Zum Inhalt springen
Startseite » Unser Blog » Informationsmanagementsysteme » Risikoeinschätzung und -behandlung ISO 27001

Risikoeinschätzung und -behandlung ISO 27001

Risikoeinschätzung

Die Risikoeinschätzung (Risikobewertung) ist der aufwendigste Teil, den Sie neben der Risikobehandlung bei der Einführung des ISMS ISO 27001 bearbeiten müssen. Der Sinn der Risikoeinschätzung in der ISO 27001 besteht darin, alle potenziellen Vorfälle im Vorfeld zu betrachten, zu bestimmen, zu bewerten und geeignete Maßnahmen, beispielsweise aus dem Annex A der 27001, umzusetzen. Dabei sollte der Fokus auf die Vorfälle gerichtet werden, die den grössten Schaden anrichten können.

In der Risikoeinschätzung sind zunächst alle Assets (Vermögenswerte) aufzulisten, die eine Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit haben können und im darauffolgenden Schritt die Bedrohungen und Schwachstellen, die in direkten Zusammenhang mit den Assets stehen. Diese müssen den Assets zugeordnet werden. Danach erfolgt im nächsten Schritt die Bewertung dieser Risiken anhand von Auswirkungen und Wahrscheinlichkeiten. Eine hohe Auswirkung muss nicht zwingend eine Maßnahme definieren sofern die Wahrscheinlichkeit, dass diese Auswirkung eintrifft, sehr gering ist.

Bedeutung der Risikoeinschätzung

Im Rahmen eines ISMS (Informationssicherheits-Managementsystems z.B. ISO 27001) oder auch anderer Managementansätze steht die Risikobewertung an erster Stelle. Sie liefert Antworten auf Fragen wie:

  • Welche Gefahren bestehen für geschäftskritische Daten und Prozesse?
  • Welche Eintrittswahrscheinlichkeit haben diese Bedrohungen?
  • Welche Schäden könnten im Ernstfall entstehen?

Diese Fragen sind nicht nur für IT-Teams relevant, sondern auch für das obere Management, da die Ergebnisse der Risikobewertung oft unmittelbare Konsequenzen für Budgetplanung, Personalentscheidungen und technische Investitionen haben.

Was versteht man unter Risikoeinschätzung?

Eine Risikoeinschätzung (oft auch Risikoanalyse oder Risikobeurteilung genannt) zielt darauf ab, alle relevanten Risiken systematisch zu identifizieren und ihren potenziellen Einfluss auf das Unternehmen abzuschätzen. Dabei berücksichtigt man mögliche Bedrohungen, wie beispielsweise Cyberangriffe, Naturkatastrophen, Compliance-Verstöße oder auch interne Fehlhandlungen. Im ersten Schritt werden alle Risiken, die das Unternehmen betreffen könnten, gesammelt. Anschließend erfolgt die Bewertung der Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeit und ihrer Schadensauswirkung.

Grundlegend gilt: Je wahrscheinlicher ein Risiko eintritt und je gravierender seine Folgen sind, desto höher wird seine Relevanz eingestuft. Bei der Risikoeinschätzung ist es wichtig, verschiedene Szenarien durchzuspielen und nicht nur auf vergangene Vorfälle zu schauen, sondern auch zukünftige Entwicklungen und Trends zu berücksichtigen.

Was versteht man unter Risikobehandlung?

Nach der Risikoeinschätzung folgt die Risikobehandlung. Dieser Prozess widmet sich der Frage, wie man mit identifizierten Risiken umgeht. Eine sorgfältige Risikobehandlung ist entscheidend, da sie konkrete Maßnahmen definiert, um schädliche Auswirkungen zu verringern oder ganz zu vermeiden. Typischerweise werden vier grundlegende Strategien unterschieden:

  • Vermeiden: Risikobehaftete Aktivitäten oder Prozesse werden reduziert oder eingestellt, um das Risiko ganz zu eliminieren.
  • Vermindern: Durch präventive Maßnahmen wird die Wahrscheinlichkeit des Risikoeintritts oder die Schwere des Schadens gesenkt (z. B. durch Sicherheitsrichtlinien oder regelmäßige Schulungen).
  • Übertragen: Das Risiko wird an Dritte weitergegeben, beispielsweise durch Versicherungen oder Auslagerung bestimmter Geschäftsbereiche.
  • Akzeptieren: Wenn ein Risiko weder wirtschaftlich sinnvoll vermieden noch vermindert oder übertragen werden kann, nimmt man es in Kauf und plant mögliche Maßnahmen für den Schadensfall ein.

