Zum Hauptinhalt springen
Informationssicherheit / NIS2

Risikobehandlung

Die Risikobehandlung ist der Prozess der Auswahl und Umsetzung von Maßnahmen, um identifizierte Informationssicherheitsrisiken zu vermeiden, zu vermindern, zu teilen oder bewusst zu akzeptieren.

Die Risikobehandlung (englisch: risk treatment) ist der dem Risikobewertungsprozess nachgelagerte Schritt im Informationssicherheits-Risikomanagement. Nachdem Risiken identifiziert, analysiert und gegen die Risikoakzeptanzkriterien der Organisation bewertet wurden, entscheidet die Organisation, wie mit jedem Risiko umgegangen wird. ISO/IEC 27005 und ISO 31000 unterscheiden hierbei klassisch vier Strategien: Risikovermeidung (Verzicht auf die risikobehaftete Aktivität), Risikominderung (Reduktion von Eintrittswahrscheinlichkeit oder Schadenshöhe durch Sicherheitsmaßnahmen), Risikoteilung beziehungsweise -transfer (etwa durch Versicherungen oder Auslagerung an Dienstleister) und Risikoakzeptanz (bewusste Inkaufnahme des verbleibenden Risikos).

Im Kontext eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001 ist die Risikobehandlung verbindlich geregelt: Die Organisation muss einen Risikobehandlungsplan erstellen, die für die Behandlung erforderlichen Maßnahmen (Controls) bestimmen und diese mit dem normativen Anhang A abgleichen. Das Ergebnis dieses Abgleichs wird in der Anwendbarkeitserklärung (Statement of Applicability) dokumentiert, die für jede Maßnahme begründet, ob und warum sie angewendet oder ausgeschlossen wird. Sowohl der Risikobehandlungsplan als auch die Akzeptanz der verbleibenden Restrisiken bedürfen der Zustimmung der Risikoeigentümer.

Die Risikobehandlung ist kein einmaliger Vorgang, sondern iterativ: Nach Umsetzung der gewählten Maßnahmen wird das verbleibende Restrisiko erneut bewertet, und sofern es die Akzeptanzkriterien noch nicht erfüllt, folgt eine weitere Behandlungsrunde. Mit der NIS2-Richtlinie und ihrer deutschen Umsetzung gewinnt die nachweisbare, risikobasierte Maßnahmenauswahl zusätzlich an Bedeutung, da besonders wichtige und wichtige Einrichtungen geeignete und verhältnismäßige technische sowie organisatorische Maßnahmen ergreifen und gegenüber Aufsichtsbehörden belegen müssen. Eine saubere Dokumentation der Behandlungsentscheidungen ist damit zugleich Steuerungsinstrument und Compliance-Nachweis.

Rechtliche Grundlage

ISO/IEC 27001:2022 (Abschnitt 6.1.3, Anhang A), ISO/IEC 27005, ISO 31000; Art. 21 NIS2-Richtlinie (EU) 2022/2555

Praxisbeispiel

Eine Informationssicherheitsbeauftragte stellt im Rahmen der Risikobewertung fest, dass der Fernzugriff der Außendienstmitarbeiter auf das CRM allein durch Passwörter geschützt ist und damit ein hohes Risiko für Account-Übernahmen besteht. Als Risikobehandlung wählt sie eine Minderungsstrategie: Sie führt Multi-Faktor-Authentifizierung verbindlich ein und ergänzt sie um eine Protokollierung der Anmeldeversuche. Im Risikobehandlungsplan ordnet sie der Maßnahme den zuständigen IT-Leiter als Verantwortlichen und eine Umsetzungsfrist zu, verknüpft sie mit dem entsprechenden Control der Anwendbarkeitserklärung und lässt das verbleibende Restrisiko vom Risikoeigentümer der Vertriebsabteilung formell akzeptieren und freigeben.

Häufige Fragen

Die klassischen vier Optionen sind Risikovermeidung, Risikominderung, Risikoteilung beziehungsweise -transfer und Risikoakzeptanz. Vermeidung bedeutet den Verzicht auf die risikobehaftete Aktivität, Minderung die Reduktion durch Sicherheitsmaßnahmen, Teilung die Übertragung etwa per Versicherung oder Outsourcing und Akzeptanz die bewusste Inkaufnahme des Restrisikos.
Die Risikobewertung identifiziert, analysiert und bewertet Risiken und liefert eine priorisierte Übersicht. Die Risikobehandlung baut darauf auf und entscheidet, mit welchen Maßnahmen jedes Risiko gehandhabt wird, und setzt diese um. Bewertung beantwortet die Frage, wie groß ein Risiko ist, Behandlung die Frage, was man dagegen tut.
Die im Risikobehandlungsplan ausgewählten Maßnahmen werden gegen den Anhang A der ISO/IEC 27001 abgeglichen. Das Ergebnis wird in der Anwendbarkeitserklärung (Statement of Applicability) festgehalten, die für jede Maßnahme begründet, ob sie angewendet oder ausgeschlossen wird. Damit verbindet die Anwendbarkeitserklärung die Behandlungsentscheidungen nachvollziehbar mit dem Normwerk.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Risikobewertung (Risk Assessment) Risikomanagement Statement of Applicability (SoA) ISMS (Informationssicherheits-Managementsystem) ISO 27001
Zurück zum Glossar