ISO 27005: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
(Die Seite wurde neu angelegt: „{{Entwurf}} {{#seo: |title=Durchführung einer Risikoanalyse nach ISO 27005 Leitfaden zur Handhabung von Informationssicherheitsrisiken |keywords=ISMS,BSI,IT-Grundschutz,Informationssicherheit,Risikomanagement,Risikoanalysen,ISO 27005 |description=Dieser Artikel beschreibt das Vorgehen zur Durchführung einer Risikoanalyse nach ISO 27005 "Informationssicherheit, Cybersicherheit und Datenschutz - Leitfaden zur Handhabung von Informationssicherheitsrisiken"…“)
 
KKeine Bearbeitungszusammenfassung
 
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
{{Entwurf}}
{{#seo:
{{#seo:
|title=Durchführung einer Risikoanalyse nach ISO 27005 Leitfaden zur Handhabung von Informationssicherheitsrisiken
|title=Risikoanalyse nach ISO/IEC 27005 – Vorgehensmodell, Risikomatrix und Bewertungsskalen
|keywords=ISMS,BSI,IT-Grundschutz,Informationssicherheit,Risikomanagement,Risikoanalysen,ISO 27005
|keywords=ISO 27005,Risikoanalyse,ISMS,Risikomanagement,IT-Grundschutz,Informationssicherheit,Risikobewertung,Risikobehandlung
|description=Dieser Artikel beschreibt das Vorgehen zur Durchführung einer Risikoanalyse nach ISO 27005 "Informationssicherheit, Cybersicherheit und Datenschutz - Leitfaden zur Handhabung von Informationssicherheitsrisiken".
|description=Praxisorientierte Anleitung zur Risikoanalyse nach ISO 27005 inklusive Risikomatrix, Bewertungsskalen und Best Practices für ISMS.}}{{SHORTDESC:Risikoanalyse nach ISO/IEC 27005 – Vorgehensmodell, Risikomatrix und Bewertungsskalen.}}
}}
''Der vorliegende Artikel beschreibt ein praxisorientiertes Vorgehen zur Risikoanalyse nach ISO/IEC 27005 „Informationssicherheit, Cybersicherheit und Datenschutz Leitfaden zur Handhabung von Informationssicherheitsrisiken“. Der Standard unterstützt Organisationen dabei, Informationssicherheitsrisiken systematisch zu identifizieren, zu bewerten und geeignete Maßnahmen zur Risikobehandlung auszuwählen.''
Der vorliegende Artikel beschreibt das Vorgehen für eine Risikoanalyse nach ISO/IEC 27005 "Informationssicherheit, Cybersicherheit und Datenschutz - Leitfaden zur Handhabung von Informationssicherheitsrisiken".


