Was ist ein ISO 27001-Risikomanagement?

Das Risikomanagement ist einer der anspruchsvollsten Bereiche bei der Implementierung eines ISMS, um die ISO 27001-Zertifizierung zu erreichen. Zugleich ist es auch das wichtigste Element Ihres Informationssicherheitsprojekts, weil es die Grundlage für die Informationssicherheit in Ihrer Organisation bildet. 

Es umfasst zunächst die Ermittlung von Bedrohungen in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit einer Organisation. Darüber hinaus beinhaltet das Risikomanagement die Analyse und die Behandlung dieser Bedrohungen, beispielsweise durch die Anwendung geeigneter Sicherheitsmaßnahmen zu deren Minderung. Organisationen sollten dabei eine bestimmte Risikotoleranz festlegen und die Risiken anhand der Schwere ihrer Auswirkungen priorisieren, anstatt zu versuchen, alle auf einmal anzugehen.

Was ist eine ISO 27001-Risikobewertung und warum ist sie wichtig?

Bei einer Risikobewertung (Risk Assessment) werden Sicherheitslücken und Schwachstellen ermittelt und anschließend adäquate Sicherheitsmaßnahmen identifiziert, bewertet und angewandt. Die Komplexität hängt von unterschiedlichen Faktoren ab, darunter Größe, Wachstumsrate, Ressourcen und Asset-Portfolio der Organisation. 

Die Ergebnisse der Risikobewertung bilden die Grundlage des ISMS einer Organisation. Das Top-Management kann auf dieser Grundlage fundiertere Entscheidungen in Bezug auf die Ressourcenzuweisung, Tools und Implementierung von Sicherheitsmaßnahmen treffen. 

Nach Abschluss der Bewertung wird auf der Grundlage der verfügbaren Ressourcen über den Umgang mit den Risiken entschieden. Dabei werden alle möglichen Informationssicherheitsrisiken, deren Eintrittswahrscheinlichkeit und potenzielle Auswirkungen gegeneinander abgewogen. 

Die Bewertung des Informationssicherheitsrisikos sollte in regelmäßigen Abständen durchgeführt und vollständig dokumentiert werden. 

Was vereinfacht die Durchführung einer Risikobewertung? 

Eine Bewertung des Informationssicherheitsrisikos kann theoretisch in Form einer einfachen Tabelle aufgezeichnet werden. Wir empfehlen jedoch die Verwendung einer Plattform, die die Dokumentation vereinfacht und Ihren gesamten ISO 27001-Prozess optimiert.  

In unserem Leitfaden zur ISO 27001 finden Sie weitere Informationen zur Implementierung eines ISMS, dessen Zertifizierung, den anfallenden Kosten und den langfristigen Vorteilen für Unternehmen. 
 

Welche Anforderungen gibt die ISO 27001 für Risikobewertungen vor? 

Gemäß ISO 27001 (Abschnitt 6.1.2) muss der gesamte Prozess der Risikobewertung in einem Dokument zur Risikobewertungsmethodik festgehalten werden. Dies stellt Organisationen, die ohne eine etablierte Methodik mit der Risikobewertung beginnen, oft vor eine Herausforderung. 

Deshalb ist ein gut durchdachter Plan und eine klare Vorgehensweise notwendig, um eine erfolgreiche Risikobewertung nach ISO 27001 durchzuführen. Als Orientierungspunkt dienen die Anforderungen in Abschnitt 6.1.2 der Norm: 

• Definieren Sie, wie Bedrohungen erkannt werden, die die Vertraulichkeit, Integrität oder Verfügbarkeit Ihrer Daten gefährden könnten 

• Entwickeln Sie eine Methode zur Identifizierung der Risikoeigentümer 

• Legen Sie Kriterien zur Bewertung der Auswirkungen und zur Bestimmung der Eintrittswahrscheinlichkeit von Risiken fest 

• Definieren Sie eine Methode zur Berechnung des Risikos 

• Bestimmen Sie Kriterien zur Akzeptanz von Risiken 

Diese fünf Punkte stellen die Mindestanforderungen dar, die erfüllt werden müssen. Sie bieten eine solide Basis für die Entwicklung eines strukturierten Plans zur Risikobewertung. 

Wie werden ISO 27001-Risiken behandelt? 

Zur Behandlung der bekannten Risiken in Ihrer Organisation ist ein Risikobehandlungsplan (Risk Treatment Plan) notwendig, der ein wichtiger Aspekt der ISO 27001-Implementierung ist. Organisationen können die folgenden Behandlungsmethoden ergreifen, um auf Risiken zu reagieren: 

• Das Risiko durch die Auswahl und Implementierung geeigneter Sicherheitsmaßnahmen verringern 

• Das Risiko vermeiden, indem sie jegliche Aktivitäten einstellen, die es verursachen 

• Eine Cyber-Versicherung abschließen und damit das Risiko an eine dritte Partei transferieren 

• Das Risiko in Kauf nehmen, wenn die Kosten für die Schadensbehebung voraussichtlich geringer ausfallen als für die Prävention  

Sieben einfache Schritte zur Entwicklung einer erfolgreichen ISO 27001-Risikobewertung

Um die Anforderungen der ISO 27001 zu erfüllen, sollte Ihre Risikobewertung aus den folgenden sieben Schritten bestehen: 

1. Eine einheitliche Herangehensweise für die ISO 27001-Risikobewertung festlegen

Es ist wichtig, bei der Risikobewertung in Ihrer Organisation für Konsistenz zu sorgen. Sie sollten dementsprechend Richtlinien definieren, die den Prozessablauf für alle Bereiche in Ihrer Organisation festlegen. Unterschiedliche Herangehensweisen bei der Risikobewertung verkomplizieren den Vorgang unnötig. 

Deshalb sollten Sie organisationsübergreifend festlegen, ob Sie eine qualitative oder quantitative Risikobewertung vornehmen wollen, welche Maßstäbe für eine mögliche qualitative Bewertung gelten sollen und welches Risikomaß akzeptabel ist. 

Bei der Entwicklung einer formellen Risikobewertungsmethodik sind darüber hinaus die folgenden Faktoren zu berücksichtigen: 

• Die wichtigsten Sicherheitskriterien Ihrer Organisation 

• Risikoumfang 

• Risikobereitschaft 

• Methodik: Risikobewertung basierend auf Assets oder Szenarien
  

2. Eine Liste der potenziellen Risikoszenarien Ihres Unternehmens erstellen

In diesem Schritt gibt es zwei verschiedene Herangehensweisen. Die erste Methode ist Szenario-basiert. Hier konzentriert sich Ihr Unternehmen vorrangig auf Szenarien, die eine Bedrohung darstellen können. Risikofaktoren sind in diesem Bericht leicht zu erkennen, wodurch die Ermittlung von Risiken beschleunigt wird. 

Die zweite Methode ist Asset-basiert – das heißt, der Fokus liegt auf dem Risiko in Bezug auf die Informations-Assets des Unternehmens. Die Gefahrenerkennung dauert hier länger. 

3. Risiken identifizieren

Sobald Sie sich mit den Vorgaben vertraut gemacht haben, können Sie damit beginnen, potenzielle Probleme zu identifizieren. Nutzen Sie dazu unsere Bibliothek aus vorgefertigten Risikoszenarien, die Sie auf unserer Plattform finden, oder fügen Sie Ihre eigenen hinzu.  

4. Risikoauswirkung einschätzen

Risiken können unterschiedlich schwerwiegende Auswirkungen haben. Daher ist es entscheidend, zu erkennen, welche Risiken vorrangig behandelt werden müssen. Bewerten und kategorisieren Sie Risiken deshalb nicht nur nach ihrer Eintrittswahrscheinlichkeit, sondern auch nach dem potenziellen Schaden, den sie verursachen können. 

Wir empfehlen Ihnen, anhand dieser Kriterien und Ihrer Risikobereitschaft eine Checkliste mit den priorisierten Risiken zu erstellen, die Maßnahmen erfordern. Risikoanalysen dieser Art ermöglichen eine konsistente und übersichtliche Bewertung der Gefahren, mit denen Ihre Organisation konfrontiert ist. 

5. Erklärung zur Anwendbarkeit erstellen

In der Erklärung zur Anwendbarkeit (Statement of Applicability) wird das Sicherheitsprofil Ihrer Organisation dargestellt. Sie müssen hier alle angewandten Kontrollmechanismen aufführen und angeben, warum und wie Sie diese auf Basis der ISO 27001-Risikobewertung implementiert haben. 

Das Statement of Applicablility ist ein zentrales Dokument für die Zertifizierung. Mehr dazu finden Sie in unserem umfassenden Artikel zu diesem Thema. 

6. Einen Risikobehandlungsplan erstellen

Die ISO 27001 gibt vor, dass für alle Risiken Risikoeigentümer identifiziert werden müssen. Sie genehmigen Strategien zur Risikominderung und bestätigen das Niveau des Restrisikos. 

7. Interne Prüfungen, Audits und Kontrollen

Die Abläufe in Ihrer Organisation ändern sich im Laufe der Zeit und dies gilt auch für Bedrohungen. Deshalb sollte die Risikobewertung jährlich wiederholt werden. Wir empfehlen Ihnen, diese Gelegenheit zu nutzen, um Ihr ISMS stetig zu verbessern. Erfahren Sie mehr zum internen Audit Ihrer Informationssicherheit in diesem Artikel. 

Wie können kleine oder mittelgroße Organisationen das Risikomanagement effizient umsetzen? 

Viele kleinere Organisationen haben im Rahmen der Umsetzung von ISO 27001 eine Risikomanagement-Software implementiert. Manche dieser Tools wurden allerdings für größere Organisationen konzipiert, die andere Anforderungen haben.  

Deshalb geben wir Ihnen an dieser Stelle Tipps, wie kleinere Organisationen ihr Risikomanagement vereinfachen können: 

• Das richtige Framework auswählen: Vereinfachen Sie Ihr Framework so, dass es die Anforderungen der ISO 27001 erfüllt. Wenn Sie das Framework einer größeren Organisation kopieren, kann die Risikobeurteilung und –behandlung komplexer sein als für Ihre Organisation notwendig. 

• Ein geeignetes Tool verwenden: Implementieren Sie eine Software, die Ihrer (vereinfachten) Strategie entspricht. Es gibt geeignete Tools, die flexibler an verschiedene Unternehmensgrößen angepasst werden können. 

• Andere Mitarbeitende ins Boot holen: Versuchen Sie nicht, das Risikomanagement ganz allein zu meistern. Beziehen Sie stattdessen alle Stakeholder Ihrer Organisation ein, die mit den Prozessen vertraut sind und dadurch auch die potenziellen Schwierigkeiten kennen. 

• Nicht perfekt sein wollen: Es ist unwahrscheinlich, dass Sie beim ersten Versuch alle Risiken aufdecken. Schließen Sie Ihre Risikobewertung und -behandlung mit den verfügbaren Informationen ab. Risiken, die Sie übersehen haben, können Sie auch später noch hinzufügen. 

Zusammenfassend kann man also sagen, dass die Risikobewertung und -behandlung die Grundpfeiler der ISO 27001 sind, ihre Umsetzung jedoch nicht kompliziert sein muss. Wichtig ist, dass Sie den Prozess an die Bedürfnisse Ihrer Organisation anpassen. 

Fazit: