14. Oktober 2020

ISO 27001 Risikomanagement: in 5 Schritten einfach erklärt

Von Joachim Reinke

Oktober 14, 2020

ISO 27001, IT-Sicherheitsrisiken, Risiko, Risikomanagement

ISO 27001 Risikomanagement: So führen Sie eine Risikoanalyse in 5 Schritten durch

Viele Unternehmen machen aus dem Risikomanagement nach ISO 27001 entweder ein unnötig kompliziertes Monsterprojekt oder eine Excel-Übung ohne echten Nutzen. Beides bringt wenig.

Der pragmatische Weg liegt dazwischen: Sie brauchen ein nachvollziehbares Verfahren, mit dem Sie Informationssicherheitsrisiken systematisch identifizieren, sinnvoll bewerten und passende Maßnahmen festlegen. Nicht mehr.

In diesem Beitrag zeige ich Ihnen ein einfaches Vorgehen in 5 Schritten, mit dem kleine und mittlere Unternehmen das Thema sauber aufsetzen können.

Was beim Risikomanagement nach ISO 27001 eigentlich gemeint ist

Im Kern geht es um diese vier Fragen:

  1. Welche Informationen möchten Sie schützen und wo werden diese verarbeitet?
  2. Welche Risiken gibt es dabei?
  3. Welche dieser Risiken sind wirklich relevant?
  4. Was tun Sie konkret gegen diese Risiken?

Genau an dieser Stelle verzetteln sich viele Unternehmen. Sie sammeln Bedrohungen, bauen riesige Listen und verlieren dabei den Überblick. Ein gutes Risikomanagement ist dagegen vor allem eines: klar, wiederholbar und im Alltag benutzbar.

Warum viele Unternehmen beim Risikomanagement festhängen

Das Problem ist meistens nicht, dass niemand das Wort "Risiko" versteht. Das Problem ist, dass der Einstieg unklar ist.

Typische Fragen lauten:

  • Müssen wir mit Assets anfangen oder mit Prozessen?
  • Brauchen wir eine komplizierte Risikomatrix?
  • Wie detailliert muss das Ganze sein?
  • Was will der Auditor später wirklich sehen?

Die gute Nachricht: Sie brauchen kein akademisches Modell (uns werden in Audits immer wieder "Risikomanagement-Doktorarbeiten" präsentiert). Sie brauchen ein Verfahren, das zu Ihrer Organisation passt und von den verantwortlichen Personen konsequent angewendet wird.

Schritt 1: Festlegen, für welchen Bereich Sie Risiken betrachten

Bevor Sie Risiken identifizieren, müssen Sie festlegen, worüber Sie überhaupt sprechen.

Fragen Sie sich zum Beispiel:

  • Welche Standorte, Teams oder Prozesse gehören in den betrachteten Bereich?
  • Welche Informationen sind dort relevant?
  • Welche Systeme, Anwendungen, Geräte und Dienstleister spielen dabei eine Rolle?

Ohne diese Eingrenzung wird die Risikoanalyse beliebig. Dann reden Sie nicht über Ihre reale Organisation, sondern über ein theoretisches Sammelsurium möglicher Gefahren, das immer größer wird, je länger Sie drüber nachdenken.

Schritt 2: Relevante Werte und Abhängigkeiten identifizieren

Im nächsten Schritt erfassen Sie, was in diesem Bereich geschützt werden muss und wovon der Betrieb abhängt.

Dazu gehören typischerweise die folgenden Werte ("Assets"):

  • Informationen und Daten;
  • Software und Cloud-Dienste;
  • Hardware und Endgeräte;
  • Netzwerke und technische Infrastruktur;
  • Räume und physische Umgebung,
  • Mitarbeiter und Zuständigkeiten;
  • organisatorische Abläufe und Schnittstellen (bspw. zu Dienstleistern und Lieferanten).

Wichtig ist: Nicht jedes Asset muss bis ins letzte Detail dokumentiert werden. Und: Es reicht nicht, alles aufzuschreiben. Sie müssen vor allem verstehen, wovon Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Informationen praktisch abhängen.

Schritt 3: Risiken identifizieren

Jetzt verbinden Sie Schwachstellen, mögliche Bedrohungen und die konkreten Auswirkungen auf Ihre Organisation.

Beispiele:

  • Ein Cloud-Dienst ist für einen zentralen Kundenprozess unverzichtbar und es gibt kein belastbares Backup-Konzept (sehen wir immer wieder).
  • Ein Administratorzugang ist zu weitreichend und nicht ausreichend abgesichert (bspw. kein 2FA und auch aus dem Internet heraus nutzbar).
  • Ein wichtiges System wird nicht sauber überwacht, sodass Ausfälle oder Angriffe zu spät auffallen (es gibt schon 3 Terabyte Logfiles, aber niemand hat je reingeschaut).
  • Ein Mitarbeiter kann auf sensible Informationen zugreifen, obwohl er sie für seine Aufgabe nicht benötigt (kein need-to-know-Prinzip).
  • Ein Dienstleister ist kritisch, aber vertraglich und organisatorisch kaum abgesichert (fällt er weg, steht das Business).
  • Der Systemadministrator hat Herrschaftswissen. Kündigt er oder wird vom Bus überfahren, geht bei Ihnen gar nichts mehr (Klassiker).

Wichtig ist dabei: Nicht nur technische Risiken zählen. Auch organisatorische Schwächen, unklare Verantwortlichkeiten oder schlecht geregelte Abläufe können echte Informationssicherheitsrisiken auslösen.

Schritt 4: Risiken bewerten und priorisieren

Jetzt trennen Sie Relevantes von Nebensächlichem.

Dafür brauchen Sie keine komplizierte Mathematik. In vielen Unternehmen reicht eine nachvollziehbare qualitative Bewertung völlig aus. Entscheidend ist, dass die Kriterien vorher klar sind.

Typische Bewertungsfragen sind:

  • Wie wahrscheinlich ist das Risiko in unserer konkreten Umgebung?
  • Wie schwer wären die Auswirkungen?
  • Welche Informationen oder Prozesse wären betroffen?
  • Gibt es bereits gewisse Schutzmaßnahmen?
  • Wie schnell müssten wir reagieren, wenn das Risiko eintritt?

Das Ziel ist nicht Perfektion. Das Ziel ist Priorisierung. Wenn Ihre Bewertung dazu führt, dass die wirklich kritischen Risiken schnell sichtbar werden, erfüllt sie ihren Zweck.

Schritt 5: Risiken behandeln und Entscheidungen dokumentieren

Erst jetzt geht es um Maßnahmen.

Für jedes relevante Risiko brauchen Sie eine klare Entscheidung. Zum Beispiel:

  • Risiko reduzieren, etwa durch technische oder organisatorische Maßnahmen;
  • Risiko vermeiden, indem ein unsicherer Ablauf geändert oder beendet wird;
  • Risiko übertragen, etwa teilweise über Verträge oder Versicherungen;
  • Risiko bewusst akzeptieren, wenn es vertretbar ist oder die Abhilfe wirtschaftlich nicht darstellbar.

Wichtig ist hier, dass diese Entscheidungen nicht lose im Raum stehen. Sie sollten festhalten:

  • welches Risiko betrachtet wurde;
  • wie es bewertet wurde;
  • welche Maßnahmen beschlossen wurden;
  • wer verantwortlich ist;
  • bis wann etwas umgesetzt werden soll;
  • welche Restrisiken bestehen bleiben.

Spätestens hier wird aus einer theoretischen Risikoanalyse ein steuerbares Risikomanagement.

Was Auditoren beim Risikomanagement meist sehen wollen

Auditoren wollen in der Regel keinen Schönheitspreis für die kreativste Matrix vergeben. Sie wollen erkennen, dass Ihr Vorgehen nachvollziehbar ist.

Typischerweise sollte erkennbar sein:

  • nach welcher Methode Sie Risiken identifizieren und bewerten (Beschreibung der Vorgehensweise);
  • welche Kriterien für Eintrittswahrscheinlichkeit und Auswirkung gelten;
  • wie Sie priorisieren;
  • wie Maßnahmen abgeleitet werden;
  • wie Entscheidungen dokumentiert werden;
  • dass das Ganze tatsächlich gelebt wird.

Ein einfaches, konsequent genutztes Verfahren ist dabei fast immer besser als ein komplexes Modell, das intern niemand versteht oder anwenden kann.

Typische Fehler im ISO-27001-Risikomanagement

Es wird zu theoretisch

Dann entstehen lange Listen allgemeiner Gefahren, aber keine klaren Entscheidungen für die reale Umgebung.

Es wird zu detailliert

Dann verbringt das Unternehmen Wochen mit Tabellenpflege, ohne dass sich die Informationssicherheit praktisch verbessert.

Risiken und Maßnahmen werden nicht sauber getrennt

Viele schreiben sofort Maßnahmen auf, ohne das Risiko vorher klar beschrieben und bewertet zu haben. Oder die Maßnahme wird gleich mit ins Risiko geschrieben. Und später nie wiedergefunden.

Die Bewertungskriterien sind unklar

Wenn jeder "hoch", "mittel" oder "niedrig" anders versteht, ist die Auswertung wertlos.

Es gibt keine echten Verantwortlichkeiten

Dann bleiben Maßnahmen offen und niemand fühlt sich zuständig.

Risiken stehen da ohne "Metadaten"

Wann wurde das Risiko aufgeschrieben? In welchem Zustand ist es jetzt? (Wurde es nur aufgeschrieben oder schon bewertet? Ist es sogar schon in Behandlung? Oder wurde es verworfen, weil irrelevant?) Wer hat es aufgeschrieben - an wen kann man Rückfragen dazu stellen? Wann soll es das nächste Mal angeschaut werden?

Risikobehandlungen sind nicht konkret genug

"Endgeräte-Strategie überdenken" ist eine nebulöse Formulierung für "Lass das mal in die Zukunft vertagen". Der Auditor wird hier sofort fragen: "Wer macht genau was bis wann?"

FAQ

Unser Tipp

Risikomanagement nach ISO 27001 muss weder akademisch noch übertrieben kompliziert sein. Aber es muss belastbar sein.

Wenn Sie den betrachteten Bereich sauber eingrenzen, relevante Werte identifizieren, echte Risiken formulieren, diese nachvollziehbar bewerten und konkrete Maßnahmen ableiten, haben Sie bereits die Grundlage für ein funktionierendes und auditfähiges Vorgehen.

Die entscheidende Frage ist nicht, ob Ihre Methode besonders elegant aussieht. Die entscheidende Frage ist, ob sie Ihnen hilft, die wirklich relevanten Risiken Ihrer Organisation sichtbar und steuerbar zu machen.

Haben Sie Fragen zu Ihrem Risikomanagement? Dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns! Oder Sie schreiben uns etwas gleich hier auf der Seite in den Chat (rechts unten).

Über den Autor

Joachim Reinke

Joachim Reinke unterstützt seit 2017 Unternehmen beim Aufbau praxistauglicher Managementsysteme für Informationssicherheit und Qualität. In dieser Zeit hat er bereits mehr als 100 Unternehmen begleitet. Er ist zertifizierter Lead Auditor und als Dozent für Informationssicherheit und Qualitätsmanagement bei Zertifizierern und Trainingsanbietern tätig. Kunden schätzen besonders seine klare, praxisnahe und verständliche Vermittlung auch anspruchsvoller Inhalte.

View Comments