Risikobeurteilung
Anforderungen (Klauseln 4–10)
Was ist eine Risikobeurteilung?
Die Informationssicherheits-Risikobeurteilung (Klausel 6.1.2) ist der Prozess, mit dem die Organisation ihre Risiken systematisch und wiederholbar ermittelt und bewertet. „Wiederholbar" ist entscheidend: Zwei Durchläufe mit denselben Eingaben müssen vergleichbare Ergebnisse liefern. Dazu legt die Organisation zuerst Kriterien fest.
Risikokriterien festlegen
- Akzeptanzkriterien: Ab wann ist ein Risiko tragbar – und ab wann muss gehandelt werden?
- Bewertungskriterien: Skalen für Wahrscheinlichkeit und Auswirkung (z. B. 1–5 oder niedrig/mittel/hoch).
Die Schritte
| Schritt | Frage | Ergebnis |
|---|---|---|
| 1. Identifikation | Welche Risiken bedrohen welche Werte? | Liste von Risiken |
| 2. Analyse | Wie wahrscheinlich? Wie schwer der Schaden? | Risikohöhe je Eintrag |
| 3. Bewertung | Über oder unter der Akzeptanzschwelle? | Priorisierung |
Risiken identifizieren
Ein Risiko entsteht, wenn eine Bedrohung eine Schwachstelle eines Wertes ausnutzt und damit ein Schutzziel verletzt:
Wert: Kundendatenbank Bedrohung: Angreifer mit gestohlenem Passwort Schwachstelle: kein zweiter Faktor (MFA) Folge: Verlust der Vertraulichkeit ──► Risiko
Die 2022er-Fassung lässt offen, ob man wertbasiert (asset-based) oder szenariobasiert vorgeht – Hauptsache, der Ansatz ist konsistent.
Risiken analysieren & bewerten
Jedem Risiko werden Wahrscheinlichkeit und Auswirkung zugeordnet; ihr Produkt (oder eine Matrix) ergibt die Risikohöhe. Eine typische Risikomatrix:
Auswirkung
hoch │ M H H
mittel│ N M H
gering│ N N M
└──────────────────
gering mittel hoch → Wahrscheinlichkeit
(N=niedrig, M=mittel, H=hoch)
Rollen & Nachweise
Jedem Risiko wird ein Risikoeigentümer zugeordnet, der für seine Behandlung verantwortlich ist. Das Ergebnis – das Risikoregister – ist dokumentierte Information. Auf die Bewertung folgt die Risikobehandlung. Methodische Tiefe liefert ISO/IEC 27005.
Aus welchen zwei Faktoren wird die Höhe eines Risikos typischerweise abgeleitet?