← Zurück zum Blog
7 Min. Lesezeit

Praktisches Risikomanagement nach ISO 27005: Von der Theorie zur Umsetzung

ISO 27005RisikomanagementISMSInformationssicherheit

Risikomanagement ist das Herzstück jedes Informationssicherheits-Managementsystems. ISO 27005 liefert den methodischen Rahmen, bleibt aber bewusst abstrakt. Dieser Artikel zeigt, wie Sie die Norm in der Praxis umsetzen – mit konkreten Methoden, Beispielen und Empfehlungen aus der Beratungspraxis.

ISO 27005 im Überblick

ISO 27005 beschreibt den Risikomanagementprozess für Informationssicherheit in sechs Phasen:

  1. Kontextdefinition – Rahmenbedingungen und Kriterien festlegen
  2. Risikoidentifikation – Assets, Bedrohungen und Schwachstellen erfassen
  3. Risikoanalyse – Eintrittswahrscheinlichkeit und Auswirkung bewerten
  4. Risikobewertung – Risiken priorisieren und mit Kriterien abgleichen
  5. Risikobehandlung – Maßnahmen auswählen und umsetzen
  6. Risikoüberwachung – Kontinuierliche Überprüfung und Anpassung

Die Norm ist bewusst flexibel gehalten und schreibt keine konkrete Methodik vor. Das ist Stärke und Schwäche zugleich: Es ermöglicht Anpassung an die Organisation, erfordert aber eigene Entscheidungen zur Umsetzung.

Phase 1: Kontextdefinition

Bevor Sie Risiken bewerten, müssen Sie den Rahmen definieren. Dieser Schritt wird oft unterschätzt, ist aber entscheidend für die Konsistenz aller folgenden Aktivitäten.

Scope festlegen

Definieren Sie klar, was im Scope liegt:

  • Welche Organisationseinheiten?
  • Welche Standorte?
  • Welche Prozesse und Systeme?
  • Welche Schnittstellen zu externen Parteien?

Praxistipp: Der Scope sollte an natürlichen Organisationsgrenzen enden, nicht mitten in Prozessen. Ein Risiko, das zur Hälfte im Scope liegt, lässt sich nicht sinnvoll behandeln.

Risikokriterien definieren

Legen Sie fest, wie Sie Risiken bewerten werden:

Auswirkungskriterien: Was bedeutet "hoch", "mittel", "niedrig"? Definieren Sie konkrete Schwellenwerte:

Auswirkungskriterien

Wahrscheinlichkeitskriterien: Auch hier brauchen Sie klare Definitionen:

Wahrscheinlichkeitskriterien

Risikoakzeptanzkriterien: Ab welchem Risikoniveau müssen Maßnahmen ergriffen werden? Wer darf welche Risiken akzeptieren?

Risikomatrix erstellen

Kombinieren Sie Auswirkung und Wahrscheinlichkeit in einer Matrix:

Risikomatrix

Phase 2: Risikoidentifikation

Die Risikoidentifikation folgt typischerweise einem Asset-basierten Ansatz: Sie identifizieren erst die schützenswerten Assets, dann die Bedrohungen und Schwachstellen.

Asset-Inventar erstellen

Ein Asset ist alles, was für die Organisation Wert hat. Kategorisieren Sie systematisch:

Primäre Assets:

  • Geschäftsprozesse (z.B. Auftragsabwicklung, Produktentwicklung)
  • Informationen (z.B. Kundendaten, Konstruktionspläne, Finanzdaten)

Unterstützende Assets:

  • Hardware (Server, Clients, Netzwerkkomponenten)
  • Software (Anwendungen, Betriebssysteme, Datenbanken)
  • Netzwerk (LAN, WAN, Internet-Anbindung)
  • Personal (Administratoren, Entwickler, Anwender)
  • Standorte (Rechenzentrum, Büros, Produktionsstätten)
  • Externe Dienstleister (Cloud-Provider, Outsourcing-Partner)

Praxistipp: Beginnen Sie mit den Geschäftsprozessen und arbeiten Sie sich zu den unterstützenden Assets vor. So stellen Sie sicher, dass Sie nichts Wichtiges übersehen und den Geschäftsbezug nicht verlieren.

