Risk Assessment

[rɪsk əˈsɛsmənt] · auch: Risikobeurteilung, Risikoanalyse

Ein Risk Assessment ist der systematische Prozess zur Identifikation, Analyse und Bewertung von Risiken – mit dem Ziel, Entscheidungsgrundlagen für den Umgang mit diesen Risiken zu schaffen. Im Kontext der IT-Compliance umfasst es die Bestimmung von Eintrittswahrscheinlichkeit, Schadensausmaß und Risikopriorität.

Warum Risk Assessment die Basis aller Compliance ist

Ein Risk Assessment ist nicht optional: ISO 27001, NIS-2 und DORA setzen eine dokumentierte Risikobeurteilung als Voraussetzung für alle weiteren Maßnahmen voraus. Ohne Risk Assessment gibt es kein belastbares ISMS und keine nachweisbare Compliance.

Wo Risk Assessment gefordert wird

Framework	Referenz	Anforderung
ISO 27001:2022	Kap. 6.1.2	Risikobeurteilung: Identifikation, Analyse und Bewertung von Informationssicherheitsrisiken als Pflichtprozess.
NIS-2 / BSIG	§ 30 Abs. 1	Risikoanalyse als Grundlage aller Sicherheitsmaßnahmen für wesentliche und wichtige Einrichtungen.
ISO 27005:2022	Gesamt	Dedizierter Standard für Information-Security-Risk-Management mit vollständiger Methodikvorgabe.
DORA	Art. 6	IKT-Risikobeurteilung als kontinuierlicher Prozess mit Dokumentations- und Reviewpflicht.

BAM-Objektreferenz

BAM-Objekt RISK-RA-01

BeschreibungRisk Assessment mit dokumentierter Methodik, vollständiger Risikoliste und verknüpftem Risk Treatment Plan

GitHubBAM Core →

Häufige Audit-Fehler

Risk Assessment einmalig durchgeführt, danach nicht wiederholt
Keine Nachvollziehbarkeit der Bewertungslogik
Risiken ohne Verantwortliche oder Behandlungsplan
Scope zu eng: Cloud und Lieferkette nicht einbezogen

Methodik: Qualitativ vs. quantitativ

Qualitative Risk Assessments bewerten Risiken auf Skalen (niedrig/mittel/hoch) – einfach durchzuführen, weit verbreitet, für ISO 27001 und NIS-2 ausreichend. Quantitative Risk Assessments berechnen Expected Loss in Geldeinheiten – aufwändiger, aber nützlich für Management-Entscheidungen und Versicherungsverhandlungen. Für die meisten Organisationen ist ein semi-quantitativer Ansatz (Skala mit definierten Geldwertäquivalenten) der pragmatische Mittelweg.

Risk Assessment Zyklus

ISO 27001 verlangt, dass das Risk Assessment in definierten Abständen wiederholt wird – mindestens jährlich und bei wesentlichen Änderungen. Wesentliche Änderungen umfassen: neue Systeme oder Prozesse, neue Bedrohungen, Sicherheitsvorfälle und organisatorische Veränderungen. Der Zyklus muss in der ISMS-Dokumentation festgelegt sein.

Nächste Ebene

Risk Assessment durchführen: Methodik, Skalen und Dokumentation

Schritt-für-Schritt-Anleitung für ein ISO-27005-konformes Risk Assessment mit auditfähiger Dokumentation.

Ebene 2 lesen → NIS-2-Stresstest starten →