ISO 27001 Risikobewertung:Anforderungen, Umsetzung und Best Practices

  • Die Risikobewertung ist ein zentraler Bestandteil des ISMS Risikomanagements nach ISO 27001

  • Organisationen müssen Informationssicherheitsrisiken identifizieren, bewerten und passende Maßnahmen ableiten

  • Auf dieser Seite zeigen wir, wie Sie die Risikobewertung im ISMS Schritt für Schritt umsetzen

about_us_hero_v3 1

Schließen Sie sich 4.000+ Unternehmen an, die ihre Security & Compliance Ziele mit DataGuard erreichen

Emitec LogoLifeLink LogoVolki LogoMask groupFreenow LogoAuto-Kabel-LogoHeyjobs LogoLebara Logo

Einleitung in das Risikomanagement nach ISO 27001

Die ISO 27001-Norm legt fest, wie Organisationen mit Informationssicherheitsrisiken umgehen. Dazu gehören unter anderem Richtlinien, Abläufe, technische Maßnahmen und Mitarbeiterschulungen.

Für die ISO 27001-Compliance sind Risikobewertungen notwendig. Damit belegen Sie die effektive Verwaltung von Risiken mit einem Informationssicherheits-Managementsystem (ISMS), das Sie auf der Grundlage der ISO 27001-Norm etablieren. 

Wir erklären Ihnen, was eine Risikobewertung und Risikomanagement sind und wie Sie eine Risikobewertung nach ISO 27001 durchführen. 

Das Risikomanagement ist einer der anspruchsvollsten Bereiche bei der Implementierung eines ISMS, um die ISO 27001-Zertifizierung zu erreichen. Zugleich ist es auch das wichtigste Element Ihres Informationssicherheitsprojekts, weil es die Grundlage für die Informationssicherheit in Ihrer Organisation bildet. 

Es umfasst zunächst die Ermittlung von Bedrohungen in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit einer Organisation. Darüber hinaus beinhaltet das Risikomanagement die Analyse und die Behandlung dieser Bedrohungen, beispielsweise durch die Anwendung geeigneter Sicherheitsmaßnahmen zu deren Minderung. Versuchen Sie dabei, nicht alle Risiken auf einmal anzugehen, sondern legen Sie als Organisation Risikotoleranzen fest und priorisieren Sie die Risiken anhand der Schwere ihrer Auswirkungen.

 

Was ist eine ISO 27001-Risikobewertung und warum ist sie wichtig?

Bei einer Risikobewertung (Risk Assessment) werden Sicherheitslücken und Schwachstellen ermittelt und anschließend adäquate Sicherheitsmaßnahmen identifiziert, bewertet und angewandt. Die Komplexität hängt von unterschiedlichen Faktoren ab, darunter Größe, Wachstumsrate, Ressourcen und Asset-Portfolio der Organisation. 

Die Ergebnisse der Risikobewertung bilden die Grundlage des ISMS einer Organisation. Das Top-Management kann auf dieser Grundlage fundiertere Entscheidungen in Bezug auf die Zuweisung von Ressourcen, Tools und Implementierung von Sicherheitsmaßnahmen treffen. 

Nach Abschluss der Bewertung wird auf der Grundlage der verfügbaren Ressourcen über den Umgang mit den Risiken entschieden. Dabei werden alle möglichen Informationssicherheitsrisiken, deren Eintrittswahrscheinlichkeit und potenzielle Auswirkungen gegeneinander abgewogen. 

Die Bewertung des Informationssicherheitsrisikos sollte in regelmäßigen Abständen durchgeführt und vollständig dokumentiert werden. 


Was vereinfacht die Durchführung einer Risikobewertung? 

Eine Bewertung des Informationssicherheitsrisikos kann theoretisch in Form einer einfachen Tabelle aufgezeichnet werden. Wir empfehlen jedoch die Verwendung einer Plattform, die die Dokumentation vereinfacht und Ihren gesamten ISO 27001-Prozess optimiert.  

