Wie oft muss ich die Risikobewertung wiederholen?

Mindestens jaehrlich und nach jeder wesentlichen Aenderung (neue Systeme, organisatorische Umstrukturierung, Sicherheitsvorfaelle). ISO 27001 Clause 8.2 verlangt, dass der Risikobewertungsprozess in geplanten Intervallen durchgefuehrt wird. In der Praxis lohnt sich ein fester Jahrestermin — plus anlassbezogene Bewertungen, wenn sich die Bedrohungslage aendert.

Brauche ich ein separates Tool fuer das Risikomanagement?

Nicht zwingend. Fuer kleine Organisationen reicht eine strukturierte Tabelle. Ab ca. 50 Mitarbeitenden oder mehr als 30 Risikoszenarien wird ein dediziertes Tool (oder ein integrierter ISMS-Wizard wie in Cenedril) deutlich effizienter — vor allem, weil die Verknuepfung zwischen Assets, Bedrohungen, Schwachstellen und Massnahmen manuell schnell unuebersichtlich wird.

Was ist der Unterschied zwischen Risikobewertung und Risikobehandlung?

Die Risikobewertung bestimmt, wie gross ein Risiko ist (Schadensausmass mal Eintrittswahrscheinlichkeit) und ob es den Risikoakzeptanzwert ueberschreitet. Die Risikobehandlung entscheidet, was du mit dem Risiko tust: vermeiden, modifizieren, teilen oder akzeptieren. Beides gehoert in dieselbe Richtlinie, weil die Bewertung direkt in die Behandlungsentscheidung fliesst.

Muss jedes Risiko behandelt werden?

Jedes identifizierte Risiko braucht eine dokumentierte Entscheidung. Das heisst aber nicht, dass jedes Risiko Massnahmen erfordert. Risiken unterhalb des Akzeptanzwerts koennen bewusst akzeptiert werden (Risikoretention) — mit einer schriftlichen Begruendung und Genehmigung durch die verantwortliche Person. Was im Audit zaehlt: die bewusste Entscheidung, nicht die Massnahme.

Was gehoert in die Erklaerung zur Anwendbarkeit (SoA)?

Fuer jede der 93 Annex-A-Massnahmen dokumentierst du: ob sie anwendbar ist (ja/nein), die Begruendung fuer den Ein- oder Ausschluss, ob sie implementiert ist und wie. Die SoA ist eines der meistgeprueften Dokumente im Zertifizierungsaudit. Sie verbindet deine Risikobewertung mit den konkreten Massnahmen und zeigt Auditor:innen, dass du die Annex-A-Controls bewusst bewertet hast.

Wie bestimme ich die Eintrittswahrscheinlichkeit?

Auf einer fuenfstufigen Skala von 'Sehr unwahrscheinlich' bis 'Fast sicher'. Die Bewertung stuetzt sich auf historische Vorfaelle, Bedrohungsinformationen, Branchenberichte und die Einschaetzung der Fachleute im Raum. Wichtig: Die Skala muss vor der Bewertung definiert und dokumentiert sein — sonst bewertet jede Person nach eigenem Massstab.

Risikomanagement-Richtlinie

Die Risikomanagement-Richtlinie ist das Herzstück deines ISMS. Alle anderen Richtlinien — Zugriffskontrolle, Kryptographie, physische Sicherheit — setzen voraus, dass du weisst, welche Risiken du absicherst. Ohne dokumentierten Risikomanagementprozess fehlt dem gesamten ISMS die Grundlage, auf der Massnahmen ausgewählt und priorisiert werden.

ISO 27001 widmet dem Risikomanagement drei Hauptklauseln (6.1, 6.2, 8.2/8.3) und verweist für die Methodik auf ISO 27005:2022. BSI IT-Grundschutz behandelt das Thema im Standard 200-3 und im Baustein ISMS.1. Weiter unten findest du die komplette Vorlage auf Deutsch und Englisch.

Vier Phasen in einem Dokument. Risikoidentifikation, Risikoanalyse, Risikobewertung und Risikobehandlung — durchgängig verknüpft.
Asset-basierter Ansatz: Primäre Assets (Informationen, Prozesse) führen zu unterstützenden Assets (Systeme, Netzwerke, Personal), daraus entstehen Bedrohungen, Schwachstellen und Risikoszenarien.
5x5-Risikomatrix. Schadensausmass (fünf Dimensionen: finanziell, Reputation, rechtlich/regulatorisch, operativ, Sicherheit) mal Eintrittswahrscheinlichkeit. Risikoscore von 1 bis 25, fünf Risikostufen.
Vier Behandlungsoptionen: Vermeidung, Modifikation (Massnahmen aus Annex A), Teilung (Versicherung, Auslagerung), Akzeptanz.
Erklärung zur Anwendbarkeit (SoA) für alle 93 Annex-A-Controls plus Risikobehandlungsplan mit Verantwortlichkeiten und Fristen.

Worum geht es konkret?

Der Risikomanagementprozess gibt dir ein wiederholbares Verfahren, um Bedrohungen zu erkennen, ihre Tragweite einzuschätzen und gezielt gegenzusteuern. Die Richtlinie dokumentiert dieses Verfahren — Methodik, Bewertungsskalen, Akzeptanzkriterien und Verantwortlichkeiten — so, dass jede Bewertungsrunde nach denselben Regeln abläuft.

In der Praxis beantwortet die Richtlinie Fragen wie: Welche Risikoquellen betrachten wir? Ab welchem Score muss behandelt werden? Wer entscheidet über Risikoakzeptanz? Wie oft wird die Bewertung wiederholt? Und wer bekommt die Ergebnisse?

Ohne diese Festlegungen passiert Folgendes: Jede Abteilung bewertet Risiken nach eigenem Massstab, Massnahmen werden nach Bauchgefühl statt nach Dringlichkeit ausgewählt, und im Audit fehlt der Nachweis, dass die Organisation ihre Risiken systematisch kennt.

