen

Rohdaten

  • daysRemaining: 38
  • deadline: 2026-08-02
  • milestoneLabel: Allgemeine Anwendbarkeit der Verordnung (Art. 113)
  • provisional: false
  • milestonesAsOf: 2026-06-11
Quellenregister Abruf und Aktualität
CISA Known Exploited Vulnerabilities Catalog Cybersecurity and Infrastructure Security Agency
laufend
abgerufen
25.06.2026, 21:50 MESZ
NVD CVE API 2.0 National Institute of Standards and Technology
laufend
abgerufen
25.06.2026, 21:50 MESZ
FIRST EPSS API Forum of Incident Response and Security Teams
täglich
abgerufen
25.06.2026, 21:50 MESZ
GitHub Global Security Advisories API GitHub
laufend
abgerufen
25.06.2026, 21:51 MESZ
EZB Euro Foreign Exchange Reference Rates European Central Bank
börsentäglich
abgerufen
25.06.2026, 21:51 MESZ
Eckwerte gemeldete Arbeitsstellen Statistik der Bundesagentur für Arbeit
monatlich
abgerufen
25.06.2026, 21:51 MESZ
Verordnung (EU) 2024/1689 (AI Act), Anwendungsfristen Art. 113 Europäische Union / EUR-Lex
redaktionelle Pflege bei Rechtsänderungen
redaktionell gepflegt
25.06.2026, 21:51 MESZ