Zum Inhalt

Risikomanagement (Shared Content)🔗

Zweck🔗

In der Konfiguration ordnest du Risiken den passenden Kategorien (z.B. Daten, Dienstleister, Hardware, Personal) zu. Die fachliche Relevanz eines Risikos steuert, in welchen Modulen es angezeigt wird.

Damit stellst du sicher, dass Risiken nur dort auftauchen, wo sie fachlich relevant sind – zum Beispiel nur im ISO-27001-Kontext oder in mehreren Modulen gleichzeitig.

Aufbau der View🔗

Die View ist in drei Bereiche unterteilt:

  1. Auswahl der Kategorie (z. B. Daten, Dienstleister, Prozesse).
  2. Liste der verfügbaren Risiken (Mitte).
  3. Liste der der Kategorie zugeordneten Risiken (rechts).

Viele Standardrisiken sind bereits vordefiniert. Du kannst sie übernehmen oder eigene ergänzen.

Bedienung🔗

Gefährdungen zuordnen🔗

  1. Öffne den Bereich Risikomanagement → Konfiguration.
  2. Wähle links die gewünschte Kategorie (z. B. „Daten“).
  3. In der mittleren Liste siehst du alle verfügbaren Risiken.
  4. Ziehe bestehende Gefährdungen per Drag & Drop nach rechts zu den der Kategorie zugeordneten Gefährdungen.
  5. Wiederhole die Zuordnung, bis alle relevanten Kategorien sinnvoll befüllt sind.

Damit ordnest du z. B. allen Daten-Assets das Risiko „Datenverlust durch Hardwaredefekt“ zu.
In der Risikoanalyse wird dieses Risiko dann bei allen Daten-Ressourcen angezeigt.

Neue Gefährdungen anlegen🔗

Fehlt dir eine Gefährdung, kannst du sie direkt in der Konfiguration anlegen:

  1. Klicke im Bereich der Risiken auf + Risiko hinzufügen (oder nutze das Drei-Punkte-Menü).
  2. Erfasse:
  3. Bezeichnung
  4. Beschreibung
  5. optional fachliche Relevanz (z. B. Ob das Risiko auch im ISMS oder IT-Grundschutz verwendet werden soll)
  6. Speichere das Risiko.

Neu angelegte Risiken stehen dir sofort in der Konfiguration und später in der Risikoanalyse zur Verfügung.

Pflichtfelder beachten

Rote Ausrufezeichen kennzeichnen Pflichtfelder. Ohne diese Angaben kann das Risiko nicht gespeichert werden.

Fachliche Relevanz🔗

Über die fachliche Relevanz kannst du steuern, in welchen Modulen ein Risiko fachlich verwendet werden soll (z. B. ISO 27001, IT-Grundschutz, BCM).

Vorteile:

  • Du pflegst Risiken nur einmal zentral.
  • In anderen Modulen steht der gleiche Risikokatalog zur Verfügung.
  • Auswertungen und Vergleiche über Module hinweg werden einfacher.

Hinweise & Best Practices🔗

  • Halte die Anzahl der Risiko-Kategorien überschaubar, damit der Einstieg für Fachbereiche leicht bleibt.
  • Prüfe bei neuen Modulen zunächst, ob bestehende Risiken wiederverwendet werden können, statt neue Dubletten anzulegen.

Zweck🔗

In der Risikoanalyse bewertest du für jedes relevante Objekt (z.B. Asset, Prozess, Anbieter) die Risiken anhand von Eintrittswahrscheinlichkeit und Auswirkung. Daraus ergibt sich die Risikoklasse, die für die Priorisierung von Maßnahmen genutzt wird.

Aufbau der View🔗

Die Risikoanalyse zeigt dir:

  • oben den ausgewählten Scope,
  • eine Liste deiner Ressourcen (z. B. Assets wie „Adobe Creative Cloud“),
  • pro Ressource die zugeordneten Risiken,
  • den Status je Risiko (z. B. nicht gestartet, in Arbeit, abgeschlossen, nicht relevant).

Statusindikatoren:

  • Sanduhr: nicht gestartet
  • Stift / „In Arbeit“: Bewertung läuft
  • Haken: abgeschlossen
  • Kennzeichnung „nicht relevant“: Risiko wurde bewusst ausgeschlossen

Bedienung🔗

Relevanz prüfen🔗

Bevor du eine Risikoanalyse beginnst, kannst du prüfen, ob ein Risiko für eine Ressource überhaupt relevant ist:

  1. Wähle den Scope und die Ressource.
  2. Wähle das Risiko aus.
  3. Falls das Risiko nicht passt, setze es auf „nicht relevant“.

Damit stellst du sicher, dass du nur diejenigen Risiken bewertest, die im Kontext des BCM wichtig sind.

Risikoanalyse starten🔗

Um ein Risiko erstmals für eine Ressource zu bewerten:

  1. Wähle den Scope.
  2. Wähle ein Objekt (z.B. Asset oder Prozess) aus der Liste.
  3. Wähle das gewünschte Risiko.
  4. Klicke auf „Starte neue Risikoanalyse“.

Die Detailansicht für das Risiko öffnet sich.

Bewertung von Wahrscheinlichkeit und Auswirkung🔗

In der Detailansicht bewertest du:

  • Eintrittswahrscheinlichkeit (z. B. sehr gering bis sehr hoch – orientiert am BSI-Standard)
  • Auswirkung (z. B. sehr niedrig bis sehr hoch)

Das System berechnet daraus automatisch:

  • das Initialrisiko (Bruttorisiko vor Maßnahmen),
  • das Akzeptanzlevel brutto.

Du kannst zusätzlich eine Begründung für deine Bewertung hinterlegen, z. B. auf Basis der in der BIA auf dem BCM ermittelten Kritikalität oder der vorhandenen technischen/organisatorischen Schutzmaßnahmen.

Behandlungsoption festlegen🔗

Für jedes Risiko legst du fest, wie damit umgegangen werden soll:

  • Vermeiden (z. B. Prozess ändern oder abschaffen)
  • Reduzieren (zusätzliche Maßnahmen implementieren)
  • Transferieren (z. B. Versicherungen, Outsourcing)
  • Akzeptieren (bewusst akzeptiertes Restrisiko)

Falls du dir unsicher bist, erläutert das Info-Icon neben den Optionen die Bedeutung im Detail.

Die Auswahl beeinflusst, wie das Risiko im weiteren Verlauf betrachtet und welche Maßnahmen erforderlich werden.

Risiken fortschreiben🔗

Wenn sich Rahmenbedingungen ändern (z. B. neue Infrastruktur), kannst du eine bestehende Risikobewertung:

  • *Risikobewertung fortsetzen (Risk Assessment weiterführen) oder
  • archivieren und neu starten.

Beim Archivieren wird:

  • die alte Bewertung erhalten,
  • der Status auf „in Arbeit“ zurückgesetzt,
  • der Behandlungsplan nicht übernommen (er wurde idealerweise bereits umgesetzt).

So kannst du historische und aktuelle Bewertungen in der Übersicht miteinander vergleichen.

Hinweise & Best Practices🔗

  • Nutze – wenn möglich – abgestimmte Bewertungskriterien (z.B. aus Richtlinien), damit unterschiedliche Bereiche vergleichbar bewerten.
  • Dokumentiere bei ungewöhnlichen Bewertungen kurz im Kommentar, warum hier bewusst von der „Standardlogik“ abgewichen wird.

Zweck🔗

Im Behandlungsplan legst du fest, wie mit identifizierten Risiken umgegangen wird. Typische Optionen sind z.B. akzeptieren, mindern, übertragen oder vermeiden. Zu geminderten Risiken gehören konkrete Maßnahmen mit Verantwortlichen und Terminen.

Bedienung🔗

  1. Öffne den Bereich Behandlungsplan.
  2. Wähle ein Risiko mit erhöhter oder kritischer Risikoklasse.
  3. Entscheide für jedes Risiko eine Behandlungsoption
    (z.B. akzeptieren, mindern, übertragen, vermeiden).
  4. Lege bei geminderten Risiken eine oder mehrere Maßnahmen an:
  5. Titel der Maßnahme
  6. Beschreibung der Maßnahme
  7. Verantwortliche Person oder Rolle
  8. Fälligkeit / Zieltermin
  9. Verknüpfe – falls vorhanden – bestehende Maßnahmen aus anderen Modulen, um Doppelarbeit zu vermeiden.

Maßnahmen wiederverwenden🔗

Statt für jedes Risiko neue Maßnahmen zu erfinden, kannst du bestehende Maßnahmen wiederverwenden:

  1. Klicke im Behandlungsplan auf das Kettensymbol oder „Maßnahme verknüpfen“.
  2. Wähle eine bereits existierende Maßnahme aus der Liste aus.
  3. Verknüpfe sie mit dem aktuellen Risiko.

So können z. B. generische Maßnahmen wie „Backup-Konzept aktualisieren“ oder „Notfallübung durchführen“ mehrfach verwendet werden, ohne sie duplizieren zu müssen.

Statusverfolgung🔗

Jede Maßnahme hat einen Status, z. B.:

  • Nicht gestartet
  • Im Gange
  • zu genehmigen
  • Erledigt

Außerdem gilt:

  • Verantwortliche und Genehmigende erhalten E-Mail-Benachrichtigungen, wenn Fristen erreicht oder überschritten werden.
  • Alle Maßnahmen – auch aus anderen Modulen – laufen im zentralen Bereich Feststellungen & Maßnahmen zusammen und können dort gefiltert und bearbeitet werden.

Verbindung zum Restrisiko🔗

Die geplanten und umgesetzten Maßnahmen sind die Grundlage für die Bewertung des Restrisikos.
Je nach Wirkung der Maßnahmen können Eintrittswahrscheinlichkeit und Auswirkung in der Restrisikobetrachtung niedriger bewertet werden.

Hinweise & Best Practices🔗

  • Konzentriere dich auf Risiken mit hoher oder kritischer Risikoklasse.
  • Plane eher wenige, klar formulierte Maßnahmen mit realistischen Terminen, statt viele unscharfe Aktionen ohne klare Verantwortung.

Zweck🔗

Im Bereich Restrisiko & Abschluss bewertest du nach Umsetzung der Maßnahmen, welches Risiko weiterhin verbleibt. Diese Bewertung dient als Nachweis für Management, Revision oder Prüfer, dass Risiken bewusst akzeptiert oder weiter behandelt werden.

Bedienung🔗

Vom Initialrisiko zum Restrisiko🔗

Aus der Risikoanalyse kennst du:

  • Initialrisiko (Bruttorisiko vor Maßnahmen)
  • Akzeptanzlevel brutto

Nach Umsetzung bzw. Planung von Maßnahmen bewertest du:

  • Restrisiko (Nettorisiko nach Maßnahmen)
  • Akzeptanzlevel netto bzw. netto netto (je nach Konfiguration)

Dazu passt du – basierend auf den Maßnahmen – die Einschätzung von Eintrittswahrscheinlichkeit und Auswirkung an.

Vorgehen zur Restrisikobewertung🔗

  1. Wähle ein Risiko, zu dem Maßnahmen abgeschlossen oder weitgehend umgesetzt wurden.

  2. Öffne den Bereich Restrisiko.

  3. Aktualisiere die Bewertung (Eintrittswahrscheinlichkeit und Auswirkung) unter Berücksichtigung der umgesetzten Maßnahmen.
  4. Die neue Restrisikoklasse wird automatisch berechnet.
  5. Entscheide, ob das Restrisiko:
  6. akzeptiert wird (inkl. kurzer Begründung), oder
  7. weitere Maßnahmen benötigt.
  8. Schließe die Risikobehandlung ab, sobald die Entscheidung verbindlich ist.

Beispiel:

  • Vor Maßnahmen: Wahrscheinlichkeit „hoch“, Auswirkung „hoch“ → Initialrisiko „sehr hoch“.
  • Nach Maßnahmen: Wahrscheinlichkeit „sehr gering“, Auswirkung „mittel“ → Restrisiko „niedrig“.

Risikobewertung abschließen🔗

Wenn du mit der Restrisikobewertung zufrieden bist:

  1. Klicke auf „Risk Assessment abschließen“ (Bezeichnung kann variieren).
  2. Die Bewertung wird als abgeschlossen markiert.
  3. Die Ergebnisse fließen in:
  4. die Risikomatrix,
  5. die Risikoübersicht,
  6. Berichte und Auditauswertungen.

Sollte sich die Situation später ändern (z. B. neue Infrastruktur, andere BIA-Ergebnisse), kannst du die Bewertung:

  • Risikobewertung fortsetzen, um sie zu aktualisieren, oder
  • archivieren und neu starten, um eine neue Version mit Zeitstempel zu erzeugen.

Historische Vergleiche🔗

Archivierte Bewertungen werden im Bereich Risikoübersicht unter Archiv angezeigt.
Dort kannst du beispielsweise für ein bestimmtes Asset und ein bestimmtes Risiko:

  • alle bisherigen Bewertungen,
  • den jeweiligen Zeitpunkt,
  • Maßnahmen und Akzeptanzentscheidung

miteinander vergleichen. Das ist insbesondere für Audits und Management-Reviews hilfreich.

Hinweise & Best Practices🔗

  • Halte die Begründung zur Risikakacceptanz kurz, aber nachvollziehbar (z.B.: „Restrisiko akzeptiert, da weitere Maßnahmen unverhältnismäßig wären“).
  • Nutze den Bereich auch als Vorbereitung für Managementberichte oder Audits.

Zweck🔗

Die Risikomatrix & Übersicht fasst deine Bewertungen auf einer Matrix zusammen. So erkennst du auf einen Blick, wo sich Risiken im Portfolio häufen und welche Bereiche besonders kritisch sind.

Risikomatrix🔗

Auf der Matrix siehst du:

  • X-Achse: Auswirkung (z. B. gering → sehr hoch)
  • Y-Achse: Eintrittswahrscheinlichkeit (z. B. sehr gering → sehr hoch)

Jedes Feld zeigt an, wie viele Risiken in diese Kombination fallen.
Ein Klick auf ein Feld öffnet die Liste der zugehörigen Risiken bzw. Ressourcen.

Filtermöglichkeiten🔗

Du kannst die Risikomatrix typischerweise filtern nach:

  • Scope (z. B. „Security 2025“)
  • Risiko (Prozesse, Assets, Dienstleister, …)
  • Bewertung Restrisiko (z. B. nur abgeschlossene Bewertungen)
  • ggf. weiteren Kriterien, je nach Konfiguration.

So kannst du dich z. B. fokussiert auf alle „sehr hohen“ Risiken eines bestimmten Scopes konzentrieren.

Risikoanalysen-Übersicht🔗

Neben der Matrix gibt es eine tabellarische Risikoanalysen-Übersicht:

  • Alle Risiken je Ressource in Listenform.
  • Mit Status, Initial- und Restrisiko, Verantwortlichkeiten.
  • Sortier- und Filterfunktionen (z. B. nach Kritikalität, Datum der letzten Bewertung).

Konfiguration der Risikomatrix🔗

Die grundlegende Konfiguration der Skalen (Wahrscheinlichkeit, Auswirkung, Farben, Schwellen) erfolgt in der globalen Risikomatrix-Konfiguration.

Standardmäßig orientiert sich die Skala an den BSI-Empfehlungen, kann aber an die Anforderungen deines Unternehmens angepasst werden (z. B. andere Stufen, andere Bezeichnungen).

Hinweise & Best Practices🔗

  • Nutze die Matrix regelmäßig, um Trends zu erkennen (z.B. Zunahme kritischer Risiken in einem bestimmten Bereich).
  • In Verbindung mit Maßnahmen-Umsetzungsgraden kannst du hier gut den Fortschritt der Risikobehandlung sichtbar machen.