ISO 27001 Risikobewertung: Ein umfassender Leitfaden

Was ist ein ISO 27001-Risikomanagement?

Risikomanagement ist wohl der schwierigste Teil der ISO 27001 Zertifizierung, zugleich aber auch das wichtigste Element jedes Informationssicherheitsprojekts, weil es die Grundlage für Informationssicherheit in Ihrer Organisation bildet. 

Es umfasst die Ermittlung von Bedrohungen in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit der Assets einer Organisation, sowie die Analyse dieser Bedrohungen und die Anwendung geeigneter Maßnahmen zu deren Eliminierung. Hauptziel ist es, gemäß der allgemeinen Risikotoleranz der Organisation auf Risiken zu reagieren und das Risiko auch so weit wie möglich zu reduzieren. Organisationen sollten dabei eine bestimmte Risikoschwelle festlegen und einhalten, anstatt zu versuchen, alle Gefahren auszumerzen. 

Andererseits sind Risikobewertung (auch Risikoanalyse genannt) und Risikobehandlung die beiden grundlegende Komponenten des Risikomanagements. Im nächsten Abschnitt sehen wir uns das genauer an.

Was ist eine ISO 27001-Risikobewertung und warum ist sie wichtig?

Bei einer Risikobewertung (engl. Risk Assessment) werden wichtige Sicherheitsmaßnahmen für Anwendungen identifiziert, bewertet und angewendet. Außerdem sollen Sicherheitslücken und Schwachstellen in Anwendungen verhindert werden.

Man könnte eine Risikobewertung als ganzheitliche Betrachtung des Anwendungsportfolios eines Unternehmens aus der Sicht eines Angreifers beschreiben. Manager können auf dieser Grundlage fundiertere Entscheidungen in Bezug auf Ressourcenzuweisung, Tools und Implementierung von Sicherheitskontrollen treffen. Risikobeurteilungen sind also ein wichtiger Bestandteil der Risikomanagement-Strategie einer Organisation. 

Im Allgemeinen werden Risikobewertungen für die gesamte Organisation vorgenommen. Nach Abschluss der Bewertung wird auf Grundlage verfügbarer Ressourcen und Budgets über den Umgang mit den Risiken entschieden.  

Dabei werden sämtliche möglichen Informationssicherheitsrisiken, deren Eintrittswahrscheinlichkeit und potenzielle Auswirkungen gegeneinander abgewogen. Nachdem wir nun geklärt haben, was eine Risikobewertung ist und warum sie wichtig ist, wenden wir uns nun ihrer Funktionsweise zu. 

Wie funktioniert eine ISO 27001-Risikobewertung?

Die Komplexität einer Risikobewertung hängt von unterschiedlichen Faktoren ab, darunter Größe, Wachstumsrate, Ressourcen und Asset-Portfolio der Organisation. Wenn Geld oder Zeit knapp sind, können Organisationen auf allgemeine Bewertungen zurückgreifen. Allerdings werden dabei unter Umständen Assets und Asset-bezogene Bedrohungen, bekannte Risiken, deren Auswirkungen und Maßnahmen zur Risikominderung nicht ausreichend miteinander in Verbindung gebracht.

Ist dies der Fall, so ist eine detailliertere Bewertung erforderlich. Die Ergebnisse der Risikobewertung bilden die Grundlage des ISMS einer Organisation. Um bekannte Risiken zu verringern, müssen Organisationen bestimmte Kontrollmechanismen entwickeln.

Informationssicherheitsrisiko-Bewertungen sollten in regelmäßigen Abständen durchgeführt werden, und/oder wenn Anpassungen erforderlich sind. In beiden Fällen ist die Bewertung vollständig aufzuzeichnen.

Wie hilft die kontinuierliche Prüfung und Bewertung des ISMS bei der Vorbereitung auf eine Risikobewertung?

ISO 27001 gibt vor, dass das ISMS einer Organisation regelmäßig überprüft, aktualisiert und verbessert werden muss, um sicherzustellen, dass es seine Aufgabe erfüllt und an veränderte Bedingungen angepasst wird. 

Ein internes Audit ist eine Komponente von Bewertungen und Tests. Dazu muss der ISMS-Manager eine Reihe von Berichten erstellen, um zu belegen, dass Risiken auf effektive Art angegangen werden.  

In unserem Leitfaden zu ISO 27001 finden Sie weitere Informationen zur Zertifizierung, den anfallenden Kosten und den langfristigen Vorteilen einer Zertifizierung für Unternehmen.

