Der IS-Risikomanagementprozess (ISO/IEC 27005)
Vom Bauchgefühl zum belastbaren Prozess
ISO/IEC 27005:2022 beschreibt, wie Informationssicherheitsrisiken systematisch gemanagt werden – als iterativer, kontinuierlicher Prozess, der mindestens jährlich und zusätzlich anlassbezogen durchläuft. Sechs Schritte greifen ineinander, flankiert von durchgängiger Kommunikation, Konsultation und Dokumentation.
Die sechs Schritte im Überblick
- Kontext und Früherkennung: Externe Faktoren (Bedrohungslandschaft, Regulatorik, Technologie), interne Faktoren (Organisation, IT, Prozesse) und die Anforderungen interessierter Parteien bestimmen den Rahmen; ein Bedrohungsradar macht neue Risiken früh sichtbar.
- Risikoidentifikation: Systematische Erfassung entlang des Informationsverbunds – Bedrohungen (Threats), Schwachstellen (Vulnerabilities), Schutzgüter (Assets) und Auswirkungen auf die Schutzziele (CIA+). Ergebnis ist ein gepflegtes Risikoregister.
- Analyse und Bewertung: Jedes Risiko wird nach Schadenshöhe und Eintrittswahrscheinlichkeit eingestuft; die Risikomatrix übersetzt beides in ein Risikoniveau mit klaren Behandlungsregeln.
- Risikobehandlung: Vermeiden, mindern, übertragen oder akzeptieren – dokumentiert im Risikobehandlungsplan (RTP); Controls werden aus Annex A der ISO/IEC 27001 gewählt und im Statement of Applicability (SoA) begründet.
- Steuerung und Restrisiken: Maßnahmen werden nach Risikograd priorisiert und auf Wirksamkeit geprüft; verbleibende Restrisiken werden ausgewiesen und vom Risikoeigner formell akzeptiert.
- Überwachung und Überprüfung: Kontinuierliches Monitoring, interne Audits (Kap. 9.2) und die jährliche Managementbewertung (Kap. 9.3) halten den Prozess wirksam.
Vier Wege der Risikobehandlung
Nicht jedes Risiko verlangt eine Maßnahme – aber jedes verlangt eine Entscheidung. Vermeiden heißt, die riskante Aktivität zu unterlassen, wenn sie sich nicht auf ein akzeptables Niveau bringen lässt. Mindern heißt, mit gezielten Controls Wahrscheinlichkeit oder Schaden zu senken. Übertragen verlagert Risiken etwa auf Versicherungen oder Dienstleister – die Verantwortung bleibt beim Risikoeigner. Und Akzeptieren ist kein Wegsehen, sondern eine informierte, dokumentierte Entscheidung innerhalb der Risikotoleranz, oberhalb definierter Schwellen mit Genehmigung der Geschäftsführung.
Wie aus Schadenshöhe und Wahrscheinlichkeit ein Risikoniveau wird, zeigt die Seite „Risiken bewerten: Kriterien und Risikomatrix“.

