Wirksamkeitskontrolle (Effectiveness Review / Control Effectiveness Testing)

Wirksamkeitskontrolle bezeichnet die regelmäßige Überprüfung, ob implementierte Sicherheitsmaßnahmen, Schutzkontrollen und Prozesse tatsächlich die erwartete Wirkung erzielen und die zugrunde liegenden Risiken hinreichend reduzieren. ISO 27001 (Kap. 9) und BSI IT-Grundschutz fordern explizit Wirksamkeitsmessungen durch interne Audits, Metriken und regelmäßige Management Reviews; reine Implementierung ohne Wirksamkeitsnachweis erfüllt die Anforderungen nicht. In IT-Vergaben für Managed Security Services sollten Auftraggeber messbare KPIs (z.B. Mean Time to Detect, Patch-Coverage-Rate, Phishing-Klickrate nach Schulungen) als vertragliche Leistungsnachweis-Kennzahlen vereinbaren.