Echte Datenquellen
Transparenz ist uns wichtig. Hinter jedem Benchmark-Vergleich in Alev-B stehen echte, öffentlich zugängliche Studien und Reports — keine intern geschätzten Zahlen. Diese Seite dokumentiert, welche Datenquellen wir verwenden, was sie messen und wie sie in die Benchmark-Berechnungen einfließen.

DORA State of DevOps 2024
Der DORA Report (Google / DORA Research Program) ist der Goldstandard für DevOps-Reifegradmessung. Die Studie befragt jährlich Tausende von Softwareorganisationen weltweit.
Gemessene Metriken (DORA Four Keys):
- Deployment Frequency — Wie oft wird in Production deployt? Elite: mehrmals täglich | High: einmal täglich bis wöchentlich | Medium: einmal wöchentlich bis monatlich | Low: weniger als monatlich
- Lead Time for Changes — Zeit von Commit bis Production. Elite: < 1 Stunde | High: 1 Tag bis 1 Woche | Medium: 1 Woche bis 1 Monat | Low: > 6 Monate
- Change Failure Rate — Anteil der Deployments, die einen Incident verursachen. Elite: 0–5% | High: 5–10% | Medium/Low: 11–30%
- MTTR (Mean Time to Restore) — Wiederherstellungszeit nach einem Ausfall. Elite: < 1 Stunde | High: < 1 Tag | Medium: 1 Tag bis 1 Woche | Low: > 6 Monate
NIST Cybersecurity Framework 2.0
Das NIST CSF 2.0 (National Institute of Standards and Technology) ist der internationale Referenzrahmen für Cybersecurity-Reifegradmessungen, aktualisiert 2024 mit einer neuen "Govern"-Funktion.
- 4 Tiers: Partial (1) → Risk Informed (2) → Repeatable (3) → Adaptive (4)
- 6 Funktionen: Govern, Identify, Protect, Detect, Respond, Recover
Gartner AI Maturity Model
Das Gartner AI Maturity Model bewertet die KI-Reife von Organisationen auf 5 Leveln — von opportunistischen Experimenten bis hin zu transformativen, KI-nativen Geschäftsmodellen.
- Level 1 — Awareness (Einzelprojekte ohne Strategie)
- Level 2 — Active (Pilotprojekte, erste Governance)
- Level 3 — Operational (Skalierung, MLOps)
- Level 4 — Systemic (KI als Kernkompetenz)
- Level 5 — Transformational (KI-natives Geschäftsmodell)
CIS Controls v8
Die CIS Controls (Center for Internet Security) sind 18 priorisierte Sicherheitsmaßnahmen, unterteilt in drei Implementation Groups (IG) nach Unternehmensgröße und Risikoprofil.
- IG1 — Grundschutz für kleine Unternehmen (6 Controls)
- IG2 — Erweiterte Maßnahmen für mittlere Unternehmen (16 Controls)
- IG3 — Vollständige Implementierung für komplexe Umgebungen (alle 18 Controls)
FinOps Foundation
Das FinOps Framework beschreibt Cloud-Kostenmanagement in drei Reifegraden, die den typischen Adoptionspfad von Organisationen widerspiegeln.
- Crawl — Grundlegende Sichtbarkeit, manuelle Prozesse
- Walk — Automatisierung, Account-Struktur, Budget-Alerts
- Run — Vollständige Governance, Real-Time Optimierung, FinOps-Kultur
Verizon DBIR 2024
Der Verizon Data Breach Investigations Report (DBIR) analysiert jährlich Tausende von Sicherheitsvorfällen weltweit, aufgeschlüsselt nach Branchen. Die branchenspezifischen Daten des DBIR 2024 fließen in unsere Security-Benchmarks ein:
- Financial Services — Credential-Angriffe, Insider-Threats
- Healthcare — Ransomware, Fehlkonfigurationen, Insiderfehler
- Manufacturing — OT/ICS-Angriffe, Spionage
- Retail — POS-Angriffe, E-Commerce-Skimming
- Public Sector — Spionage, DDoS, Fehlkonfigurationen
- Education — Ransomware, Social Engineering
Nächste Schritte
- Andere Branche vergleichen & Benchmark im PDF — Vergleichsszenarien und PDF-Integration
- Branchenvergleich starten — erste Benchmark-Analyse durchführen