Prozess Risikoeinschätzung Risikobehandlung ISO 27001

Risikoeinschätzung und -behandlung ISO 27001

Die Risikoeinschätzung (Risikobewertung) ist der aufwendigste Teil, den Sie neben der Risikobehandlung bei der Einführung des ISMS ISO 27001 bearbeiten müssen. Der Sinn der Risikoeinschätzung in der ISO 27001 besteht darin, alle potenziellen Vorfälle im Vorfeld zu betrachten, zu bestimmen, zu bewerten und geeignete Maßnahmen, beispielsweise aus dem Annex A der 27001, umzusetzen. Dabei sollte der Fokus auf die Vorfälle gerichtet werden, die den grössten Schaden anrichten können.

In der Risikoeinschätzung sind zunächst alle Assets (Vermögenswerte) aufzulisten, die eine Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit haben können und im darauffolgenden Schritt die Bedrohungen und Schwachstellen, die in direkten Zusammenhang mit den Assets stehen. Diese müssen den Assets zugeordnet werden. Danach erfolgt im nächsten Schritt die Bewertung dieser Risiken anhand von Auswirkungen und Wahrscheinlichkeiten. Eine hohe Auswirkung muss nicht zwingend eine Maßnahme definieren sofern die Wahrscheinlichkeit, dass diese Auswirkung eintritt, sehr gering ist.

Bedeutung der Risikoeinschätzung

Im Rahmen eines ISMS (Informationssicherheits-Managementsystems z.B. ISO 27001) oder auch anderer Managementansätze steht die Risikobewertung an erster Stelle. Sie liefert Antworten auf Fragen wie:

Welche Gefahren bestehen für geschäftskritische Daten und Prozesse?

Welche Eintrittswahrscheinlichkeit haben diese Bedrohungen?

Welche Schäden könnten im Ernstfall entstehen?

Diese Fragen sind nicht nur für IT-Teams relevant, sondern auch für das obere Management, da die Ergebnisse der Risikobewertung oft unmittelbare Konsequenzen für Budgetplanung, Personalentscheidungen und technische Investitionen haben.

Was versteht man unter Risikoeinschätzung?

Eine Risikoeinschätzung (oft auch Risikoanalyse oder Risikobeurteilung genannt) zielt darauf ab, alle relevanten Risiken systematisch zu identifizieren und ihren potenziellen Einfluss auf das Unternehmen abzuschätzen. Dabei berücksichtigt man mögliche Bedrohungen, wie beispielsweise Cyberangriffe, Naturkatastrophen, Compliance-Verstöße oder auch interne Fehlhandlungen. Im ersten Schritt werden alle Risiken, die das Unternehmen betreffen könnten, gesammelt. Anschließend erfolgt die Bewertung der Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeit und ihrer Schadensauswirkung.

Grundlegend gilt: Je wahrscheinlicher ein Risiko eintritt und je gravierender seine Folgen sind, desto höher wird seine Relevanz eingestuft. Bei der Risikoeinschätzung ist es wichtig, verschiedene Szenarien durchzuspielen und nicht nur auf vergangene Vorfälle zu schauen, sondern auch zukünftige Entwicklungen und Trends zu berücksichtigen.

Was versteht man unter Risikobehandlung?

Nach der Risikoeinschätzung folgt die Risikobehandlung. Dieser Prozess widmet sich der Frage, wie man mit identifizierten Risiken umgeht. Eine sorgfältige Risikobehandlung ist entscheidend, da sie konkrete Maßnahmen definiert, um schädliche Auswirkungen zu verringern oder ganz zu vermeiden. Typischerweise werden vier grundlegende Strategien unterschieden:

Vermeiden: Risikobehaftete Aktivitäten oder Prozesse werden reduziert oder eingestellt, um das Risiko ganz zu eliminieren.

Vermindern: Durch präventive Maßnahmen wird die Wahrscheinlichkeit des Risikoeintritts oder die Schwere des Schadens gesenkt (z. B. durch Sicherheitsrichtlinien oder regelmäßige Schulungen).

Übertragen: Das Risiko wird an Dritte weitergegeben, beispielsweise durch Versicherungen oder Auslagerung bestimmter Geschäftsbereiche.