Was ist ein Risikobehandlungsplan?

Die Risikobehandlung (Risikobehandlungsplan) ist der nächste Schritt nach der Risikoeinschätzung und sorgt für die Umsetzung. Im Risikobehandlungsplan werden die notwendigen Ressourcen, Verantwortlichkeiten, Budget etc. festgelegt. Dieser Risikobehandlungsplan muss durch die oberste Leitung freigegeben und genehmigt werden. Vorallem einzelne Maßnahmen aus der Risikoeinschätzung sind teilweise mit erheblichen Kosten verbunden, die durch die oberste Leitung bzw. durch das Top Management freigegeben werden müssen. Sofern Sie ausgelagerte bzw. ausgegliederte Prozesse haben, sind diese ebenfalls in der Risikoeinschätzung zu hinterfragen. Oftmals ist ein Vertrag zwischen Unternehmen und Dienstleister ausreichend.

Prozess Risikoeinschätzung Risikobehandlung ISO 27001
Prozess Risikoeinschätzung Risikobehandlung ISO 27001

Unterschied Risikoeinschätzung & -behandlung

In der ISO 27001 beziehen sich Risikoeinschätzung und Riskobehandlung auf unterschiedliche, aber miteinander verknüpfte Schritte im Risikomanagementprozess. Hier sind die Hauptunterschiede zwischen den beiden:

(1.) Risikoeinschätzung (Risk Assessment):

Die Risikoeinschätzung ist der Prozess der Identifikation, Analyse und Bewertung von Risiken, die die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in einer Organisation beeinflussen könnten. Dieser Prozess umfasst:

  • Die Identifikation von Risiken, die mit dem Verlust von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen verbunden sind.
  • Die Analyse der Wahrscheinlichkeit des Eintretens dieser Risiken sowie die potenziellen Auswirkungen auf die Organisation, sollten sie eintreten.
  • Die Bewertung der Risiken auf der Grundlage ihrer Wahrscheinlichkeit und Auswirkungen, um festzustellen, welche Risiken behandelt werden müssen.

(2). Risikobehandlung (Risk Treatment):

Die Risikobehandlung, auch als Risikoplanung bezeichnet, bezieht sich auf den Prozess der Entwicklung und Implementierung von Maßnahmen und Kontrollen, um die identifizierten und bewerteten Risiken zu behandeln. Dies kann durch eine Kombination aus verschiedenen Strategien erreicht werden, wie z. B.:

  • Risikovermeidung: Bestimmte Aktivitäten oder Prozesse, die ein Risiko darstellen, werden eingestellt oder nicht durchgeführt.
  • Risikominderung: Implementierung von Kontrollen und Maßnahmen, um das Risiko zu reduzieren oder seine Auswirkungen zu begrenzen.
  • Risikoübertragung: Verlagerung des Risikos an Dritte, z. B. durch Versicherungen oder Verträge.
  • Risikoakzeptanz: Die Organisation entscheidet, dass das Risiko tolerierbar ist und keine weiteren Maßnahmen erforderlich sind.

In der ISO 27001 sind die Risikobewertung und die Risikoplanung Teil eines kontinuierlichen Risikomanagementprozesses, der die Organisation dabei unterstützt, die Informationssicherheit aufrechtzuerhalten und ständig zu verbessern. Beide Prozesse sind miteinander verknüpft, da die Ergebnisse der Risikobewertung als Grundlage für die Entwicklung und Implementierung von Risikobehandlungsplänen dienen.

