Risikomanagement

Überblick

Das Risikomanagement ist eine zentrale Komponente des ISMS. Es umfasst die systematische Identifikation, Analyse, Bewertung und Behandlung von Informationssicherheitsrisiken. Die nachfolgend genannten Werte dienen als Beispiele zur Veranschaulichung.

Risikomanagement-Prozess

Interaktive Übersicht: Der kontinuierliche Risikomanagement-Zyklus

Risiko
Management

Phase 1 von 4 ISO/IEC 27001:2022

Risikomatrix

Niedrig Mittel Hoch Sehr Hoch
Sehr Hoch Mittel Hoch Kritisch Kritisch
Hoch Niedrig Mittel Hoch Kritisch
Mittel Niedrig Niedrig Mittel Hoch
Niedrig Niedrig Niedrig Niedrig Mittel

Eintrittswahrscheinlichkeit (Zeilen) × Auswirkung (Spalten)

Zusammenhang mit anderen ISMS-Komponenten

  • Assetmanagement: Risiken werden in Bezug auf konkrete Assets bewertet
  • BCM: Risikomanagement identifiziert Bedrohungen für die Geschäftskontinuität
  • ISMS: Risikomanagement liefert die Grundlage für Sicherheitsmaßnahmen

Risikomanagement nach ISO/IEC 27005

Die ISO/IEC 27005 ist eine Leitlinie für das Management von Informationssicherheitsrisiken und beschreibt einen prozessbasierten, fortlaufenden Ansatz. Sie ist auf das ISMS nach ISO/IEC 27001 abgestimmt.

Wesentliche Schritte und Komponenten

  1. Kontext und Kriterien festlegen – Scope definieren, Auswirkungs- und Eintrittswahrscheinlichkeitsstufen festlegen, Akzeptanzkriterien und Rollen vereinbaren.
  2. Risiken identifizieren – Systematische Erfassung von Risikoszenarien (asset-basiert oder ereignis-basiert).
  3. Risikobewertung (Risk Assessment) – Risikoanalyse (Wahrscheinlichkeit und Auswirkung) und Risikoeinschätzung zur Priorisierung.
  4. Risikobehandlung – Auswahl und Umsetzung von Maßnahmen (Vermeidung, Minderung, Übertragung, Akzeptanz).
  5. Risikoakzeptanz – Bewusste Entscheidung über zu akzeptierende Restrisiken und Dokumentation.
  6. Risikokommunikation und -konsultation – Austausch mit Betroffenen und Entscheidungsträgern.
  7. Überwachung und Überprüfung – Kontinuierliches Monitoring und regelmäßige Neubewertung der Risiken.

Risikoanalyse nach BSI-Standard 200-3

Der BSI-Standard 200-3 „Risikoanalyse auf der Basis von IT-Grundschutz“ beschreibt das Vorgehen zur Risikoanalyse im Rahmen des IT-Grundschutzes. Eine vertiefte Risikoanalyse ist insbesondere bei erhöhtem Schutzbedarf erforderlich.

Wesentliche Schritte und Komponenten

  1. Strukturanalyse – Erfassung aller Prozesse, Anwendungen und IT-Systeme des Informationsverbunds.
  2. Schutzbedarfsfeststellung – Bestimmung des Schutzbedarfs (niedrig, mittel, hoch, sehr hoch) für Vertraulichkeit, Integrität und Verfügbarkeit der Zielobjekte.
  3. Modellierung – Abbildung des Informationsverbunds mit IT-Grundschutz-Bausteinen und Zuordnung zu Schichten (Allgemein, Infrastruktur, IT-Systeme, etc.).
  4. Basis-Sicherheitscheck – Prüfung der Anforderungen aus den zugeordneten Grundschutz-Bausteinen.
  5. Risikoanalyse (erweitert) – Bei erhöhtem Schutzbedarf: Gefährdungsübersicht (elementare und zusätzliche Gefährdungen), Einstufung nach Eintrittshäufigkeit und Schadenshöhe.
  6. Risikobehandlung – Festlegung und Umsetzung von Maßnahmen zur Risikominderung bzw. -akzeptanz.
  7. Konsolidierung des Sicherheitskonzepts – Zusammenführung aller Ergebnisse in ein durchgängiges Sicherheitskonzept.