Akzeptieren: Wenn ein Risiko weder wirtschaftlich sinnvoll vermieden noch vermindert oder übertragen werden kann, nimmt man es in Kauf und plant mögliche Maßnahmen für den Schadensfall ein.

Was ist ein Risikobehandlungsplan?

Die Risikobehandlung (Risikobehandlungsplan) ist der nächste Schritt nach der Risikoeinschätzung und sorgt für die Umsetzung. Im Risikobehandlungsplan werden die notwendigen Ressourcen, Verantwortlichkeiten, Budget etc. festgelegt. Dieser Risikobehandlungsplan muss durch die oberste Leitung freigegeben und genehmigt werden. Vor allem einzelne Maßnahmen aus der Risikoeinschätzung sind teilweise mit erheblichen Kosten verbunden, die durch die oberste Leitung bzw. durch das Top Management freigegeben werden müssen. Sofern Sie ausgelagerte bzw. ausgegliederte Prozesse haben, sind diese ebenfalls in der Risikoeinschätzung zu hinterfragen. Oftmals ist ein Vertrag zwischen Unternehmen und Dienstleister ausreichend.

≠

Unterschied Risikoeinschätzung & -behandlung

In der ISO 27001 beziehen sich Risikoeinschätzung und Risikobehandlung auf unterschiedliche, aber miteinander verknüpfte Schritte im Risikomanagementprozess. Hier die Hauptunterschiede – kompakt und praxisnah:

Risikoeinschätzung (Risk Assessment)
Identifikation, Analyse, Bewertung

Identifikation: Erfassung von Risiken bzgl. Vertraulichkeit, Integrität, Verfügbarkeit (CIA).

Analyse: Bewertung der Eintrittswahrscheinlichkeit und der potenziellen Auswirkungen.

Bewertung & Priorisierung: Einordnung in die Risikomatrix und Festlegung der Dringlichkeit.

Risikobehandlung (Risk Treatment)
Strategie, Maßnahmen, Umsetzung

Risikovermeidung: Stopp/Anpassung riskanter Aktivitäten.

Risikominderung: Präventive Kontrollen/Org.-Maßnahmen.

Risikoübertragung: Versicherung/Outsourcing (SLAs).

Risikoakzeptanz: Tolerieren mit Notfallvorsorge.

Ergebnis der Einschätzung sind priorisierte Risiken; Ergebnis der Behandlung sind begründete Maßnahmen und ein freigegebener Umsetzungsplan (inkl. SoA).

Methoden zur Risikoeinschätzung & -behandlung

Qualitativ: Skalen für Wahrscheinlichkeit/Auswirkung, expertenbasiert.

Quantitativ: Daten/Modelle, objektiver – datenintensiv.

SWOT: Stärken/Schwächen/Chancen/Risiken.

Risk Register: Zentrale Liste inkl. Maßnahmenverknüpfung.

Score-Modelle: Punkte je Kriterium, differenziert aber teils subjektiv.

🔎

Risikoanalyse durchführen – Schritt für Schritt

Von Scope bis PDCA: Die nachfolgenden Schritte führen Sie visuell durch die Risikoanalyse nach ISO 27001 – mit klaren Teilaufgaben und praxisnahen Beispielen.

Anwendungsbereich und Zielsetzung festlegen

1.1 Scope definieren: Bereiche, Standorte und IT-Systeme bestimmen.

1.2 Ziele: Kritische Risiken erkennen, Zertifizierung vorbereiten.

Informationen sammeln (Kontextanalyse)

2.1 Organisationskontext: Prozesse, Systeme, Daten und Partner erfassen.

2.2 Rechtliche Anforderungen: DSGVO, branchenspezifische Regelungen, Verträge.

2.3 Rollen: Beteiligung von Fachexperten, IT-Leitung, Informationssicherheitsbeauftragtem.

Assets (Werte) identifizieren und kategorisieren

3.1 Asset-Liste: Datenbanken, Server, Anwendungen, personenbezogene Daten, Verträge.

3.2 Klassifizierung: Gruppierung nach Abteilungen oder Systemen.

3.3 Schutzbedarf (CIA): Bewertung in niedrig, mittel oder hoch.

Bedrohungen und Schwachstellen ermitteln

4.1 Bedrohungen: Malware, Social Engineering, Systemausfälle, Diebstahl, Naturereignisse.

4.2 Schwachstellen: Ungepatchte Systeme, fehlende Zugriffsrechte, geringe Awareness.

4.3 Methode: Workshops, Interviews, Bedrohungskataloge.

Risiko-Bewertung durchführen

5.1 Skala 1–5: Wahrscheinlichkeit und Schadenshöhe definieren.

5.2 Risikomatrix: Kombination von Eintrittswahrscheinlichkeit × Auswirkung.

5.3 Klassifizierung: Einteilung in gering, mittel, hoch oder kritisch.

Risikobehandlung planen

6.1 Strategie: Avoid, Treat, Transfer oder Accept.

6.2 Maßnahmen: Multi-Faktor-Authentifizierung, Backups, Schulungen, Segmentierung.

6.3 Wirtschaftlichkeit: Kosten-Nutzen-Abwägung durchführen.

Statement of Applicability (SoA) vorbereiten

7.1 Kontrollziele: Annex A als Referenz nutzen.

7.2 Anwendbarkeit: Für jedes Risiko festlegen, welche Controls greifen.

7.3 Begründungen: Dokumentieren, warum Maßnahmen umgesetzt oder ausgeschlossen werden.

Dokumentation fertigstellen

8.1 Report: Risiko-Analyse mit allen Schritten und Ergebnissen.

8.2 Freigabe: Versionierung und Genehmigung durch Geschäftsleitung.

8.3 Verknüpfung: Business Impact Analyse, Notfallkonzept, Richtlinien.

Umsetzung der Maßnahmen (Action Plan)

9.1 Priorisierung: Höchste Risiken zuerst behandeln.

9.2 Ressourcen: Budget, Verantwortliche und Zeitplan festlegen.

9.3 Tracking: Fortschritt regelmäßig prüfen und dokumentieren.

Überprüfung & kontinuierliche Verbesserung

10.1 Review: Jährlich oder bei wesentlichen Änderungen.

10.2 Wirksamkeit: Kennzahlen, Vorfälle, Audits, Penetrationstests.

10.3 PDCA: Plan – Do – Check – Act zur stetigen Verbesserung.

Zusammenfassung:
Scope und Ziele festlegen · Assets und Schutzbedarf bestimmen · Bedrohungen und Schwachstellen identifizieren · Risiken bewerten (Matrix) · Risikobehandlung planen (Maßnahmen, SoA) · Dokumentieren und freigeben · Maßnahmen umsetzen · Wirksamkeit regelmäßig prüfen.

Schrittweises Vorgehen & regelmäßige Aktualisierung

Risiken sind dynamisch (Technologie, Gesetzgebung, Kundenanforderungen). Planen Sie regelmäßige Reviews der Risikoeinschätzung und -behandlung ein und binden Sie alle Stakeholder ein.

Aktualisierung: Überprüfen Sie Risikoeinschätzung/-behandlung bei organisatorischen, technischen oder geschäftlichen Änderungen.

Fallbeispiel aus der Praxis

Ein mittelständischer IT-Dienstleister erkannte mittels qualitativer Analyse ein moderat wahrscheinliches, aber hochschädliches Datenleck-Risiko. Maßnahmenmix: regelmäßige Penetrationstests, Cyber-Versicherung (Restrisiko übertragen), MFA & Verschlüsselung (Risiko mindern).

Tipps für eine erfolgreiche Umsetzung

Klares Ziel: Assets & Schutzniveau definieren.

Stakeholder einbeziehen: IT, Fachbereiche, Management.

Regelmäßig aktualisieren: Audits/Workshops einplanen.

Praxisnahe Maßnahmen: umsetzbar & wirtschaftlich.

Transparentes Reporting: Berichte für Ressourcen.

Berichtswesen (Maßnahmen-Fortschritt)

Überwachen Sie den Maßnahmenplan regelmäßig, protokollieren Sie den Stand, planen Sie Eskalationen bei Verzögerungen und berichten Sie an die oberste Leitung.

