Das Risikomanagement steht im Zentrum der ISO 27001. In den Klauseln 6 und 8 legen Sie fest, wie Ihre Organisation Informationssicherheitsrisiken identifiziert, bewertet und auf sie reagiert – und genau hier suchen Auditoren nach dem Nachweis, dass Sie getan haben, was Sie angekündigt haben. Die Lücke zwischen einer Methodik auf dem Papier und einer Methodik in der Praxis ist meist der Punkt, an dem eine Zertifizierung ins Stocken gerät.
Was ist Risikomanagement nach ISO 27001?
Die ISO 27001 beruht auf einer einfachen Prämisse: Sie können keine Informationen schützen, die Sie nicht verstehen, und Sie können kein Risiko steuern, das Sie nie identifiziert haben. Die Klauseln 6 und 8 sind der Motor, der diese Prämisse in ein funktionierendes Informationssicherheits-Managementsystem (ISMS) übersetzt. Die eine Klausel stellt die Regeln auf. Die andere führt sie aus.
In der Praxis sind beide untrennbar, im Zweck jedoch verschieden – und die beiden zu verwechseln gehört zu den häufigsten Audit-Findings, die wir sehen.
Klausel 6 vs. Klausel 8
Stellen Sie es sich so vor: Klausel 6 ist das Rezept. Klausel 8 ist das Kochen des Gerichts. Überträgt man sie auf den PDCA-Zyklus (Plan-Do-Check-Act), der jeder ISO-Managementnorm zugrunde liegt, ist Klausel 6 das „Plan" und Klausel 8 das „Do".
| Klausel 6 | Klausel 8 | |
|---|---|---|
| Zweck | Den Prozess planen | Den Prozess ausführen |
| Was Sie erzeugen | Methodik, Kriterien, SoA, Behandlungsplan | Risikoregister, Bewertungsergebnisse, Behandlungsnachweise |
| Wann | Bevor Sie bewerten | Wenn Sie bewerten und behandeln |
| PDCA-Phase | Plan | Do |
Klausel 6 sagt dem Auditor, wie Sie Risiken steuern werden. Klausel 8 liefert ihm den Nachweis, dass Sie es getan haben.
Klausel 6.1: die Regeln festlegen, bevor Sie beginnen
Dieser Nachweis hält nur stand, wenn die Regeln zuerst da waren – genau das ist der Sinn von Klausel 6. Bevor Sie auch nur eine einzige Risikobeurteilung durchführen, verlangt sie, dass Sie die Regeln definieren, die Sie verwenden werden. Das ist Ihre Methodik zur Risikobeurteilung, und sie muss dokumentiert sein, bevor irgendeine Bewertung stattfindet.
Sie muss Folgendes abdecken:
- Wie Sie Risiken identifizieren – asset-basiert, szenariobasiert oder prozessbasiert, und was als Risiko für Vertraulichkeit, Integrität oder Verfügbarkeit gilt.
- Wie Sie Risikoeigentümer bestimmen – jedes Risiko muss eine namentlich benannte, verantwortliche Person haben.
- Wie Sie Risiken bewerten – Ihre Kriterien für Eintrittswahrscheinlichkeit und Auswirkung und wie beide zu einem Risikowert kombiniert werden. Eine 3×3- oder eine 5×5-Matrix sind beide zulässig; die Norm schreibt keine Methode vor.
- Ihre Risikoakzeptanzschwelle – der Wert, oberhalb dessen ein Risiko behandelt werden muss. Risiken darunter können formal akzeptiert werden.
- Wie Sie Risiken behandeln – die vier verfügbaren Optionen, siehe unten.
Eine Risikobeurteilung ohne dokumentierte Methodik zu beginnen, ist eines der häufigsten Audit-Versagen, die uns begegnen. Definieren Sie zuerst die Regeln, dann lassen sich Ihre Ergebnisse später verteidigen.
Wo das Risikomanagement beginnt: Ihre Assets
Mit den Regeln an Ort und Stelle beginnt die eigentliche Arbeit nicht mit Bedrohungen. Sie beginnt damit zu verstehen, was Sie haben und was für Ihre Organisation am wichtigsten ist.
Dieser Artikel konzentriert sich auf den asset-basierten Ansatz – den häufigsten Ausgangspunkt und den natürlichsten für die ISO 27001. Der Prozess beginnt mit der Inventarisierung Ihrer Assets. Sobald Sie dieses Inventar haben, folgt als nächster Schritt eine Schutzbedarfsanalyse: Fragen Sie für jedes Asset, wie schwerwiegend eine Verletzung seiner Vertraulichkeit, Integrität oder Verfügbarkeit (CIA) wäre. Die Assets mit den höchsten CIA-Werten sind der Punkt, an dem Ihre Anstrengungen beginnen sollten.
In der Praxis heißt das: Folgen Sie den Daten. Wenn Kundendaten Ihr kritischstes Asset sind, lautet die nächste Frage, wo sie verarbeitet werden. Diese Antwort führt Sie direkt zu den unterstützenden Systemen mit dem höchsten Risiko: Ihrem CRM, Ihrer Cloud-Umgebung, Ihrem ERP. Diese werden zum Schwerpunkt Ihrer Analyse.
Wie Risiken identifiziert werden: Asset, Schwachstelle, Bedrohung
Sie wissen also, welche Assets am wichtigsten sind. Die nächste Frage ist, was mit ihnen tatsächlich schiefgehen könnte – und ein Risiko ist selten eine einzelne Sache. Es ist das Produkt aus dreien: einem schützenswerten Asset, einer Schwachstelle, die es exponiert, und einer Bedrohung, die diese Schwachstelle ausnutzen könnte. Betrachten Sie eines davon für sich allein, haben Sie nichts zu bewerten. Ein Laptop ist kein Risiko. Ein unverschlüsselter Laptop ist ebenfalls kein Risiko – bis Sie die Bedrohung hinzufügen, dass er verloren geht oder gestohlen wird. Fügen Sie die drei zusammen, wird das Risiko real und beschreibbar.
Diese Struktur ist zugleich die Art, wie Sie ein Risiko notieren sollten. Formulieren Sie jedes als Ursache → Ereignis → Auswirkung: Schwachstelle und Bedrohung zusammen sind die Ursache, das Sicherheitsereignis ist das, was passiert, und die Auswirkung ist das, was es Sie kostet. Unverschlüsselte Laptops (Ursache) gehen auf dem Transportweg verloren (Ereignis) und legen Kundendaten offen, was eine meldepflichtige Datenpanne auslöst (Auswirkung). So geschrieben ist ein Risiko konkret genug, um es zu bewerten, und konkret genug, um es zu behandeln – genau das verlangen die nächsten beiden Schritte.
Wie Risiken bewertet werden: Eintrittswahrscheinlichkeit und Auswirkung
Eine Risikobeurteilung muss Ergebnisse liefern, die reproduzierbar und vergleichbar sind – unabhängig davon, ob die Bewertung von Ihnen, einer Kollegin oder der Person durchgeführt wird, die die nächste Jahresüberprüfung vornimmt. Genau deshalb verlangt Klausel 6, dass Ihre Bewertungskriterien definiert sind, bevor irgendeine Bewertung stattfindet.
Sowohl Eintrittswahrscheinlichkeit als auch Auswirkung werden auf Ihrer gewählten Skala bewertet und multipliziert, um einen Risikowert zu ergeben: auf einer 5×5-Matrix jeder Wert von 1 bis 25. Entscheidend ist, dass jeder Punkt der Skala eine definierte Bedeutung für Ihre Organisation hat. Definieren Sie die Auswirkung über die Dimensionen, die für Ihren Kontext relevant sind. Für die Eintrittswahrscheinlichkeit könnte etwas, das einmal alle zehn Jahre vorkommt, eine 1 sein, während etwas, das monatlich oder häufiger geschieht, eine 5 ist.
Multiplizieren Sie Eintrittswahrscheinlichkeit mit Auswirkung, und Sie haben das aktuelle Risikoniveau. Dieser Wert steuert jede nachfolgende Behandlungs- und Akzeptanzentscheidung.
Die vier Risikoarten
Ein Wert erfasst ein Risiko in einem Moment, aber ein Risiko ist nicht statisch. Eine gute Methodik verfolgt es durch vier Zustände, statt es als eine feste Zahl zu behandeln: inhärent, aktuell, residual und Ziel.
Das inhärente Risiko ist die Exposition, bevor irgendeine Maßnahme existiert – das rohe Risiko, wenn Sie gar nichts täten. Das aktuelle Risiko ist der Stand heute, mit den Maßnahmen, die Sie bereits umgesetzt haben. Das Restrisiko (residual) ist das, was übrig bleibt, nachdem Ihre geplante Behandlung angewendet wurde – die Exposition, mit der zu leben Sie sich bewusst entschieden haben. Das Zielrisiko ist das Niveau, das Sie anstreben – das Ziel, auf das Ihr Behandlungsplan ausgerichtet ist.
In dieser Reihenfolge gelesen – inhärent → aktuell → residual → Ziel – erzählen sie die Geschichte eines Risikos über die Zeit. Sie zeigen einem Auditor nicht nur, wo Sie stehen, sondern auch, wo Sie begonnen haben, wohin Sie unterwegs sind und wie viel Sie dabei wissentlich akzeptieren.
Risikoappetit und die Akzeptanzschwelle
Das Niveau eines Risikos zu kennen, ist nur die halbe Wahrheit; Sie brauchen noch etwas, woran Sie es messen. Ihre Akzeptanzschwelle ist der Wert, oberhalb dessen ein Risiko eine Behandlungsentscheidung erfordert. Alles auf oder unter diesem Wert kann formal akzeptiert werden.
Die richtige Schwelle hängt vom Risikoappetit Ihrer Organisation ab. Ein Start-up, das keine sensiblen Daten verarbeitet, setzt seine Schwelle vielleicht auf 10 – ein moderater Appetit, der Raum für operative Flexibilität lässt. Eine stark regulierte Organisation setzt sie womöglich auf bis zu 4 herab – ein konservativer Appetit, der die Konsequenzen einer Datenpanne widerspiegelt.
Diese Schwelle muss in Ihrer Methodik nach Klausel 6 definiert sein. Sie können sie nicht festlegen, nachdem Sie Ihre Werte gesehen haben, denn das würde die Ergebnisse entscheiden lassen, was als akzeptabel gilt – und das ist genau verkehrt herum.
Optionen der Risikobehandlung
Sobald ein Risiko über dieser Schwelle liegt, braucht es eine Entscheidung – und die ISO 27001 gibt Ihnen vier zur Auswahl. Die Bezeichnungen sind wichtig, deshalb verwenden wir sie konsistent: Mindern (Mitigate), Übertragen (Transfer), Vermeiden (Avoid) und Akzeptieren (Accept).
Mindern senkt das Risiko, indem Maßnahmen hinzugefügt oder verstärkt werden – den Laptop verschlüsseln, MFA erzwingen, Zugriffe einschränken. Es ist die Option, zu der Sie am häufigsten greifen werden. Übertragen verlagert das Risiko auf einen Dritten, meist über eine Versicherung oder eine vertragliche Klausel, wobei die Verantwortung für das Asset bei Ihnen bleibt. Vermeiden beseitigt das Risiko vollständig, indem die Aktivität eingestellt wird, die es erzeugt; lässt sich ein Altsystem nicht absichern, nehmen Sie es außer Betrieb. Akzeptieren ist die bewusste Entscheidung, mit einem Risiko zu leben, festgehalten durch eine benannte Eigentümerin und nur dort angewendet, wo der Wert es rechtfertigt.
Die Erklärung zur Anwendbarkeit (SoA)
Behandlungsentscheidungen fließen direkt in den letzten Schritt. Die Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) ist keine eigenständige Übung; sie ist ein direktes Ergebnis Ihres Risikoprozesses. Sobald Sie Ihre Risiken identifiziert und Ihre Maßnahmen ausgewählt haben, vergleichen Sie diese Maßnahmen mit den Controls in Anhang A der ISO 27001, kennzeichnen, welche zutreffen, begründen dies und rechtfertigen jeden Ausschluss. Bestehende Maßnahmen – etwa bereits vorhandene MFA oder ein physisches Sicherheitssystem – werden gegen den Anhang geprüft und entsprechend vermerkt.
Die SoA gehört an den Abschluss des Prozesses nach Klausel 6. Der Kern dieses Prozesses besteht aus drei Phasen: Identifikation, Bewertung und Behandlung. Machen Sie diese richtig, ergibt sich die SoA von selbst.
Zusammenfassung
Beginnen Sie mit Ihrem Asset-Inventar. Nutzen Sie die CIA-Bewertung aus Ihrer Schutzbedarfsanalyse, um zu entscheiden, wo Sie zuerst ansetzen. Identifizieren Sie für jedes Asset die Schwachstellen und Bedrohungen, die zusammen ein Risiko ergeben. Schreiben Sie jedes Risiko als Ursache → Ereignis → Auswirkung.
Bewerten Sie Eintrittswahrscheinlichkeit und Auswirkung auf Ihrer vordefinierten Skala und multiplizieren Sie sie, um das aktuelle Risikoniveau zu erhalten. Unterscheiden Sie zwischen inhärentem, aktuellem und Zielrisiko. Definieren Sie das Restrisiko als die Lücke zwischen dem heutigen Stand und dem, wohin Ihr Behandlungsplan Sie führen wird.
Behandeln Sie alles über Ihrer Schwelle – vermeiden, mindern oder übertragen. Akzeptieren Sie formal, was darunter fällt, mit einer benannten Eigentümerin im Protokoll.
Die Erklärung zur Anwendbarkeit schließt den Kreis, indem sie Ihre gewählten Maßnahmen den Controls aus Anhang A zuordnet. Dann übernimmt Klausel 8: die Bewertungen durchführen, die Behandlungen anwenden und die Nachweise aufbewahren, die belegen, dass Ihr ISMS in der Praxis funktioniert.