Bedrohungsidentifikation

Nutzen Sie etablierte Bedrohungskataloge als Ausgangspunkt:

  • BSI-Grundschutz-Kompendium (elementare Gefährdungen)
  • ENISA Threat Landscape
  • MITRE ATT&CK Framework

Typische Bedrohungskategorien:

  • Vorsätzliche Handlungen: Cyberangriffe, Sabotage, Diebstahl, Social Engineering
  • Fahrlässigkeit: Fehlbedienung, unzureichende Wartung, Fehlkonfiguration
  • Technisches Versagen: Hardwareausfall, Softwarefehler, Netzwerkausfall
  • Externe Ereignisse: Naturkatastrophen, Stromausfall, Pandemie

Schwachstellenidentifikation

Schwachstellen sind Eigenschaften von Assets, die durch Bedrohungen ausgenutzt werden können. Typische Kategorien sind:

  • Technisch: Fehlende Patches, schwache Passwörter, unverschlüsselte Übertragung
  • Organisatorisch: Fehlende Richtlinien, unklare Verantwortlichkeiten, mangelnde Schulung
  • Physisch: Unzureichende Zutrittskontrolle, fehlender Brandschutz
  • Personal: Mangelndes Sicherheitsbewusstsein, Überlastung, fehlende Vertretung

Praxistipp: Nutzen Sie verschiedene Quellen zur Schwachstellenidentifikation: Technische Vulnerability Scans, Penetrationstests, Interviews mit Prozessverantwortlichen, Erkenntnisse aus früheren Vorfällen und Audit-Feststellungen.

Risikoszenarien formulieren

Kombinieren Sie Asset, Bedrohung und Schwachstelle zu konkreten Risikoszenarien:

Beispiel:

  • Asset: Kundendatenbank
  • Bedrohung: Ransomware-Angriff
  • Schwachstelle: Veraltete Backup-Strategie, fehlende Netzwerksegmentierung
  • Szenario: "Ein Ransomware-Angriff verschlüsselt die Kundendatenbank. Aufgrund fehlender Netzwerksegmentierung breitet sich die Malware aus. Die Backups sind ebenfalls betroffen, da sie nicht offline gesichert werden."

Phase 3: Risikoanalyse

In der Risikoanalyse bewerten Sie jedes Risikoszenario hinsichtlich Eintrittswahrscheinlichkeit und Auswirkung.

Qualitative vs. quantitative Analyse

Qualitative Analyse arbeitet mit Kategorien (niedrig, mittel, hoch). Sie ist schneller und einfacher, aber weniger präzise.

Quantitative Analyse arbeitet mit Zahlen (z.B. "jährlich erwarteter Schaden in Euro"). Sie ist präziser, erfordert aber mehr Daten und Aufwand.

Empfehlung: Starten Sie qualitativ und quantifizieren Sie nur die Top-Risiken, bei denen es für Entscheidungen nötig ist.

Wahrscheinlichkeit bewerten

Berücksichtigen Sie bei der Bewertung:

  • Historische Daten (eigene Vorfälle, Branchendaten)
  • Aktuelle Bedrohungslage (Threat Intelligence)
  • Vorhandene Schutzmaßnahmen
  • Attraktivität des Ziels für Angreifer

Praxistipp: Unterscheiden Sie zwischen inhärenter Wahrscheinlichkeit (ohne Maßnahmen) und Restwahrscheinlichkeit (mit Maßnahmen). Für die Risikoanalyse bewerten Sie die Restwahrscheinlichkeit.

Auswirkung bewerten

Betrachten Sie alle relevanten Auswirkungsdimensionen:

  • Finanzielle Schäden (direkt und indirekt)
  • Reputationsschäden
  • Betriebsunterbrechung
  • Rechtliche Konsequenzen
  • Personenschäden

Die höchste Einzelbewertung bestimmt die Gesamtauswirkung.

Phase 4: Risikobewertung

In der Risikobewertung gleichen Sie die analysierten Risiken mit Ihren Kriterien ab und priorisieren sie.

Risiken priorisieren

Sortieren Sie die Risiken nach Risikoniveau. Bei gleichem Niveau können zusätzliche Kriterien herangezogen werden:

  • Behandelbarkeit (wie leicht lässt sich das Risiko reduzieren?)
  • Kosten-Nutzen-Verhältnis der Behandlung
  • Regulatorische Anforderungen
  • Strategische Bedeutung des betroffenen Assets

Risikoakzeptanz prüfen

Vergleichen Sie jedes Risiko mit den definierten Akzeptanzkriterien:

  • Liegt das Risiko unter der Akzeptanzschwelle? → Dokumentieren und überwachen
  • Liegt das Risiko über der Akzeptanzschwelle? → Behandlung erforderlich
  • Ist das Risiko kritisch? → Sofortige Eskalation an die Geschäftsführung

Phase 5: Risikobehandlung

Für jedes Risiko, das behandelt werden muss, wählen Sie eine oder mehrere Behandlungsoptionen.

Behandlungsoptionen

Risikovermeidung: Die risikobehaftete Aktivität wird eingestellt oder anders gestaltet.

Risikominderung: Maßnahmen reduzieren Wahrscheinlichkeit und/oder Auswirkung.

Risikotransfer: Das Risiko wird auf Dritte übertragen (z.B. Cyber-Versicherung).

Risikoakzeptanz: Das Restrisiko wird bewusst akzeptiert.