Methoden zur Risikoeinschätzung & -behandlung

  • Qualitative Risikoanalyse
    Bei dieser Methode werden Risiken anhand einer Skala eingestuft, die Faktoren wie Wahrscheinlichkeit und Auswirkungen der Risiken berücksichtigt. Die Ergebnisse sind meist subjektiv und basieren auf Expertenmeinungen
  • Quantitative Risikoanalyse
    Diese Methode nutzt statistische Modelle und Daten, um Wahrscheinlichkeiten und Auswirkungen der Risiken quantitativ zu bewerten. Die Ergebnisse sind objektiver, können jedoch schwierig zu ermitteln sein, insbesondere wenn Daten fehlen oder ungenau sind.
  • SWOT-Analyse
    Ursprünglich aus der strategischen Planung bekannt, hat sich die SWOT-Analyse (Stärken, Schwächen, Chancen, Risiken) auch bei Methoden zur Risikoeinschätzung und -behandlung etabliert. Sie liefert einen umfassenden Blick auf interne und externe Faktoren.
  • Risk Registers
    Eine praxisnahe Variante, die alle identifizierten Risiken in einer zentralen Liste bündelt. Jedes Risiko wird beschrieben, bewertet und mit Handlungsmaßnahmen verknüpft.

Score-basierte Modelle

Score-basierte Modelle zählen zu den am häufigsten genutzten Verfahren in Unternehmen, um Risiken zu bewerten. Dabei werden verschiedene Kriterien – etwa die Eintrittswahrscheinlichkeit eines Vorfalls, der mögliche Schaden oder die Entdeckbarkeit – auf einer Punktskala eingestuft (z. B. von 1 = sehr niedrig bis 5 = sehr hoch). Die vergebenen Punkte werden addiert oder gemittelt, was zu einem Gesamtwert führt: Je höher dieser Wert, desto kritischer das Risiko. Im Vergleich zu einer einfachen Ampelbewertung können Unternehmen so mehrere Faktoren in die Risikoeinschätzung einbeziehen und erhalten ein differenzierteres Bild. Allerdings bleibt die Punktevergabe bis zu einem gewissen Grad subjektiv, da die Entscheidung zwischen beispielsweise „3“ oder „4 Punkten“ nicht immer eindeutig ist.

Risikoanalyse durchführen

Anleitung Schritt für Schritt zur Risikoanalyse

  1. Anwendungsbereich und Zielsetzung festlegen

    1.1 Scope definieren: Lege fest, für welche Bereiche, Standorte und IT-Systeme die Risiko-Analyse durchgeführt wird (z. B. gesamtes Unternehmen, einzelne Abteilungen oder spezifische IT-Komponenten).
    1.2 Ziel(e) der Analyse: Bestimme, was du mit der Analyse erreichen möchtest (z. B. Identifikation der kritischsten Risiken, Vorbereitung der Zertifizierung, Priorisierung von Maßnahmen).

  2. Informationen sammeln (Kontextanalyse)

    2.1 Organisationskontext erfassen: Welche Geschäftsprozesse, Systeme, Daten und relevanten Partner sind in diesem Scope besonders wichtig?
    2.2 Rechtliche und regulatorische Anforderungen: Prüfe, ob bestimmte Compliance-Vorgaben (z. B. DSGVO, branchenspezifische Regelungen) den Umfang beeinflussen.
    2.3 Rollen und Verantwortlichkeiten: Bestimme, wer in den Analyseprozess eingebunden werden muss (Fachexperten, IT-Leitung, Security-Beauftragte).

  3. Assets (Werte) identifizieren und kategorisieren

    3.1 Wertgegenstände (Assets) bestimmen: Erstelle eine Liste aller relevanten Assets, wie z. B. Datenbanken, Server, Netzwerke, Anwendungen, personenbezogene Daten, Patente, Verträge usw.
    3.2 Asset-Klassen bilden: Gruppiere ähnliche Assets (z. B. nach Abteilung oder IT-System), um die Analyse handhabbar zu machen.
    3.3 Schutzbedarf einstufen: Bewerte für jedes Asset die Wichtigkeit bezüglich Vertraulichkeit, Integrität und Verfügbarkeit (klassische CIA-Triade). Beispiel: niedrig, mittel, hoch.

  4. Bedrohungen und Schwachstellen ermitteln

    4.1 Bedrohungsszenarien sammeln: Definiere mögliche Gefahren (z. B. Malware, Hackerangriffe, Diebstahl, Naturkatastrophen).
    4.2 Schwachstellen identifizieren: Welche bestehenden Lücken oder Probleme machen das Eintreten dieser Bedrohungen wahrscheinlicher? (z. B. ungepatchte Systeme, unzureichende Zugriffsrechte, fehlende Awareness).
    4.3 Methode wählen: Oft werden Checklisten, Interviews oder Workshops genutzt, um Bedrohungen und Schwachstellen umfassend zu erfassen.

  5. Risiko-Bewertung durchführen

    5.1 Risikowert ermitteln: Verwende eine einheitliche Skala (z. B. 1–5) für die beiden Faktoren Eintrittswahrscheinlichkeit und Auswirkung (Schadenshöhe).
    5.2 Risikomatrix: Multipliziere (oder kombiniere) die beiden Werte, um ein Gesamtrisiko zu erhalten (z. B. Eintrittswahrscheinlichkeit * Auswirkung = Risikowert).
    5.3 Risikoeinstufung: Ordne das Ergebnis einer Kategorie zu (z. B. gering, mittel, hoch, kritisch).

  6. Risikobehandlung planen

    6.1 Strategie wählen: Für jedes identifizierte Risiko legst du fest, ob es vermieden (avoid), vermindert (treat), übertragen (transfer) oder akzeptiert (accept) werden soll.
    6.2 Maßnahmen ableiten: Aus der Risikobewertung ergeben sich konkrete Sicherheitsmaßnahmen, z. B. Einführung von Mehr-Faktor-Authentifizierung, regelmäßige Backups, Security Awareness-Schulungen.
    6.3 Kosten-Nutzen abwägen: Stelle sicher, dass die Maßnahmen in einem sinnvollen Verhältnis zu den möglichen Schäden stehen.

  7. Statement of Applicability (SoA) vorbereiten

    7.1 Kontrollziele und Maßnahmen nach ISO 27001: ISO 27001 enthält einen Maßnahmenkatalog (Anhang A), der als Referenz genutzt wird.
    7.2 Festlegen, welche Controls zutreffen: Für jedes Risiko (oder jede Gruppe von Risiken) entscheidest du, welche Controls du anwendest oder warum du ein Control ablehnst („not applicable“).
    7.3 Begründung dokumentieren: Erkläre knapp, warum bestimmte Maßnahmen angewendet oder ausgeschlossen werden. Das SoA ist später wichtiger Bestandteil des Zertifizierungsprozesses.

  8. Dokumentation fertigstellen

    8.1 Risiko-Analyse-Report: Fasse alle Schritte in einem Dokument zusammen – von der Asset-Identifikation über die Risikobewertung bis hin zur Maßnahmenplanung.
    8.2 Versionierung und Freigabe: Stelle sicher, dass klar ist, welche Version der Risiko-Analyse aktuell gültig ist und wer sie genehmigt hat (z. B. Geschäftsführung, ISMS-Leitung).
    8.3 Verknüpfungen: Verweise auf weitere Dokumente (z. B. Verzeichnis der Verarbeitungstätigkeiten, Business Impact Analyse, Notfallkonzept).

  9. Umsetzung der Maßnahmen (Action Plan)

    9.1 Projektplan erstellen: Setze Prioritäten für die Maßnahmenumsetzung (z. B. höchste Risiken zuerst angehen).
    9.2 Ressourcen bereitstellen: Ordne Budgets, Verantwortliche und Zeitpläne für jede Maßnahme zu.
    9.3 Fortschrittskontrolle: Überwache regelmäßig, ob die Maßnahmen greifen und ob neue Risiken entstanden sind.

