Zum Hauptinhalt springen
CENEDRIL HANDBUCH
Zu Cenedril
ISMS-Assistent · Risikobeurteilung

Risikoidentifikation & -bewertung

Aktualisiert am 3 Min. Pro-Abo-Stufe In Cenedril öffnen

Ziel Im ISMS-Assistenten die Risikoszenarien identifizieren, je Szenario Schadensausmass und Eintrittswahrscheinlichkeit bewerten und am Ende eine nach Risikowert priorisierte Risikoliste erhalten.

Im ISMS-Assistenten beurteilen Sie Ihre Informationssicherheitsrisiken in drei Kapiteln nacheinander: In der Risikoidentifikation stellen Sie aus dem ereignis- und dem assetbasierten Ansatz eine gemeinsame Liste von Risikoszenarien zusammen. In der Risikoanalyse bewerten Sie je Szenario das Schadensausmass und die Eintrittswahrscheinlichkeit, woraus Cenedril den Risikowert berechnet. Im Kapitel Risikobewertung ordnen Sie die Risiken den Akzeptanzstufen zu und priorisieren sie. Am Ende steht eine nach Risikowert sortierte Risikoliste.

Risikoszenarien zusammenstellen

Risikoidentifikation öffnen

Öffnen Sie den ISMS-Assistenten und wechseln Sie in das Kapitel Risikoidentifikation. Die Einstiegsseite erklärt die beiden Identifikationsmethoden, die Cenedril nacheinander nutzt: Top-down: ereignisbasiert aus strategischer Sicht und Bottom-up: assetbasiert aus operativer Sicht.

Die Einstiegsseite der Risikoidentifikation mit den beiden Methoden „Top-down: ereignisbasiert“ und „Bottom-up: assetbasiert“.

Vorgelagerte Schritte durchlaufen

Arbeiten Sie sich über Weiter durch die Schritte der Risikoidentifikation: Prozesskategorien und Prozesse, Risikoereignisse aus dem top-down-Weg sowie die im assetbasierten Durchgang erfassten Informationen, Bedrohungen und Schwachstellen. Diese Eingaben bilden die Grundlage für die Risikoszenarien.

Risikoszenarien sichten

Auf der Seite Risikoszenarien laufen beide Methoden zusammen. Oben stehen die Szenarien aus den strategischen Risikoereignissen, darunter die automatisch generierten Vorschläge aus dem assetbasierten Ansatz. Ein Szenario beschreibt in einem Satz, wie eine Bedrohung eine Schwachstelle eines unterstützenden Assets ausnutzt und dabei Vertraulichkeit, Integrität oder Verfügbarkeit eines primären Informations-Assets in einem Prozess gefährdet.

Die Seite Risikoszenarien: oben die Risikoereignisse, darunter die automatisch generierten Vorschläge.

Szenarien bestätigen und verantwortliche Person zuweisen

Übernehmen Sie die Vorschläge, die wirklich ein Risiko darstellen, und blenden Sie nicht zutreffende Vorschläge aus. Ergänzen Sie fehlende Szenarien von Hand. Weisen Sie jedem Szenario im Feld Risikoeigentümer eine verantwortliche Person zu. Speichern Sie mit Speichern & Weiter.

Risiken analysieren

Schadensausmass bewerten

Im Kapitel Risikoanalyse öffnen Sie zuerst die Seite Schadensausmass. Gehen Sie die Liste der Risikoszenarien durch und bewerten Sie je Szenario, wie groß der Schaden im Eintrittsfall wäre, getrennt für jede Konsequenzdimension aus Ihrer Risikopolitik (z. B. finanziell, rechtlich, Reputation). Speichern Sie mit Speichern & Weiter.

Eintrittswahrscheinlichkeit bewerten

Auf der Seite Eintrittswahrscheinlichkeit gehen Sie die Szenarien erneut durch und weisen jedem eine Eintrittswahrscheinlichkeit zu. Die Auswirkungswerte aus dem vorherigen Schritt bleiben hier bewusst ausgeblendet, damit die eine Einschätzung die andere nicht verankert.

Risikoniveau prüfen

Die Seite Risikoniveauberechnung ist rein rechnerisch. Cenedril kombiniert je Szenario Schadensausmass und Eintrittswahrscheinlichkeit zum Risikowert und ordnet ihn der Risikostufe aus Ihrer Risikopolitik zu. Die Matrix oben zeigt die Verteilung aller Szenarien, darunter steht jedes Szenario einzeln mit Risikowert und Stufe.