== Einleitung ==
== Einleitung ==
ISO/IEC 27005 definiert ein Verfahren für das Informationssicherheitsrisikomanagement, das Organisationen anleitet, Risiken zu identifizieren, zu bewerten und geeignete Maßnahmen zur Risikobehandlung auszuwählen. Es ermöglicht die systematische Analyse von Bedrohungen und Schwachstellen sowie die Abschätzung der potenziellen Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Der Standard fördert eine objektive Bewertung der Risiken und unterstützt die Integration des Risikomanagementprozesses in ein Informationssicherheitsmanagementsystem (ISMS), um die Informationssicherheit kontinuierlich zu verbessern.
ISO/IEC 27005 definiert ein Verfahren für das Informationssicherheitsrisikomanagement, das Organisationen anleitet, Risiken zu identifizieren, zu bewerten und geeignete Maßnahmen zur Risikobehandlung auszuwählen. Es ermöglicht die systematische Analyse von Bedrohungen und Schwachstellen sowie die Abschätzung der potenziellen Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Der Standard fördert eine objektive Bewertung der Risiken und unterstützt die Integration des Risikomanagementprozesses in ein Informationssicherheitsmanagementsystem (ISMS), um die Informationssicherheit kontinuierlich zu verbessern.
== Einführung in das Risikomanagement nach ISO 27005 ==
=== Ziel und Bedeutung des Risikomanagements ===
Das Risikomanagement nach ISO 27005 stellt sicher, dass Informationssicherheitsrisiken strukturiert erkannt, bewertet und behandelt werden. Wesentliche Ziele:
* '''Schutz der Geschäftsprozesse''' durch frühzeitige Identifikation kritischer Risiken.
* '''Reduktion von Unsicherheiten''' bei sicherheitsrelevanten Entscheidungen.
* '''Erfüllung regulatorischer Anforderungen''' (z. B. DSGVO, NIS2, ISO 27001).
* '''Optimierung der Sicherheitsinvestitionen''' durch risikobasierte Priorisierung.
=== Überblick über ISO 27005 ===
ISO 27005 beschreibt einen vollständigen Lebenszyklus des Risikomanagements innerhalb eines ISMS. Kernelemente:
* '''Kontextfestlegung''' (Scope, Kriterien, Stakeholder)
* '''Risikoidentifikation''' (Bedrohungen, Schwachstellen, Auswirkungen)
* '''Risikoanalyse''' (Wahrscheinlichkeit, Schadenshöhe)
* '''Risikobewertung''' (Vergleich mit Kriterien, Priorisierung)
* '''Risikobehandlung''' (Maßnahmenauswahl und Umsetzung)
* '''Überwachung''' und Kommunikation als kontinuierliche Prozesse
== Vorgehen ==
=== Festlegung des Risikokontextes ===
==== Definition von Zielen und Umfang der Risikoanalyse ====
===== Abgrenzung des Informationsverbunds =====
* Identifikation aller relevanten Assets (Informationen, Anwendungen, Infrastruktur, Personen, Dienstleister)
* Beschreibung der Systemgrenzen und Schnittstellen
* Dokumentation der Abhängigkeiten zwischen Assets und Geschäftsprozessen
===== Klärung der Schutzbedürfnisse =====
* Bewertung der Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit
* Berücksichtigung gesetzlicher, vertraglicher und geschäftlicher Anforderungen
* Identifikation besonders schutzbedürftiger Informationen
==== Festlegung der Risikokriterien ====
===== Risikoakzeptanzschwellen =====
* Definition akzeptabler Restrisiken
* Festlegung von Schwellenwerten für zwingende Maßnahmen
* Dokumentation der Entscheidungskompetenzen
===== Qualitative und quantitative Bewertungskriterien =====
* Skalen für Wahrscheinlichkeit (z. B. selten – häufig)
* Skalen für Auswirkungen (z. B. gering – kritisch)
* Bewertungsregeln (z. B. Risikomatrix, numerische Risikowerte)
==== Identifikation der Stakeholder ====
===== Interne Stakeholder =====
* Geschäftsführung
* IT-Leitung
* Fachbereiche
* Datenschutz, Compliance, Revision
===== Externe Stakeholder =====
* Dienstleister
* Kunden
* Aufsichtsbehörden
* Partnerorganisationen
=== Risikoidentifikation ===
==== Identifikation von Bedrohungen ====
===== Technische Bedrohungen =====
* Malware, Ransomware
* Systemausfälle
* Netzwerkangriffe (DDoS, Man-in-the-Middle)
===== Physische Bedrohungen =====
* Feuer, Wasser, Stromausfall
* Diebstahl, Vandalismus
* Umwelteinflüsse
===== Soziale Bedrohungen =====
* Social Engineering
* Insider-Bedrohungen
* Fehlbedienung
==== Identifikation von Schwachstellen ====
===== Technische Schwachstellen =====
* Fehlkonfigurationen
* Veraltete Software
* Unzureichende Verschlüsselung
===== Organisatorische Schwachstellen =====
* Fehlende Prozesse
* Unklare Verantwortlichkeiten
* Unzureichende Schulungen
==== Bestimmung potenzieller Auswirkungen ====
===== Finanzielle Auswirkungen =====
* Umsatzverluste
* Vertragsstrafen
* Wiederherstellungskosten
===== Reputationsbezogene Auswirkungen =====
* Vertrauensverlust
* Negative Medienberichterstattung
* Kundenabwanderung
=== Risikoanalyse ===
==== Analyse der Wahrscheinlichkeit von Bedrohungsszenarien ====
===== Wahrscheinlichkeitsbewertung =====
* Einschätzung anhand historischer Daten, Brancheninformationen oder Expertenwissen
===== Ereignishäufigkeit =====
* Betrachtung der erwarteten Eintrittsfrequenz pro Jahr oder Zeitraum
==== Bewertung der Risikoauswirkungen ====
===== Direkte Auswirkungen =====
* Datenverlust
* Systemausfall
* Produktionsunterbrechung
===== Indirekte Auswirkungen =====
* Imageverlust
* Rechtsfolgen
* Langfristige Kundenverluste
==== Ermittlung des Gesamtrisikos ====
===== Kombinierte Bewertung von Wahrscheinlichkeit und Auswirkungen =====
* Nutzung einer Risikomatrix oder eines numerischen Risikowerts
* Dokumentation der Bewertungslogik
===== Priorisierung von Risiken =====
* Sortierung nach Risikohöhe
* Hervorhebung kritischer Risiken
=== Risikobewertung ===
==== Vergleich der Risiken mit den Risikokriterien ====
* Identifikation von Risiken oberhalb der Akzeptanzschwelle
* Entscheidung über erforderliche Maßnahmen
==== Priorisierung der Risiken ====
===== Hochprioritäre Risiken =====
* Sofortige Maßnahmen erforderlich
===== Mittelprioritäre Risiken =====
* Maßnahmen zeitnah einplanen
===== Niedrigprioritäre Risiken =====
* Risiko akzeptabel, regelmäßige Überprüfung
=== Risikobehandlung ===
==== Auswahl der Behandlungsoptionen ====
===== Risikovermeidung =====
* Einstellung riskanter Aktivitäten
* Entfernung unsicherer Komponenten
===== Risikominderung =====
* Technische und organisatorische Maßnahmen
* Härtung, Monitoring, Schulungen
===== Risikoüberwälzung =====
* Versicherungen
* Outsourcing
* Vertragsklauseln
===== Risikoakzeptanz =====
* Dokumentierte Entscheidung
* Nur bei niedrigen oder unvermeidbaren Risiken
==== Planung der Risikobehandlungsmaßnahmen ====
* Erstellung eines Risikobehandlungsplans
* Definition von Verantwortlichkeiten, Ressourcen und Terminen
==== Implementierung der Risikobehandlungsstrategien ====
* Umsetzung der Maßnahmen
* Nachweisführung im ISMS
=== Überwachung und Überprüfung ===
==== Regelmäßige Überprüfung der Risiken ====
* Aktualisierung bei Änderungen im Informationsverbund
* Periodische Neubewertung
==== Anpassung der Risikobehandlungsmaßnahmen ====
* Wirksamkeitskontrolle
* Anpassung an neue Bedrohungen oder Schwachstellen
=== Kommunikation und Konsultation ===
==== Informationsaustausch mit den Stakeholdern ====
* Regelmäßige Berichte an Management und Fachbereiche
* Transparente Darstellung der Risiken
==== Einbeziehung der Stakeholder in den Risikomanagementprozess ====
* Workshops, Interviews, Reviews
* Förderung eines gemeinsamen Sicherheitsverständnisses
== Risikomatrix und Bewertungsskalen ==
=== Bewertungsskalen ===
==== Wahrscheinlichkeitsskala (qualitativ) ====
{| class="wikitable"
! Stufe !! Beschreibung
|-
| 1 – Selten || Ereignis ist unwahrscheinlich, aber möglich
|-
| 2 – Gelegentlich || Ereignis kann auftreten, aber nicht erwartbar oder regelmäßig
|-
| 3 – Wahrscheinlich || Ereignis tritt erwartbar und mit spürbarer Häufigkeit auf
|-
| 4 – Häufig || Ereignis tritt regelmäßig oder sehr wahrscheinlich auf
|}
==== Auswirkungsskala (qualitativ) ====
{| class="wikitable"
! Stufe !! Beschreibung
|-
| 1 – Gering || Kaum Auswirkungen auf Betrieb oder Daten.
|-
| 2 – Mittel || Kurzfristige Störungen, begrenzte Schäden, Behebung im Rahmen betrieblicher Prozesse möglich.
|-
| 3 – Hoch || Erhebliche Störungen, finanzielle oder rechtliche Folgen, Behebung erfodert zusätzliche Ressourcen.
|-
| 4 – Kritisch || Massive Auswirkungen, langfristige Schäden, regulatorische Risiken.
|}
=== Risikomatrix ===
{| class="wikitable" style="text-align:center; width:60%;"
! rowspan="2" style="vertical-align:middle;" | Wahrscheinlichkeit
! colspan="4" | Auswirkungen
|-
! 1 – Gering
! 2 – Mittel
! 3 – Hoch
! 4 – Kritisch
|-
| style="text-align:left;" | '''4 - Häufig'''
| style="background:#FFEB3B;" | '''Mittel'''
| style="background:#FF9800;" | '''Hoch'''
| style="background:#F44336; color:white;" | '''Kritisch'''
| style="background:#F44336; color:white;" | '''Kritisch'''
|-
| style="text-align:left;" | '''3 - Wahrscheinlich'''
| style="background:#FFEB3B;" | '''Mittel'''
| style="background:#FFEB3B;" | '''Mittel'''
| style="background:#FF9800;" | '''Hoch'''
| style="background:#F44336; color:white;" | '''Kritisch'''
|-
| style="text-align:left;" | '''2 - Gelegentlich'''
| style="background:#4CAF50; color:white;" | '''Niedrig'''
| style="background:#FFEB3B;" | '''Mittel'''
| style="background:#FFEB3B;" | '''Mittel'''
| style="background:#FF9800;" | '''Hoch'''
|-
| style="text-align:left;" | '''1 - Selten'''
| style="background:#4CAF50; color:white;" | '''Niedrig'''
| style="background:#4CAF50; color:white;" | '''Niedrig'''
| style="background:#FFEB3B;" | '''Mittel'''
| style="background:#FFEB3B;" | '''Mittel'''
|}
=== Interpretation ===
* '''Kritisch''': Sofortige Maßnahmen zwingend erforderlich 
* '''Hoch''': Maßnahmen kurzfristig einplanen 
* '''Mittel''': Maßnahmen mittelfristig umsetzen 
* '''Niedrig''': Risiko akzeptabel, regelmäßige Überprüfung 
[[Kategorie:Artikel]]

Aktuelle Version vom 7. Mai 2026, 12:49 Uhr

Der vorliegende Artikel beschreibt ein praxisorientiertes Vorgehen zur Risikoanalyse nach ISO/IEC 27005 „Informationssicherheit, Cybersicherheit und Datenschutz – Leitfaden zur Handhabung von Informationssicherheitsrisiken“. Der Standard unterstützt Organisationen dabei, Informationssicherheitsrisiken systematisch zu identifizieren, zu bewerten und geeignete Maßnahmen zur Risikobehandlung auszuwählen.

Einleitung

ISO/IEC 27005 definiert ein Verfahren für das Informationssicherheitsrisikomanagement, das Organisationen anleitet, Risiken zu identifizieren, zu bewerten und geeignete Maßnahmen zur Risikobehandlung auszuwählen. Es ermöglicht die systematische Analyse von Bedrohungen und Schwachstellen sowie die Abschätzung der potenziellen Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Der Standard fördert eine objektive Bewertung der Risiken und unterstützt die Integration des Risikomanagementprozesses in ein Informationssicherheitsmanagementsystem (ISMS), um die Informationssicherheit kontinuierlich zu verbessern.

Einführung in das Risikomanagement nach ISO 27005

Ziel und Bedeutung des Risikomanagements

Das Risikomanagement nach ISO 27005 stellt sicher, dass Informationssicherheitsrisiken strukturiert erkannt, bewertet und behandelt werden. Wesentliche Ziele:

  • Schutz der Geschäftsprozesse durch frühzeitige Identifikation kritischer Risiken.
  • Reduktion von Unsicherheiten bei sicherheitsrelevanten Entscheidungen.
  • Erfüllung regulatorischer Anforderungen (z. B. DSGVO, NIS2, ISO 27001).
  • Optimierung der Sicherheitsinvestitionen durch risikobasierte Priorisierung.

Überblick über ISO 27005

ISO 27005 beschreibt einen vollständigen Lebenszyklus des Risikomanagements innerhalb eines ISMS. Kernelemente:

  • Kontextfestlegung (Scope, Kriterien, Stakeholder)
  • Risikoidentifikation (Bedrohungen, Schwachstellen, Auswirkungen)
  • Risikoanalyse (Wahrscheinlichkeit, Schadenshöhe)
  • Risikobewertung (Vergleich mit Kriterien, Priorisierung)
  • Risikobehandlung (Maßnahmenauswahl und Umsetzung)
  • Überwachung und Kommunikation als kontinuierliche Prozesse

Vorgehen

Festlegung des Risikokontextes

Definition von Zielen und Umfang der Risikoanalyse

Abgrenzung des Informationsverbunds
  • Identifikation aller relevanten Assets (Informationen, Anwendungen, Infrastruktur, Personen, Dienstleister)
  • Beschreibung der Systemgrenzen und Schnittstellen
  • Dokumentation der Abhängigkeiten zwischen Assets und Geschäftsprozessen
Klärung der Schutzbedürfnisse
  • Bewertung der Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit
  • Berücksichtigung gesetzlicher, vertraglicher und geschäftlicher Anforderungen
  • Identifikation besonders schutzbedürftiger Informationen

Festlegung der Risikokriterien

Risikoakzeptanzschwellen
  • Definition akzeptabler Restrisiken
  • Festlegung von Schwellenwerten für zwingende Maßnahmen
  • Dokumentation der Entscheidungskompetenzen
Qualitative und quantitative Bewertungskriterien
  • Skalen für Wahrscheinlichkeit (z. B. selten – häufig)
  • Skalen für Auswirkungen (z. B. gering – kritisch)
  • Bewertungsregeln (z. B. Risikomatrix, numerische Risikowerte)

Identifikation der Stakeholder

Interne Stakeholder
  • Geschäftsführung
  • IT-Leitung
  • Fachbereiche
  • Datenschutz, Compliance, Revision
Externe Stakeholder
  • Dienstleister
  • Kunden
  • Aufsichtsbehörden
  • Partnerorganisationen

Risikoidentifikation

Identifikation von Bedrohungen

Technische Bedrohungen
  • Malware, Ransomware
  • Systemausfälle
  • Netzwerkangriffe (DDoS, Man-in-the-Middle)
Physische Bedrohungen
  • Feuer, Wasser, Stromausfall
  • Diebstahl, Vandalismus
  • Umwelteinflüsse
Soziale Bedrohungen
  • Social Engineering
  • Insider-Bedrohungen
  • Fehlbedienung

Identifikation von Schwachstellen

Technische Schwachstellen
  • Fehlkonfigurationen
  • Veraltete Software
  • Unzureichende Verschlüsselung
Organisatorische Schwachstellen
  • Fehlende Prozesse
  • Unklare Verantwortlichkeiten
  • Unzureichende Schulungen

Bestimmung potenzieller Auswirkungen

Finanzielle Auswirkungen
  • Umsatzverluste
  • Vertragsstrafen
  • Wiederherstellungskosten
Reputationsbezogene Auswirkungen
  • Vertrauensverlust
  • Negative Medienberichterstattung
  • Kundenabwanderung

Risikoanalyse

Analyse der Wahrscheinlichkeit von Bedrohungsszenarien

Wahrscheinlichkeitsbewertung
  • Einschätzung anhand historischer Daten, Brancheninformationen oder Expertenwissen
Ereignishäufigkeit
  • Betrachtung der erwarteten Eintrittsfrequenz pro Jahr oder Zeitraum

Bewertung der Risikoauswirkungen

Direkte Auswirkungen
  • Datenverlust
  • Systemausfall
  • Produktionsunterbrechung
Indirekte Auswirkungen
  • Imageverlust
  • Rechtsfolgen
  • Langfristige Kundenverluste

Ermittlung des Gesamtrisikos

Kombinierte Bewertung von Wahrscheinlichkeit und Auswirkungen
  • Nutzung einer Risikomatrix oder eines numerischen Risikowerts
  • Dokumentation der Bewertungslogik
Priorisierung von Risiken
  • Sortierung nach Risikohöhe
  • Hervorhebung kritischer Risiken

Risikobewertung

Vergleich der Risiken mit den Risikokriterien

  • Identifikation von Risiken oberhalb der Akzeptanzschwelle
  • Entscheidung über erforderliche Maßnahmen

Priorisierung der Risiken

Hochprioritäre Risiken
  • Sofortige Maßnahmen erforderlich
Mittelprioritäre Risiken
  • Maßnahmen zeitnah einplanen
Niedrigprioritäre Risiken
  • Risiko akzeptabel, regelmäßige Überprüfung

Risikobehandlung

Auswahl der Behandlungsoptionen

Risikovermeidung
  • Einstellung riskanter Aktivitäten
  • Entfernung unsicherer Komponenten
Risikominderung
  • Technische und organisatorische Maßnahmen
  • Härtung, Monitoring, Schulungen
Risikoüberwälzung
  • Versicherungen
  • Outsourcing
  • Vertragsklauseln
Risikoakzeptanz
  • Dokumentierte Entscheidung
  • Nur bei niedrigen oder unvermeidbaren Risiken

Planung der Risikobehandlungsmaßnahmen

  • Erstellung eines Risikobehandlungsplans
  • Definition von Verantwortlichkeiten, Ressourcen und Terminen

Implementierung der Risikobehandlungsstrategien

  • Umsetzung der Maßnahmen
  • Nachweisführung im ISMS

Überwachung und Überprüfung

Regelmäßige Überprüfung der Risiken

  • Aktualisierung bei Änderungen im Informationsverbund
  • Periodische Neubewertung

Anpassung der Risikobehandlungsmaßnahmen

  • Wirksamkeitskontrolle
  • Anpassung an neue Bedrohungen oder Schwachstellen

Kommunikation und Konsultation

Informationsaustausch mit den Stakeholdern

  • Regelmäßige Berichte an Management und Fachbereiche
  • Transparente Darstellung der Risiken

Einbeziehung der Stakeholder in den Risikomanagementprozess

  • Workshops, Interviews, Reviews
  • Förderung eines gemeinsamen Sicherheitsverständnisses

Risikomatrix und Bewertungsskalen

Bewertungsskalen

Wahrscheinlichkeitsskala (qualitativ)

Stufe Beschreibung
1 – Selten Ereignis ist unwahrscheinlich, aber möglich
2 – Gelegentlich Ereignis kann auftreten, aber nicht erwartbar oder regelmäßig
3 – Wahrscheinlich Ereignis tritt erwartbar und mit spürbarer Häufigkeit auf
4 – Häufig Ereignis tritt regelmäßig oder sehr wahrscheinlich auf

Auswirkungsskala (qualitativ)

Stufe Beschreibung
1 – Gering Kaum Auswirkungen auf Betrieb oder Daten.
2 – Mittel Kurzfristige Störungen, begrenzte Schäden, Behebung im Rahmen betrieblicher Prozesse möglich.
3 – Hoch Erhebliche Störungen, finanzielle oder rechtliche Folgen, Behebung erfodert zusätzliche Ressourcen.
4 – Kritisch Massive Auswirkungen, langfristige Schäden, regulatorische Risiken.

Risikomatrix

Wahrscheinlichkeit Auswirkungen
1 – Gering 2 – Mittel 3 – Hoch 4 – Kritisch
4 - Häufig Mittel Hoch Kritisch Kritisch
3 - Wahrscheinlich Mittel Mittel Hoch Kritisch
2 - Gelegentlich Niedrig Mittel Mittel Hoch
1 - Selten Niedrig Niedrig Mittel Mittel

Interpretation

  • Kritisch: Sofortige Maßnahmen zwingend erforderlich
  • Hoch: Maßnahmen kurzfristig einplanen
  • Mittel: Maßnahmen mittelfristig umsetzen
  • Niedrig: Risiko akzeptabel, regelmäßige Überprüfung
Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=ISO_27005&oldid=2374