Methodik der Risikobewertung
ISMS Copilot verwendet eine strukturierte, wiederholbare Methodik zur Risikobewertung, um Informationssicherheitsrisiken zu identifizieren, zu analysieren, zu bewerten und zu behandeln. Diese Methodik erfüllt die Anforderungen der ISO 27001 (Abschnitte 6.1.1, 6.1.2, 6.1.3, 8.2, 8.3) und liefert über verschiedene Bewertungszyklen hinweg konsistente, vergleichbare Ergebnisse.
Diese Seite beschreibt unsere Methodik zur Risikobewertung — wie wir Risiken identifizieren, bewerten und behandeln. Die tatsächlichen Inhalte des Risikoregisters sind vertraulich und werden in unserem sicheren Repository gepflegt.
Risikokategorien
Wir bewerten Risiken in vier Kategorien, die das gesamte Spektrum der Bedrohungen für unsere Plattform und unsere Nutzer abdecken:
Sicherheitsrisiken — Unbefugter Zugriff, Datenschutzverletzungen, Kompromittierung von Zugangsdaten, Systemmanipulation
Operationale Risiken — Serviceverfügbarkeit, Abhängigkeiten von Drittanbietern, Business Continuity, Kapazität
Compliance-Risiken — Regulatorische Verstöße, Vertragsverletzungen, Zertifizierungslücken, Audit-Feststellungen
KI-spezifische Risiken — LLM-Halluzinationen, Prompt Injection, KI-Datenverarbeitung, Modell-Bias, Anbieter-Governance
Prozess der Risikobewertung
Unsere Risikobewertung folgt einem fünfstufigen Prozess:
Kontextprüfung — Überprüfung des organisatorischen Kontextes, der Threat Intelligence, der Vorfallshistorie und von Plattformänderungen (Abschnitt 4)
Risikoidentifikation — Identifizierung gefährdeter Assets, Bedrohungen, Schwachstellen und potenzieller Folgen (Abschnitt 6.1.2)
Risikoanalyse — Bewertung jedes Risikos hinsichtlich Eintrittswahrscheinlichkeit und Auswirkung anhand der unten stehenden Skalen (Abschnitt 6.1.2)
Risikoevaluierung — Berechnung des Risikowerts und Einstufung des Schweregrads (Abschnitt 6.1.2)
Risikobehandlung — Auswahl der Behandlungsoption und Implementierung von Kontrollen (Abschnitt 6.1.3)
Skala der Eintrittswahrscheinlichkeit
Punktwert | Stufe | Definition | Indikative Häufigkeit |
|---|---|---|---|
1 | Selten | Könnte nur unter außergewöhnlichen Umständen eintreten | Seltener als einmal alle 5 Jahre |
2 | Unwahrscheinlich | Könnte eintreten, wird aber nicht erwartet | Einmal pro 1-5 Jahre |
3 | Möglich | Könnte zu einem gewissen Zeitpunkt eintreten | Einmal pro Jahr |
4 | Wahrscheinlich | Wird unter den meisten Umständen erwartet | Mehrmals pro Jahr |
5 | Nahezu sicher | Tritt erwartungsgemäß häufig ein oder findet bereits statt | Monatlich oder häufiger |
Berücksichtigte Faktoren: Ob der Bedrohungsvektor auf ähnlichen Plattformen aktiv ausgenutzt wird, bestehende Kontrollen zur Verringerung der Wahrscheinlichkeit, historische Vorfallsdaten, Motivation und Fähigkeiten der Angreifer.
Skala der Auswirkungen
Punktwert | Stufe | Definition | Beispiele |
|---|---|---|---|
1 | Vernachlässigbar | Minimale oder keine Auswirkungen | Kosmetisches Problem, Unannehmlichkeiten für einen einzelnen Nutzer über Minuten hinweg |
2 | Geringfügig | Begrenzte Auswirkungen; schnell behebbar | Kurze Service-Beeinträchtigung, geringfügige Dateninkonsistenz (keine Verletzung) |
3 | Moderat | Merkbare Auswirkungen; erfordert Aufwand zur Behebung | Teilausfall über Stunden, Verlust einer nicht-kritischen Funktion |
4 | Erheblich | Signifikante Auswirkungen auf Betrieb, Daten oder Reputation | Längerer Ausfall, Datenpanne mit Auswirkungen auf mehrere Nutzer, Meldung an Aufsichtsbehörden erforderlich |
5 | Katastrophal | Schwerwiegende Auswirkungen, die die Existenz des Unternehmens gefährden | Massive Datenpanne, totaler Serviceverlust, behördliche Vollstreckungsmaßnahmen |
Berücksichtigte Faktoren: Anzahl der betroffenen Nutzer oder Datensätze, Exponierung vertraulicher oder eingeschränkt zugänglicher Daten, regulatorische Meldepflichten, Wiederherstellungszeit und -kosten, Auswirkungen auf das Kundenvertrauen.
Risikobewertungsmatrix
Risikowert = Wahrscheinlichkeit x Auswirkung (Skala von 1-25)
Punktebereich | Risikostufe | Erforderliche Maßnahme |
|---|---|---|
20-25 | Kritisch | Sofortige Schadensminderung erforderlich; CEO-Genehmigung bei Verzögerungen |
15-19 | Hoch | Behebung innerhalb von 48 Stunden; Behandlungsplan erforderlich |
8-14 | Mittel | Behebung innerhalb von 1-2 Wochen; Planung für den nächsten Sprint |
1-7 | Niedrig | Überwachen und prüfen; Behebung bei Gelegenheit |
Risikowerte werden automatisch aus unseren strukturierten Risikodefinitionen berechnet, was manuelle Fehler reduziert und die Konsistenz über die Bewertungszyklen hinweg sicherstellt.
Optionen der Risikobehandlung
Für jedes Risiko oberhalb der akzeptablen Schwelle wählen wir eine von vier Behandlungsoptionen:
Behandlung | Definition | Anwendung |
|---|---|---|
Mitigieren (Mindern) | Implementierung von Kontrollen zur Verringerung der Wahrscheinlichkeit und/oder Auswirkung | Standardoption; die meisten Risiken werden so behandelt |
Akzeptieren | Anerkennung des Risikos und Überwachung ohne zusätzliche Kontrollen | Wenn die Kosten der Minderung die potenziellen Auswirkungen übersteigen oder das Restrisiko innerhalb der Toleranz liegt |
Transferieren (Übertragen) | Übertragung des Risikos auf einen Dritten | Wenn ein Anbieter besser positioniert ist, um das Risiko zu managen |
Vermeiden | Eliminierung des Risikos durch Einstellen der Aktivität oder Entfernen des Assets | Wenn das Risiko inakzeptabel ist und nicht angemessen gemindert werden kann |
Kriterien für die Risikoakzeptanz
Niedrige Risiken (1-7) können vom Engineering Lead akzeptiert werden
Mittlere Risiken (8-14) erfordern Kenntnisnahme durch den CEO; Akzeptanz möglich bei dokumentierter Begründung
Hohe und kritische Risiken (15+) erfordern die explizite Genehmigung des CEO mit dokumentierter Rechtfertigung, kompensierenden Kontrollen und einem Überprüfungsdatum
Struktur des Risikoregisters
Alle Risiken werden als strukturierte Datendateien dokumentiert, die nach Kategorien organisiert sind (Sicherheit, Operational, Compliance, KI-spezifisch). Jeder Risikoeintrag erfasst:
Eindeutige ID, Kategorie und betroffenes Asset
Risikobeschreibung und Bedrohungsvektor
Werte für Wahrscheinlichkeit und Auswirkung
Zugewiesener Risikoeigentümer
Minderungsstrategie und implementierte Kontrollen
Überprüfungsdatum und Status
Framework-Abgleich (ISO 27001, SOC 2)
Inhalte des Risikoregisters — einschließlich spezifischer identifizierter Risiken, Bewertungen und Behandlungsdetails — sind vertraulich. Diese Seite beschreibt unsere Methodik; das eigentliche Register wird in unserem sicheren, versionskontrollierten Repository mit eingeschränktem Zugriff geführt.
Rhythmus der Risikoprüfung
Aktivität | Häufigkeit |
|---|---|
Validierung des Risikoregisters | Wöchentlich (automatisiert) |
Prüfung hoher/kritischer Risiken | Zweiwöchentlich |
Vollständige Prüfung des Risikoregisters | Quartalsweise |
Trigger-basierte Bewertung | Bei Ereignissen (Vorfall, neues Feature, Architekturänderung, regulatorische Änderung) |
Restrisiko
Nach Anwendung der Kontrollen verbleibt für jedes Risiko ein Restrisiko, das nach derselben Methodik bewertet wird, jedoch den Zustand nach der Kontrolle widerspiegelt. Das Restrisiko wird im Risikoregister dokumentiert, im Management Review berichtet, und jedes Restrisiko oberhalb der Stufe Mittel erfordert eine dokumentierte Akzeptanz mit einem Überprüfungsdatum.
Abgleich mit dem Schweregrad von Vorfällen
Unsere Risikobewertung ist auf unsere Klassifizierung der Vorfallsschwere abgestimmt, um eine konsistente Reaktion zu gewährleisten:
Risikowert | Risikostufe | Vorfallsschwere | Reaktions-SLA |
|---|---|---|---|
20-25 | Kritisch | S0 | Eindämmung + Minderung am selben Tag |
15-19 | Hoch | S1 | Minderung innerhalb von 48 Stunden |
8-14 | Mittel | S2 | 1-2 Wochen |
1-7 | Niedrig | S3 | Backlog / Überwachung |