Warum ist sie so wichtig?

Regulatorisches Fundament. Clause 6.1 verlangt, dass du Risiken und Chancen bestimmst, die das ISMS betreffen. Clause 6.2 fordert messbare Informationssicherheitsziele auf Basis der Risikobewertung. Clause 8.2 und 8.3 verlangen die Durchführung und Umsetzung in geplanten Intervallen. Auditor:innen prüfen die Risikobewertung als erstes — sie ist der rote Faden, an dem sich der gesamte Audit orientiert.

Massnahmenauswahl mit Begründung. Die Annex-A-Controls sind kein Katalog zum Abhaken. Die Risikobewertung bestimmt, welche Controls relevant sind, und die Erklärung zur Anwendbarkeit (SoA) dokumentiert die Begründung für jede Einschluss- und Ausschlussentscheidung.

Entscheidungsgrundlage für die Geschäftsleitung. Risikomanagement übersetzt technische Bedrohungen in geschäftliche Auswirkungen. Wenn die Geschäftsleitung versteht, dass ein bestimmtes Szenario einen finanziellen Schaden von 500.000 Euro verursachen kann, wird die Investition in Gegenmassnahmen greifbar.

Was gehört in die Richtlinie?

Die Vorlage deckt den gesamten Risikomanagementzyklus ab — hier die Kernabschnitte:

Risikoidentifikation — Primäre Assets (Informationen, Geschäftsprozesse) und unterstützende Assets (Systeme, Netzwerke, Räumlichkeiten, Personal) erfassen. Aus dem Risikoquellen-Katalog Bedrohungen ableiten, vorhandene Schwachstellen identifizieren und beides zu Risikoszenarien verknüpfen.
Risikoanalyse — Schadensausmass in fünf Dimensionen bewerten (finanziell, Reputation, rechtlich/regulatorisch, operativ, Sicherheit), jeweils auf einer Skala von 1 bis 5. Der Gesamtwert ist der höchste Einzelwert. Eintrittswahrscheinlichkeit auf fünf Stufen einschätzen (Sehr unwahrscheinlich bis Fast sicher).
Risikobewertung — Risikoscore berechnen (Schadensausmass x Eintrittswahrscheinlichkeit), in die 5x5-Matrix eintragen. Fünf Risikostufen: Sehr niedrig (1–4), Niedrig (5–8), Mittel (9–12), Hoch (13–16), Sehr hoch (17–25). Risiken oberhalb des Akzeptanzwerts priorisieren.
Risikobehandlung — Vier Optionen pro Risiko: Vermeidung (Aktivität einstellen, Restrisiko = 0), Modifikation (Massnahmen aus Annex A implementieren), Teilung (Versicherung, Auslagerung an Dienstleister), Akzeptanz (mit dokumentierter Begründung und Genehmigung).
Erklärung zur Anwendbarkeit (SoA) — Für jede der 93 Annex-A-Massnahmen dokumentieren, ob sie anwendbar ist und warum.
Risikobehandlungsplan — Massnahmen, Verantwortliche, Fristen, erwartete Risikoreduktion und Status.
Risikokommunikation — Wer bekommt welche Informationen: Geschäftsleitung (Gesamtrisikobild), verantwortliche Personen (ihre Risiken), Informationssicherheitsbeauftragte (operativer Status), interessierte Parteien (relevante Risikoinformationen).

So führst du die Richtlinie ein

01

Asset-Inventar aufbauen

Der Risikomanagementprozess beginnt bei den Werten, die du schützen willst. Erstelle eine Liste deiner primären Assets — Informationen und Geschäftsprozesse — und ordne ihnen die unterstützenden Assets zu: IT-Systeme, Netzwerke, Räumlichkeiten, Personal. Dieses Inventar ist die Grundlage für alle weiteren Schritte. Ohne es arbeitest du mit Vermutungen.
02

Bewertungsskalen und Akzeptanzkriterien festlegen

Definiere die fünfstufigen Skalen für Schadensausmass und Eintrittswahrscheinlichkeit, bevor du mit der Bewertung beginnst. Lege den Risikoakzeptanzwert fest — ab welchem Score muss behandelt werden? Diese Festlegungen gehören in die Richtlinie und werden von der Geschäftsleitung genehmigt. Wenn die Skalen erst während der Bewertung entstehen, bewertet jede Person nach eigenem Massstab.
03

Workshop: Bedrohungen, Schwachstellen und Szenarien

Lade IT-Betrieb, Fachabteilungen und Informationssicherheitsbeauftragte zu einem gemeinsamen Workshop ein. Geht den Risikoquellen-Katalog durch, identifiziert relevante Bedrohungen für eure Assets und ordnet ihnen vorhandene Schwachstellen zu. Das Ergebnis sind konkrete Risikoszenarien — z.B. 'Ransomware verschlüsselt das ERP-System wegen fehlender Netzwerksegmentierung'. Rechne mit drei bis vier Stunden für die erste Runde.
04

Risiken bewerten und Behandlung entscheiden

Bewerte jedes Szenario nach Schadensausmass (höchster Wert aus fünf Dimensionen) und Eintrittswahrscheinlichkeit. Trage die Ergebnisse in die 5x5-Matrix ein. Für Risiken oberhalb des Akzeptanzwerts wählt ihr gemeinsam eine Behandlungsoption und ordnet Massnahmen aus Annex A zu. Dokumentiere alles im Risikobehandlungsplan — mit verantwortlicher Person, Frist und erwartetem Restrisiko.
05

SoA erstellen und Richtlinie freigeben

Die Erklärung zur Anwendbarkeit (SoA) verbindet deine Risikobewertung mit den 93 Annex-A-Controls. Dokumentiere für jede Massnahme, ob sie anwendbar ist und warum. Lasse die Richtlinie samt SoA von der Geschäftsleitung genehmigen und kommuniziere die Ergebnisse an alle relevanten Parteien. Plane den nächsten Bewertungszyklus gleich ein — mindestens jährlich.

Wo es in der Praxis schiefgeht

Aus Audit-Erfahrung, nach Häufigkeit sortiert:

1. Bewertungsskalen fehlen oder sind undokumentiert. Jede beteiligte Person schätzt Schadensausmass und Eintrittswahrscheinlichkeit nach eigenem Massstab ein. Im Audit lässt sich nicht nachvollziehen, warum ein Risiko als “mittel” eingestuft wurde. Die Richtlinie muss die Skalen verbindlich festlegen — vor der Bewertung.

2. Risikoakzeptanz ohne Begründung. Risiken werden als akzeptiert markiert, aber es fehlt die dokumentierte Begründung und die Genehmigung durch die verantwortliche Person. Im Audit ist das ein direktes Finding gegen Clause 6.1.2.

3. Lücke zwischen Bewertung und Massnahmen. Die Risikobewertung existiert in einer Excel-Datei, die Massnahmen in einer anderen. Ob die Massnahmen tatsächlich die identifizierten Risiken adressieren, ist nicht nachvollziehbar. Die SoA schliesst diese Lücke — aber nur, wenn sie gepflegt wird.

4. Veraltete Bewertung. Die letzte Risikobewertung ist zwei Jahre alt. Seitdem hat die Organisation neue Systeme eingeführt, einen Dienstleister gewechselt und einen Sicherheitsvorfall erlebt — alles ohne Aktualisierung der Risikobewertung. Clause 8.2 verlangt geplante Intervalle und anlassbezogene Bewertungen.

5. Risikoszenarien ohne Bezug zu Assets. Generische Risiken wie “Cyberangriff” oder “Datenverlust” tauchen auf, aber ohne Verknüpfung zu konkreten Assets, Bedrohungen und Schwachstellen. Solche Szenarien sind für die Massnahmenauswahl unbrauchbar — ein Angriff auf das ERP-System erfordert andere Massnahmen als ein Angriff auf die Marketingwebsite.

Vorlage: Risikomanagement-Richtlinie

Dokumentenkontrolle
Eigentümer: [RICHTLINIEN_EIGENTÜMER_ROLLE, z. B. Informationssicherheitsbeauftragte/r]
Genehmigt von: [GENEHMIGER_NAME_UND_ROLLE]
Version: [VERSION]
Gültig ab: [GÜLTIGKEITSDATUM]
Nächste Überprüfung: [NÄCHSTES_ÜBERPRÜFUNGSDATUM]

1. Rechtliche/Regulatorische Grundlage

ISO/IEC 27001:2022 — Informationssicherheitsmanagementsysteme (Kapitel 6.1, 6.2, 8.2, 8.3).

ISO/IEC 27005:2022 — Informationssicherheits-Risikomanagement.

BSI IT-Grundschutz:

BSI-Standard 200-3 (Risikoanalyse auf der Basis von IT-Grundschutz)
ISMS.1 (Sicherheitsmanagement)

Weitere jurisdiktionsspezifische Gesetze und Vorschriften, die für [IHR_ORGANISATIONSNAME] gelten, sind im Rechtsregister aufgeführt und werden durch Verweis einbezogen. Typische Beispiele sind Datenschutzgesetze (z. B. DSGVO), branchenspezifische Regulierungen (z. B. NIS2, DORA, KRITIS) sowie vertragliche Sicherheitsanforderungen wichtiger Kunden.

2. Zweck & Geltungsbereich

Diese Risikomanagement-Richtlinie definiert die Methodik zur Identifikation, Analyse, Bewertung und Behandlung von Informationssicherheitsrisiken bei [IHR_ORGANISATIONSNAME]. Sie etabliert einen systematischen, wiederholbaren Prozess, der sicherstellt, dass Risiken konsistent und im Einklang mit der Risikobereitschaft und den strategischen Zielen der Organisation gemanagt werden.

Die Richtlinie gilt für alle Informationswerte, Geschäftsprozesse, IT-Systeme und Drittanbieter-Dienste innerhalb des Geltungsbereichs des ISMS. Sie wird von Risikoeigentümern, dem/der Informationssicherheitsbeauftragten, der Geschäftsleitung und allen an Risikobeurteilungs- und -behandlungsaktivitäten beteiligten Personen genutzt.

Der Risikomanagementprozess folgt ISO/IEC 27005:2022 und ist in vier Phasen strukturiert: Risikoidentifikation, Risikoanalyse, Risikobewertung und Risikobehandlung. Diese Richtlinie dokumentiert die vollständige Methodik, sodass ein Auditor oder Stakeholder nachvollziehen kann, wie die Organisation Risikomanagement betreibt.

3. Risikokontext & Risikoquellen

3.1 Festlegung des Kontexts

Vor der Durchführung einer Risikobeurteilung wird der Kontext festgelegt, indem die in der ISMS-Geltungsbereichsanalyse identifizierten externen und internen Faktoren (Informationssicherheits-Richtlinie, Kapitel 4.1), die Anforderungen interessierter Parteien (Informationssicherheits-Richtlinie, Kapitel 4.2) und die Grenzen des ISMS-Geltungsbereichs (Informationssicherheits-Richtlinie, Kapitel 4.3) berücksichtigt werden. Der Geltungsbereich der Risikobeurteilung umfasst alle Assets, Prozesse und Dienste innerhalb der ISMS-Grenze.

3.2 Risikoquellen-Katalog

Risiken werden über einen Katalog von Risikoquellen identifiziert, der das gesamte Spektrum potenzieller Ursprünge abdeckt. Risikoquellen sind in folgende Kategorien gruppiert:

Menschlich vorsätzlich: Staatliche Akteure, organisierte Kriminalität, terroristische Gruppen, ideologische Aktivisten, spezialisierte Hacking-Gruppen, Amateur-Hacker, Insider/Rächer und pathologische Angreifer. Jede Quelle ist durch ihre typische Motivation gekennzeichnet (Spionage, finanzieller Gewinn, Störung, Einflussnahme).
Menschlich unbeabsichtigt: Beschäftigte und Partner, die Sicherheitsereignisse durch mangelndes Bewusstsein, Fahrlässigkeit oder unzureichende Ressourcen verursachen.
Nicht-technisch vorsätzlich: Kleinkriminelle (Diebstahl, Brandstiftung), Wettbewerber und Datenhändler, die mit nicht-technischen Mitteln agieren.
Umweltbedingt: Naturkatastrophen, extreme Wetterereignisse und andere Umgebungsbedingungen, die informationsverarbeitende Einrichtungen beeinträchtigen.
Technisch: Hardware-Fehlfunktionen und Software-Defekte, die zu sicherheitsrelevanten Ausfällen führen.

Der Risikoquellen-Katalog wird als statische Referenzdaten gepflegt und aktualisiert, wenn neue Quellenkategorien auftreten oder bestehende Kategorien die aktuelle Bedrohungslandschaft nicht mehr widerspiegeln.

4. Risikoidentifikation (ISO 27001 Kapitel 6.1.2)

Die Risikoidentifikation folgt einem strukturierten, asset-basierten Ansatz, der organisatorische Assets mit Bedrohungen und Schwachstellen verknüpft, um Risikoszenarien zu erstellen. Der Identifikationsprozess verläuft in folgenden Schritten:

4.1 Identifikation von Assets

Primäre Informationswerte (Daten, Aufzeichnungen, geistiges Eigentum) und unterstützende Assets (IT-Systeme, Anwendungen, Netzwerkinfrastruktur, Personal, physische Einrichtungen) werden aus dem ISMS-Asset-Inventar identifiziert. Jedem primären Asset werden Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit (CIA) auf Grundlage des Informationsklassifizierungsschemas zugewiesen.

4.2 Identifikation von Bedrohungen

Für jedes unterstützende Asset werden anwendbare Bedrohungen aus dem Bedrohungskatalog identifiziert. Bedrohungen beschreiben nachteilige Handlungen oder Ereignisse, die Schwachstellen ausnutzen. Jede Bedrohung ist mit einer oder mehreren Risikoquellen verknüpft und durch die betroffene(n) CIA-Dimension(en) gekennzeichnet. Der Bedrohungskatalog deckt Kategorien wie Cyber-Angriffe, physisches Eindringen, Social Engineering, Umweltereignisse und technische Ausfälle ab.

4.3 Identifikation von Schwachstellen

Schwachstellen — Schwächen in Assets oder Maßnahmen, die von Bedrohungen ausgenutzt werden können — werden für jedes unterstützende Asset identifiziert. Quellen umfassen Schwachstellenbewertungen, Penetrationstests, Auditfeststellungen, Herstellerhinweise und Vorfalluntersuchungen. Schwachstellen werden nach dem Asset-Typ kategorisiert, den sie betreffen.

4.4 Konstruktion von Risikoszenarien

Risikoszenarien werden durch die Kombination eines primären Assets, unterstützender Assets, einer Schwachstelle, einer Bedrohung und der zugehörigen Risikoquelle zu einer zusammenhängenden Erzählung konstruiert. Jedes Szenario beschreibt einen plausiblen Pfad von der Ausnutzung einer Bedrohung bis zur geschäftlichen Auswirkung. Szenarien erfassen, welche CIA-Dimensionen betroffen sind (Vertraulichkeit, Integrität, Verfügbarkeit) und identifizieren den Risikoeigentümer — die Person, die für das Management des Risikos verantwortlich ist.

5. Risikoanalyse

5.1 Auswirkungsbewertung

Die potenzielle Auswirkung jedes Risikoszenarios wird über die folgenden geschäftsrelevanten Dimensionen bewertet: Finanziell, Reputation, Rechtlich & Regulatorisch, Operativ und Sicherheit & Personal. Jede Dimension wird auf einer 5-stufigen Skala von Sehr niedrig (Stufe 1) bis Sehr hoch (Stufe 5) bewertet.

Der Gesamtauswirkungswert für ein Szenario wird nach der Methode des höchsten Einzelwerts über alle bewerteten Dimensionen bestimmt. Dies stellt sicher, dass eine schwerwiegende Auswirkung in einer einzelnen Dimension nicht durch niedrigere Bewertungen in anderen Dimensionen verdeckt wird. Organisationen können alternativ einen gewichteten Durchschnitt verwenden, wenn bestimmte Dimensionen (z. B. Sicherheit) das Endergebnis dominieren sollen.

5.2 Wahrscheinlichkeitsbewertung

Die Eintrittswahrscheinlichkeit jedes Risikoszenarios wird auf einer 5-stufigen Skala von Sehr unwahrscheinlich (Stufe 1) bis Fast sicher (Stufe 5) bewertet. Die Wahrscheinlichkeitsbewertung berücksichtigt historische Vorfallsdaten, Bedrohungsinformationen, Ergebnisse von Schwachstellenscans, die Wirksamkeit bestehender Maßnahmen und Expertenwissen.

5.3 Berechnung des Risikowerts

Der Risikowert für jedes Szenario wird wie folgt berechnet:

Risikowert = Auswirkung × Wahrscheinlichkeit

Dies ergibt einen Risikowertbereich von 1 bis 25. Der Risikowert wird in einer 5×5-Risikomatrix dargestellt, die die Verteilung aller bewerteten Szenarien visualisiert.