Eine Informationssicherheitsrisiko-Bewertung kann zwar in Form einer einfachen Tabelle aufgezeichnet werden, wir empfehlen jedoch die Verwendung eines Tools, das die Dokumentation vereinfacht.

Wie definiert und behandelt die ISO 27001 Risiken?

Risiko wird in der ISO 27001 als „die Auswirkung von Unsicherheit auf Ziele“ definiert. Und diese Unsicherheit ist der Grund dafür, dass nicht alle Risiken kontrolliert werden können. Schließlich kann man sich nicht gegen etwas wehren, das man nicht kennt oder versteht. Die Unsicherheiten können aber eingeplant werden.

Ein Risikobehandlungsplan (risk treatment plan, RTP) ist ein wichtiger Aspekt der ISO 27001-Implementierung. Er umreißt, wie Ihre Organisation auf bekannte Bedrohungen reagiert. Organisationen sollten folgende Maßnahmen zur Risikominderung ergreifen:

• Kontrollmechanismen implementieren, die die Wahrscheinlichkeit des Risikoeintritts verringern
• Das Risiko vermeiden, indem sie jegliche Aktivitäten einstellen, die es verursachen
• Das Risiko durch Outsourcen von Sicherheitsmaßnahmen mit einem Dritten teilen und eine Cyber-Versicherung abschließen, damit im Falle eines Angriffs die erforderlichen Geldmittel zur Verfügung stehen
• Das Risiko in Kauf nehmen, da die Kosten für die Schadensbehebung voraussichtlich geringer ausfallen als die für Prävention 

Welche Anforderungen gibt die ISO 27001 für Risikobewertungen vor?

Laut ISO 27001 (Abschnitt 6.1.2) muss der gesamte Ablauf der Risikobewertung im Dokument für die Risikobewertungsmethodik aufgezeichnet werden.

Für die meisten Organisationen ist das eine Herausforderung, da die Risikobewertung oft ohne Methodik begonnen wird. Für eine erfolgreiche Risikobewertung sind ein gut strukturierter Plan und eine klare Anleitung erforderlich.

Für den Anfang können Sie sich an den Anforderungen in Abschnitt 6.1.2 der ISO 27001 orientieren:

• Definieren Sie, wie Bedrohungen identifiziert werden, die die Vertraulichkeit, Integrität und/oder Verfügbarkeit Ihrer Daten beeinträchtigen können.
• Entwickeln Sie eine Methode zum Identifizieren der Risikoeigentümer.
• Legen Sie Kriterien zur Einschätzung der Auswirkungen und Bestimmung der Wahrscheinlichkeit des Risikoeintritts fest.
• Definieren Sie eine Methode zur Risikoberechnung.
• Definieren Sie Kriterien für die Risikoakzeptanz.

Diese fünf Punkte sind die Mindestanforderungen, die erfüllt werden müssen. Wir empfehlen, sie als Grundlage für Ihren Plan zu verwenden.

Sieben einfache Schritte zur Entwicklung einer erfolgreichen ISO 27001-Risikobewertung

Um die Anforderungen der ISO 27001:2013 zu erfüllen, sollte Ihre Risikobewertung aus folgenden sieben Schritten bestehen:

1. Ein Framework für die ISO 27001-Risikobewertung festlegen

Dies ist der erste Schritt auf dem Weg zu Ihrer ISO 27001-Risikobewertung. Es ist wichtig, bei der Risikobewertung in Ihrer Organisation für Konsistenz zu sorgen. Deshalb sollten Sie Richtlinien definieren, die festlegen, wie der Prozess ablaufen soll.

Wenn unterschiedliche Bereiche Ihrer Organisation verschiedene Herangehensweisen bei der Risikobewertung verfolgen, wird der Vorgang unnötig verkompliziert. 

Deswegen sollten Sie unter anderem Folgendes organisationsübergreifend festlegen: ob Sie eine qualitative oder quantitative Risikobewertung vornehmen wollen, welche Maßstäbe für die qualitative Bewertung gelten sollen und welches Maß an Risiko akzeptabel ist.

Bei der Entwicklung einer formellen Risikobewertungsmethodik sind mehrere Faktoren zu berücksichtigen:

• Die wichtigsten Sicherheitskriterien Ihrer Organisation
• Risikoumfang
• Risikobereitschaft
• Methodik: Risikobewertung basierend auf Szenarien und Assets

2. Eine Liste der Informations-Assets Ihres Unternehmens zusammenstellen

Eine Liste Ihrer Informations-Assets zu erstellen ist eine Möglichkeit, eine Risikobewertung für Ihre Organisation durchzuführen.

