Warum ISO 27005?
Risikomanagement ist das Herz aller Informationssicherheit. Ohne zu verstehen, welchen Risiken die Organisation gegenübersteht, ist es unmöglich, Maßnahmen effektiv zu priorisieren. ISO 27005 bietet einen strukturierten Rahmen, um genau das zu tun.
Verbindung zu NIS2: NIS2 Artikel 21 fordert “Strategien für Risikoanalyse und Informationssystemsicherheit”. ISO 27005 bietet eine bewährte Methode zur Erfüllung dieser Anforderung nach dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).
Der Risikomanagementprozess
ISO 27005 beschreibt Risikomanagement als zyklischen Prozess mit sechs Hauptschritten:
- Kontext etablieren Umfang und Kriterien des Risikomanagements definieren. Was soll geschützt werden? Welche Bedrohungen und Schwachstellen sind relevant? Welche Risikokriterien sollen verwendet werden? Wie wird akzeptables Risikoniveau definiert?
- Risiken identifizieren Risiken finden, erkennen und beschreiben. Assets (Systeme, Daten, Prozesse), Bedrohungen (was kann schiefgehen), Schwachstellen (Schwächen, die ausgenutzt werden können) und bestehende Kontrollen identifizieren.
- Risiken analysieren Wahrscheinlichkeit und Auswirkung für jedes Risiko bewerten. Wie wahrscheinlich ist die Realisierung der Bedrohung? Was sind die Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit? Risikoniveau berechnen.
- Risiken bewerten Analysierte Risiken mit Risikokriterien vergleichen. Welche Risiken sind akzeptabel? Welche erfordern Behandlung? Priorisierung basierend auf Risikoniveau und organisatorischer Risikobereitschaft.
- Risiken behandeln Maßnahmen für inakzeptable Risiken auswählen und implementieren. Vier Hauptoptionen: vermeiden (Risiko eliminieren), reduzieren (Wahrscheinlichkeit oder Auswirkung verringern), übertragen (Versicherung, Outsourcing), akzeptieren (informierte Entscheidung).
- Überwachen und überprüfen Verfolgen, dass Risikobehandlung funktioniert. Änderungen in der Bedrohungslage überwachen. Risikobeurteilung regelmäßig überprüfen und aktualisieren. Aus Vorfällen lernen.
Risikoidentifikation in der Praxis
Asset-Identifikation
Beginnen Sie mit der Auflistung dessen, was geschützt werden muss:
Asset-Typen:
- Informationen — Kundendaten, Geschäftsgeheimnisse, personenbezogene Daten
- Systeme — Anwendungen, Datenbanken, Netzwerke
- Infrastruktur — Server, Rechenzentren, Kommunikation
- Prozesse — Geschäftskritische Prozesse, Unterstützungsprozesse
- Personal — Schlüsselpersonen, Kompetenzen
Bedrohungsidentifikation
Welche Bedrohungen können die Assets beeinträchtigen?
| Bedrohungskategorie | Beispiele |
|---|---|
| Cyberangriffe | Ransomware, Phishing, DDoS, Datenschutzverletzungen |
| Insider-Bedrohungen | Unbeabsichtigte Fehler, böswillige Insider |
| Physische Bedrohungen | Brand, Überschwemmung, Diebstahl |
| Technische Ausfälle | Systemfehler, Korruption, Kapazitätsengpässe |
| Lieferantenbezogen | Lieferanteneinbruch, Dienstausfälle |
Schwachstellenidentifikation
Welche Schwächen können ausgenutzt werden?
- Ungepatchte Systeme
- Schwache Passwörter
- Mangelhafte Segmentierung
- Fehlende Verschlüsselung
- Unzureichende Protokollierung
- Mangelhafte Backups
Risikoanalyse
Wahrscheinlichkeitsbewertung
| Stufe | Beschreibung | Häufigkeit |
|---|---|---|
| 1 - Unwahrscheinlich | Sehr ungewöhnlich | <1 Mal in 10 Jahren |
| 2 - Niedrig | Kann auftreten | 1 Mal in 1-10 Jahren |
| 3 - Mittel | Tritt manchmal auf | 1 Mal pro Jahr |
| 4 - Hoch | Tritt regelmäßig auf | Mehrmals pro Jahr |
| 5 - Sehr hoch | Wird erwartet | Monatlich oder häufiger |
Auswirkungsbewertung
| Stufe | Beschreibung | Auswirkung |
|---|---|---|
| 1 - Vernachlässigbar | Minimale Auswirkung | <10 TEUR, keine Servicebeeinträchtigung |
| 2 - Geringfügig | Begrenzte Auswirkung | 10-100 TEUR, kurzfristige Störung |
| 3 - Mäßig | Bedeutende Auswirkung | 100 TEUR-1 MEUR, Tage |
| 4 - Schwerwiegend | Große Auswirkung | 1-10 MEUR, Wochen |
| 5 - Katastrophal | Geschäftskritisch | >10 MEUR, Monate |
Risikomatrix
| Vernachlässigbar | Geringfügig | Mäßig | Schwerwiegend | Katastrophal | |
|---|---|---|---|---|---|
| Sehr hoch | Mittel | Hoch | Hoch | Kritisch | Kritisch |
| Hoch | Niedrig | Mittel | Hoch | Hoch | Kritisch |
| Mittel | Niedrig | Niedrig | Mittel | Hoch | Hoch |
| Niedrig | Niedrig | Niedrig | Niedrig | Mittel | Mittel |
| Unwahrscheinlich | Niedrig | Niedrig | Niedrig | Niedrig | Mittel |
Interpretation: Kritische und hohe Risiken erfordern sofortige Behandlung. Mittlere erfordern Aktionsplan. Niedrige können mit Überwachung akzeptiert werden.
Risikobehandlung
Risiko durch Nicht-Durchführung der Aktivität, Entfernung des Systems oder Wahl einer anderen Lösung eliminieren. Beispiel: Stilllegung unsicheres Legacy-System.
Kontrollen implementieren, die Wahrscheinlichkeit oder Auswirkung verringern. Beispiel: Firewall installieren, Daten verschlüsseln, Personal schulen.
Risiko an andere Partei durch Versicherung oder Outsourcing verlagern. Beispiel: Cyberversicherung, Cloud-Anbieter mit SLA.
Informierte Entscheidung, mit dem Risiko zu leben. Entscheidung und Verantwortlichen dokumentieren. Risiko laufend überwachen.
Dokumentation
Risikoregister
Ein Risikoregister sollte enthalten:
| Feld | Beschreibung |
|---|---|
| Risiko-ID | Eindeutige Kennung |
| Beschreibung | Was ist das Risiko? |
| Asset | Welches Asset ist betroffen? |
| Bedrohung | Welche Bedrohung? |
| Schwachstelle | Welche Schwachstelle? |
| Wahrscheinlichkeit | 1-5 |
| Auswirkung | 1-5 |
| Risikoniveau | Berechnet |
| Behandlung | Vermeiden/reduzieren/übertragen/akzeptieren |
| Maßnahme | Was soll getan werden? |
| Verantwortlich | Wer besitzt das Risiko? |
| Status | Offen/laufend/geschlossen |
| Überprüfungsdatum | Wann soll das Risiko überprüft werden? |
Häufige Fehler
"Cyberangriffe" als ein Risiko. In spezifische Szenarien für sinnvolle Analyse aufteilen.
Risiken sollten unter Berücksichtigung bereits implementierter Maßnahmen bewertet werden.
IT kann Geschäftsauswirkungen nicht allein bewerten. Fachbereiche müssen teilnehmen.
Risikomanagement ist kontinuierlich, kein jährliches Projekt.
So kann Securapilot helfen
Securapilots Risikomanagement-Modul basiert auf ISO 27005:
- Strukturierter Prozess — Geführte Risikoidentifikation und -bewertung
- Risikoregister — Zentrale Verwaltung aller Risiken
- Risikomatrix — Visuelle Darstellung der Risikolandschaft
- Behandlungspläne — Verfolgung von Maßnahmen
- Dashboard — Überblick für das Management
- Historie — Vollständige Nachverfolgbarkeit über die Zeit
Demo buchen und sehen Sie, wie wir Ihr Risikomanagement unterstützen können.
Häufig gestellte Fragen
Ist ISO 27005 verpflichtend?
Nein, ISO 27005 ist ein Leitfadenstandard, keine zertifizierbare Anforderung. Aber NIS2 und ISO 27001 erfordern Risikomanagement, und ISO 27005 bietet eine etablierte Methode zur Erfüllung dieser Anforderungen.
Wie hängt ISO 27005 mit ISO 27001 zusammen?
ISO 27001 fordert Risikomanagement (Klausel 6.1.2), spezifiziert aber nicht die Methode. ISO 27005 gibt detaillierte Anleitung, wie das Risikomanagement durchgeführt werden kann.
Wie oft sollen Risikobeurteilungen durchgeführt werden?
Mindestens jährlich, aber auch bei größeren Änderungen im Betrieb, der IT-Umgebung oder der Bedrohungslage. Laufende Risikoüberwachung wird empfohlen.
Was ist der Unterschied zwischen Risikobeurteilung und Risikomanagement?
Risikobeurteilung ist Teil des Risikomanagements. Risikomanagement ist der gesamte Prozess von der Kontexterstellung bis zur Überwachung und Überprüfung. Risikobeurteilung ist der Schritt, in dem Risiken identifiziert, analysiert und bewertet werden.
