Risikomanagement
Risikomanagement ist der systematische, fortlaufende Prozess zur Identifikation, Bewertung, Behandlung und Überwachung von Risiken für die Informationssicherheit, um Schäden für die Organisation kontrolliert und nachvollziehbar zu begrenzen.
Risikomanagement bezeichnet im Kontext der Informationssicherheit den strukturierten Managementprozess, mit dem eine Organisation Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Informationen erkennt, analysiert und gezielt steuert. Der Prozess folgt einem wiederkehrenden Zyklus: Festlegung des Kontexts und der Risikokriterien, Risikoidentifikation, Risikoanalyse und -bewertung (gemeinsam die Risikobeurteilung), Risikobehandlung sowie die laufende Überwachung und Kommunikation. Damit ist Risikomanagement das methodische Herzstück eines Informationssicherheits-Managementsystems (ISMS) und nicht eine einmalige Aktivität, sondern ein kontinuierlich gepflegter Regelkreis.
In der Risikobeurteilung werden Bedrohungen und Schwachstellen den schützenswerten Werten (Assets) gegenübergestellt und das Risiko typischerweise aus Eintrittswahrscheinlichkeit und potenzieller Schadenshöhe abgeleitet. Auf Basis definierter Akzeptanzkriterien entscheidet die Organisation über die Risikobehandlung: Vermeiden, Vermindern (durch technische und organisatorische Maßnahmen), Übertragen (etwa durch Versicherung oder Auslagerung) oder bewusstes Akzeptieren des Restrisikos. Methodisch knüpft das Vorgehen an etablierte Standards an, insbesondere ISO/IEC 27005 und ISO 31000 sowie den BSI-IT-Grundschutz; international anerkannte Maßstäbe für die Wirksamkeit der abgeleiteten Maßnahmen liefert die ISO/IEC 27001.
Risikomanagement ist zunehmend rechtlich verankert. Die NIS2-Richtlinie und ihre nationale Umsetzung verpflichten betroffene Einrichtungen ausdrücklich zu einem risikobasierten Ansatz und zu angemessenen technischen, operativen und organisatorischen Maßnahmen zum Management der Risiken; die Geschäftsleitung trägt hierfür die Verantwortung und muss die Maßnahmen billigen und überwachen. Auch die DSGVO fordert über das Konzept des risikoangemessenen Schutzes (Art. 32 DSGVO) eine an den Risiken für die Rechte und Freiheiten betroffener Personen orientierte Maßnahmenwahl. Ein dokumentiertes, regelmäßig aktualisiertes Risikomanagement ist damit zugleich Steuerungsinstrument und Nachweis der Sorgfalt gegenüber Aufsichtsbehörden, Auditoren und Geschäftspartnern.
Rechtliche Grundlage
Art. 21 NIS2-Richtlinie (EU) 2022/2555; § 30 BSIG (NIS2-Umsetzung); Art. 32 DSGVO; ISO/IEC 27001, ISO/IEC 27005, ISO 31000; BSI-IT-Grundschutz
Praxisbeispiel
Ein mittelständischer Maschinenbauer fällt als besonders wichtige Einrichtung unter NIS2 und richtet ein formales Risikomanagement ein. Die Informationssicherheitsbeauftragte erstellt zunächst ein Asset-Inventar, ermittelt für jedes System den Schutzbedarf und bewertet Bedrohungen wie Ransomware, Ausfall des ERP-Systems und Manipulation von Fertigungsdaten nach Eintrittswahrscheinlichkeit und Schadenshöhe. Für die höchsten Risiken beschließt die Geschäftsleitung Behandlungsmaßnahmen — Netzwerksegmentierung, Multi-Faktor-Authentifizierung und ein getestetes Backup-Konzept — und dokumentiert die akzeptierten Restrisiken. Das Risikoregister wird quartalsweise überprüft und nach jedem sicherheitsrelevanten Vorfall aktualisiert, sodass die Wirksamkeit der Maßnahmen jederzeit gegenüber Auditoren belegbar ist.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren