Terminologieverwirrung in der Praxis
Risikomanagement ist zentral in der Sicherheitsarbeit — es wird von ISO 27001, NIS2, DSGVO und praktisch allen Frameworks gefordert. Aber die Terminologie variiert und schafft Verwirrung.
Sind Risikoanalyse und Risikobewertung dasselbe? Was ist der Unterschied zu Risikomanagement? Und wo kommt die Risikoidentifikation ins Spiel?
Grundprinzip: Die Namen variieren, aber der Prozess ist derselbe. Das Wichtige ist, die Arbeit zu machen — nicht über Terminologie zu streiten. Dieser Leitfaden hilft Ihnen, die Begriffe zu verstehen, damit Sie klar kommunizieren können.
ISO 31000 Definitionen
Risikomanagementprozess nach ISO 31000:
| Begriff | Definition | In der Praxis |
|---|---|---|
| Risikoidentifikation | Risiken finden, erkennen und beschreiben | Potentielle Bedrohungen und Schwachstellen auflisten |
| Risikoanalyse | Die Natur des Risikos verstehen und Risikoniveau bestimmen | Wahrscheinlichkeit × Auswirkung bewerten |
| Risikobewertung | Ergebnisse der Risikoanalyse mit Risikokriterien vergleichen zur Priorisierung | Ist dieses Risiko akzeptabel? Welche Risiken sind am größten? |
| Risikobehandlung | Maßnahmen zur Risikobehandlung auswählen und implementieren | Reduzieren, vermeiden, teilen oder akzeptieren |
Der gesamte Prozess (Identifikation → Analyse → Bewertung → Behandlung) wird Risikomanagement oder Risk Management genannt.
Visuelle Übersicht
┌─────────────────────────────────────────────────────────────┐
│ RISIKOMANAGEMENT │
│ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │
│ │ IDENTIFIZIEREN│→ │ ANALYSIEREN │→ │ BEWERTEN │ │
│ │ Risiken finden│ │Wahrscheinlich│ │ Priorisieren │ │
│ │ │ │ keit │ │ Vergleich mit│ │
│ │ │ │ Auswirkung │ │ Kriterien │ │
│ │ │ │ Risikoniveau │ │ │ │
│ └──────────────┘ └──────────────┘ └──────────────┘ │
│ ↓ │
│ ┌──────────────┐ │
│ │ BEHANDELN │ │
│ │ Maßnahmen │ │
│ │implementieren│ │
│ └──────────────┘ │
└─────────────────────────────────────────────────────────────┘
Risikoidentifikation im Detail
Was machen Sie? Systematisch Risiken finden und beschreiben, die die Organisationsziele beeinträchtigen können.
Typische Aktivitäten:
- Vermögenswerte inventarisieren und deren Wert bewerten
- Bedrohungsakteure und Bedrohungsszenarien identifizieren
- Schwachstellen kartieren
- Historische Vorfälle analysieren
- Workshops mit der Organisation durchführen
Output: Eine Liste identifizierter Risiken, jedes Risiko beschrieben mit:
- Bedrohungsakteur (wer/was)
- Schwachstelle (Schwäche, die ausgenutzt werden kann)
- Vermögenswert (was betroffen ist)
- Potentielle Auswirkung (was passieren kann)
Beispiel: “Das Risiko, dass externe Angreifer (Bedrohungsakteur) ungepatchte Systeme (Schwachstelle) ausnutzen, um Kundendaten zu kompromittieren (Vermögenswert), was zu Datenlecks und DSGVO-Bußgeldern führt (Auswirkung).”
Risikoanalyse im Detail
Was machen Sie? Die Natur des Risikos verstehen durch Bewertung von Wahrscheinlichkeit und Auswirkung zur Bestimmung des Risikoniveaus.
Wahrscheinlichkeitsbewertung:
| Niveau | Beschreibung | Häufigkeit |
|---|---|---|
| Sehr niedrig | Unwahrscheinlich | <1 Mal in 10 Jahren |
| Niedrig | Kann auftreten | 1 Mal in 1-10 Jahren |
| Mittel | Wahrscheinlich | 1 Mal pro Jahr |
| Hoch | Erwartet | Mehrmals pro Jahr |
| Sehr hoch | Fast sicher | Monatlich oder öfter |
Auswirkungsbewertung:
| Niveau | Finanziell | Reputation | Rechtlich |
|---|---|---|---|
| Vernachlässigbar | <50 T€ | Keine Auswirkung | Keine |
| Niedrig | 50-500 T€ | Lokale Auswirkung | Warnung |
| Mittel | 500T€-5 M€ | Nationale Aufmerksamkeit | Bußgelder |
| Hoch | 5-50 M€ | Bleibender Schaden | Schwere Bußgelder |
| Katastrophal | >50 M€ | Geschäft bedroht | Strafverfolgung |
Risikoniveau = Wahrscheinlichkeit × Auswirkung
Risikobewertung im Detail
Was machen Sie? Ergebnisse der Risikoanalyse mit den Risikokriterien der Organisation vergleichen, um zu bestimmen, ob das Risiko akzeptabel ist und Maßnahmen zu priorisieren.
Risikokriterien definieren:
- Welches Risikoniveau ohne Maßnahme akzeptabel ist
- Welches Risikoniveau sofortige Maßnahmen erfordert
- Wer Entscheidungen auf verschiedenen Ebenen trifft
Typische Risikomatrix:
| Vernachlässigbar | Niedrig | Mittel | Hoch | Katastrophal | |
|---|---|---|---|---|---|
| Sehr hoch | Mittel | Hoch | Hoch | Kritisch | Kritisch |
| Hoch | Niedrig | Mittel | Hoch | Hoch | Kritisch |
| Mittel | Niedrig | Mittel | Mittel | Hoch | Hoch |
| Niedrig | Vernachlässigbar | Niedrig | Mittel | Mittel | Hoch |
| Sehr niedrig | Vernachlässigbar | Vernachlässigbar | Niedrig | Mittel | Mittel |
Entscheidungen basierend auf Bewertung:
- Kritisch: An Geschäftsleitung eskalieren, sofortige Maßnahme
- Hoch: Maßnahme kurzfristig planen
- Mittel: In angemessener Zeit beheben, überwachen
- Niedrig: Akzeptabel mit Überwachung
- Vernachlässigbar: Ohne Maßnahme akzeptieren
Risikobehandlung im Detail
- Risiko vermeiden Die Aktivität oder den Vermögenswert entfernen, der das Risiko schafft. Beispiel: Aufhören, Daten zu speichern, die Sie nicht benötigen. Passt, wenn die Risikokosten den Nutzen der Aktivität übersteigen.
- Risiko reduzieren Kontrollen implementieren, die Wahrscheinlichkeit oder Auswirkung verringern. Am häufigsten. Beispiel: Firewall, Schulung, Backup, Verschlüsselung.
- Risiko teilen Das gesamte oder Teile des Risikos an eine andere Partei übertragen. Beispiel: Cyberversicherung, Outsourcing an Spezialisten. Rechtliche Verantwortung bleibt oft bestehen.
- Risiko akzeptieren Bewusste Entscheidung, keine Maßnahme zu ergreifen. Wird mit Begründung und Genehmigung der richtigen Ebene dokumentiert. Passt für niedrige Risiken, bei denen Maßnahmen mehr kosten als das Risiko.
Deutsche vs. englische Begriffe
Häufige Übersetzungsverwirrung:
| Englisch | Deutsch (ISO 31000) | Deutsch (oft verwendet) |
|---|---|---|
| Risk identification | Risikoidentifikation | - |
| Risk analysis | Risikoanalyse | Risikoanalyse |
| Risk evaluation | Risikobewertung | Risikoevaluierung |
| Risk assessment | Risikobewertung* | Risikoanalyse* |
| Risk treatment | Risikobehandlung | Risikomanagement* |
| Risk management | Risikomanagement | - |
*“Risk assessment” wird oft als “Risikoanalyse” oder “Risikobewertung” übersetzt, je nach Kontext. In ISO 27001 umfasst “risk assessment” den gesamten Prozess Identifikation → Analyse → Bewertung.
Praktische Regel: Fragen Sie, was die Person meint. Die Terminologie variiert — der Prozess ist derselbe.
Wie NIS2 und ISO 27001 die Begriffe verwenden
NIS2
NIS2 Artikel 21 erfordert “risikobasierte Maßnahmen” und erwähnt speziell “Risikoanalyse”. Die Richtlinie definiert keinen exakten Prozess, sondern verlangt, dass Organisationen:
- Risiken für Netz- und Informationssysteme identifizieren
- Die Schwere der Risiken bewerten
- Angemessene Maßnahmen implementieren
Das BSI als zuständige Aufsichtsbehörde überwacht die Umsetzung des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG).
ISO 27001
ISO 27001 erfordert einen dokumentierten Prozess für “information security risk assessment”, der umfasst:
- Risikokriterien festlegen
- Informationssicherheitsrisiken identifizieren
- Risiken analysieren und bewerten
- Risikobehandlungsoptionen wählen
Praktisches Beispiel: Ransomware-Szenario
Identifikation: Risiko: Ransomware-Angriff, der geschäftskritische Systeme und Daten verschlüsselt.
- Bedrohungsakteur: Cyberkriminelle
- Schwachstelle: Mangelnde E-Mail-Sicherheit, ungepatchte Systeme
- Vermögenswert: ERP-System, Kundendatenbank
- Auswirkung: Geschäftsstillstand, Lösegeld, Reputationsschaden
Analyse:
- Wahrscheinlichkeit: Hoch (Branche ist betroffen, ähnliche Unternehmen wurden getroffen)
- Auswirkung: Hoch (1-2 Wochen Stillstand, ~5 M€ direkte Kosten)
- Risikoniveau: Hoch (Hoch × Hoch)
Bewertung:
- Risikokriterien besagen: Hohes Risiko erfordert Maßnahme innerhalb 30 Tagen
- Priorisierung: Top 3 der identifizierten Risiken
- Entscheidung: An Geschäftsleitung eskalieren, Ressourcen zuweisen
Behandlung:
- Reduzieren: E-Mail-Sicherheit, Patch-Management, Backup implementieren
- Teilen: Cyberversicherung abschließen
- Verbleibendes Risiko: Nach Maßnahmen akzeptieren (auf Mittel gesenkt)
Häufige Fallstricke
"Risikoanalyse" verwenden, wenn man den gesamten Prozess meint. Unklare Kommunikation schafft Verwirrung.
Direkt zur Risikobewertung gehen ohne systematische Identifikation. Risiken übersehen, an die man nicht gedacht hat.
Risiken ohne definierte Kriterien bewerten. Subjektiv und inkonsistent.
Analyse durchführen, aber nie Maßnahmen implementieren. Papierprodukt ohne Wert.
Dokumentationsanforderungen
Was soll dokumentiert werden?
| Schritt | Dokumentation |
|---|---|
| Identifikation | Risikoregister mit allen identifizierten Risiken |
| Analyse | Bewertung von Wahrscheinlichkeit und Auswirkung pro Risiko |
| Bewertung | Risikokriterien, Priorisierung, Entscheidungen |
| Behandlung | Maßnahmenplan, Verantwortlicher, Deadline, Status |
Für Audits:
- Zeigen, dass der Prozess systematisch und wiederholbar ist
- Dokumentieren, wer teilgenommen hat und wann
- Historie speichern, um Verbesserung über Zeit zu zeigen
- Risiken mit Maßnahmen und Nachweisen verknüpfen
So kann Securapilot helfen
Securapilot strukturiert den gesamten Risikomanagementprozess:
- Risikoregister — Risiken identifizieren und dokumentieren
- Risikoanalyse — Wahrscheinlichkeit und Auswirkung bewerten
- Risikobewertung — Definierte Kriterien und Priorisierung
- Maßnahmenmanagement — Behandlung und Status verfolgen
- Berichterstattung — Überblick für Geschäftsleitung und Audit
Buchen Sie eine Demo und sehen Sie, wie wir Ihre Risikoarbeit unterstützen können.
Häufig gestellte Fragen
Sind Risikoanalyse und Risikobewertung dasselbe?
Nein, aber sie überschneiden sich. Risikoanalyse konzentriert sich auf das Verstehen von Wahrscheinlichkeit und Auswirkung. Risikobewertung umfasst die Analyse, fügt aber den Vergleich mit Risikokriterien und Priorisierung hinzu.
Was kommt zuerst — Analyse oder Bewertung?
Nach ISO 31000: Risikoidentifikation → Risikoanalyse → Risikobewertung. Die Analyse liefert Daten, die Bewertung bewertet und priorisiert basierend auf diesen Daten.
Was ist Risikobehandlung?
Risikobehandlung ist der Schritt nach der Bewertung — die Auswahl und Implementierung von Maßnahmen. Die Alternativen sind: vermeiden, reduzieren, teilen (versichern/auslagern) oder das Risiko akzeptieren.
Muss ich ISO 31000 befolgen?
ISO 31000 ist Leitfaden, nicht zertifizierbar. Aber die Terminologie wird in ISO 27001, NIS2 und den meisten Frameworks verwendet. Es erleichtert, dieselbe Sprache zu sprechen.
