Zum Hauptinhalt springen
Informationssicherheit / NIS2

Risikobewertung (Risk Assessment)

Die systematische Identifikation, Analyse und Bewertung von Risiken für die Informationssicherheit einer Organisation.

Die Risikobewertung (Risk Assessment) ist ein zentraler Bestandteil jedes Informationssicherheits-Managementsystems und bildet die analytische Grundlage für alle Sicherheitsentscheidungen. Sie umfasst drei Kernprozesse: die Risikoidentifikation (Welche Bedrohungen und Schwachstellen existieren?), die Risikoanalyse (Wie wahrscheinlich ist ein Schadeneintritt und wie hoch wäre der Schaden?) und die Risikoevaluierung (Welche Risiken sind akzeptabel und welche müssen behandelt werden?).

Die methodischen Grundlagen liefern ISO/IEC 27005 (Risikomanagement für Informationssicherheit) und der BSI-Standard 200-3 (Risikoanalyse auf Basis IT-Grundschutz). Beide Standards definieren einen risikobasierten Ansatz, bei dem Schutzmaßnahmen immer im Verhältnis zum identifizierten Risiko stehen. Risiken werden typischerweise anhand von Eintrittswahrscheinlichkeit und Schadenshöhe bewertet, in einer Risikomatrix eingeordnet und priorisiert.

Das Ergebnis der Risikobewertung ist ein dokumentierter Risikobehandlungsplan, der für jedes identifizierte Risiko eine Entscheidung trifft: Risikovermeidung, -minderung, -transfer (z. B. Versicherung) oder -akzeptanz. Die Risikobewertung ist kein einmaliger Prozess – sie muss regelmäßig, mindestens jährlich sowie anlassbezogen bei wesentlichen Änderungen, wiederholt werden. ISO 27001 macht die Risikobewertung zur zwingenden Voraussetzung für den Aufbau eines zertifizierbaren ISMS.

Rechtliche Grundlage

ISO 27005, BSI-Standard 200-3, ISO/IEC 27001:2022 Abschnitt 6.1.2

Praxisbeispiel

Ein Pharmaunternehmen mit 500 Mitarbeitenden führt im Rahmen der ISO-27001-Implementierung eine Risikobewertung durch. Das Sicherheitsteam identifiziert 47 Risiken, darunter den Verlust von Forschungsdaten durch Ransomware, unbefugten Zugriff auf Produktionssteuerungssysteme und den Ausfall eines kritischen Cloud-Anbieters. Jedes Risiko wird nach Eintrittswahrscheinlichkeit und potenziellem Schaden bewertet und in eine Risikomatrix eingetragen. Die zehn höchsten Risiken werden im Risikobehandlungsplan mit konkreten Maßnahmen, Verantwortlichen und Umsetzungsfristen versehen.

Häufige Fragen

Eine Risikobewertung ist der systematische Prozess zur Identifikation, Analyse und Priorisierung von Bedrohungen und Schwachstellen für die Informationssicherheit einer Organisation. Sie bildet die Grundlage für alle Entscheidungen über Schutzmaßnahmen und ist zentraler Bestandteil eines ISMS nach ISO 27001.
ISO 27001 schreibt vor, dass die Risikobewertung regelmäßig – mindestens einmal jährlich – sowie bei wesentlichen Änderungen der Organisation, der IT-Infrastruktur oder der Bedrohungslage wiederholt werden muss. Anlassbezogene Bewertungen sind zum Beispiel bei der Einführung neuer Systeme oder nach einem Sicherheitsvorfall erforderlich.
Das zentrale Ergebnis ist ein dokumentierter Risikobehandlungsplan, der für jedes bewertete Risiko eine Entscheidung enthält: Risikovermeidung, -minderung durch Schutzmaßnahmen, -transfer (z. B. Versicherung) oder -akzeptanz bei akzeptablem Restrisiko. Zusätzlich entsteht ein Risikoregister, das alle identifizierten Risiken mit Bewertung dokumentiert.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

ISMS (Informationssicherheits-Managementsystem) Datenschutz-Folgenabschätzung (DSFA) Business Continuity Management (BCM) Technische und organisatorische Maßnahmen (TOMs) Statement of Applicability (SoA)
Zurück zum Glossar