6. Risikobewertung

Jedes beurteilte Risiko wird mit den definierten Risikoakzeptanzschwellwerten verglichen, um festzustellen, ob eine Behandlung erforderlich ist. Folgende Risikostufen sind definiert:

Sehr niedrig (1–4): Wird ohne weitere Maßnahmen akzeptiert. Überwachung im Rahmen des Normalbetriebs.
Niedrig (5–8): Wird mit dokumentierter Begründung akzeptiert. Überwachung während geplanter Überprüfungen.
Mittel (9–12): Behandlung empfohlen. Überprüfung durch die/den Informationssicherheitsbeauftragte/n.
Hoch (13–16): Behandlung erforderlich. Eskalation an die Geschäftsleitung, falls nicht innerhalb der definierten Frist behandelt.
Sehr hoch (17–25): Sofortige Behandlung erforderlich. Unverzügliche Meldung an die Geschäftsleitung.

Risiken werden in absteigender Reihenfolge ihres Risikowerts priorisiert. Risiken, die den Akzeptanzschwellwert überschreiten, erfordern eine sofortige Behandlung. Risiken innerhalb des Akzeptanzschwellwerts werden dokumentiert und überwacht. Die Ergebnisse der Risikobewertung werden im Risikoregister erfasst.

7. Risikobehandlung (ISO 27001 Kapitel 6.1.3)

Für jedes behandlungsbedürftige Risiko wird eine der folgenden Behandlungsoptionen ausgewählt:

7.1 Behandlungsoptionen

Risikovermeidung: Die Aktivität oder Bedingung, die das Risiko verursacht, wird vollständig eliminiert. Die Risikoquelle wird durch Einstellung des Prozesses, Außerbetriebnahme des Assets oder Rückzug aus der Geschäftstätigkeit entfernt. Vermiedene Risiken haben einen Restrisikowert von null.
Risikomodifikation (Maßnahmen): Eine oder mehrere Sicherheitsmaßnahmen aus dem ISO-27001-Anhang-A-Maßnahmenkatalog werden angewandt, um die Auswirkung, die Wahrscheinlichkeit oder beides zu reduzieren. Maßnahmen werden basierend auf ihrer Wirksamkeit gegen die spezifische Bedrohungs-Schwachstellen-Kombination ausgewählt. Mehrere Maßnahmen können einem einzelnen Risikoszenario zugeordnet werden. Das Restrisiko nach Umsetzung der Maßnahmen wird erneut bewertet.
Risikoteilung (Transfer): Das Risiko wird durch Versicherung, Auslagerung, vertragliche Zuordnung oder andere Vereinbarungen mit einer externen Partei geteilt. Die Organisation behält die Verantwortlichkeit für das Risiko, überträgt jedoch die finanziellen oder operativen Konsequenzen. Teilungsvereinbarungen werden mit der empfangenden Partei, dem Umfang der Übertragung und dem verbleibenden Restrisiko dokumentiert.
Risikobeibehaltung (Akzeptanz): Das Risiko wird ohne weitere Behandlung akzeptiert. Die Beibehaltung ist angemessen, wenn der Risikowert innerhalb des Akzeptanzschwellwerts liegt, wenn die Behandlungskosten die potenzielle Auswirkung übersteigen oder wenn die Geschäftsleitung eine informierte Entscheidung zur Akzeptanz des Risikos trifft. Jedes beibehaltene Risiko erfordert eine dokumentierte Begründung und formale Akzeptanz durch den Risikoeigentümer.

7.2 Erklärung zur Anwendbarkeit

Die Erklärung zur Anwendbarkeit (SoA) dokumentiert alle Maßnahmen aus ISO 27001 Anhang A, ihren Anwendbarkeitsstatus und die Begründung. Für jede anwendbare Maßnahme verzeichnet die SoA, ob die Maßnahme umgesetzt, teilweise umgesetzt oder geplant ist. Nicht anwendbare Maßnahmen enthalten eine Begründung für den Ausschluss. Die SoA wird als lebendes Dokument geführt und aktualisiert, wann immer Maßnahmen hinzugefügt, entfernt oder geändert werden.

7.3 Restrisiko

Nach Anwendung der Behandlungsmaßnahmen wird das Restrisiko für jedes Szenario anhand derselben Auswirkungs- und Wahrscheinlichkeitsskalen erneut bewertet. Der Restrisikowert wird mit den Akzeptanzschwellwerten verglichen. Restrisiken, die den Akzeptanzschwellwert weiterhin überschreiten, werden zur Entscheidung an die Geschäftsleitung eskaliert. Alle Restrisiken werden formal von ihren Risikoeigentümern akzeptiert und im Risikobehandlungsplan dokumentiert.

8. Risikobehandlungsplan

Der Risikobehandlungsplan (RTP) ist das zentrale Dokument, das die Umsetzung der Risikobehandlungsentscheidungen nachverfolgt. Für jedes behandelte Risikoszenario verzeichnet der RTP:

Den ursprünglichen Risikowert und die Risikostufe.
Die gewählte Behandlungsoption und die konkreten umzusetzenden Maßnahmen.
Die verantwortliche Person (Risikoeigentümer) und den Umsetzungszeitplan.
Den angestrebten Restrisikowert nach der Behandlung.
Den tatsächlichen Restrisikowert nach der Umsetzung, verifiziert durch Neubewertung.
Den Status jeder Behandlungsmaßnahme (geplant, in Bearbeitung, umgesetzt, verifiziert).

Der RTP wird bei jeder Managementbewertung überprüft, um den Fortschritt nachzuverfolgen, überfällige Maßnahmen zu identifizieren und Prioritäten basierend auf veränderten Risikostufen anzupassen. Die Behandlungswirksamkeit wird durch den Vergleich der Gesamtrisikoexposition vor und nach der Behandlung gemessen.

9. Risikokommunikation

Risikoinformationen werden an Stakeholder kommuniziert, um fundierte Entscheidungsfindung zu unterstützen:

Geschäftsleitung: Erhält aggregierte Risikoberichte einschließlich der Risikomatrix, Risikostufenverteilung, Behandlungsfortschritt und Restrisikostatus im Rahmen der Managementbewertung.
Risikoeigentümer: Werden über die ihnen zugewiesenen Risiken, die erforderlichen Behandlungsmaßnahmen, Fristen und den aktuellen Restrisikostatus informiert.
Informationssicherheitsbeauftragte/r: Pflegt das Risikoregister, koordiniert Risikobeurteilungen und moderiert die Risikobehandlungsplanung.
Interessierte Parteien: Das Interessengruppen-Register identifiziert, welche interessierten Parteien risikobezogene Kommunikation erfordern, einschließlich Kunden, Regulierungsbehörden und Geschäftspartner, und definiert Umfang, Häufigkeit und Kanal der Kommunikation.

10. Überwachung & Überprüfung

Risikobeurteilungen werden in geplanten Abständen und anlassbezogen durchgeführt. Folgende Auslöser initiieren eine Risiko-Neubewertung:

Planmäßige Überprüfung: Mindestens jährlich im Rahmen des ISMS-Managementbewertungszyklus.
Wesentliche Änderung: Organisatorische Umstrukturierung, neue Geschäftsprozesse, Technologieänderungen, Standortverlagerung oder Erweiterung der IT-Infrastruktur.
Vorfall oder Beinahe-Vorfall: Informationssicherheitsvorfälle, Datenschutzverletzungen oder Beinahe-Vorfälle, die bisher nicht identifizierte Risiken aufdecken oder bestehende Risikobeurteilungen ungültig machen.
Änderung der Bedrohungslandschaft: Neue Bedrohungsinformationen, aufkommende Angriffsvektoren, Änderungen im regulatorischen Umfeld oder veröffentlichte Schwachstellenmeldungen, die Systeme im Geltungsbereich betreffen.
Auditfeststellungen: Ergebnisse interner oder externer Audits, die Maßnahmendefizite oder neue Risikobereiche identifizieren.
Lieferanten- oder Drittanbieteränderung: Änderungen an Lieferantenrisikoprofilen, vertraglichen Vereinbarungen oder Serviceniveaus von Drittanbietern.

Die Wirksamkeit von Risikobehandlungsmaßnahmen wird durch Maßnahmentests, Schwachstellenbewertungen, Penetrationstests und Vorfallstrendanalysen überwacht. Überwachungsergebnisse fließen in den nächsten Risikobeurteilungszyklus ein.

11. Fortlaufende Verbesserung

Der Risikomanagementprozess unterliegt der fortlaufenden Verbesserung. Erkenntnisse aus Risikobeurteilungen, Überprüfungen der Behandlungswirksamkeit, Vorfällen und Auditfeststellungen werden genutzt, um die Methodik zu verfeinern, die Risikoquellen- und Bedrohungskataloge zu aktualisieren, die Genauigkeit der Auswirkungs- und Wahrscheinlichkeitsbewertungen zu verbessern und die Integration des Risikomanagements in Geschäftsprozesse zu stärken.

Verbesserungsmaßnahmen werden im Register für Korrektur- und Vorbeugungsmaßnahmen (CAPA) dokumentiert und über den ISMS-Korrekturmaßnahmenprozess nachverfolgt. Änderungen an der Risikomanagement-Methodik werden von der Geschäftsleitung genehmigt und allen am Risikomanagement beteiligten Personen kommuniziert.

12. Rollen & Verantwortlichkeiten

Geschäftsleitung: Genehmigt diese Richtlinie und die Risikoakzeptanzkriterien. Akzeptiert Restrisiken, die den Akzeptanzschwellwert überschreiten, durch informierte Entscheidung. Überprüft den Risikostatus in der Managementbewertung.
Informationssicherheitsbeauftragte/r (ISB): Pflegt den Risikomanagementprozess, moderiert Risikobeurteilungen, koordiniert die Risikobehandlungsplanung und berichtet der Geschäftsleitung über den Risikostatus.
Risikoeigentümer: Sind für die ihnen zugewiesenen Risiken verantwortlich. Genehmigen Behandlungspläne für ihre Risiken, überwachen die Behandlungsumsetzung und akzeptieren Restrisiken innerhalb ihrer Befugnis.
Asset-Eigentümer: Liefern Informationen zu Asset-Wert, CIA-Anforderungen und Schwachstelleninformationen für ihre zugewiesenen Assets. Unterstützen die Auswirkungsbewertung durch Beschreibung der geschäftlichen Konsequenzen einer Asset-Kompromittierung.
Abteilungsleiter: Beteiligen sich an der Risikoidentifikation und -analyse für ihre Verantwortungsbereiche. Stellen sicher, dass ihren Abteilungen zugewiesene Behandlungsmaßnahmen fristgerecht umgesetzt werden.
Alle Beschäftigten: Melden potenzielle Risiken, Schwachstellen und Vorfälle über die eingerichteten Kanäle. Nehmen an risikobezogenen Schulungs- und Sensibilisierungsmaßnahmen teil.

13. Überprüfung & Pflege

Diese Richtlinie wird überprüft:

Mindestens jährlich im Rahmen des ISMS-Managementbewertungszyklus.
Wenn die Risikobeurteilungsmethodik aufgrund gewonnener Erkenntnisse angepasst werden muss.
Wenn wesentliche Änderungen am organisatorischen Kontext, der Bedrohungslandschaft oder dem regulatorischen Umfeld die Risikomanagementpraktiken betreffen.
Wenn Auditfeststellungen oder Vorfalluntersuchungen Mängel im Risikomanagementprozess identifizieren.

Document control
Owner: [POLICY_OWNER_ROLE, e.g. Information Security Officer]
Approved by: [APPROVER_NAME_AND_ROLE]
Version: [VERSION]
Effective date: [EFFECTIVE_DATE]
Next review: [NEXT_REVIEW_DATE]

1. Legal/Regulatory Basis

ISO/IEC 27001:2022 — Information Security Management Systems (Clauses 6.1, 6.2, 8.2, 8.3).

ISO/IEC 27005:2022 — Information Security Risk Management.

BSI IT-Grundschutz:

BSI-Standard 200-3 (Risk Analysis based on IT-Grundschutz)
ISMS.1 (Security Management)

Additional jurisdiction-specific laws and regulations that apply to [YOUR_ORGANISATION_NAME] are listed in the Legal Register and are incorporated by reference. Typical examples include data protection laws (e.g. GDPR), sector-specific regulations (e.g. NIS2, DORA, HIPAA) and contractual security requirements from key customers.

2. Purpose & Scope

This Risk Management Policy defines the methodology for identifying, analysing, evaluating and treating information security risks at [YOUR_ORGANISATION_NAME]. It establishes a systematic, repeatable process that ensures risks are managed consistently and in alignment with the organisation's risk appetite and strategic objectives.

The policy applies to all information assets, business processes, IT systems and third-party services within the scope of the ISMS. It is used by risk owners, the Information Security Officer, management and all personnel involved in risk assessment and treatment activities.

The risk management process follows ISO/IEC 27005:2022 and is structured in four phases: risk identification, risk analysis, risk evaluation and risk treatment. This policy documents the complete methodology so that an auditor or stakeholder can understand how the organisation conducts risk management.

3. Risk Context & Risk Sources

3.1 Establishing the Context

Before conducting a risk assessment, the context is established by considering the external and internal factors identified in the ISMS scope (Information Security Policy, Clause 4.1), the requirements of interested parties (Information Security Policy, Clause 4.2) and the scope boundaries of the ISMS (Information Security Policy, Clause 4.3). The risk assessment scope covers all assets, processes and services within the ISMS boundary.

3.2 Risk Source Catalogue

Risks are identified through a catalogue of risk sources that covers the full spectrum of potential origins. Risk sources are grouped into the following categories:

Human Intentional: State-related actors, organised crime, terrorist groups, ideological activists, specialised hacking outfits, amateur hackers, insiders/avengers, and pathological attackers. Each source is characterised by its typical motivation (espionage, financial gain, disruption, influence).
Human Unintentional: Employees and partners who cause security events through lack of awareness, negligence or insufficient resources.
Non-Hacking Intentional: Petty criminals (theft, arson), market competitors and data brokers acting through non-technical means.
Environmental: Natural disasters, extreme weather events and other environmental conditions that affect information processing facilities.
Technical: Hardware malfunctions and software defects that lead to security-relevant failures.

The risk source catalogue is maintained as static reference data and is updated when new source categories emerge or existing categories no longer reflect the current threat landscape.

4. Risk Identification (ISO 27001 Clause 6.1.2)

Risk identification follows a structured, asset-based approach that links organisational assets to threats and vulnerabilities to produce risk scenarios. The identification process proceeds through the following steps:

4.1 Identification of Assets

Primary information assets (data, records, intellectual property) and supporting assets (IT systems, applications, network infrastructure, personnel, physical facilities) are identified from the ISMS asset inventory. Each primary asset is assigned confidentiality, integrity and availability (CIA) requirements based on the information classification scheme.

4.2 Identification of Threats

For each supporting asset, applicable threats are identified from the threat catalogue. Threats describe adverse actions or events that exploit vulnerabilities. Each threat is linked to one or more risk sources and characterised by the affected CIA dimension(s). The threat catalogue covers categories including cyber-attacks, physical intrusion, social engineering, environmental events and technical failures.

4.3 Identification of Vulnerabilities

Vulnerabilities — weaknesses in assets or controls that can be exploited by threats — are identified for each supporting asset. Sources include vulnerability assessments, penetration tests, audit findings, vendor advisories and incident investigations. Vulnerabilities are categorised by the asset type they affect.

4.4 Risk Scenario Construction

Risk scenarios are constructed by combining a primary asset, supporting asset(s), a vulnerability, a threat and the associated risk source into a coherent narrative. Each scenario describes a plausible path from threat exploitation to business impact. Scenarios capture which CIA dimensions are affected (confidentiality, integrity, availability) and identify the risk owner — the person accountable for managing the risk.

5. Risk Analysis

5.1 Impact Assessment

The potential impact of each risk scenario is assessed across the following business-relevant dimensions: Financial, Reputational, Legal & Regulatory, Operational and Safety & Personnel. Each dimension is rated on a 5-level scale from Very Low (level 1) to Very High (level 5).

The overall impact score for a scenario is determined using the highest single value method across all assessed dimensions. This ensures that a severe impact in any one dimension is not masked by lower ratings in others. Organisations may alternatively use a weighted average where specific dimensions (e.g. Safety) should dominate the final score.

5.2 Likelihood Assessment

The likelihood of each risk scenario occurring is assessed on a 5-level scale from Very Unlikely (level 1) to Almost Certain (level 5). Likelihood assessment considers historical incident data, threat intelligence, vulnerability scan results, the effectiveness of existing controls and expert judgement.

5.3 Risk Score Calculation

The risk score for each scenario is calculated as:

Risk Score = Impact × Likelihood

This produces a risk score range from 1 to 25. The risk score is plotted on a 5×5 risk matrix that visualises the distribution of all assessed scenarios.

6. Risk Evaluation

Each assessed risk is compared against the defined risk acceptance thresholds to determine whether treatment is required. The following risk levels are defined:

Very Low (1–4): Accepted without further action. Monitored as part of normal operations.
Low (5–8): Accepted with documented justification. Monitored during scheduled reviews.
Medium (9–12): Treatment recommended. Reviewed by the Information Security Officer.
High (13–16): Treatment required. Escalated to top management if not treated within the defined timeline.
Very High (17–25): Immediate treatment required. Reported to top management without delay.

Risks are prioritised by their risk score in descending order. Risks that exceed the acceptance threshold require immediate treatment. Risks within the acceptance threshold are documented and monitored. The risk evaluation results are recorded in the risk register.