Die erste Methode ist asset-basiert – das heißt, der Fokus liegt auf dem Risiko in Bezug auf die Informations-Assets des Unternehmens. Die Gefahrenerkennung dauert hier länger, aber dafür entsteht ein vollständigeres Bild der Bedrohungen.

Die zweite Methode ist szenariobasiert. Hier konzentriert sich Ihr Unternehmen vorrangig auf Szenarien, die Datenpannen verursachen können. Risikofaktoren sind in diesem Bericht leicht zu erkennen, wodurch die Ermittlung von Risiken beschleunigt wird. Allerdings werden häufig Faktoren übersehen, sodass die Risikobewertung unvollständig ist.

3. Risiken identifizieren

Sobald Sie sich mit den Regeln vertraut gemacht haben, können Sie sich daran machen, potenzielle Probleme zu identifizieren. Listen Sie als Erstes Ihre Assets und dann die Bedrohungen und Schwachstellen auf, die mit diesen Assets verbunden sind. Bewerten Sie die Wahrscheinlichkeit des Risikoeintritts für jedes Asset. Anschließend können Sie Ihr Risikoniveau berechnen.

4. Risikoauswirkung einschätzen

Risiken haben unterschiedlich schwerwiegende potenzielle Auswirkungen. Deswegen ist es wichtig, herauszufinden, welche Probleme am dringendsten angegangen werden müssen. Zu diesem Zweck sollten Sie Risiken nach ihrem Eintrittsrisiko und dem potenziellen Schaden, den sie anrichten können, kategorisieren.

Wir empfehlen, anhand dieser Kriterien eine Checkliste zu erstellen, die Ihrer Risikobereitschaft entspricht und in den Gefahren identifiziert und priorisiert werden, die Maßnahmen erfordern. Risikoanalysen dieser Art ermöglichen eine konsistente und komparative Bewertung der Gefahren, mit denen Ihre Organisation konfrontiert ist.

5. Erklärung zur Anwendbarkeit erstellen

In der Erklärung der Anwendbarkeit (eng. Statement of Applicability) wird das Sicherheitsprofil Ihrer Organisation dargestellt. Sie müssen hier alle angewandten Kontrollmechanismen aufführen und angeben, warum und wie Sie sie auf Basis der ISO 27001-Risikobewertung implementiert haben.

Dieses Dokument ist das wichtigste Kriterium für die Zertifizierung und daher von größter Bedeutung. Mehr zum Statement of Applicability finden Sie in unserem umfassenden Artikel zu diesem Thema 

6. Einen Risikobehandlungsplan erstellen

Die ISO 27001 gibt vor, dass für alle Risiken Risikoeigentümer identifiziert werden müssen. Sie genehmigen Strategien zur Risikominderung und bestätigen das Restrisiko-Niveau. 

Menschen machen Fehler. Dies verursacht zahlreiche Risiken in Organisationen, die sich nur selten vollständig eliminieren lassen. Ziel ist es stattdessen, Risiken im Rahmen der Strategie zur Risikominderung durch Implementierung der in Anhang A der ISO 27001 beschriebenen Maßnahmenziele zu reduzieren.

7. Interne Prüfungen, Audits und Kontrollen

Die Abläufe in Ihrer Organisation ändern sich im Lauf der Zeit. Dasselbe gilt für Bedrohungen. Deshalb sollte die Bewertung jedes Jahr wiederholt werden.

Bei einer Risikobewertung sind Strategien zur Risikominderung, Verantwortungsbereiche, Budget und Zeitrahmen zu berücksichtigen.

Wir empfehlen außerdem, die Gelegenheit zu nutzen, Ihr ISMS zu verbessern, indem Sie zum Beispiel die Art der Risikobehandlung oder die damit verbundenen Kontrollmechanismen ändern. Erfahren Sie mehr zum internen Audit Ihrer Informationssicherheit in diesem Artikel. 

Wie können kleine oder mittelgroße Organisationen Risikomanagement durchführen?

Viele kleinere Organisationen haben im Rahmen der Umsetzung von ISO 27001 Risikomanagement-Software implementiert. Manche dieser Tools wurden allerdings für größere Organisationen konzipiert.

Deswegen haben wir hier einige Tipps dazu zusammengestellt, wie kleinere Organisationen ihr Risikomanagement vereinfachen können:

• Das richtige Framework auswählen – Vereinfachen Sie Ihr Framework so, dass es die fünf Anforderungen der ISO 27001 erfüllt. Wenn Sie das Framework einer größeren Organisation kopieren, kann die Risikobewertung und -behandlung Monate statt Tage dauern.
• Ein geeignetes Tool verwenden – Implementieren Sie eine Software, die Ihrer (vereinfachten) Strategie entspricht. In manchen Fällen ist eine gut strukturierte Excel-Tabelle sinnvoller als eine komplexere Software.
• Andere Mitarbeiter ins Boot holen – Versuchen Sie nicht, das Risikomanagement ganz allein zu meistern. Beziehen Sie stattdessen alle Abteilungsleiter Ihrer Organisation ein, denn sie kennen ihre Abläufe am besten und wissen daher auch am meisten über potenzielle Schwierigkeiten.
• Nicht perfekt sein wollen – Es ist unwahrscheinlich, dass Sie beim ersten Versuch alle Risiken aufdecken. Schließen Sie Ihre Risikobewertung und -behandlung mit den Informationen, die Sie haben, ab. Gefahren, die Sie übersehen haben, können Sie auch später noch hinzufügen.

Zusammenfassend kann man also sagen, dass Risikobewertung und -behandlung die Grundpfeiler der ISO 27001 sind und ihre Umsetzung nicht kompliziert sein muss. Wichtig ist, dass Sie den Prozess an die Bedürfnisse Ihrer Organisation anpassen.  

Ist eine ISO 27001-Risikobewertung für Ihre Organisation sinnvoll?

Die ISO 27001-Risikobewertung ist eine Methode zur systematischen Beurteilung der Risiken in Ihrer Organisation. Ziel ist es, die potenziellen Auswirkungen dieser Risiken auf die Informationssicherheit in Ihrem Unternehmen zu verstehen und eine Strategie zur Reduzierung dieser Risiken umzusetzen.

Der Fokus der ISO 27001 ist die Risikobewertung und -behandlung. Sie identifizieren Sicherheitslücken und ermitteln die besten Methoden, diese zu verhindern oder zu reduzieren. 

Außerdem haben Sie die Möglichkeit, besonders schwerwiegende Risiken zu priorisieren. So verschwenden sie nicht Zeit, Mühe oder Geld auf weniger akute Probleme. Auch ist das Risikomanagement nach ISO 27001 ein integraler Bestandteil der neuen NIS2 Richtlinie, welche bis zum 17. Oktober 2024 umgesetzt werden muss. Setzen Sie bereits jetzt die Anforderungen an das Risikomanagement ensprechend der ISO 27001 um, erfüllen Sie bereits einen wichtigen Bestandteil der NIS2. All diese Gründe sprechen für die Implementierung einer ISO 27001-Risikobewertung in Ihrer Organisation.

Das Risikobewertungs-Framework wird in der ISO 27001 klar umrissen und in der ISO 27005 genauer beschrieben. Beim Informationssicherheitsrisiko-Management geht es um den Erhalt von Vertraulichkeit, Integrität und Verfügbarkeit.  

Inwiefern ist die ISO 27005 hilfreich beim Risikomanagement?

Die ISO/IEC 27005 ist eine Norm, die vollständig dem Management von Informationssicherheitsrisiken gewidmet ist. Sie ist enorm nützlich, um Kenntnisse in Bezug auf die Bewertung und Behandlung von Informationssicherheitsrisiken zu erweitern.

Außerdem werden die Risiken dokumentiert und können so auf effektive Weise nachverfolgt und gemanagt werden. Grundsätzlich ist Risikomanagement jedermanns Verantwortung.

DataGuard hilft Ihnen gern mit Ihrer ISO 27001-Risikobewertung. Wir prüfen und bewerten Risikokontrollen, ermitteln den Status der Kontrollen in Echtzeit und stellen Dokumentation für Auditoren zusammen. Mit der Unterstützung unserer Informationssicherheitsexperten können Sie Ihre Risiko- und Compliance-Strategie für Informationssicherheit/ISO 27001 auf einfache Art optimieren.

DataGuard unterstützt Unternehmen bei der Durchführung von ISO 27001-Risikobewertungen. Vereinbaren Sie dazu eine kostenlose Erstberatung mit unseren Informationssicherheitsexperten.