{"id":1930,"date":"2020-11-23T15:03:22","date_gmt":"2020-11-23T14:03:22","guid":{"rendered":"https:\/\/www.psw-training.de\/blog\/?p=1930"},"modified":"2025-11-27T10:26:34","modified_gmt":"2025-11-27T09:26:34","slug":"risikomanagement-nach-iso-27001","status":"publish","type":"post","link":"https:\/\/www.psw-training.de\/blog\/risikomanagement-nach-iso-27001\/","title":{"rendered":"Risikomanagement im Rahmen der ISO 27001"},"content":{"rendered":"

Die Norm ISO\/IEC 27001 bietet Anwendern von Informationssicherheitsmanagementsystemen eine umfassende Anleitung, um Werte innerhalb einer Organisation, die von bedeutender Wichtigkeit f\u00fcr einen reibungslosen Gesch\u00e4ftsbetrieb sind, angemessen zu sch\u00fctzen. Im Rahmen der Planung in Kapitel 6 der Norm besteht ein besonderer Fokus der Behandlung von Risiken. F\u00fcr die Gew\u00e4hrleistung und Aufrechterhaltung der drei prim\u00e4ren Schutzziele der ISO\/IEC 27001 – Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit – bildet das Risikomanagement eine solide Grundlage. Im heutigen Beitrag m\u00f6chten wir das Risikomanagement als Bestandteil eines Informationssicherheitsmanagementsystems vorstellen, die Implementierung des Risikomanagements als Prozess thematisieren sowie Abl\u00e4ufe und wichtige Dokumente pr\u00e4sentieren.<\/p>\n

 <\/p>\n

Risikomanagement \u2013 mehr als finanzielle Risikovermeidung<\/h2>\n

Das Risikomanagement im Zuge der Etablierung eines Informationssicherheitsmanagementsystems (ISMS) sollte unter Ber\u00fccksichtigung des Kontexts und \u00e4u\u00dferer Anforderungen nicht vernachl\u00e4ssigt, sondern besonders gewissenhaft geplant und konstituiert (d. h. ins Leben gerufen) werden. Oftmals wird das Risikomanagement \u201eerweitertes Instrument der Informationssicherheit\u201c genannt, da ein proaktiver Umgang des obersten Managements einer Organisation die Entwicklung von Risiken noch vor deren Entstehung vermeiden kann. Die Beseitigung dieses Gefahrenpotenzials kann nicht nur finanzielle Fehlentscheidungen bei einem Informationssicherheitsvorfall vermeiden, sondern tats\u00e4chlich entscheidend f\u00fcr den Fortbestand einer Organisation sein. Eine Definition potenzieller Informationssicherheits-Vorf\u00e4lle und die Festlegung des Umgangs mit den jeweiligen Vorf\u00e4llen ist f\u00fcr ein ISMS trotz der Komplexit\u00e4t unerl\u00e4sslich.<\/p>\n

\"risikomanagement-nach-iso27001\"<\/a><\/p>\n

Der Ablauf des Prozesses \u201eRisikomanagement\u201c ist gem\u00e4\u00df ISO 27001 genau definiert und besteht aus zwei \u00fcbergreifenden Elementen: der Risikobeurteilung<\/strong> und der Risikobehandlung<\/strong>. Die Beurteilung der Risiken steht dabei vor der Behandlung.<\/p>\n

Risikobeurteilung<\/h3>\n

Hierbei ist es zun\u00e4chst von Bedeutung, Risiken ordnungsgem\u00e4\u00df zu identifizieren<\/strong>. F\u00fcr eine Identifikation von Risiken ist es allerdings wichtig, zu erkennen, woraus ein Risiko besteht. Risiken k\u00f6nnen nur dann entstehen, wenn 3 Eventualit\u00e4ten gleichzeitig vorhanden sind: eine Bedrohung (z. B. ein Hacker), zu sch\u00fctzende Assets\/Werte (bspw. Personaldaten) sowie eine Schwachstelle (angreifbare Software). Identifizieren Sie Risiken innerhalb einer Organisation, so sollten Sie also diese drei Bestandteile genauestens festhalten. Am besten dokumentieren Sie m\u00f6gliche Schwachstellen- und Bedrohungstypen mit Vorfalls-Beispielen in Listenform. Die Erstellung dieser Listen im Rahmen der Risikoidentifikation ist Aufgabe des Risk Owners.<\/p>\n

Im Anschluss an die Risikoidentifizierung erfolgt die Risikoanalyse<\/strong>. Die Risikoanalyse verwendet die in der Risikoidentifizierung definierten Risiken und untersucht diese anhand von zwei Kriterien: a) der Eintrittswahrscheinlichkeit und b) der potenziellen Auswirkungen. Aus dieser Analyse ergibt sich anschlie\u00dfend das Risikoniveau\/Risikolevel. So erh\u00e4lt ein Risiko, welches sowohl eine hohe Eintrittswahrscheinlichkeit (Wahrscheinlichkeit des Auftretens) sowie starke Auswirkungen besitzt, auch ein kritisches bzw. hohes Risikoniveau. Die Bestimmung des Risikoniveaus kann sowohl qualitativ wie auch quantitativ erfolgen. Eine quantitative Ermittlung des Levels kann erfolgen, indem f\u00fcr jedes Risiko eine prozentuale Eintrittswahrscheinlichkeit bestimmt wird sowie die Auswirkungen dieses Risikos mit einem finanziellen Wert gemessen werden (\u20ac). Eine qualitative Ermittlung misst die Risiken anhand der Attribute normal, hoch, sehr hoch.<\/p>\n

In der folgenden Phase der Risikobewertung<\/strong> werden Eintrittswahrscheinlichkeit, Auswirkungen und Risikoniveau genauer betrachtet. Die H\u00f6he des Risikoniveaus legt den Rang eines Risikos bzw. die Relevanz der Behandlung fest. Es erfolgt also zum einen eine Priorisierung der ermittelten Risiken. Weiterhin ist es in dieser Phase Aufgabe des Risk Owners zu ermitteln, ob die Akzeptanzkriterien bei den definierten Risiken erf\u00fcllt wurden. Es gilt also, die Schwere der Risiken zu ermitteln. Mit dem Ende der Risikobewertung ist auch die gesamte Phase der Risikobeurteilung beendet.<\/p>\n

Risikobehandlung<\/h3>\n

In der nun beginnenden Phase der Risikobehandlung<\/strong>, gilt es zun\u00e4chst, zwischen verschiedenen Handlungsoptionen<\/strong> zu w\u00e4hlen. Obwohl immer ein pauschal akzeptiertes Risiko vorhanden ist, muss vom Risk Owner entschieden werden, ob das Risiko akzeptiert werden kann (Akzeptanzkriterien) oder das Risiko nicht akzeptabel ist. Akzeptiert der Risk Owner die Risiken, so m\u00fcssen keine weiteren Ma\u00dfnahmen eingeleitet werden. Ist das Risiko aber zu schwerwiegend, ist es nun wichtig, entsprechende Ma\u00dfnahmen<\/strong> zu erstellen und einen Umsetzungsplan<\/strong> zu erarbeiten. Hinweis: Die zu bearbeitenden Ma\u00dfnahmen k\u00f6nnen nicht aus Informationsquellen kopiert werden, sondern m\u00fcssen bei jeder Risikobehandlung erneut und individuell selbst erarbeitet werden. Erst nach der eigenen Erarbeitung von Ma\u00dfnahmen k\u00f6nnen und sollten diese Ma\u00dfnahmen mit dem Anhang A abgeglichen werden.<\/p>\n

