Risikomanagement ganz einfach erklärt
Ein Risikomanagement ist in jeder ISO-Norm mehr oder weniger verpflichtend durchzuführen. Die Anforderungen zum Risikomanagement findet man im Kapitel 6 einer ISO-Norm. In diesem Beitrag werden wir das Thema anhand er ISO 31000 und ISO 27005 betrachten. Diese beiden ISO-Normen werden meist als Referenz angeführt. (ISO 27001:6, ISO 22301:6, ISO 20000-1:6, ISO 9001:6)
Risikodefinition
In der Literatur wird ein Risiko wie folgt definiert.
„Risiko = Wahrscheinlichkeit x Ausmaß“.
Allgemeine Definition nach der aktuell geltenden Literatur: Ist ein Risiko die Möglichkeit eines Schadens oder eines Verlustes als Konsequenz eines bestimmten Verhaltens oder Geschehens. Dies bezieht sich auf Gefahrensituationen, in denen nachteilige Folgen eintreten können, aber nicht müssen. Das Aussitzen oder Nichtbehandeln eines Risikos wird als Akzeptanz und Chance betrachtet. Die Wahrscheinlichkeit wird definiert durch eine Bedrohung, die auf eine bekannte Schwachstelle wirkt
Risiken identifizieren
Alle Assets (Personen, IT-Komponente, Prozesse, Gebäude usw.) wurden durch die Ziele des Managementsystems klassifiziert. Das Risikomanagement nutzt dieselben Kriterien zur Einschätzung der Risikolage. Die Klassifizierung ist ein Teil des Asset-Management oder anderer Prozesse. Es werden unterschiedliche Stellen zur Bewertung von Bedrohungen und Schwachstellen verwendet. Diese folgenden Quellen können helfen:
- BSI – G0 Katalog
- Schwachstellen Meldungen (BSI)
- Penetrationstests
- Schwachstellen Scans
- Externe Meldungen (Lieferanten, Kunden)
- Prüfungen der Prozesse (Compliance)
- Veränderung der Gesetze oder Verordnungen (Compliance)
Risiken analysieren
In der Analyse Phase werden die gemeldeten Risiken hinsichtlich der Kriterien bzw. der Ziele des Managements bewertet. Diese Kriterien bzw. Ziele definieren die Tragweite (Schweregrad) des Risikos zusätzlich wird in der Analyse auch die Eintrittswahrscheinlichkeit ermittelt.
Die Tragweite, sollten feste Geldwerte oder besser eine prozentuale Einschätzung zum Umsatz oder Gewinn definiert werden.
Die Eintrittswahrscheinlichkeit, sollte auf Tage, Monate oder Jahre definiert werden.
Risiken Bewertung
Durch die Einschätzung der Tragweite und Eintrittswahrscheinlichkeit wird das Risikolevel definiert. Je nach Risikolevel werden geeignete Maßnahmen getroffen.
Risiko Maßnahmen
- Reduktion – Es werden Maßnahmen ergriffen, um das identifizierte Risiko zu mindern
- Vermeidung – Es wird zukünftig vermieden, die Tätigkeit durchzuführen, die zu diesem Risiko geführt hat.
- Transfer oder Übertragung – Das Risiko wird auf eine andere Organisation übertragen, z. B.: durch Versicherungen oder Outsourcing.
- Akzeptanz – Ein Risiko wird durch das Management akzeptiert. Diese Risiken können durch geeignete Kennzahlen überwacht werden.
Risiko Akzeptanz:
Die Akzeptanzkriterien und die jeweiligen Risiken müssen regelmäßig geprüft werden. Bei der Prüfung muss entscheiden werden, ob die getroffene Entscheidung sinnvoll und richtig war.
Beiträge zum Thema Informationssicherheit

Unsere neusten Beiträge aus der Kategorie Informationssicherheit:
- Annex A – ISO 27001:2022 VS ISO 27001:2013 12. Februar 2024
- Wesentliche Veränderungen bei der ISO 27001:2022 20. April 2024
- Anpassung der SoA – ISO 27001:2022 4. Mai 2024
Schauen Sie sich auch unsere Beiträge nach Norm Kapiteln sortierte Übersicht an:
- Alle Beiträge der ISO 27001 in der Übersicht 1. Januar 2023
Unsere Dienstleistungen
Wir bieten für die folgenden Managementsysteme Dienstleistungen im Bereich der Beratung und Auditierung an.

Informationssicherheit: → ISO 27001, TISAX
Qualitätsmanagement: → ISO 9001
Compliance Management: → ISO 37301
Datenschutz: → DSGVO, ISO 27701
Business Continuity Management: → ISO 22301
IT-Service Management: → ISO 20000-1
Dokumentenvorlagen

Auf unserer Webseite ↗ IT-Richtlinien.de bietet wir Vorlagen für Managementsysteme an. Wir entwickeln die Vorlagen regelmäßig weiter um den Stand der Technik ab zu bilden. Wir überprüfen unsere Vorlagen nach Audits oder Beratungsprojekten. Unsere Vorlagen sind für Zertifizierungen geeignet.