  10. Überprüfung und Kontinuierliche Verbesserung

    10.1 Regelmäßiges Review: ISO 27001 verlangt, dass das ISMS und somit auch die Risiko-Analyse mindestens einmal jährlich oder bei Änderungen im Unternehmenskontext überprüft werden.
    10.2 Erfolge messen: Prüfe, ob die eingeführten Maßnahmen das Risiko effektiv reduzieren (z. B. weniger Sicherheitsvorfälle, bessere Ergebnisse bei Penetrationstests).
    10.3 Plan-Do-Check-Act (PDCA): Das ISMS ist ein kontinuierlicher Verbesserungsprozess. Passe die Risiko-Analyse laufend an neue Gegebenheiten, Technologien oder Bedrohungen an.

  11. Zusammenfassung

    Scope und Zielsetzung festlegen
    Assets und Schutzbedarf bestimmen
    Bedrohungen und Schwachstellen identifizieren
    Risiken bewerten und in einer Risikomatrix einstufen
    Risikobehandlung planen (Maßnahmen definieren, SoA vorbereiten)
    Dokumentieren und freigeben
    Maßnahmen umsetzen und kontinuierlich verbessern

Mit dieser Schritt-für-Schritt-Anleitung füllst du systematisch deine Risiko-Analyse nach ISO 27001 aus und schaffst die Basis für eine erfolgreiche Zertifizierung. Achte darauf, alle relevanten Stakeholder einzubeziehen und die Dokumentation stets auf dem aktuellen Stand zu halten. So stellst du sicher, dass das ISMS im Unternehmen tatsächlich gelebt und weiterentwickelt wird.

Schrittweises Vorgehen für nachhaltigen Erfolg

Um die Risikobehandlung erfolgreich zu gestalten, sollte sie laufend überwacht und an veränderte Rahmenbedingungen angepasst werden. Risiken sind dynamisch und können sich, etwa durch technologische Fortschritte oder gesetzliche Neuerungen, im Laufe der Zeit verändern. Daher lohnt es sich, regelmäßige Reviews der Risikoeinschätzung und Risikobehandlung durchzuführen und alle relevanten Stakeholder einzubinden. Nur so kann sichergestellt werden, dass neue Gefahren rechtzeitig erkannt und angemessen adressiert werden.

Kontrollen (Maßnahmen) Anhang A

Kategorie (Anlage A)Beispiele für Sicherheitskontrollen (Maßnahmen)
A.5 Organisatorische Maßnahmen– Dokumentierte Sicherheitsrichtlinien
– Überprüfung und Aktualisierung der Sicherheitsrichtlinien
A.6 Personenbezogene Maßnahmen– Rollen und Verantwortlichkeiten für die Informationssicherheit
– Sicherheitsüberprüfung und Schulung
A.7 Physische Maßnahmen– Physische Sicherheitsparameter
– Zutritt und Sicherheitszonen
A.8 Technologische Maßnahmen– Zugangsrechte und privilegierte Zugangsberechtigungen
– Schutz vor Schadsoftware und Verhinderung von Datenlecks

Aktualisierung

Die Risikoeinschätzung und die Risikobehandlung sind regelmäßig zu überprüfen und gegebenenfalls anzupassen. Etwa bei organisatorischen Änderungen, technische Änderungen oder Veränderungen im Geschäftsumfeld, z.B. bei neuen Kunden.

Fallbeispiel aus der Praxis

Ein mittelständischer IT-Dienstleister entdeckte wiederholt unautorisierte Zugriffe auf bestimmte Datenbanken. Durch eine qualitative Risikoanalyse erkannte das Unternehmen, dass der Eintritt eines Datenlecks zwar moderat wahrscheinlich, die Schadenshöhe jedoch enorm wäre (Imageschaden, Bußgelder, Kundenverluste). Als Reaktion wurden Methoden zur Risikobewertung und -behandlung kombiniert: Man führte regelmäßige Penetrationstests ein und integrierte eine Cyber-Versicherung (Übertragen des Restrisikos). Zusätzlich reduzierte man das Risiko durch die Implementierung multifaktorieller Authentifizierung und Verschlüsselung sensibler Daten.

