Risikomanagement
Risiken managen heißt: entscheiden können
Jede Organisation trägt Risiken – die Frage ist nur, ob sie bewusst getragen werden. Ein wirksames Risikomanagement macht aus diffusen Bedrohungen dokumentierte, bewertete und verantwortete Entscheidungen: Welche Risiken vermeiden wir, welche mindern wir, welche tragen wir – und wer hat das wann auf welcher Grundlage entschieden?
Zwei Ebenen, klare Schnittstellen
Reife Organisationen trennen zwei Ebenen sauber: Das Enterprise Risk Management (ERM) nach ISO 31000:2018 bildet den unternehmensweiten Rahmen für alle Risikoarten – strategisch, operationell, finanziell, Compliance. Es gibt Risikoappetit, Risikokriterien und Eskalationsschwellen vor. Das Informationssicherheits-Risikomanagement nach ISO/IEC 27005:2022 arbeitet als fachspezifische Disziplin innerhalb dieses Rahmens: Es bewertet Risiken für Vertraulichkeit, Integrität und Verfügbarkeit im Rahmen des ISMS (ISO/IEC 27001:2022, Kap. 6.1) – mit eigener Tiefe bei Bedrohungen, Schwachstellen und Controls.
Entscheidend sind die Schnittstellen: Wesentliche IS-Risiken fließen in das unternehmensweite Risikoregister und das ERM-Reporting; umgekehrt übernimmt das IS-Risikomanagement Toleranzen und Schwellenwerte aus dem ERM. Und für den Konfliktfall gilt eine klare Vorrangregel zugunsten der Fachnorm. So entsteht ein Gesamtbild ohne Doppelarbeit – und ohne blinde Flecken zwischen den Ebenen.
Risikokultur: die unterschätzte Grundlage
Prozesse und Matrizen wirken nur, wenn Risiken auch gemeldet werden. Dazu gehören eine Geschäftsführung, die Risikoentscheidungen sichtbar trifft und dokumentiert, offene Kommunikation über Hierarchiestufen hinweg, regelmäßige Schulungs- und Awareness-Maßnahmen – und die Erwartung an alle Mitarbeitenden, risikorelevante Sachverhalte unverzüglich anzusprechen. Risikomanagement ist Führungsaufgabe und Alltagsverhalten zugleich.
Wie der Prozess im Detail funktioniert, zeigt die Seite „Der IS-Risikomanagementprozess nach ISO/IEC 27005“ – die Bewertungslogik erklärt „Risiken bewerten: Kriterien und Risikomatrix“.
