- Die qualitative Risikobewertung mit einer 5×5-Matrix ist der pragmatischste Ansatz für KMU und liefert aussagekräftige Ergebnisse ohne statistischen Overhead.
- Jedes Risiko wird über zwei Dimensionen bewertet: Eintrittswahrscheinlichkeit und Schadensauswirkung. Deren Produkt ergibt den Risikowert.
- Asset-basierte und szenariobasierte Bewertung ergänzen sich gegenseitig. Kombiniere beide Ansätze für vollständige Abdeckung.
- Restrisiko muss nach der Behandlung erneut bewertet und von der Geschäftsführung formal akzeptiert werden.
- Jedes Risiko braucht einen Risikoeigner, der Bewertung und Behandlung verantwortet und regelmäßig überprüft.
Warum die Risikobewertung über den Erfolg deines ISMS entscheidet
Ein ISMS ohne fundierte Risikobewertung ist wie ein Navigationssystem ohne Karte. Du weißt zwar, dass du irgendwo hinwillst, aber du hast keine Ahnung, wo die Gefahren lauern und welche Route die sicherste ist. ISO 27001 verlangt in Abschnitt 6.1.2 ausdrücklich einen dokumentierten Prozess zur Risikobewertung, und das aus gutem Grund: Nur wer seine Risiken kennt, kann sie gezielt behandeln und seine begrenzten Ressourcen dort einsetzen, wo sie den größten Effekt haben.
Die Risikobewertung verbindet dabei zwei Welten. Auf der einen Seite steht die technische Realität mit Schwachstellen, Bedrohungen und konkreten Angriffsszenarien. Auf der anderen Seite stehen geschäftliche Prioritäten, Budget und die Risikobereitschaft der Geschäftsführung. Eine gute Bewertungsmethodik übersetzt technische Komplexität in verständliche Entscheidungsgrundlagen.
Viele Organisationen scheitern allerdings nicht am Konzept der Risikobewertung, sondern an der praktischen Umsetzung. Sie verlieren sich in überkomplexen Methoden, bewerten hunderte Risiken auf Vorrat oder produzieren Zahlenfriedhöfe, die niemand mehr interpretieren kann. Dieser Artikel zeigt dir einen pragmatischen Weg: eine qualitative Bewertung mit 5×5-Matrix, die sowohl auditfest als auch praxistauglich ist.
Grundlagen: Was genau wird bewertet?
Bevor du mit der eigentlichen Bewertung startest, brauchst du ein klares Verständnis der Begriffe. Die ISO 27005 definiert den Risikobegriff im Kontext der Informationssicherheit über drei Bausteine:
Assets sind die schützenswerten Werte deiner Organisation, die du im Rahmen des IT-Asset-Managements inventarisierst. Dazu gehören Informationen (Kundendaten, Verträge, Quellcode), IT-Systeme (Server, Anwendungen, Netzwerke), Prozesse (Auftragsabwicklung, Softwareentwicklung) und auch Personen mit kritischem Wissen.
Bedrohungen sind potenzielle Ursachen für einen Sicherheitsvorfall. Sie können absichtlich sein (Hackerangriff, Datendiebstahl durch Insider), zufällig (Hardwaredefekt, Softwarefehler) oder umweltbedingt (Stromausfall, Hochwasser).
Schwachstellen sind Eigenschaften eines Assets, die von einer Bedrohung ausgenutzt werden können. Ein ungepatchter Server ist eine Schwachstelle, genauso wie fehlende Zugriffskontrollen oder ungeschulte Mitarbeitende.
Ein Risiko entsteht dann, wenn eine Bedrohung auf eine Schwachstelle trifft und dadurch ein Asset beeinträchtigt werden kann. Die Risikobewertung quantifiziert dieses Zusammenspiel über zwei zentrale Dimensionen: Wie wahrscheinlich ist es, dass das Risiko eintritt? Und wie schwer wären die Auswirkungen?
Qualitative vs. quantitative Bewertung
Grundsätzlich gibt es zwei methodische Ansätze für die Risikobewertung, und die Wahl hat erhebliche Auswirkungen auf Aufwand, Ergebnis und Akzeptanz.
Quantitative Bewertung
Die quantitative Methode arbeitet mit konkreten Zahlen. Eintrittswahrscheinlichkeiten werden als Prozentsätze angegeben (z.B. 15 % Wahrscheinlichkeit pro Jahr), Schäden in Euro beziffert (z.B. 500.000 € erwarteter Verlust). Der Risikowert ergibt sich dann als Annual Loss Expectancy (ALE) = Wahrscheinlichkeit × Schadenshöhe.
Klingt präzise, hat aber in der Praxis mehrere Haken. Woher nimmst du verlässliche Wahrscheinlichkeiten für einen Ransomware-Angriff auf dein spezifisches Unternehmen? Wie bezifferst du den Reputationsschaden nach einem Datenleck? Die scheinbare Präzision der Zahlen täuscht eine Sicherheit vor, die es nicht gibt. Für große Konzerne mit eigener Risikoabteilung und umfangreicher Schadenhistorie kann der quantitative Ansatz sinnvoll sein. Für KMU ist er meistens Overkill.
Qualitative Bewertung
Die qualitative Methode arbeitet mit definierten Stufen statt exakten Zahlen. Eintrittswahrscheinlichkeit und Auswirkung werden auf einer Skala bewertet, typischerweise mit 3, 4 oder 5 Stufen. Das Ergebnis wird in einer Risikomatrix visualisiert, die auf einen Blick zeigt, welche Risiken kritisch sind und welche akzeptabel.
Dieser Ansatz hat sich im Mittelstand als Standard etabliert, weil er drei entscheidende Vorteile bietet: Er ist verständlich (auch für nicht-technische Entscheider), konsistent anwendbar (verschiedene Bewerter kommen zu ähnlichen Ergebnissen) und aufwandsarm genug, um regelmäßige Neubewertungen zu ermöglichen.
Für die meisten ISMS-Implementierungen im Mittelstand empfehlen wir daher die qualitative Bewertung mit einer 5×5-Matrix. Sie bietet genügend Differenzierung, ohne in Scheinpräzision abzugleiten.
Die 5×5-Risikomatrix im Detail
Eintrittswahrscheinlichkeit bewerten
Die Eintrittswahrscheinlichkeit beschreibt, wie realistisch es ist, dass ein bestimmtes Risikoszenario innerhalb eines definierten Zeitraums (üblicherweise ein Jahr) tatsächlich eintritt. Definiere fünf klare Stufen mit konkreten Kriterien:
Stufe 1 – Sehr unwahrscheinlich: Das Ereignis tritt voraussichtlich seltener als einmal in zehn Jahren ein. Es gibt keine bekannten Vorfälle in der Branche, keine bekannten Schwachstellen, die ausgenutzt werden könnten, und die vorhandenen Schutzmaßnahmen sind robust. Beispiel: Ein gezielter APT-Angriff auf ein 50-Personen-Handwerksunternehmen.
Stufe 2 – Unwahrscheinlich: Ein Eintritt innerhalb von drei bis zehn Jahren ist denkbar. Vereinzelte Vorfälle in der Branche sind bekannt, aber die eigene Exposition ist gering. Beispiel: Physischer Einbruch in das Rechenzentrum eines gut gesicherten Bürogebäudes.
Stufe 3 – Möglich: Ein Eintritt innerhalb von ein bis drei Jahren ist realistisch. Vergleichbare Organisationen waren bereits betroffen, und die eigene Schwachstellenlage macht einen Vorfall plausibel. Beispiel: Erfolgreicher Phishing-Angriff auf einen Mitarbeitenden ohne spezielles Awareness-Training.
Stufe 4 – Wahrscheinlich: Ein Eintritt innerhalb des nächsten Jahres ist zu erwarten. Es gibt bekannte, nicht behobene Schwachstellen, aktive Bedrohungen in der Branche und vergangene Vorfälle in der eigenen Organisation. Beispiel: Malware-Infektion über veraltete Software ohne Patch-Management.
Stufe 5 – Sehr wahrscheinlich: Ein Eintritt innerhalb der nächsten Monate oder sogar Wochen ist nahezu sicher. Die Schwachstelle wird aktiv ausgenutzt, es gibt keine wirksamen Gegenmaßnahmen, und die Organisation ist ein attraktives Ziel. Beispiel: Datenverlust auf einem nicht gesicherten Fileserver ohne Backup-Konzept.
Schadensauswirkung bewerten
Die Auswirkung beschreibt den Schaden, der entsteht, wenn das Risiko tatsächlich eintritt. Auch hier fünf Stufen, wobei du verschiedene Schadensdimensionen berücksichtigen solltest:
Stufe 1 – Vernachlässigbar: Minimale Beeinträchtigung, die innerhalb von Stunden behoben werden kann. Kein finanzieller Schaden über 5.000 €, keine externen Auswirkungen, kein Datenverlust. Der Normalbetrieb ist kaum gestört.
Stufe 2 – Gering: Spürbare, aber begrenzte Beeinträchtigung. Finanzieller Schaden bis 25.000 €, einzelne Geschäftsprozesse sind für wenige Tage eingeschränkt, geringe Mengen nicht-sensibler Daten betroffen. Behebung innerhalb einer Woche möglich.
Stufe 3 – Mittel: Erhebliche Beeinträchtigung des Geschäftsbetriebs. Finanzieller Schaden bis 100.000 €, wichtige Prozesse fallen für mehrere Tage aus, personenbezogene Daten sind möglicherweise betroffen (Meldepflicht prüfen). Behebung innerhalb von zwei bis vier Wochen.
Stufe 4 – Hoch: Schwerwiegende Beeinträchtigung mit langfristigen Folgen. Finanzieller Schaden bis 500.000 €, Kernprozesse fallen für Wochen aus, sensible Daten sind kompromittiert, Meldepflichten greifen, Reputationsschaden bei Kunden und Partnern.
Stufe 5 – Kritisch: Existenzbedrohende Auswirkungen. Finanzieller Schaden über 500.000 €, kompletter Geschäftsstillstand über Wochen, massive Datenabflüsse, regulatorische Konsequenzen (Bußgelder, Lizenzverlust), nachhaltiger Vertrauensverlust am Markt.
Wichtig: Passe die Schwellenwerte an deine Organisation an. Für ein Startup mit zehn Mitarbeitenden sind 50.000 € möglicherweise bereits existenzbedrohend, während ein Konzern diesen Betrag als vernachlässigbar einstuft. Die Stufen müssen zur Realität deiner Organisation passen.
Die Matrix aufbauen
Die Risikomatrix entsteht, indem du Eintrittswahrscheinlichkeit (Y-Achse) und Auswirkung (X-Achse) in einem Raster zusammenführst. Der Risikowert jeder Zelle ergibt sich aus der Multiplikation beider Stufen:
| Vernachlässigbar (1) | Gering (2) | Mittel (3) | Hoch (4) | Kritisch (5) | |
|---|---|---|---|---|---|
| Sehr wahrscheinlich (5) | 5 | 10 | 15 | 20 | 25 |
| Wahrscheinlich (4) | 4 | 8 | 12 | 16 | 20 |
| Möglich (3) | 3 | 6 | 9 | 12 | 15 |
| Unwahrscheinlich (2) | 2 | 4 | 6 | 8 | 10 |
| Sehr unwahrscheinlich (1) | 1 | 2 | 3 | 4 | 5 |
Daraus leitest du vier Risikokategorien ab:
- Niedrig (1–4): Risiko ist akzeptabel. Standardmaßnahmen beibehalten, keine zusätzliche Behandlung nötig. Nächste Überprüfung im regulären Zyklus.
- Mittel (5–9): Risiko erfordert Aufmerksamkeit. Prüfe, ob bestehende Maßnahmen ausreichen, und plane gegebenenfalls Verbesserungen ein. Zeitrahmen: innerhalb von sechs Monaten.
- Hoch (10–16): Risiko erfordert zeitnahe Behandlung. Definiere konkrete Maßnahmen mit Verantwortlichen und Umsetzungsfristen. Zeitrahmen: innerhalb von drei Monaten.
- Kritisch (17–25): Risiko erfordert sofortige Maßnahmen. Eskalation an die Geschäftsführung, Sofortmaßnahmen einleiten, Umsetzung innerhalb von Wochen.
Asset-basierte vs. szenariobasierte Bewertung
Es gibt zwei grundlegend verschiedene Perspektiven, aus denen du die Risikobewertung angehen kannst. Beide haben ihre Berechtigung, und in der Praxis ergibt eine Kombination aus beiden die besten Ergebnisse.
Der Asset-basierte Ansatz
Beim Asset-basierten Ansatz startest du mit einem Inventar deiner schützenswerten Werte. Für jedes Asset identifizierst du dann relevante Bedrohungen und Schwachstellen und bewertest das resultierende Risiko.
Der Ablauf sieht typischerweise so aus: Du erstellst zunächst eine Liste aller relevanten Assets innerhalb deines ISMS-Geltungsbereichs. Anschließend klassifizierst du jedes Asset im Rahmen der Schutzbedarfsfeststellung nach Vertraulichkeit, Integrität und Verfügbarkeit. Dann identifizierst du für jedes Asset die relevanten Bedrohungen und vorhandenen Schwachstellen. Schließlich bewertest du jede Bedrohungs-Schwachstellen-Kombination nach Eintrittswahrscheinlichkeit und Auswirkung.
Vorteile: Vollständige Abdeckung aller Assets, klare Zuordnung von Risiken zu konkreten Systemen und Daten, gut geeignet für die Ableitung technischer Maßnahmen.
Nachteile: Kann bei vielen Assets sehr umfangreich werden (ein ERP-System allein hat dutzende potenzielle Bedrohungen), Risiko der Redundanz, wenn dasselbe Szenario auf mehrere Assets zutrifft.
Der szenariobasierte Ansatz
Der szenariobasierte Ansatz dreht die Perspektive um. Du startest mit realistischen Bedrohungsszenarien und bewertest dann, welche Assets davon betroffen wären und wie schwer die Auswirkungen ausfallen.
Typische Szenarien wären etwa: Ein Ransomware-Angriff verschlüsselt alle Unternehmensdaten. Ein Mitarbeitender leitet vertrauliche Kundendaten an Dritte weiter. Der Cloud-Anbieter hat einen mehrtägigen Totalausfall. Ein ehemaliger Administrator nutzt noch aktive Zugangsdaten. Ein Brand zerstört den Serverraum.
Vorteile: Praxisnäher und verständlicher für nicht-technische Stakeholder, deckt komplexe Angriffsketten ab, die mehrere Assets betreffen, effizienter bei begrenzten Ressourcen.
Nachteile: Risiko, dass weniger offensichtliche Szenarien übersehen werden, weniger systematisch als der Asset-basierte Ansatz.
Die Kombination in der Praxis
Für die meisten KMU empfehlen wir einen kombinierten Ansatz: Starte mit einer Asset-Inventarisierung, um sicherzustellen, dass du nichts übersiehst. Gruppiere dann ähnliche Assets (alle Arbeitsplatzrechner, alle SaaS-Anwendungen) und entwickle für jede Gruppe relevante Bedrohungsszenarien. So bekommst du die Vollständigkeit des Asset-basierten Ansatzes mit der Praxisnähe des szenariobasierten Ansatzes, ohne in einer endlosen Liste zu ertrinken.
Praxisbeispiel: Ransomware-Risiko für ein 100-Mitarbeitende-Unternehmen
Lass uns die gesamte Methodik an einem konkreten Beispiel durchspielen. Unser fiktives Unternehmen ist ein mittelständischer Maschinenbauer mit 100 Mitarbeitenden, 80 Arbeitsplatzrechnern, einem lokalen ERP-System, einer eigenen Konstruktionsabteilung mit CAD-Workstations und einem kleinen IT-Team aus drei Personen.
Schritt 1: Szenario definieren
Risikoszenario: Ein Mitarbeitender öffnet einen infizierten E-Mail-Anhang. Die Ransomware breitet sich über das Netzwerk aus und verschlüsselt Daten auf dem Fileserver, dem ERP-System und den CAD-Workstations. Die Angreifer fordern 200.000 € Lösegeld und drohen mit der Veröffentlichung abgegriffener Konstruktionsdaten.
Schritt 2: Betroffene Assets identifizieren
Direkt betroffen sind der zentrale Fileserver mit Projektdokumenten und Kundendaten, das ERP-System mit Auftrags- und Finanzdaten, die CAD-Workstations mit proprietären Konstruktionsdaten sowie das E-Mail-System. Indirekt betroffen sind alle Geschäftsprozesse, die diese Systeme nutzen: Auftragsabwicklung, Konstruktion, Buchhaltung und Kundenkommunikation.
Schritt 3: Eintrittswahrscheinlichkeit bewerten
Für die Bewertung der Eintrittswahrscheinlichkeit berücksichtigst du mehrere Faktoren:
Die allgemeine Bedrohungslage ist hoch. Ransomware-Angriffe auf den deutschen Mittelstand haben sich laut BSI-Lagebericht in den letzten Jahren vervielfacht und gehören zu den Top-10-Sicherheitsrisiken. Maschinenbauer sind wegen ihres wertvollen geistigen Eigentums ein attraktives Ziel.
Die spezifische Schwachstellenlage des Unternehmens zeigt Lücken. Es gibt kein systematisches Patch-Management, die Awareness-Schulungen finden nur einmal jährlich statt, die Netzwerksegmentierung ist rudimentär, und der E-Mail-Filter ist ein einfacher Spam-Filter ohne Sandbox-Analyse.
Auf der positiven Seite stehen ein funktionierendes Backup-Konzept (tägliche Sicherung auf separaten Storage, wöchentliche Offsite-Kopie) und ein grundlegender Endpoint-Schutz auf allen Arbeitsplätzen.
Bewertung: Stufe 4 (Wahrscheinlich). Die Kombination aus hoher allgemeiner Bedrohungslage und vorhandenen Schwachstellen macht einen erfolgreichen Ransomware-Angriff innerhalb des nächsten Jahres realistisch.
Schritt 4: Auswirkung bewerten
Die Auswirkung bewertest du über mehrere Dimensionen:
Finanzieller Schaden: Umsatzausfall während des Stillstands (geschätzt zwei Wochen bei 10 Mio. € Jahresumsatz ergibt ca. 385.000 €), Kosten für Incident Response und Wiederherstellung (80.000 – 150.000 €), mögliches Lösegeld (200.000 €, wobei das BSI von Zahlungen abrät), regulatorische Kosten bei Datenschutzverletzung. Gesamtschaden potenziell 500.000 – 800.000 €.
Betriebliche Auswirkung: Kompletter Produktionsstillstand der Konstruktionsabteilung, Auftragsabwicklung per Telefon und Papier stark eingeschränkt, Kundenprojekte verzögern sich um Wochen. Bei einem Unternehmen dieser Größe ist ein zweiwöchiger Stillstand ein massiver Einschnitt.
Reputationsschaden: Wenn Konstruktionsdaten von Kundenprojekten veröffentlicht werden, ist das Vertrauen der Auftraggeber nachhaltig beschädigt. Gerade im B2B-Maschinenbau, wo Geschäftsbeziehungen über Jahrzehnte bestehen, wiegt das schwer.
Bewertung: Stufe 4 (Hoch). Der potenzielle Gesamtschaden übersteigt 500.000 €, Kernprozesse fallen wochenlang aus, und sensible Daten sind gefährdet. Die Existenz des Unternehmens ist nicht unmittelbar bedroht (dafür sind die Rücklagen ausreichend), aber der Vorfall hätte langfristige Konsequenzen.
Schritt 5: Risikowert berechnen
Eintrittswahrscheinlichkeit (4) × Auswirkung (4) = Risikowert 16 (Hoch)
Das Risiko liegt im oberen Bereich der Kategorie "Hoch" und erfordert zeitnahe Behandlung mit konkreten Maßnahmen und definierten Umsetzungsfristen.
Schritt 6: Behandlung planen
Aus der Bewertung leiten sich konkrete Maßnahmen ab, die das Risiko auf ein akzeptables Niveau senken sollen:
Zur Reduzierung der Eintrittswahrscheinlichkeit: Einführung eines systematischen Patch-Managements (alle kritischen Patches innerhalb von 72 Stunden), Umstellung auf einen E-Mail-Filter mit Sandbox-Analyse, Implementierung einer Netzwerksegmentierung (Konstruktion, Verwaltung, Produktion in getrennten Segmenten), vierteljährliche Phishing-Simulationen mit anschließender Schulung.
Zur Reduzierung der Auswirkung: Implementierung eines 3-2-1-Backup-Konzepts mit air-gapped Offsite-Kopie, Erstellung eines Ransomware-spezifischen Incident-Response-Plans, Verschlüsselung der Konstruktionsdaten (reduziert den Schaden bei Datenexfiltration), Vorbereitung von Notbetriebsverfahren für Kernprozesse.
Schritt 7: Restrisiko bewerten
Nach Umsetzung aller geplanten Maßnahmen bewertest du das Risiko erneut:
Die Eintrittswahrscheinlichkeit sinkt von Stufe 4 auf Stufe 2 (Unwahrscheinlich), weil das Patch-Management die Angriffsfläche deutlich reduziert, der verbesserte E-Mail-Filter die meisten Phishing-Versuche abfängt und die Netzwerksegmentierung eine laterale Ausbreitung erschwert.
Die Auswirkung sinkt von Stufe 4 auf Stufe 3 (Mittel), weil das verbesserte Backup eine schnellere Wiederherstellung ermöglicht (Tage statt Wochen), der Incident-Response-Plan die Reaktionszeit verkürzt und die Datenverschlüsselung den Erpressungshebel bei Exfiltration reduziert.
Neuer Risikowert: 2 × 3 = 6 (Mittel)
Das Restrisiko liegt damit in einem Bereich, der mit Standardüberwachung vertretbar ist. Die Geschäftsführung muss dieses Restrisiko formal akzeptieren.
Risikoeigner bestimmen: Wer trägt die Verantwortung?
Ein häufig unterschätzter Aspekt der Risikobewertung ist die Zuweisung von Risikoeignern. ISO 27001 fordert in Abschnitt 6.1.2 ausdrücklich, dass Risikoeigner benannt werden. Das ist kein formaler Akt, sondern ein zentrales Element für die Wirksamkeit des gesamten Prozesses.
Was macht ein Risikoeigner?
Der Risikoeigner ist die Person, die für ein bestimmtes Risiko die Gesamtverantwortung trägt. Das bedeutet konkret: Er genehmigt die initiale Risikobewertung und stellt sicher, dass sie realistisch ist. Er entscheidet über die Behandlungsstrategie (mitigieren, akzeptieren, transferieren oder vermeiden). Er überwacht die Umsetzung der beschlossenen Maßnahmen und veranlasst die regelmäßige Neubewertung des Risikos. Und er eskaliert an die Geschäftsführung, wenn sich die Risikolage verändert.
Wer sollte Risikoeigner sein?
Der Risikoeigner sollte jemand sein, der sowohl die fachliche Kompetenz als auch die organisatorische Autorität hat, Entscheidungen zum Risiko zu treffen. Für unser Ransomware-Beispiel wäre das der IT-Leiter oder, falls es keinen gibt, die Geschäftsführung selbst.
Ein häufiger Fehler ist es, den ISB als Risikoeigner für alle Risiken einzusetzen. Der ISB koordiniert den Risikomanagement-Prozess, aber die operative Verantwortung für einzelne Risiken gehört in die Fachabteilungen. Der ISB ist der Prozesshüter, nicht der Universalverantwortliche.
Weitere typische Zuordnungen: Risiken im Bereich Personal (Insider-Bedrohungen, Awareness) gehören zur Personalleitung. Risiken bei physischer Sicherheit zum Facility Management. Risiken bei Lieferanten und Dienstleistern zum Einkauf oder zur jeweiligen Fachabteilung.
Dokumentation der Risikoeignerschaft
Im Risikoregister sollte für jedes Risiko klar dokumentiert sein: Wer ist Risikoeigner? Wann wurde das Risiko zuletzt bewertet? Welche Behandlungsmaßnahmen sind geplant oder umgesetzt? Bis wann ist die nächste Überprüfung fällig?
Typische Fehler bei der Risikobewertung
Aus der Beratungspraxis kennen wir eine Reihe von Fehlern, die sich bei der Risikobewertung immer wieder einschleichen. Wenn du diese vermeidest, bist du schon einen großen Schritt weiter.
Fehler 1: Zu viele Risiken auf einmal bewerten
Manche Organisationen starten mit einer Liste von 200 oder 300 Risiken und wollen alle in einem Workshop bewerten. Das Ergebnis sind oberflächliche Bewertungen, ermüdete Teilnehmende und Risikowerte, die eher von der Tageszeit als von der tatsächlichen Gefährdung abhängen.
Besser: Starte mit den 20 bis 30 wichtigsten Risiken, die sich aus deinen kritischen Assets und den wahrscheinlichsten Bedrohungsszenarien ergeben. Erweitere den Scope in späteren Zyklen.
Fehler 2: Bewertung im stillen Kämmerlein
Wenn der ISB allein am Schreibtisch sitzt und Risiken bewertet, fehlt das Fachwissen aus den Abteilungen. Die IT kann die technische Wahrscheinlichkeit einschätzen, die Fachabteilung die geschäftliche Auswirkung, die Geschäftsführung die strategische Relevanz. Risikobewertung ist Teamarbeit.
Fehler 3: Keine einheitlichen Bewertungsmaßstäbe
Ohne klar definierte Kriterien für jede Stufe bewerten verschiedene Personen unterschiedlich. Was der eine als "wahrscheinlich" einstuft, hält der andere für "möglich". Investiere Zeit in die Definition konkreter, messbarer Kriterien für jede Stufe, bevor du mit der Bewertung beginnst.
Fehler 4: Bestehende Maßnahmen ignorieren
Die Risikobewertung soll das aktuelle Risikoniveau abbilden, nicht das theoretische Maximum ohne jegliche Schutzmaßnahmen. Wenn du bereits ein gutes Backup hast, dann fließt das in die Bewertung der Auswirkung ein. Andernfalls landen alle Risiken in der höchsten Kategorie, und die Bewertung verliert ihre Differenzierungskraft.
Fehler 5: Einmal bewerten und abheften
Die Risikobewertung ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Mindestens einmal jährlich solltest du alle Risiken neu bewerten. Zusätzlich nach relevanten Sicherheitsvorfällen, bei wesentlichen Änderungen an der IT-Infrastruktur oder der Organisationsstruktur und wenn sich die Bedrohungslage signifikant ändert.
Werkzeuge und Templates für die Risikobewertung
Für die praktische Durchführung brauchst du nicht zwingend ein teures GRC-Tool. In der Startphase reicht ein gut strukturiertes Risikoregister, das folgende Informationen für jedes Risiko erfasst:
Eine eindeutige Risiko-ID, eine aussagekräftige Risikobeschreibung, das zugehörige Bedrohungsszenario, die betroffenen Assets, die Bewertung der Eintrittswahrscheinlichkeit mit Begründung, die Bewertung der Auswirkung mit Begründung, den resultierenden Risikowert, die geplante Behandlungsstrategie, den Risikoeigner, den Status der Maßnahmen und das Datum der nächsten Überprüfung.
Wichtig ist, dass du die Begründungen für deine Bewertungen dokumentierst. Nicht nur "Eintrittswahrscheinlichkeit: 4", sondern warum du zu dieser Einschätzung gekommen bist. In ISMS Lite dokumentierst du die Risikobewertung inklusive 5×5-Matrix und Restrisiko-Berechnung direkt am jeweiligen Risiko, sodass die Nachvollziehbarkeit automatisch gewährleistet ist. Das macht die Bewertung nachvollziehbar und erleichtert die Neubewertung.
Integration in den ISMS-Gesamtprozess
Die Risikobewertung steht nicht isoliert, sondern ist eng mit anderen ISMS-Prozessen verzahnt. Aus dem Asset-Management fließen die schützenswerten Werte ein. Die Ergebnisse der Risikobewertung bestimmen, welche Maßnahmen aus Annex A der ISO 27001 angewendet werden müssen, und fließen damit direkt in das Statement of Applicability ein. Die Risikobehandlungspläne definieren konkrete Projekte und Aufgaben, die im operativen Betrieb umgesetzt werden. Und die regelmäßige Neubewertung ist Teil des Management-Reviews und der kontinuierlichen Verbesserung.
Wenn du die Risikobewertung sauber aufsetzt und konsequent pflegst, wird sie zum Kompass deines ISMS: Sie zeigt dir jederzeit, wo du stehst, wo die größten Gefahren lauern und wo deine nächsten Investitionen den größten Sicherheitsgewinn bringen.
Fazit: Pragmatisch starten, systematisch verbessern
Die Risikobewertung muss nicht perfekt sein, um wirksam zu sein. Starte mit einer überschaubaren Anzahl relevanter Risiken, einer klar definierten 5×5-Matrix und einem strukturierten Bewertungsprozess. Beteilige die richtigen Personen, dokumentiere deine Entscheidungen nachvollziehbar und plane von Anfang an regelmäßige Überprüfungszyklen ein.
Weiterführende Artikel
- Risikobehandlung: Mitigieren, Akzeptieren, Transferieren oder Vermeiden
- Top 10 Informationssicherheitsrisiken für den Mittelstand
- ISMS aufbauen: Der komplette Leitfaden für Unternehmen mit 50 bis 500 Mitarbeitern
- IT-Asset-Management für das ISMS: Inventar, Kritikalität und Klassifizierung
- Statement of Applicability (SoA) erstellen: Controls auswählen und begründen
Mit jedem Durchlauf wird deine Risikobewertung besser: Du sammelst Erfahrung mit den Bewertungskriterien, die Fachabteilungen entwickeln ein besseres Risikobewusstsein, und die Geschäftsführung lernt, Sicherheitsinvestitionen als risikobegründete Entscheidungen zu verstehen. Das ist kein Nebeneffekt, sondern einer der größten Mehrwerte eines funktionierenden ISMS.