Verankerung in ISO 27001 & kontinuierliche Verbesserung

Standards & Frameworks: ISO 31000 · ISO 27005 · NIST SP 800-30

PDCA-Zyklus: Plan (Analyse/Maßnahmenwahl) · Do (Umsetzung) · Check (Wirksamkeit) · Act (Anpassung)

Fazit

Risikoeinschätzung und Risikobehandlung bilden das Fundament eines wirksamen Risikomanagements. Strukturiert, überprüfbar, anpassungsfähig – so entsteht ein robustes ISMS nach ISO 27001.

Kategorie (Anlage A)	Beispiele für Sicherheitskontrollen (Maßnahmen)
A.5 Organisatorische Maßnahmen	– Dokumentierte Sicherheitsrichtlinien
	– Überprüfung und Aktualisierung der Sicherheitsrichtlinien

A.6 Personenbezogene Maßnahmen	– Rollen und Verantwortlichkeiten für die Informationssicherheit
	– Sicherheitsüberprüfung und Schulung

A.7 Physische Maßnahmen	– Physische Sicherheitsparameter
	– Zutritt und Sicherheitszonen

A.8 Technologische Maßnahmen	– Zugangsrechte und privilegierte Zugangsberechtigungen
	– Schutz vor Schadsoftware und Verhinderung von Datenlecks

FAQ – Risikoeinschätzung & Risikobehandlung ISO 27001

1 Was ist das Ziel der Risikoeinschätzung nach ISO 27001?

Ziel ist es, Risiken für Vertraulichkeit, Integrität und Verfügbarkeit zu identifizieren, zu bewerten und zu priorisieren, um fundierte Entscheidungen über geeignete Sicherheitsmaßnahmen treffen zu können.

2 Was ist der Unterschied zwischen Risikoeinschätzung und Risikobehandlung?

Die Risikoeinschätzung dient der Analyse und Bewertung von Risiken. Die Risikobehandlung folgt danach und legt fest, wie diese Risiken minimiert, übertragen, akzeptiert oder vermieden werden sollen.

3 Wie oft muss die Risikoeinschätzung durchgeführt werden?

Mindestens einmal jährlich oder bei wesentlichen Änderungen (z. B. neue Systeme, Organisation, Gesetze). Regelmäßige Reviews stellen sicher, dass aktuelle Bedrohungen berücksichtigt werden.

4 Wer ist verantwortlich für die Risikoanalyse im Unternehmen?

In der Regel der Informationssicherheitsbeauftragte (ISB) in Zusammenarbeit mit dem Management, der IT-Abteilung und den Fachbereichen. Das Top-Management trägt die Gesamtverantwortung.

5 Welche Methoden werden bei der Risikoeinschätzung angewendet?

Häufig kommen qualitative und quantitative Methoden, Risikomatrixen, SWOT-Analysen oder Risk Registers zum Einsatz. Die Auswahl richtet sich nach Unternehmensgröße und Datenlage.

6 Was enthält der Risikobehandlungsplan?

Der Plan beschreibt Maßnahmen, Verantwortlichkeiten, Fristen und Budgets. Er legt fest, wie priorisierte Risiken adressiert werden und ist von der Geschäftsleitung freizugeben.

7 Wie werden Risiken in der ISO 27001 bewertet?

Durch Kombination aus Eintrittswahrscheinlichkeit und Schadensauswirkung. Diese Bewertung erfolgt meist auf einer Skala (z. B. 1–5) und ergibt ein Risikoniveau (gering bis kritisch).

8 Welche Rolle spielt das Statement of Applicability (SoA)?

Das SoA dokumentiert, welche Sicherheitsmaßnahmen aus Annex A angewendet oder ausgeschlossen werden – einschließlich der Begründung. Es ist zentrales Audit-Dokument im ISMS.

9 Wann gilt ein Risiko als akzeptabel?

Wenn das Restrisiko nach Umsetzung der geplanten Maßnahmen innerhalb der vom Management definierten Risikobereitschaft liegt und keine unvertretbaren Auswirkungen drohen.

10 Wie wird die Wirksamkeit von Maßnahmen überprüft?

Durch regelmäßige Audits, Monitoring, KPIs und Tests (z. B. Penetrationstests). Erkenntnisse daraus fließen in die kontinuierliche Verbesserung (PDCA-Zyklus) ein.