Pragmatische Risikoeinschätzung
- Marc Borgers
- 4. Nov.
- 4 Min. Lesezeit
Kennen Sie das? Zwei Kollegen bewerten dasselbe Risiko – und kommen zu völlig unterschiedlichen Ergebnissen. Diese Inkonsistenz ist eine der größten Herausforderungen im Risikomanagement und untergräbt die Aussagekraft Ihrer Risikoanalyse. Die Lösung liegt in standardisierten Bewertungskriterien und klaren Prozessen, doch deren konkrete Ausgestaltung kann sehr unterschiedlich sein und muss zur jeweiligen Organisation passen.
In diesem Beitrag konzentrieren wir uns bewusst auf den Motor der Risikoeinschätzung: Wir stellen Ihnen einen pragmatischen Berechnungsansatz vor – eine von vielen möglichen Varianten. Betrachten Sie ihn als Kernstück, das Sie als Ausgangspunkt nutzen und an die spezifischen Anforderungen Ihrer Organisation anpassen können. Es gibt nicht die eine richtige Lösung, aber es braucht eine konsistente Bewertungslogik.
Für Unterstützung bei der Entwicklung und Einführung Ihrer individuellen Risikomanagement-Lösung stehen wir Ihnen gerne zur Verfügung: https://www.auditmanufaktur.de/kontakt
Grundsätze für dieses Beispiel einer pragmatischen Risikoeinschätzung im Informationssicherheitsrisikomanagement
Risiko = Schwachstelle + Bedrohung
Risikowert = Eintrittswahrscheinlichkeit * Auswirkung
Alle relevanten Assets (Geschäftsprozesse, Gebäude, Systeme, Daten, Wissen, digitale/analoge Informationen, etc.) des Unternehmens sind erfasst.
Assets wurden auf Basis der folgenden Vorgabe kategorisiert:
https://www.auditmanufaktur.de/post/risikomanagement-werte-assets-einfach-gruppieren
Risiken wirken auf Assets. Ist kein Asset betroffen, gibt es das Risiko nicht.
Jedem Asset ist ein Asset Owner zugeordnet.
Die Asset Owner müssen Risiken ermitteln, bewerten, erfassen und bei Bedarf mögliche Maßnahmen bestimmen, planen und implementieren.
Der Asset Owner ist meist der Risk Owner.
Bestimmung der Eintrittswahrscheinlichkeit (1-5)
Wahrscheinlichkeit | Sehr niedrig (1) | Niedrig (2) | Mäßig (3) | Hoch (4) | Sehr hoch (5) |
Beschreibung | Es werden keine neuen Fälle in Zukunft erwartet. | Neue Vorfälle sind möglich, aber nicht sehr wahrscheinlich. | Neue Vorfälle sind möglich. | Es ist wahrscheinlich, dass neue Vorfälle auftreten werden. | Neue Vorfälle sind sehr wahrscheinlich. |
Zeit | > 10 Jahre | ≤ 10 Jahre | ≤ 5 Jahre | ≤ 1 Jahr | ≤ 3 Monate |
Bestimmung der Auswirkungen (0-4)
Auswirkung | Entfällt (0) | Niedrig (1) | Mäßig (2) | Hoch (3) | Sehr hoch (4) |
Verstoß gegen Gesetze/ Vorschriften/Verträge | • Kein Verstoß | • Nicht anwendbar | • Verstöße gegen Vorschriften und Gesetze mit geringfügigen Konsequenzen
• Geringfügige Vertragsverletzungen mit maximal geringen Konventionalstrafen | • Verstöße gegen Vorschriften und Gesetze mit erheblichen Konsequenzen
• Vertragsverletzungen mit hohen Konventionalstrafen | • Fundamentaler Verstoß gegen Vorschriften und Gesetze • Vertragsverletzungen, deren Haftungsschäden ruinös sind |
Beeinträchtigung des informationellen Selbstbestimmungsrechts | • Keine personenbezogenen Daten | • Nicht anwendbar | • Es handelt sich um personenbezogene Daten, durch deren Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigt werden kann. | • Es handelt sich um personenbezogene Daten, bei deren Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden kann. | • Es handelt sich um personenbezogene Daten, bei deren Verarbeitung eine Gefahr für Leib und Leben oder die persönliche Freiheit des Betroffenen gegeben ist. |
Beeinträchtigung der persönlichen Unversehrtheit | • Keine Beeinträchtigung | • Nicht anwendbar | • Eine Beeinträchtigung erscheint nicht möglich. | • Eine Beeinträchtigung der persönlichen Unversehrtheit kann nicht absolut ausgeschlossen werden. | • Gravierende Beeinträchtigungen der persönlichen Unversehrtheit sind möglich.
• Gefahr für Leib und Leben |
Beeinträchtigung der Aufgabenerfüllung | • Keine Beeinträchtigung | • Die maximal tolerierbare Ausfallzeit liegt über 72 Stunden. | • Die maximal tolerierbare Ausfallzeit liegt zwischen 24 und 72 Stunden. | • Die maximal tolerierbare Ausfallzeit liegt zwischen einer und 24 Stunden. | • Die maximal tolerierbare Ausfallzeit ist kleiner als eine Stunde. |
Negative Innen- oder Außenwirkung | • Keine Ansehens- oder Vertrauensbeeinträchtigung | • Nicht anwendbar | • Eine geringe bzw. nur interne Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten. | • Eine breite Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten. | • Eine landesweite Ansehens- oder Vertrauensbeeinträchtigung, eventuell sogar existenzgefährdender Art, ist denkbar. |
Finanzielle Auswirkungen | • Kein finanzieller Schaden | • Nicht anwendbar | • Der finanzielle Schaden bleibt tolerabel. | • Der Schaden bewirkt beachtliche finanzielle Verluste, ist jedoch nicht existenzbedrohend. | • Der finanzielle Schaden ist existenzbedrohend. |
Risikowert = Eintrittswahrscheinlichkeit * Auswirkung
Für die Berechnung des Risikowerts müssen die Eintrittswahrscheinlichkeit und die Auswirkung bestimmt werden. Dazu sind die Ergebnisse der Risikoermittlung schriftlich festzuhalten.
Bei der Auswirkung wird nur der höchste Einzelwert aller Kategorien (Auswirkungswert 0-3) für die Berechnung verwendet.
Risiken die auf kein Asset wirken oder die keinen Schaden (höchster Einzelwert aller Kategorien 0) verursachen, werden nicht erfasst.
5 | 5 | 10 | 15 | 20 |
4 | 4 | 8 | 12 | 16 |
3 | 3 | 6 | 9 | 12 |
2 | 2 | 4 | 6 | 8 |
1 | 1 | 2 | 3 | 4 |
1 | 2 | 3 | 4 |
Risikobehandlung und Akzeptanzkriterien
Risikowert 1: Automatisch akzeptiert.
Risikowert 2-7: Behandlung erforderlich bis Restrisiko tolerabel und akzeptabel.
Risikowert ≥ 8: Sofortige Behandlung erforderlich, keine Akzeptanz ohne Maßnahmen.
Beispiel 👨⚖️
Verstoß gegen Vorschriften und Gesetze mit erheblichen Konsequenzen (3) * sehr niedrige Eintrittswahrscheinlichkeit (1) = 3
Das Ergebnis zeigt, dass auch ein sehr unwahrscheinliches Ereignis erhebliche Konsequenzen (z.B. Gefängnisstrafen) mit sich bringen kann und deshalb im Risikomanagementprozess auf ein tolerables sowie akzeptables gemindert werden sollte.
Angebot
Das Risikomanagement in der Informationssicherheit ist komplex – weit komplexer, als es auf den ersten Blick scheint. Die Bewertungslogik ist nur ein Baustein. Die eigentliche Herausforderung liegt in der systematischen Identifikation aller relevanten Risiken, der konsistenten Anwendung über verschiedene Assets hinweg und der Integration in Ihre bestehenden Prozesse. Wer glaubt, mit einer Handvoll Beispielrisiken für die Zertifizierung gerüstet zu sein, erlebt spätestens im Audit eine unangenehme Überraschung.
Da es nicht die eine universelle Lösung gibt, entwickeln wir mit Ihnen einen Ansatz, der zu Ihrer Organisation passt – pragmatisch und umsetzbar. Sprechen Sie uns an: https://www.auditmanufaktur.de/kontakt