Maßnahmen auswählen

Bei der Maßnahmenauswahl berücksichtigen Sie:

  • Wirksamkeit (wie stark reduziert die Maßnahme das Risiko?)
  • Kosten (Investition und laufende Kosten)
  • Umsetzbarkeit (technisch, organisatorisch, personell)
  • Nebenwirkungen (Auswirkungen auf andere Prozesse)
  • Synergien (adressiert die Maßnahme mehrere Risiken?)

Praxistipp: Nutzen Sie den Annex A der ISO 27001 oder den BSI-Grundschutz als Maßnahmenkatalog. Erfinden Sie das Rad nicht neu.

Restrisiko bewerten

Nach der geplanten Umsetzung aller Maßnahmen bewerten Sie das verbleibende Restrisiko. Dieses muss dokumentiert und von der zuständigen Stelle akzeptiert werden.

Phase 6: Risikoüberwachung

Risikomanagement ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess.

Regelmäßige Überprüfung

  • Risiko-Review: Mindestens jährlich alle Risiken überprüfen
  • Trigger-basierte Reviews: Bei wesentlichen Änderungen (neue Systeme, neue Bedrohungen, Vorfälle)
  • Maßnahmen-Tracking: Umsetzungsstand regelmäßig prüfen

Key Risk Indicators (KRIs)

Definieren Sie Frühindikatoren, die auf steigende Risiken hinweisen:

  • Anzahl der Sicherheitsvorfälle
  • Anzahl offener kritischer Schwachstellen
  • Patch-Compliance-Quote
  • Ergebnisse von Phishing-Simulationen
  • Anzahl überfälliger Maßnahmen

Berichtswesen

Etablieren Sie ein regelmäßiges Risiko-Reporting:

  • Operativ: Monatlicher Status an den CISO
  • Taktisch: Quartalsweise an das Sicherheitskomitee
  • Strategisch: Jährlich an die Geschäftsführung

Typische Fallstricke

Zu viele Risiken

Manche Organisationen identifizieren hunderte von Risiken und verlieren den Überblick.

Lösung: Aggregieren Sie ähnliche Risiken. Fokussieren Sie auf die wesentlichen. Ein Register mit 30-50 Risiken ist für die meisten Organisationen handhabbar.

Zu abstrakte Risiken

"Cyberangriff" ist kein Risiko, sondern eine Bedrohungskategorie. Zu abstrakte Risiken lassen sich nicht sinnvoll bewerten und behandeln.

Lösung: Formulieren Sie konkrete Szenarien mit Asset, Bedrohung, Schwachstelle und Auswirkung.

Risikobewertung ohne Kontext

Die gleiche Bedrohung kann für verschiedene Organisationen völlig unterschiedliche Risiken darstellen.

Lösung: Bewerten Sie immer im Kontext Ihrer spezifischen Organisation, Assets und Schutzmaßnahmen.

Maßnahmen ohne Wirksamkeitsprüfung

Maßnahmen werden implementiert, aber niemand prüft, ob sie wirken.

Lösung: Definieren Sie für jede Maßnahme, wie deren Wirksamkeit gemessen wird. Führen Sie regelmäßige Tests durch.

Risikomanagement als Papiertiger

Das Risikoregister existiert, aber niemand nutzt es für Entscheidungen.

Lösung: Verankern Sie Risikomanagement in Entscheidungsprozessen. Jede wesentliche Änderung sollte eine Risikobewertung durchlaufen.

Fazit

Praktisches Risikomanagement nach ISO 27005 erfordert keine perfekte Methodik, sondern einen pragmatischen, konsistenten Ansatz. Die wichtigsten Erfolgsfaktoren sind:

  • Klare Kriterien: Definieren Sie vor der Bewertung, was die Kategorien bedeuten
  • Konkretion: Formulieren Sie spezifische Szenarien statt abstrakter Risiken
  • Fokussierung: Konzentrieren Sie sich auf die wesentlichen Risiken
  • Integration: Verankern Sie Risikomanagement in Entscheidungsprozessen
  • Kontinuität: Risikomanagement ist ein Prozess, kein Projekt

Starten Sie pragmatisch, lernen Sie aus der Praxis und verbessern Sie kontinuierlich. Ein gelebtes, einfaches Risikomanagement ist wertvoller als ein perfektes System auf dem Papier.

Sie möchten Ihr Risikomanagement aufbauen oder optimieren? Wir unterstützen Sie mit praxiserprobten Methoden, Templates und Coaching – von der Konzeption bis zur Umsetzung.

Sie möchten diese Themen in Ihrem Unternehmen angehen? Siegel Resilience unterstützt Sie von der Analyse bis zur Umsetzung – unabhängig, pragmatisch und normkonform. Kontakt aufnehmen →

Teilen: