Riskoanalyse

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
Würfel

Eine Risikoanalyse ist der Prozess, durch den eine Organisation potenzielle Ereignisse („Risiken“) ermittelt, die ihre Ziele beeinträchtigen könnten, und diese systematisch bewertet. ISO 31000 definiert Risiko als „Auswirkung von Unsicherheit auf Ziele“

Was ist eine Risikoanalyse?

Eine Risikoanalyse identifiziert potenzielle Risiken, bewertet deren Eintrittswahrscheinlichkeit und Auswirkungen auf Geschäftsziele, priorisiert sie und leitet geeignete Gegenmaßnahmen ab. Der Prozess folgt typischerweise den Phasen „Kontext festlegen“, „Risiken identifizieren“, „Risiken analysieren“, „Risiken bewerten“, „Risiken behandeln“ sowie „Monitoring und Review“. International anerkannte Standards wie ISO 31000, ISO 27005 und der BSI-IT-Grundschutz (BSI-Standard 200-3) bieten Leitlinien und Methoden für den Aufbau eines konsistenten Risiko-Management-Systems.

Wie funktioniert eine Risikoanalyse?

  1. Kontext festlegen: Definition des Anwendungsbereichs, der Ziele und der Bewertungskriterien.
  2. Risiken identifizieren: Systematisches Erfassen potenzieller Gefährdungen (Workshops, Checklisten).
  3. Risiken analysieren: Abschätzung von Eintrittswahrscheinlichkeit und Schadensausmaß – qualitativ (z.B. Risiko-Matrix) oder quantitativ (z.B. statistische Modelle).
  4. Risiken bewerten: Priorisierung anhand definierter Schwellenwerte, z.B. Ampel- oder Risikowertmodelle.
  5. Risiken behandeln: Auswahl und Umsetzung von Gegenmaßnahmen wie Risikovermeidung, -minderung oder -übertragung.
  6. Überwachen und Review: Laufendes Controlling der Risikolage und Anpassung der Analyse in definierten Abständen oder nach relevanten Ereignissen.

Wie wird eine Risikoanalyse durchgeführt?

Die konkrete Durchführung orientiert sich an etablierten Methoden und Standards:

  • ISO 27005 (Informationssicherheit): Fünf Schritte: Kontextfestlegung, Risikoidentifikation, Risikoanalyse, Risikobewertung, Risikobehandlung.
  • FMEA (Failure Mode and Effects Analysis): Untergliedert in Identifikation von Fehlerursachen, Bewertung von Schwere, Auftretenswahrscheinlichkeit und Entdeckungswahrscheinlichkeit zur Priorisierung (RPN).
  • BSI-Standard 200-3 (IT-Grundschutz): Risikoanalyse auf Basis vordefinierter Bedrohungs- und Schutzprofile, ergänzt durch ergänzende Sicherheitsanalysen bei abweichenden Schutzbedarfen.

In der Praxis starten Organisationen meist mit einem Workshop zur Risikoidentifikation, gefolgt von der Erstellung einer Risikomatrix. Die Ergebnisse werden dokumentiert und in ein zentrales Risikoregister überführt, das laufend aktualisiert und im Management-Review besprochen wird.

Gängige Standards und Leitfäden für Risikoanalysen

Diese Standards stellen sicher, dass Risikoanalysen konsistent, nachvollziehbar und wirksam sind. Sie bilden die Grundlage für ein integriertes Risikomanagement, das Risiken laufend kontrolliert und die Resilienz der Organisation stärkt:

  • ISO 31000:2018 – Risk management – Guidelines: Universeller Rahmen für das Risikomanagement in allen Branchen.
  • ISO/IEC 27005:2022 – Information security risk management: Spezifische Anwendung auf Informationssicherheit zur Erfüllung von ISO 27001-Anforderungen.
  • BSI-Standard 200-3 – IT-Grundschutz-Methodik: Vorgehensmodell für Risikoanalysen in deutschen Behörden und Unternehmen.
  • ISO 22301 – Business Continuity Management: Behandelt Risikoanalyse im Kontext der unterbrechungsfreien Geschäftsprozesse.
  • Weitere Leitfäden: Nationale Regelwerke (z.B. BSI-Grundschutz-Kompendium), branchenspezifische Standards (z.B. NIST SP 800-30).

Weitere Informationen

Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=Riskoanalyse&oldid=1763