In unserem Leitfaden zur ISO 27001 finden Sie weitere Informationen zur Implementierung eines ISMS, dessen Zertifizierung, den anfallenden Kosten und den langfristigen Vorteilen für Unternehmen. 
 

Welche Anforderungen gibt die ISO 27001 für Risikobewertungen vor? 

Gemäß ISO 27001 (Abschnitt 6.1.2) muss der gesamte Prozess der Risikobewertung in einem Dokument zur Risikobewertungsmethodik festgehalten werden. Dies stellt Organisationen, die ohne eine etablierte Methodik mit der Risikobewertung beginnen, oft vor eine Herausforderung. 

Deshalb ist ein gut durchdachter Plan und eine klare Vorgehensweise notwendig, um eine erfolgreiche Risikobewertung nach ISO 27001 durchzuführen. Als Orientierungspunkt dienen die Anforderungen in Abschnitt 6.1.2 der Norm: 

  • Definieren Sie, wie Bedrohungen erkannt werden, die die Vertraulichkeit, Integrität oder Verfügbarkeit Ihrer Daten gefährden könnten 

  • Entwickeln Sie eine Methode zur Identifizierung der Risikoeigentümer 

  • Legen Sie Kriterien zur Bewertung der Auswirkungen und zur Bestimmung der Eintrittswahrscheinlichkeit von Risiken fest 

  • Definieren Sie eine Methode zur Berechnung des Risikos 

  • Bestimmen Sie Kriterien zur Akzeptanz von Risiken 

Diese fünf Punkte stellen die Mindestanforderungen dar, die erfüllt werden müssen. Sie bieten eine solide Basis für die Entwicklung eines strukturierten Plans zur Risikobewertung. 

 

Wie werden ISO 27001-Risiken behandelt? 

Zur Behandlung der bekannten Risiken in Ihrer Organisation ist ein Risikobehandlungsplan (Risk Treatment Plan) notwendig, der ein wichtiger Aspekt der ISO 27001-Implementierung ist. Organisationen können die folgenden Behandlungsmethoden ergreifen, um auf Risiken zu reagieren: 

  • Das Risiko durch die Auswahl und Implementierung geeigneter Sicherheitsmaßnahmen verringern 

  • Das Risiko vermeiden, indem sie jegliche Aktivitäten einstellen, die es verursachen 

  • Eine Cyber-Versicherung abschließen und damit das Risiko an eine dritte Partei transferieren 

  • Das Risiko in Kauf nehmen, wenn die Kosten für die Schadensbehebung voraussichtlich geringer ausfallen als für die Prävention  

Umsetzung der ISO 27001 Controls und Aufbau eines ISMS 

In bis zu 3 Monaten machen wir Sie bereit für das ISO 27001 Audit. 

Reduzieren Sie dabei Ihren manuellen Aufwand um bis zu 75% 

DG Seal ISO 27001

Sieben einfache Schritte zur Entwicklung einer erfolgreichen ISO 27001-Risikobewertung

Um die Anforderungen der ISO 27001 zu erfüllen, sollte Ihre Risikobewertung aus den folgenden sieben Schritten bestehen: 

1. Eine einheitliche Herangehensweise für die ISO 27001-Risikobewertung festlegen

Es ist wichtig, bei der Risikobewertung in Ihrer Organisation für Konsistenz zu sorgen. Sie sollten dementsprechend Richtlinien definieren, die den Prozessablauf für alle Bereiche in Ihrer Organisation festlegen. Unterschiedliche Herangehensweisen bei der Risikobewertung verkomplizieren den Vorgang unnötig. 

Deshalb sollten Sie organisationsübergreifend festlegen, ob Sie eine qualitative oder quantitative Risikobewertung vornehmen wollen, welche Maßstäbe für eine mögliche qualitative Bewertung gelten sollen und welches Risikomaß akzeptabel ist. 

Bei der Entwicklung einer formellen Risikobewertungsmethodik sind darüber hinaus die folgenden Faktoren zu berücksichtigen: 

  • Die wichtigsten Sicherheitskriterien Ihrer Organisation 

  • Risikoumfang 

  • Risikobereitschaft 

  • Methodik: Risikobewertung basierend auf Assets oder Szenarien

2. Eine Liste der potenziellen Risikoszenarien Ihres Unternehmens erstellen

In diesem Schritt gibt es zwei verschiedene Herangehensweisen. Die erste Methode ist Szenario-basiert. Hier konzentriert sich Ihr Unternehmen vorrangig auf Szenarien, die eine Bedrohung darstellen können. Risikofaktoren sind in diesem Bericht leicht zu erkennen. Dadurch wird die Ermittlung von Risiken beschleunigt. 

Die zweite Methode ist Asset-basiert – das heißt, der Fokus liegt auf dem Risiko in Bezug auf die Informations-Assets des Unternehmens. Die Gefahrenerkennung dauert hier länger. 

3. Risiken identifizieren

Sobald Sie sich mit den Vorgaben vertraut gemacht haben, können Sie damit beginnen, potenzielle Probleme zu identifizieren. Nutzen Sie dazu unsere Bibliothek aus vorgefertigten Risikoszenarien, die Sie auf unserer Plattform finden, oder fügen Sie Ihre eigenen hinzu.  

4. Risikoauswirkung einschätzen

Risiken können unterschiedlich schwerwiegende Auswirkungen haben. Identifizieren Sie daher als erstes die Risiken, die sie priorisieren und vorranging behandeln. Bewerten und kategorisieren Sie Risiken nicht nur nach ihrer Eintrittswahrscheinlichkeit, sondern auch nach dem potenziellen Schaden, den sie verursachen können. 

Wir empfehlen Ihnen, anhand dieser Kriterien und Ihrer Risikobereitschaft eine Checkliste mit den priorisierten Risiken zu erstellen, die Maßnahmen erfordern. Mit dieser Art der Risikoanalyse erhalten Sie eine konsistente und übersichtliche Bewertung der Gefahren, mit denen Ihre Organisation konfrontiert ist. 

5. Erklärung zur Anwendbarkeit erstellen

In der Erklärung zur Anwendbarkeit (Statement of Applicability) stellen Sie das Sicherheitsprofil Ihrer Organisation dar. Sie müssen hier alle angewandten Kontrollmechanismen aufführen und angeben, warum und wie Sie diese auf Basis der ISO 27001-Risikobewertung implementiert haben. 

Das Statement of Applicablility ist ein zentrales Dokument für die Zertifizierung. Mehr dazu finden Sie in unserem umfassenden Artikel zu diesem Thema. 

6. Einen Risikobehandlungsplan erstellen

Die ISO 27001 gibt vor, dass Sie für alle Risiken Risikoeigentümer identifizieren müssen. Diese genehmigen dann Strategien zur Risikominderung und bestätigen das Niveau des Restrisikos. 

7. Interne Prüfungen, Audits und Kontrollen

Die Abläufe in Ihrer Organisation ändern sich im Laufe der Zeit und dies gilt auch für Bedrohungen. Deshalb sollten Sie die Risikobewertung jährlich wiederholen. Wir empfehlen Ihnen, diese Gelegenheit zu nutzen, um Ihr ISMS stetig zu verbessern. Erfahren Sie mehr zum internen Audit Ihrer Informationssicherheit in diesem Artikel

Vector-1

ISO 27001-Zertifizierung und DSGVO-Compliance sind entscheidend, um den langfristigen Erfolg unseres Unternehmens zu sichern.

Calin Coman-Enescu
Behaviour Lab

100% unserer Kunden bestehen die
ISO 27001-Zertifizierung beim ersten Mal

 

Wie können kleine oder mittelgroße Organisationen das Risikomanagement effizient umsetzen? 

Viele kleinere Organisationen haben im Rahmen der Umsetzung von ISO 27001 eine Risikomanagement-Software implementiert. Manche dieser Tools wurden allerdings für größere Organisationen konzipiert, die andere Anforderungen haben.  

Deshalb geben wir Ihnen an dieser Stelle Tipps, wie kleinere Organisationen ihr Risikomanagement vereinfachen können: 

  • Das richtige Framework auswählen: Vereinfachen Sie Ihr Framework so, dass es die Anforderungen der ISO 27001 erfüllt. Wenn Sie das Framework einer größeren Organisation kopieren, kann die Risikobeurteilung und –behandlung komplexer sein als für Ihre Organisation notwendig. 

  • Ein geeignetes Tool verwenden: Implementieren Sie eine Software, die Ihrer (vereinfachten) Strategie entspricht. Es gibt geeignete Tools, die flexibler an verschiedene Unternehmensgrößen angepasst werden können. 

  • Andere Mitarbeitende ins Boot holen: Versuchen Sie nicht, das Risikomanagement ganz allein zu meistern. Beziehen Sie stattdessen alle Stakeholder Ihrer Organisation ein, die mit den Prozessen vertraut sind und dadurch auch die potenziellen Schwierigkeiten kennen. 

  • Nicht perfekt sein wollen: Es ist unwahrscheinlich, dass Sie beim ersten Versuch alle Risiken aufdecken. Schließen Sie Ihre Risikobewertung und -behandlung mit den verfügbaren Informationen ab. Risiken, die Sie übersehen haben, können Sie auch später noch hinzufügen. 

Die Risikobewertung und -behandlung sind die Grundpfeiler der ISO 27001. Ihre Umsetzung muss nicht kompliziert sein. Wichtig ist, dass Sie den Prozess an die Bedürfnisse Ihrer Organisation anpassen. 

Die richtigen Tools für eine erfolgreiche Risikobewertung

Risikobewertungen bieten wertvolle Vorteile, egal ob Ihre Organisation sich für oder gegen die Implementierung der ISO 27001 entscheidet. Eine dynamische Risikobewertung ermöglicht es Ihnen, Sicherheitslücken zu identifizieren, besonders schwerwiegende Risiken zu priorisieren und die besten Methoden zur Minderung von Risiken zu ermitteln. 

Das Risikomanagement ist darüber hinaus auch ein zentraler Bestandteil der neuen NIS2-Richtlinie. Setzen Sie bereits jetzt die Anforderungen an das Risikomanagement nach ISO 27001 um und erfüllen Sie die Vorschriften.  

Die benutzerfreundliche Plattform von DataGuard kann Sie bei Ihrer ISO 27001-Risikobeurteilung unterstützen. Erkennen Sie Bedrohungen, bevor sie für Ihr Unternehmen kritisch werden und mindern Sie so effektiv Risiken. 

Mit der perfekten Kombination aus unserer Plattform und der Unterstützung unserer Experten können Sie Ihre Risiko- und Compliance-Strategie für Informationssicherheit und ISO 27001 auf eine einfache Art optimieren.

Häufig gestellte Fragen

Was ist eine ISO 27001-Risikobewertung?

Was umfasst das Risikomanagement nach ISO 27001?

Was ist die ISO 27001-Norm?

Was ist eine ISO 27001-Zertifizierung?

Erfahren Sie, wie Sie Ihre Security & Compliance Ziele mit DataGuard erreichen.

Wie können wir helfen?Kontaktieren Sie uns.

dg_seal_iso_2-0-3
dg_seal_tisax_2-0-3
dg_seal_dsgvo_2-0

Produkte

Plattform

Frameworks

Lösungen

Ressourcen

Unternehmen

Deutsch

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Software-as-a-Service und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Alle Angaben dienen lediglich der Information und beruhen auf internen Schätzungen. Diese Informationen sind kein Indikator für KPIs und werden ohne ausdrückliche oder stillschweigende Zusicherungen oder Garantien in Bezug auf Genauigkeit und Zuverlässigkeit gegeben.