Die Risikoniveauberechnung zeigt die Verteilung aller Szenarien in der Matrix und je Szenario Risikowert und Stufe.

Risiken evaluieren und priorisieren

Risiken einordnen

Im Kapitel Risikobewertung verteilt Cenedril die Szenarien automatisch in die Stufen-Gruppen aus Ihrer Risikoakzeptanz-Matrix. Prüfen Sie jede Gruppe und korrigieren Sie eine unpassende Einordnung per Drag-and-Drop in die richtige Stufe, mit Begründung. Die Akzeptanz-Kriterien aus der Risikopolitik erscheinen oben als Erinnerung.

Risiken priorisieren

Auf der Seite Risikopriorisierung wählen Sie eine von drei Sortierungen. Cenedril erzeugt daraus eine nummerierte Liste aller Szenarien. Stimmt die Reihenfolge an einzelnen Stellen nicht, verschieben Sie Szenarien mit den Pfeiltasten manuell.

Priorisierte Risikoliste abschließen

Die Seite Priorisierte Risikoliste fasst die Ergebnisse zusammen. Die Matrix zeigt, wo die priorisierten Szenarien in der Risikolandschaft liegen, die Liste darunter ist die Arbeitsgrundlage für das nächste Kapitel. Speichern Sie, um die Risikobeurteilung abzuschließen.

Ergebnis: Jedes Risikoszenario hat ein bewertetes Schadensausmass, eine Eintrittswahrscheinlichkeit und daraus einen Risikowert mit zugeordneter Stufe. Die priorisierte Risikoliste steht bereit und dient im Kapitel Risikobehandlung als Grundlage für die Behandlungsentscheidungen und die Anwendbarkeitserklärung.

Häufige Fragen

Muss ich jedes Szenario von Hand anlegen?

Nein. Auf der Seite Risikoszenarien übernimmt Cenedril die strategischen Risikoereignisse aus dem ereignisbasierten Ansatz und erzeugt aus Ihren Assets, Bedrohungen und Schwachstellen automatisch Vorschläge für den assetbasierten Ansatz. Sie bestätigen, was wirklich ein Risiko ist, blenden Rauschen aus und ergänzen fehlende Szenarien von Hand.

Warum sehe ich beim Bewerten der Eintrittswahrscheinlichkeit die Auswirkungswerte nicht?

Schadensausmass und Eintrittswahrscheinlichkeit werden auf getrennten Seiten bewertet, damit die eine Einschätzung die andere nicht verankert. Erst auf der Seite Risikoniveauberechnung werden beide Werte zum Risikowert kombiniert.

Wie entsteht der Risikowert?

Die Seite Risikoniveauberechnung kombiniert je Szenario Ihre Einschätzung des Schadensausmasses mit der Eintrittswahrscheinlichkeit zum Risikowert und ordnet diesen der Risikostufe aus Ihrer Risikopolitik zu. Sie bewerten hier nichts mehr, Sie prüfen nur, ob das Ergebnis plausibel ist.

Was bedeutet die Einordnung in der Risikobewertung?

Cenedril verteilt die Szenarien automatisch in die Stufen-Gruppen aus Ihrer Risikoakzeptanz-Matrix. Stimmt eine berechnete Einordnung nicht mit dem tatsächlichen Risikoprofil überein, ziehen Sie das Szenario per Drag-and-Drop in die richtige Stufe und dokumentieren den Grund.

Was passiert mit der priorisierten Risikoliste?

Die priorisierte Risikoliste ist die Arbeitsgrundlage für das nächste Kapitel Risikobehandlung. Dort entscheiden Sie je Risiko über die Behandlung und die Anwendbarkeitserklärung (SoA).

Informationssicherheit-Assistent

Geltungsbereich (Scope) festlegen

So legen Sie im ISMS-Assistenten den Geltungsbereich Ihres Informationssicherheits-Managementsystems fest, dokumentieren Ausschlüsse und Schnittstellen und erzeugen die Geltungsbereichserklärung.

Informationssicherheit-Assistent

Anwendbarkeitserklärung (SoA) & Risikobehandlung

So wählen Sie im ISMS-Assistenten für jedes Risiko eine Behandlungsoption, aktivieren die passenden Kontrollen aus Anhang A und erzeugen daraus die Anwendbarkeitserklärung.