Was ist eine Risikobewertung nach ISO 27001?
Überblick
Eine Risikobewertung (Risk Assessment) nach ISO 27001 ist der systematische Prozess zur Identifizierung von Informationssicherheitsrisiken, zur Analyse ihrer potenziellen Auswirkungen und Wahrscheinlichkeiten sowie zur Bewertung, ob eine Behandlung erforderlich ist. Sie bildet das Fundament des ISMS, indem sie sicherstellt, dass Sicherheitsmaßnahmen tatsächliche Bedrohungen Ihrer Organisation adressieren und keine imaginären oder pauschalen Bedenken.
Was es in der Praxis bedeutet
Die Risikobewertung beantwortet drei entscheidende Fragen:
Was kann schiefgehen? (Identifizierung von Bedrohungen und Schwachstellen)
Wie schlimm wäre es? (Auswirkungsanalyse)
Wie wahrscheinlich ist es? (Wahrscheinlichkeitsbewertung)
Basierend auf diesen Antworten priorisieren Sie, welche Risiken Kontrollen benötigen, und rechtfertigen Ihre Auswahl der Kontrollmaßnahmen gegenüber den Auditoren.
Praxisbeispiel: Anstatt jede erdenkliche Sicherheitsmaßnahme „für den Fall der Fälle“ zu implementieren, könnte eine Risikobewertung zeigen, dass Ihre Kundendatenbank einem hohen Risiko durch Ransomware ausgesetzt ist (erfordert Backups und Endpunktschutz), aber der physische Diebstahl von Servern ein geringes Risiko darstellt, weil Sie rein cloudbasiert arbeiten (minimale Investition in physische Sicherheit erforderlich).
Warum die Risikobewertung für ISO 27001 wichtig ist
Kernanforderung der Norm
ISO 27001 Klausel 6.1.2 fordert von Organisationen explizit, einen „Prozess zur Informationssicherheits-Risikobewertung festzulegen und anzuwenden“. Ohne dokumentierte und durchgeführte Risikobewertungen ist eine Zertifizierung nicht möglich.
Rechtfertigt die Auswahl der Maßnahmen
Ihre Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) muss begründen, warum Sie jede Maßnahme aus Anhang A ein- oder ausgeschlossen haben. Die Risikobewertung liefert diese Begründung – Maßnahmen werden gewählt, um identifizierte Risiken zu bewältigen.
Stellt eine angemessene Ressourcenzuordnung sicher
Durch die Quantifizierung von Risiken investieren Sie Sicherheitsressourcen dort, wo sie am dringendsten benötigt werden, anstatt sie gleichmäßig über alle Bereiche zu verteilen.
Beweist Sorgfaltspflicht
Gegenüber Aufsichtsbehörden, Kunden und Gerichten zeigt eine dokumentierte Risikobewertung, dass Sie Sicherheitsverpflichtungen systematisch identifiziert und angegangen sind.
Audit-Fehler: Pauschale, auf Vorlagen basierende Risikobewertungen, die Ihre tatsächliche Organisation nicht widerspiegeln, sind ein häufiger Grund für die Ablehnung einer Zertifizierung. Auditoren erwarten Risiken, die spezifisch für Ihr Unternehmen, Ihre Assets und Ihr Bedrohungsumfeld sind.
Komponenten der ISO 27001 Risikobewertung
Risikobewertungsmethodik
ISO 27001 verlangt, dass Sie definieren und dokumentieren, wie Sie Risikobewertungen durchführen, einschließlich:
Risikokriterien: Wie Sie die Schwere des Risikos bewerten (z. B. Risikomatrix, Punktesystem)
Risikoakzeptanzkriterien: Schwellenwerte, die bestimmen, welche Risiken behandelt werden müssen vs. akzeptiert werden können
Wiederholbarkeit: Ein konsistenter Ansatz, der über die Zeit vergleichbare Ergebnisse liefert
Identifizierung von Assets
Katalogisieren Sie die Informationswerte (Assets) innerhalb Ihres ISMS-Geltungsbereichs. Assets umfassen:
Informationen: Kundendaten, Finanzunterlagen, geistiges Eigentum, Personalakten
Systeme: Anwendungen, Datenbanken, Cloud-Dienste, Netzwerkinfrastruktur
Physische Werte: Server, Laptops, Speichermedien, Räumlichkeiten
Dienste: Drittanbieter, Cloud-Plattformen, Managed Services
Personen: Mitarbeiter mit spezialisiertem Wissen oder Zugriffsberechtigungen
Identifizierung von Bedrohungen
Identifizieren Sie potenzielle Schadensquellen für Assets:
Böswillig: Hacker, Ransomware, Insider-Bedrohungen, Wettbewerber
Unbeabsichtigt: Menschliches Versagen, Fehlkonfiguration, unbeabsichtigte Offenlegung
Umweltbedingt: Feuer, Überschwemmung, Stromausfall, Naturkatastrophen
Technisch: Hardwarefehler, Softwarefehler, Kapazitätsgrenzen
Identifizierung von Schwachstellen
Finden Sie Schwachstellen, die Bedrohungen ausnutzen können:
Technisch: Ungepatchte Software, schwache Passwörter, fehlende Verschlüsselung
Physisch: Unverschlossene Türen, freiliegende Kabel, mangelnde Überwachung
Organisatorisch: Keine Zugriffsüberprüfungen, fehlende Richtlinien, unzureichende Schulung
Prozessual: Fehler bei der manuellen Dateneingabe, keine Änderungskontrolle, fehlende Backups
Auswirkungsanalyse
Bewerten Sie die Folgen eines Risikoeintritts unter Berücksichtigung von:
Auswirkung auf Vertraulichkeit: Unbefugte Offenlegung sensibler Informationen
Auswirkung auf Integrität: Unbefugte Änderung oder Zerstörung von Informationen
Auswirkung auf Verfügbarkeit: Informationen oder Systeme sind bei Bedarf nicht verfügbar
Quantifizieren Sie die Auswirkungen mittels Skalen wie:
Finanziell: Direkte Kosten, Umsatzverlust, Bußgelder
Operativ: Dauer der Serviceunterbrechung, Produktivitätsverlust
Reputativ: Kundenverlust, Markenschaden, Medienaufmerksamkeit
Rechtlich/Regulatorisch: Strafen, Klagen, regulatorische Sanktionen
Wahrscheinlichkeitsbewertung
Schätzen Sie die Wahrscheinlichkeit eines Risikoeintritts ein, unter Berücksichtigung von:
Fähigkeit der Bedrohung: Wie qualifiziert oder motiviert ist der Angreifer?
Bestehende Kontrollen: Welche Minderungsmaßnahmen sind bereits vorhanden?
Schwere der Schwachstelle: Wie einfach ist die Schwachstelle auszunutzen?
Historische Daten: Ist dies schon einmal bei Ihnen oder ähnlichen Organisationen passiert?
Risikoauswertung
Kombinieren Sie Auswirkung und Wahrscheinlichkeit, um das Risikoniveau zu berechnen und mit den Akzeptanzkriterien zu vergleichen. Gängige Ansätze:
Risikomatrix: Darstellung der Risiken in einem Raster aus Wahrscheinlichkeit × Auswirkung (z. B. 5×5-Matrix)
Numerische Bewertung: Multiplikation von Auswirkung und Wahrscheinlichkeit (z. B. 1-5 Skala)
Qualitative Kategorien: Risikostufen wie Niedrig, Mittel, Hoch, Kritisch
Praxistipp: Halten Sie Ihre Methodik zur Risikobewertung proportional zur Größe und Komplexität Ihrer Organisation. Ein 20-Personen-Startup benötigt nicht die gleiche Komplexität wie eine multinationale Bank. Die ISO 27001 schreibt keine spezifische Methodik vor – wählen Sie, was für Ihren Kontext funktioniert.
Gängige Methoden zur Risikobewertung
Qualitative Bewertung
Verwendet beschreibende Kategorien (Niedrig, Mittel, Hoch) anstatt Zahlen. Schneller und intuitiver, aber weniger präzise.
Bestens geeignet für: Kleine bis mittlere Organisationen, initiale Bewertungen, nicht-technische Stakeholder
Quantitative Bewertung
Weist der Wahrscheinlichkeit und den Auswirkungen numerische Werte zu, oft unter Schätzung des finanziellen Risikos. Präziser, erfordert aber mehr Daten und Aufwand.
Bestens geeignet für: Große Organisationen, hochwertige Assets, Kosten-Nutzen-Analyse von Maßnahmen
Semi-quantitative Bewertung
Ein hybrider Ansatz, der numerische Skalen (1-5) verwendet, aber qualitativ interpretiert. Bietet ein Gleichgewicht zwischen Präzision und Praktikabilität.
Bestens geeignet für: Die meisten Organisationen, gute Balance aus Genauigkeit und Nutzbarkeit
Szenariobasierte Bewertung
Analysiert spezifische Angrifsszenarien oder Vorfallstypen anstelle einzelner Asset-Bedrohung-Paare. Realistischer, kann aber Randfälle übersehen.
Bestens geeignet für: Organisationen mit reifen Sicherheitsprogrammen, Threat-Modeling-Übungen
Auditor-Perspektive: Auditoren legen weniger Wert darauf, welche Methodik Sie wählen, sondern achten mehr auf Konsistenz, Wiederholbarkeit und darauf, ob die Ergebnisse tatsächlich Ihre Entscheidungen steuern. Dokumentieren Sie Ihre Methodik klar und wenden Sie diese konsistent an.
Häufigkeit von Risikobewertungen
Initiale Risikobewertung
Umfassende Bewertung während der ISMS-Implementierung, die alle Assets und Prozesse im Geltungsbereich abdeckt.
Geplante Überprüfungen
ISO 27001 erfordert geplante Intervalle für Neubewertungen. Gängige Frequenzen sind:
Jährlich: Vollständige Aktualisierung der Risikobewertung
Quartalsweise: Überprüfung von Hochrisikobereichen oder sich schnell ändernden Umgebungen
Halbjährlich: Ausgewogener Ansatz für stabile Organisationen
Anlassbezogene Neubewertungen
Führen Sie Ad-hoc-Risikobewertungen durch bei:
Größeren organisatorischen Änderungen (Fusionen, neue Produkte, geografische Expansion)
Eintritt signifikanter Sicherheitsvorfälle
Auftreten neuer Bedrohungen (Zero-Day-Schwachstellen, Ransomware-Kampagnen)
Änderungen regulatorischer Anforderungen
Einführung neuer Technologien (Cloud-Migration, neue Anwendungen)
Identifizierung von Lücken durch Auditergebnisse
Compliance-Anforderung: ISO 27001 Klausel 8.2 verlangt explizit Risikobewertungen in „geplanten Abständen“. Eine einmalige Bewertung während der Implementierung reicht nicht aus. Auditoren werden Nachweise über regelmäßige Neubewertungen verlangen.
Dokumentation der Risikobewertung
Dokument zur Risikobewertungsmethodik
Beschreibt Ihren Ansatz einschließlich Risikokriterien, Skalen, Rollen und Verfahren. Dies ist eine verpflichtende Dokumentationsanforderung.
Ergebnisse der Risikobewertung
Dokumentiert identifizierte Risiken, deren Bewertung und getroffene Entscheidungen. Enthält typischerweise:
Asset-Inventar
Identifizierte Bedrohungen und Schwachstellen
Bewertungen von Auswirkung und Wahrscheinlichkeit
Risiko-Scores oder -Stufen
Zuweisungen von Risikoeigentümern
Risikoregister
Zentrales Protokoll aller identifizierten Risiken mit aktuellem Status, Behandlungsentscheidungen und Verantwortlichkeiten. Wird bei Änderungen oder neuen Risiken aktualisiert.
Risikobehandlungsplan
Verknüpft jedes behandlungsbedürftige Risiko mit spezifischen Kontrollen oder Minderungsmaßnahmen, inklusive Zeitplänen und Verantwortlichkeiten.
Effizienz-Tipp: Nutzen Sie Tools wie ISMS Copilot, um auf Ihre Branche und Unternehmensgröße zugeschnittene Vorlagen für Risikobewertungen zu erstellen. KI kann basierend auf Ihrem Kontext gängige Bedrohungen, Schwachstellen und Maßnahmen vorschlagen und den Prozess massiv beschleunigen.
Verknüpfung von Risikobewertung und Kontrollen
Erklärung zur Anwendbarkeit (Statement of Applicability)
Ihre SoA listet alle 93 Kontrollen aus Anhang A auf und begründet deren Ein- oder Ausschluss. Die Risikobewertung liefert die Rechtfertigung: Sie schließen Maßnahmen ein, die identifizierte Risiken adressieren, und schließen solche aus, deren Risiken für Ihre Organisation nicht relevant sind.
Logik der Maßnahmenauswahl
Für jedes behandlungsbedürftige Risiko:
Identifizieren Sie Anhang-A-Kontrollen, die das Risiko reduzieren könnten
Wählen Sie geeignete Kontrollen basierend auf Effektivität und Machbarkeit aus
Berücksichtigen Sie bei Bedarf zusätzliche Kontrollen außerhalb von Anhang A
Dokumentieren Sie die Begründung in Ihrer SoA
Akzeptanz von Restrisiken
Nach Implementierung der Maßnahmen bewerten Sie die Risiken neu, um das Restrisikoniveau zu bestimmen. Das Management muss Restrisiken, die über den Akzeptanzschwellen liegen oder die nicht behandelt werden, formal akzeptieren.
Rückverfolgbarkeit ist wichtig: Auditoren folgen dem Faden von identifizierten Risiken über die Maßnahmenauswahl bis hin zu den implementierten Kontrollen und deren Nachweisen. Sie prüfen, ob Ihre Maßnahmen tatsächlich Ihre spezifischen Risiken adressieren und nicht nur allgemeine Bedrohungen aus Vorlagen. Wahren Sie eine klare Traceability zwischen Risikoregister, SoA und Kontrollnachweisen.
Häufige Fehler bei der Risikobewertung
Verwendung pauschaler Vorlagen ohne Anpassung
Kopieren eines Risikoregisters aus dem Internet, ohne es auf Ihre tatsächlichen Assets, Bedrohungen und den Kontext zuzuschneiden. Auditoren bemerken das sofort.
Audit-Warnsignal: Risikobewertungen, die identische Risiken für Organisationen unterschiedlicher Branchen oder Größen auflisten, deuten auf die Verwendung von Vorlagen ohne echte Analyse hin. Dies führt meist zu Nichtkonformitäten.
Übermäßig komplexe Methodiken
Entwicklung komplizierter Formeln oder Prozesse, die unmöglich konsistent aufrechtzuerhalten sind. Komplexität bedeutet nicht automatisch Compliance.
Einmalige Bewertung und anschließendes Vergessen
Die Risikobewertung als einmaliges Projekt während der Implementierung zu betrachten, anstatt als fortlaufenden Prozess. Risiken entwickeln sich weiter, und die Bewertungen müssen Schritt halten.
Ignorieren des Geschäftskontexts
Fokussierung rein auf technische Bedrohungen unter Vernachlässigung von Geschäftsrisiken wie Lieferantenausfällen, regulatorischen Änderungen oder Reputationsschäden.
Keine Zuweisung von Risikoeigentümern
Versäumnis, die Verantwortlichkeit für jedes Risiko zuzuweisen. ISO 27001 verlangt Risikoeigentümer (Risk Owners), um sicherzustellen, dass jemand für die Überwachung und Steuerung jedes Risikos verantwortlich ist.
Trennung von der Maßnahmenauswahl
Risikobewertung und SoA stimmen nicht überein – Maßnahmen werden ohne klaren Bezug zu identifizierten Risiken gewählt, oder hohe Risiken haben keine entsprechenden Kontrollmaßnahmen.