Es ist unbedeutend, ob bereits das gesamte Risiko akzeptiert wurde oder Ma\u00dfnahmen erarbeitet wurden. In beiden F\u00e4llen muss das gesamte Risiko oder das Restrisiko vom Risk Owner als Verantwortlicher akzeptiert<\/strong> werden. Weiterhin muss ein SoA<\/strong>-Dokument erarbeitet werden. SoA (Statement of Applicability oder Erkl\u00e4rung zur Anwendbarkeit) ist ein Dokument, welches jegliche zutreffende Ma\u00dfnahmen auflistet, diese beschreibt, die Verwendung begr\u00fcndet und einen Verantwortlichen f\u00fcr die Durchf\u00fchrung definiert.<\/p>\n

<\/h2>\n

M\u00f6glichkeiten der Risikobehandlung<\/strong><\/h2>\n

Beim Umgang mit Risiken k\u00f6nnen wir zwischen 4 Handlungsalternativen unterscheiden. Diese werden in Kombination oder nacheinander verwendet.<\/p>\n

    \n
  1. Die Risikovermeidung: Zur Vermeidung k\u00f6nnen Sie bspw. zum Schutz vor \u00dcberf\u00e4llen beim Datentransport einen anderen Weg des Datentransports w\u00e4hlen.<\/li>\n
  2. Risikominimierung: Bei der Risikominimierung k\u00f6nnen Sie reaktiv vorgehen, was die Auswirkung eines Risikos im Falle des Eintretens minimiert. Oder Sie gehen pr\u00e4ventiv vor, was die Eintrittswahrscheinlichkeit des Risikos verringert. Bestenfalls werden beide Ma\u00dfnahmen ergriffen.<\/li>\n
  3. Risiko\u00fcbertragung: Eine \u00dcbertragung des Risikos an eine Dritte unabh\u00e4ngige Partei kann durch Outsourcing bestimmter Aktivit\u00e4ten oder bspw. mittels einer Cyberversicherung erfolgen.<\/li>\n
  4. Risikoakzeptanz: Die Akzeptanz des Risikos erfordert keine Handlung, abgesehen von der Zustimmung durch den Risk Owner. Allerdings sollten Sie diese Alternative entweder als letzte M\u00f6glichkeit nutzen oder bei sehr geringem Risikoniveau verwenden. Diese Alternative kann nicht die \u201eerste Wahl\u201c sein.<\/li>\n<\/ol>\n

    <\/h2>\n

    Durchf\u00fchrung des Risikomanagements<\/strong><\/h2>\n

    Ein weit verbreiteter Mythos bez\u00fcglich des Risikomanagements ist der, dass die Durchf\u00fchrung einmalig und anschlie\u00dfend bei wichtigen Vorf\u00e4llen oder \u00c4nderungen notwendig ist. Dies ist jedoch ein Irrglaube. Die Behandlung der Risiken ist in regelm\u00e4\u00dfigen Abst\u00e4nden durchzuf\u00fchren. Wenn man hierbei den PDCA-Zyklus betrachtet (Plan, Do, Check, Act), w\u00e4re das Risikomanagement jeweils in der Planungs- sowie auch in der Umsetzungsphase angesiedelt. Neben der regelm\u00e4\u00dfigen Durchf\u00fchrung gibt es zudem au\u00dferplanm\u00e4\u00dfige Vorkommnisse, die das Risikomanagement ansto\u00dfen. Diese k\u00f6nnen zum Beispiel massive Umstrukturierungen der Organisation, jedoch auch verschiedenste weitere Ver\u00e4nderungen sein.<\/p>\n

    <\/h3>\n

    Rollen im Risikomanagement<\/strong><\/h3>\n

    Das Risikomanagement ist bei optimaler Durchf\u00fchrung an eine klare Rollendefinition gebunden. \u00a0Dabei sind drei zentrale Rollen zu vergeben:<\/p>\n