Tipps für eine erfolgreiche Umsetzung

  • Klares Ziel vor Augen: Definieren Sie genau, welche Assets (Daten, Prozesse, Systeme) geschützt werden müssen und welchem Schutzniveau sie unterliegen sollen.
  • Einbeziehung aller Stakeholder: Neben der IT sollten auch Fachabteilungen und das Management in die Methoden zur Risikobewertung und -behandlung eingebunden werden, um ein ganzheitliches Bild zu erhalten.
  • Regelmäßige Aktualisierung: Bedrohungslagen und Unternehmensumfelder ändern sich schnell. Planen Sie daher regelmäßige Audits oder Workshops, um Risikoanalysen zu erneuern.
  • Praxisnahe Maßnahmen: Achten Sie darauf, dass Ihre Gegenmaßnahmen realistisch umgesetzt werden können. Eine überzogene Anzahl von Kontrollen ist meist kostenintensiv und führt häufig zu Akzeptanzproblemen.
  • Transparentes Reporting: Halten Sie die Ergebnisse der Risikobewertung in klaren Berichten fest, damit das Management notwendige Ressourcen bereitstellen kann.

Berichtswesen

Die im Risikobehandlungsplan aufgeführten Maßnahmen müssen auf ihren Fortschritt regelmäßig überprüft werden. D.h., wie in jeden Maßnahmenplan müssen Sie die Umsetzung regelmäß überprüfen und gegebenenfalls eine Eskalation durchführen, wenn Sie merken, dass die Umsetzung nur schleppend oder zeitverzögert durchgeführt wird. Dazu sollten Sie regelmäßig einen Bericht bzw. Protokoll über den Fortschritt der Umsetzung von Maßnahmen erstellen und an die oberste Leitung berichten.

Berater Stefan Stroessenreuther

Wir bieten:

Unterstützung bei der Einführung und Implementierung der ISO 9001, ISO 14001, ISO 45001, ISO 50001 und ISO 27001. Akkreditierte Zertifizierungen nach ISO 17021-1 über unseren Partner für die o.g. Regelwerke. Kontaktieren Sie uns für ein unverbindliches Angebot.

Verankerung in ISO 27001 und Kontinuierliche Verbesserung

Standards und Frameworks:
  • ISO 31000 (Risikomanagement): Bietet einen generischen Rahmen für den gesamten Risikomanagement-Prozess, nicht nur für IT, sondern unternehmensweit.
  • ISO 27005 (Informationssicherheits-Risikomanagement): Ergänzt ISO 27001 (ISMS) um ein strukturiertes Vorgehen speziell für die Informationssicherheit.
  • NIST SP 800-30: Detaillierte Leitlinie zum Risikomanagement im Bereich Informationstechnologie mit Schwerpunkt auf den USA.
Kontinuierlicher Zyklus (PDCA):
  • Plan: Risikoidentifikation, Analyse, Bewertung, Auswahl von Maßnahmen.
  • Do: Umsetzung der Maßnahmen (z. B. Sicherheitsmaßnahmen, Schulungen, Kontrollen).
  • Check: Überprüfung der Wirksamkeit (Audits, Monitoring, KPIs).
  • Act: Anpassungen, Verbesserungen, Dokumentation und erneute Risikoanalyse.

Fazit

Risikoeinschätzung und Risikobehandlung sind zwei eng verzahnte Prozesse, die das Fundament eines effektiven Risikomanagements bilden. Durch strukturiertes Vorgehen, kontinuierliche Überprüfung und eine stete Anpassung an sich verändernde Gegebenheiten können Unternehmen nicht nur bestehende Risiken minimieren, sondern sich auch langfristig gegen neuartige Bedrohungen wappnen. Dies führt zu mehr Stabilität, fördert das Vertrauen von Kunden und Partnern und trägt entscheidend zum nachhaltigen Erfolg einer Organisation bei. Benötigen Sie Unterstützung bei der Implementierung der ISO 27001? Vereinbaren Sie ein unverbindliches Erstgespräch mit uns – Benutze das Kontaktformular.

Kontakt

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel

Cookie Consent mit Real Cookie Banner