Die heutigen Auswertungen zu den Awareness- und Trainingsmassnahmen erlauben noch keine Aussage über die Wirksamkeit von spezifischen Massnahmen. Für einige umgesetzte Awareness- und Trainingsmassnahmen sind keine Zielwerte und Massnahmen zur Steigerung der Wirksamkeit definiert. Die Zielsetzung war die Entwicklung und Etablierung von mindestens einem Key Performance Indicator (KPI), um die Wirkung von Awareness- und Trainingsmassnahmen aufzuzeigen, geeignete Massnahmen zur Steigerung der Wirksamkeit abzuleiten und zu ermitteln, ob Awareness und Training in einem KPI gemessen werden können.

Durch eine Literaturrecherche wurden theoretische Grundlagen zu den Themengebieten Informationssicherheit, Awareness, Training sowie KPI und deren Entwicklung erarbeitet. Anschliessend wurde untersucht, welche Daten zur Entwicklung des KPI im Unternehmen zur Verfügung stehen. Aus diesen Daten wurden mögliche KPI identifiziert. Um zu definieren, welcher KPI eingesetzt werden soll, wurden die Anforderungen der Auftraggeberschaft dokumentiert und die Anforderungen von fünf weiteren Stakeholdern erhoben. Dafür wurden Interviews nach problemzentriertem Ansatz durchgeführt.

Aufgrund der gesammelten Erkenntnisse konnten zwei KPIs entwickelt und etabliert werden, welche auf Empfehlungen aus der Literatur basieren und gleichzeitig die Anforderungen der Stakeholder berücksichtigen. Der erste KPI liefert Erkenntnisse über das Meldeverhalten von simulierten Phishing E-Mails, über einen entsprechenden Button in Outlook. Der zweite KPI liefert Erkenntnisse über die Häufigkeit von Fehlverhalten im Umgang mit simulierten Phishing E-Mails. Für die KPIs wurden Massnahmen bei Unter-/Überschreitung der Zielwerte definiert, wobei die «Prüfung der Ursache» als wichtigste Massnahme gesehen wird. In beiden KPIs werden Aspekte von Awareness- sowie Trainingsmassnahmen gemessen. Somit gelingt die Vereinigung der beiden Bereiche in jeweils einem KPI. Die beiden KPIs ermöglichen dem Unternehmen das Beobachten von Trends im Umgang mit simulierten Phishing E-Mails. Dank dieser Erkenntnisse wird es möglich sein Awareness- und Trainingsmassnahmen gezielter einzusetzen und die Wirkung zu beobachten.