      \n
    1. Prozessverantwortlicher:<\/li>\n<\/ol>\n

      Ein Prozessverantwortlicher (Process Owner, in diesem Fall Risk Owner) ist sowohl verantwortlich f\u00fcr das Ergebnis als auch f\u00fcr den reibungslosen Ablauf des Prozesses. Meist und sinnvoller Weise wird diese Rolle durch das oberste Management der Organisation eingenommen. Aufgabe des Prozessverantwortlichen ist es, Prozessziele zu entwickeln, deren Umsetzung zu kontrollieren und Ressourcen bei Bedarf bereitzustellen.<\/p>\n

        \n
      1. Prozessmanager:<\/li>\n<\/ol>\n

        Die Prozessmanager sind ebenfalls f\u00fcr den Prozess verantwortlich, aber besonders im Hinblick auf Effektivit\u00e4t und Effizienz. Prozessmanager m\u00fcssen sich demnach gegen\u00fcber dem Prozessverantwortlichen bez\u00fcglich des Prozesserfolgs rechtfertigen und sind durchf\u00fchrungsverantwortlich.<\/p>\n

          \n
        1. Prozessbeteiligter:<\/li>\n<\/ol>\n

          Prozessbeteiligte bilden die Basis der Hierarchie. Beteiligte sind in der Ausf\u00fchrung t\u00e4tig und m\u00fcssen gegen\u00fcber dem Prozessmanager Rechenschaft ablegen.<\/p>\n


          \nErkl\u00e4rung der Anwendbarkeit (SoA, Statement of Applicability)<\/strong><\/h3>\n

          Das Dokument \u201eErkl\u00e4rung der Anwendbarkeit\u201c fasst jegliche Aktivit\u00e4ten einer Organisation zusammen, die ergriffen wurden, um definierte Risiken zu behandeln. Somit gibt das Dokument das Sicherheitsprofil der Organisation auf Grundlage der Risikobehandlung wieder. Es wird festgehalten, wie eine Kontrolle erfolgen kann und warum bestimmte Ma\u00dfnahmen festgelegt wurden. Die Erkl\u00e4rung der Anwendbarkeit bildet f\u00fcr Zertifizierungs-Auditoren eine wichtige Grundlage f\u00fcr das Audit.<\/p>\n

          Beispiel einer Erkl\u00e4rung der Anwendbarkeit:<\/p>\n

          \"erklaerung-der-anwendbarkeit\"<\/p>\n


          \nWeitere Informationen<\/strong><\/h2>\n

          In diesem Beitrag haben Sie einen kleinen \u00dcberblick \u00fcber das Thema Risikomanagement bei ISO 27001 erhalten. Allerdings ist es nahezu unm\u00f6glich, alle Inhalte der Norm ISO\/IEC 27001 innerhalb eines Blogbeitrages zu erl\u00e4utern. Wir bieten Ihnen auf unserem neuen PSW TRAINING Blog<\/a> seit neuestem zahlreiche Beitr\u00e4ge zum Thema ISO 27001. Weiterhin bieten wir Schulungen<\/a> zum Thema an, um Ihnen nicht nur einen \u00dcberblick, sondern umfassendes Wissen zur Norm zu vermitteln. Gerne stehen wir bei Fragen zur ISO 27001-Schulung oder Norm mit Rat und Tat zur Seite \u2013 kontaktieren<\/a> Sie uns gern!<\/p>\n

          WEITERE INFORMATIONEN<\/a><\/strong><\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

          So funktioniert Risikomanagement nach der Norm ISO\/IEC 27001.<\/p>\n","protected":false},"author":15,"featured_media":1937,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,5],"tags":[24],"class_list":["post-1930","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-iso27001","category-zertifizierung","tag-din-iso-iec-27001"],"_links":{"self":[{"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/posts\/1930","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/comments?post=1930"}],"version-history":[{"count":13,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/posts\/1930\/revisions"}],"predecessor-version":[{"id":2360,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/posts\/1930\/revisions\/2360"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/media\/1937"}],"wp:attachment":[{"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/media?parent=1930"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/categories?post=1930"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/tags?post=1930"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}