Compliance-Lexikon · Grundbegriff
Residual Exposure
[rɪˈzɪdjuəl ɪkˈspəʊʒə] · auch: Restrisiko, verbleibendes Risiko
Residual Exposure bezeichnet das verbleibende Risikoniveau nach Implementierung aller vorgesehenen Schutzmassnahmen – das Risiko, das trotz aller Gegenmassnahmen bewusst akzeptiert wird, weil vollstaendige Risikoeliminierung nicht moeglich oder nicht wirtschaftlich ist.
Warum Residual Exposure ein zentraler Risikobegriff ist
Kein Sicherheitsprogramm eliminiert alle Risiken – und das ist auch nicht das Ziel. Das Ziel ist es, Risiken auf ein akzeptables Niveau zu reduzieren und das verbleibende Restrisiko bewusst und dokumentiert zu akzeptieren. Residual Exposure ist damit kein Versagen, sondern das Ergebnis einer rationalen Risikoabwaegung. ISO 27001 fordert explizit die Dokumentation und formale Akzeptanz aller Restrisiken – durch das Leitungsorgan, nicht durch die IT-Abteilung.
Wo Residual Exposure gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | Kap. 8.3 | Behandlung von Informationssicherheitsrisiken: Restrisiken muessen bewertet und explizit akzeptiert werden. |
| ISO 31000 | Kap. 6.5.2 | Risikobehandlung: Nach Massnahmenumsetzung verbleibendes Restrisiko ist zu bewerten und zu kommunizieren. |
| NIS-2 / BSIG | § 30 | Risikobasierter Ansatz: Massnahmen muessen dem Risiko angemessen sein – Restrisikobewertung als implizite Anforderung. |
| DORA | Art. 6 | IKT-Risikomanagement: Risiken nach Massnahmenumsetzung sind zu ueberwachen – Restrisiken Teil des Risiko-Reportings. |
| BSI IT-Grundschutz | BSI 200-3 | Risikoanalyse: Restrisiken, die nicht durch Standardmassnahmen abgedeckt werden, muessen explizit bewertet und akzeptiert werden. |
BAM-Objektreferenz
Haeufige Audit-Fehler
- Restrisiken nicht dokumentiert – implizit akzeptiert statt explizit entschieden
- Risikoakzeptanz durch IT-Leitung statt Leitungsorgan unterschrieben
- Keine Ueberpruefung der Restrisiken bei veraenderter Bedrohungslage
- Restrisiken nicht mit dem Risikoappetit der Organisation abgeglichen
Residual Exposure vs. Inherent Risk
Inherent Risk (inhaerentem Risiko) bezeichnet das Risikoniveau vor jeglichen Massnahmen – das Ausgangsrisiko. Residual Exposure ist das verbleibende Risiko nach Massnahmenumsetzung. Die Differenz ist die Risikoreduzierung durch Massnahmen. Fuer das Risikomanagement relevant sind beide: Das Inherent Risk bestimmt die Prioritaet einer Massnahme, das Residual Exposure bestimmt, ob die getroffenen Massnahmen ausreichend sind oder ob weiterer Handlungsbedarf besteht.
Risikoakzeptanz: Wer darf was akzeptieren?
Risikoakzeptanz ist keine rein technische Entscheidung. ISO 27001 fordert, dass das Leitungsorgan Restrisiken akzeptiert – nicht die IT-Abteilung. Das ist kein Formalismus: Wer Risiken akzeptiert, traegt auch die Verantwortung fuer die Folgen. Schriftliche Risikoakzeptanz mit Datum und Unterschrift der verantwortlichen Fuehrungskraft ist die staerkste Evidence fuer einen reifen Risikomanagementprozess.
Naechste Ebene
Residual Exposure in der Praxis: Bewertung, Akzeptanz und Evidence
Wie Restrisiken bewertet, dokumentiert und im Audit nachgewiesen werden.