Best Practice: Beginnen Sie einfach mit einem semi-quantitativen Ansatz und einer 5×5-Risikomatrix. Bewerten Sie anfangs 20-30 Schlüsselrisiken, anstatt zu versuchen, jedes denkbare Szenario zu katalogisieren. Verfeinern und erweitern Sie dies in späteren Iterationen. Qualität geht vor Quantität.
Tools und Techniken zur Risikobewertung
Workshops und Interviews
Sammeln Sie Input von Stakeholdern aus verschiedenen Abteilungen, um Assets, Bedrohungen und Schwachstellen zu identifizieren. Essenziell für das Verständnis des Geschäftskontexts.
Asset-Discovery-Tools
Netzwerkscanner, Cloud-Asset-Inventare und Configuration Management Databases (CMDB) helfen, technische Assets systematisch zu identifizieren.
Threat-Intelligence-Feeds
Externe Quellen für Bedrohungsinformationen (Branchen-ISACs, Berichte von Anbietern, staatliche Warnmeldungen) informieren die Wahrscheinlichkeitsbewertung.
Schwachstellen-Scanning
Automatisierte Tools identifizieren technische Schwachstellen in Systemen und Anwendungen, die in die Risikobewertung einfließen.
Ergebnisse von Penetrationstests
Erkenntnisse aus Sicherheitstests liefern Beweise für ausnutzbare Schwachstellen und helfen bei der Kalibrierung der Wahrscheinlichkeitswerte.
Historie von Vorfällen
Vergangene Sicherheitsereignisse und Beinahe-Vorfälle Ihrer Organisation informieren sowohl die Wahrscheinlichkeits- als auch die Auswirkungsbewertung.
KI-gestützte Bewertung
Tools wie ISMS Copilot können relevante Bedrohungen, Schwachstellen und Kontrollen basierend auf Ihrer Branche, Größe und Ihrem Technologie-Stack vorschlagen und so die Erstbewertung beschleunigen.
Präsentation der Risikobewertung vor dem Management
Executive Summary
Einseitiger Überblick über kritische Risiken, die allgemeine Risikolage und wichtige Empfehlungen. Fokus auf geschäftliche Auswirkungen, nicht auf technischen Jargon.
Risiko-Heatmap
Visuelle Darstellung der Risiken in einem Raster aus Wahrscheinlichkeit × Auswirkung. Macht die Risikoverteilung sofort ersichtlich.
Top 10 Risiken
Priorisierte Liste der am höchsten bewerteten Risiken, die sofortige Aufmerksamkeit und Investitionsentscheidungen erfordern.
Risiko-Trendanalyse
Zeigen Sie auf, wie sich das Risikoprofil seit der letzten Bewertung verändert hat – verbessert, stabil oder verschlechtert.
Ressourcenbedarf
Übersetzen Sie Risikobehandlungsentscheidungen in Budgetanfragen, Personalbedarf und Projektzeitpläne.
Kommunikationsstrategie: Das Management interessiert sich für Geschäftsergebnisse, nicht für technische Sicherheitsdetails. Formulieren Sie Risiken in Bezug auf Umsatzauswirkungen, Kundenvertrauen, behördliche Strafen und Betriebsunterbrechungen. Quantifizieren Sie Risiken nach Möglichkeit finanziell.
Verwandte Konzepte
Risikobehandlung – Der Prozess der Auswahl und Implementierung von Maßnahmen zur Bewältigung identifizierter Risiken
Erklärung zur Anwendbarkeit (SoA) – Dokument, das erklärt, welche Maßnahmen welche Risiken adressieren
Asset – Wertgegenstände, die geschützt werden müssen
Bedrohung – Potenzielle Ursachen für Sicherheitsvorfälle
Schwachstelle – Schwachpunkte, die ausgenutzt werden können
Hilfe erhalten
Beschleunigen Sie Ihren Risikobewertungsprozess mit ISMS Copilot. Erstellen Sie Vorlagen für die Risikobewertung, identifizieren Sie branchenspezifische Bedrohungen und Schwachstellen und erstellen Sie Dokumentationen, die Auditoren zufriedenstellen.