7. Risk Treatment (ISO 27001 Clause 6.1.3)

For each risk that requires treatment, one of the following treatment options is selected:

7.1 Treatment Options

Risk Avoidance: The activity or condition that gives rise to the risk is eliminated entirely. The risk source is removed by discontinuing the process, decommissioning the asset or withdrawing from the business activity. Avoided risks have a residual risk score of zero.
Risk Modification (Controls): One or more security controls from the ISO 27001 Annex A control set are applied to reduce the impact, the likelihood, or both. Controls are selected based on their effectiveness against the specific threat-vulnerability combination. Multiple controls can be linked to a single risk scenario. The residual risk after control implementation is re-assessed.
Risk Sharing (Transfer): The risk is shared with an external party through insurance, outsourcing, contractual allocation or other arrangements. The organisation retains accountability for the risk but transfers the financial or operational consequences. Sharing arrangements are documented with the receiving party, the scope of transfer and any residual risk retained.
Risk Retention (Acceptance): The risk is accepted without further treatment. Retention is appropriate when the risk score falls within the acceptance threshold, when the cost of treatment exceeds the potential impact, or when management makes an informed decision to accept the risk. Each retained risk requires documented justification and formal acceptance by the risk owner.

7.2 Statement of Applicability

The Statement of Applicability (SoA) documents all controls from ISO 27001 Annex A, their applicability status and justification. For each applicable control, the SoA records whether the control is implemented, partially implemented or planned. Controls that are not applicable include a justification for exclusion. The SoA is maintained as a living document and updated whenever controls are added, removed or modified.

7.3 Residual Risk

After treatment measures are applied, the residual risk for each scenario is re-assessed using the same impact and likelihood scales. The residual risk score is compared against the acceptance thresholds. Residual risks that still exceed the acceptance threshold are escalated to management for decision. All residual risks are formally accepted by their risk owners and documented in the risk treatment plan.

8. Risk Treatment Plan

The risk treatment plan (RTP) is the central document that tracks the implementation of risk treatment decisions. For each treated risk scenario, the RTP records:

The original risk score and risk level.
The selected treatment option and the specific controls or measures to be implemented.
The responsible person (risk owner) and the implementation timeline.
The target residual risk score after treatment.
The actual residual risk score after implementation, verified through re-assessment.
The status of each treatment action (planned, in progress, implemented, verified).

The RTP is reviewed at each management review to track progress, identify overdue actions and adjust priorities based on changing risk levels. Treatment effectiveness is measured by comparing the total risk exposure before and after treatment.

9. Risk Communication

Risk information is communicated to stakeholders to support informed decision-making:

Top Management: Receives aggregated risk reports including the risk matrix, risk level distribution, treatment progress and residual risk status through the management review process.
Risk Owners: Are informed of the risks assigned to them, the required treatment actions, deadlines and the current residual risk status.
Information Security Officer: Maintains the risk register, coordinates risk assessments and facilitates risk treatment planning.
Interested Parties: The Stakeholder Register identifies which interested parties require risk-related communication, including customers, regulators and business partners, and defines the scope, frequency and channel of communication.

10. Monitoring & Review

Risk assessments are performed at planned intervals and on an event-driven basis. The following triggers initiate a risk re-assessment:

Scheduled review: At least annually as part of the ISMS management review cycle.
Significant change: Organisational restructuring, new business processes, technology changes, relocation or expansion of the IT infrastructure.
Incident or near miss: Information security incidents, data breaches or near-miss events that reveal previously unidentified risks or invalidate existing risk assessments.
Threat landscape change: New threat intelligence, emerging attack vectors, changes in the regulatory environment or published vulnerability disclosures affecting systems in scope.
Audit findings: Internal or external audit results that identify control deficiencies or new risk areas.
Supplier or third-party change: Changes to supplier risk profiles, contractual arrangements or third-party service levels.

The effectiveness of risk treatment measures is monitored through control testing, vulnerability assessments, penetration tests and incident trend analysis. Monitoring results feed into the next risk assessment cycle.

11. Continual Improvement

The risk management process is subject to continual improvement. Lessons learned from risk assessments, treatment effectiveness reviews, incidents and audit findings are used to refine the methodology, update the risk source and threat catalogues, improve the accuracy of impact and likelihood assessments, and enhance the integration of risk management into business processes.

Improvement actions are documented in the corrective and preventive action (CAPA) register and tracked through the ISMS corrective action process. Changes to the risk management methodology are approved by management and communicated to all personnel involved in risk management activities.

12. Roles & Responsibilities

Top Management: Approves this policy and the risk acceptance criteria. Accepts residual risks that exceed the acceptance threshold through informed decision. Reviews risk status in the management review.
Information Security Officer (ISO): Maintains the risk management process, facilitates risk assessments, coordinates risk treatment planning and reports risk status to management.
Risk Owners: Are accountable for the risks assigned to them. Approve treatment plans for their risks, monitor treatment implementation and accept residual risks within their authority.
Asset Owners: Provide input on asset value, CIA requirements and vulnerability information for their assigned assets. Support impact assessment by describing the business consequences of asset compromise.
Department Heads: Participate in risk identification and analysis for their areas of responsibility. Ensure that treatment actions assigned to their departments are implemented on schedule.
All Employees: Report potential risks, vulnerabilities and incidents through established channels. Participate in risk-related training and awareness activities.

13. Review & Maintenance

This policy is reviewed:

At least annually, as part of the ISMS management review cycle.
When the risk assessment methodology requires adjustment based on lessons learned.
When significant changes to the organisational context, threat landscape or regulatory environment affect risk management practices.
When audit findings or incident investigations identify deficiencies in the risk management process.

Quellen

ISO/IEC 27001:2022 Clause 6.1, 6.2, 8.2, 8.3 — Anforderungen an das Risikomanagement im ISMS
ISO/IEC 27005:2022 — Leitfaden für das Risikomanagement der Informationssicherheit
BSI-Standard 200-3 — Risikoanalyse auf Basis von IT-Grundschutz
BSI IT-Grundschutz ISMS.1 — Sicherheitsmanagement