ISO 27001: Risiko­bewertung & Risiko­management – kurz erklärt

Worum geht’s?
ISO 27001 verlangt, dass Organisationen Informationssicherheitsrisiken systematisch erkennen, bewerten und behandeln. Dazu gehören Richtlinien, Prozesse, technische Maßnahmen und Schulungen – gebündelt im ISMS (Informationssicherheits-Managementsystem).
Risikobewertungen sind dafür der Nachweis, dass Risiken wirksam gesteuert werden.

Warum ist Risikomanagement so wichtig?

Risikomanagement ist einer der anspruchsvollsten und zugleich wichtigsten Teile der ISO 27001-Einführung:

• Fokus auf Vertraulichkeit, Integrität, Verfügbarkeit
• Bedrohungen analysieren, bewerten und priorisiert behandeln (nicht alles auf einmal)
• Risikotoleranzen festlegen und zielgerichtet Maßnahmen umsetzen

Was ist eine ISO-27001-Risikobewertung?

Eine Risikobewertung (Risk Assessment) identifiziert Schwachstellen und passende Schutzmaßnahmen und bewertet Eintrittswahrscheinlichkeit und Auswirkung.
Die Ergebnisse bilden die Grundlage des ISMS und unterstützen das Management bei fundierten Entscheidungen (Ressourcen, Tools, Maßnahmen).
Wichtig: regelmäßig wiederholen und vollständig dokumentieren.

Praxis-Tipp: Eine einfache Tabelle reicht theoretisch aus – effizienter ist ein geeignetes Tool, das Dokumentation, Workflows und Nachweise unterstützt.

Was fordert ISO 27001 (Abschnitt 6.1.2)?

Sie brauchen eine dokumentierte Risikobewertungs-Methodik, die mindestens festlegt:

• Wie Bedrohungen erkannt werden (C/I/A)
• Wie Risikoeigentümer bestimmt werden
• Bewertungs­kriterien für Auswirkung und Wahrscheinlichkeit
• Wie das Risikoniveau berechnet wird
• Kriterien zur Risikoakzeptanz

Wie werden Risiken behandelt?

Ihr Risikobehandlungsplan (Risk Treatment Plan) definiert je Risiko:

• Verringern (Maßnahmen implementieren)
• Vermeiden (auslösende Aktivitäten stoppen)
• Übertragen (z. B. Versicherung/Vertrag)
• Akzeptieren (wenn Prävention teurer als Restrisiko)

7 Schritte zur erfolgreichen ISO-27001-Risikobewertung

1. Einheitliche Methodik festlegen
   (qualitativ/quantitativ, Skalen, Akzeptanzkriterien; Asset- oder Szenario-basiert)
2. Risikoszenarien zusammenstellen
   (Szenario-basiert schneller; Asset-basiert detaillierter)
3. Risiken identifizieren
   (Bibliothek/Best-Practice nutzen und unternehmensspezifisch ergänzen)
4. Bewerten & priorisieren
   (Wahrscheinlichkeit × Auswirkung; Top-Risiken zuerst adressieren)
5. Erklärung zur Anwendbarkeit (SoA) erstellen
   (welche Controls, warum ausgewählt, wie umgesetzt)
6. Risikobehandlungsplan mit Eigentümern, Maßnahmen, Fristen
7. Internes Audit & Reviews
   (jährlich wiederholen, ISMS kontinuierlich verbessern)

Tipps für KMU

• Passendes Framework wählen – schlank statt überkomplex
• Werkzeug mit Augenmaß – Tooling, das zu Ihrem Reifegrad passt
• Stakeholder einbinden – Wissen bündeln, Silos vermeiden
• „Gut & vollständig“ vor „perfekt“ – iterativ nachschärfen

Gut zu wissen

• Risikobewertung & -behandlung sind Grundpfeiler von ISO 27001 und der NIS2-Richtlinie.
• Dynamische Bewertungen helfen, Lücken früh zu erkennen, Prioritäten zu setzen und wirksam zu mitigieren.