ISO 27001 Risikobewertung: Ein vollständiger Methodikleitfaden

Einführung

Die Risikobewertung ist nicht nur eine Anforderung von ISO 27001 — sie ist der Motor, der den gesamten Standard antreibt. Jede implementierte Kontrolle und jede geschriebene Richtlinie sollte auf ein Risiko in Ihrem Risikoregister zurückzuführen sein.

Warum Risikobewertung zentral für ISO 27001 ist

Klausel 6.1 erfordert die Planung von Maßnahmen zur Risikobewältigung. Klausel 8.2 verlangt die Durchführung in geplanten Abständen.

Sie bestimmt: welche Annex A-Kontrollen anwendbar sind, welche Priorität Aktivitäten erhalten, wie Entscheidungen begründet werden und wie kontinuierliche Verbesserung nachgewiesen wird.

Schritt 1: Risikobewertungsmethodik definieren

Dokumentieren Sie Ihre Methodik vor der Bewertung. Sie muss definieren:

Risikoidentifizierungsansatz: Wie Assets, Bedrohungen und Schwachstellen identifiziert werden.

Wahrscheinlichkeitsskala: Typischerweise 1–5 mit definierten Kriterien.

Auswirkungsskala: Wie die Konsequenz eines Risikos gemessen wird.

Risikoniveauberechnung: Wahrscheinlichkeit × Auswirkung.

Risikoakzeptanzkriterien: Das akzeptable Risikoniveau ohne Behandlung.

Schritt 2: Informationsassets identifizieren

Assets umfassen:

Informationen: Kundendaten, geistiges Eigentum, Finanzdaten.

Software: Geschäftsanwendungen, Datenbanken, Quellcode.

Physische Assets: Server, Laptops, Mobilgeräte.

Dienste: Cloud-Plattformen, SaaS-Drittanbieter.

Dokumentieren Sie: Name, Verantwortlicher, Klassifizierung und Speicherort.

Schritt 3: Bedrohungen und Schwachstellen identifizieren

Für jeden wesentlichen Asset identifizieren Sie:

Bedrohungen: Ransomware, Datenverlust, Hardware-Ausfall, Phishing.

Schwachstellen: Schwache Passwortrichtlinien, ungepatchte Software, fehlende Verschlüsselung.

Fokussieren Sie auf plausible Bedrohungen in Ihrem Umfeld und Ihrer Branche.

Schritt 4: Risiken bewerten und bewerten

1. Wahrscheinlichkeitsscore zuweisen (1–5) 2. Auswirkungsscore zuweisen (1–5) 3. Risikoscore berechnen (Wahrscheinlichkeit × Auswirkung) 4. Mit Akzeptanzkriterien vergleichen

Dokumentieren Sie alles in einem Risikoregister.

Schritt 5: Risikobehandlungsoptionen

Vier Optionen:

Modifizieren (Mindern): Kontrollen implementieren, um Wahrscheinlichkeit oder Auswirkung zu reduzieren.

Beibehalten (Akzeptieren): Formal genehmigt für niedrige Restrisiken.

Vermeiden: Die risikoerzeugende Aktivität eliminieren.

Übertragen (Teilen): Durch Versicherung oder Auslagerung auf Dritte übertragen.

Risikoregister mit der SoA verknüpfen

Die Erklärung zur Anwendbarkeit (SoA) verbindet Ihre Risikobewertung mit den Annex A-Kontrollen. Für jede der 93 Kontrollen: Anwendbarkeit, Begründung, Implementierungsstatus und Implementierungsweise.

Halten Sie die SoA aktuell — aktualisieren Sie sie bei jeder Überarbeitung der Risikobewertung.

Wichtige Erkenntnisse

Eine rigorose Risikobewertung ist die wertvollste Investition. Behandeln Sie das Risikoregister als lebendes Dokument und überprüfen Sie es mindestens jährlich.