Argana Consulting GmbH
 Ihr externer Partner für Informationssicherheit, Datenschutz und Risikomanagement

Risiken steuern: KPIs, Berichte, Eskalation


Ein Risikoregister ist kein Selbstzweck

Viele Organisationen bewerten Risiken einmal – und dann veralten die Einträge im Register. Wirksam wird Risikomanagement erst durch den Regelkreis danach: klare Verantwortung pro Risiko, messbare Kennzahlen, verlässliche Berichte und definierte Eskalationswege. Erst dann kann eine Geschäftsführung tatsächlich steuern.


Jedes Risiko hat einen Namen

Das Fundament ist die Rollenarchitektur: Die Geschäftsführung trägt die Gesamtverantwortung, genehmigt Strategie und Behandlungsplan und entscheidet über Risiken oberhalb der Schwellenwerte. Der Informationssicherheitsbeauftragte (ISB) steuert den Prozess, pflegt Risikobehandlungsplan und SoA und berichtet quartalsweise – direkt der Geschäftsführung unterstellt. Jedes identifizierte Risiko wird einem Risikoeigner zugewiesen, der es bewertet, behandelt und überwacht. Und alle Mitarbeitenden melden risikorelevante Sachverhalte unverzüglich. Bei personenbezogenen Daten ist der Datenschutzbeauftragte stets einbezogen; Notfallmanagement und BCM sind angebunden.


Messen statt vermuten

Kennzahlen machen die Wirksamkeit des Risikomanagements sichtbar – etwa die Zahl unbehandelter wesentlicher Risiken, der Anteil fristgerecht umgesetzter Maßnahmen, kritische offene Schwachstellen nach Ablauf der Patch-Frist, die Verfügbarkeit kritischer Systeme oder die Awareness-Schulungsabdeckung. Jede Kennzahl hat Zielwert, Turnus und Verantwortlichen; Abweichungen lösen Korrekturmaßnahmen oder Eskalationen aus.


Berichten, bevor es brennt

Das Berichtswesen arbeitet zweigleisig: Regelmäßige Risikoberichte liefern quartalsweise das Gesamtbild – Risikoinventur, Bewertung, Gesamtrisikoprofil, Stand der Maßnahmen – mit zukunftsorientierter Einschätzung statt reiner Rückschau. Ad-hoc-Berichte greifen sofort bei kritischen Ereignissen: Cyberangriffe, Datenpannen, Schwellenwertüberschreitungen, rechtlich relevante Sachverhalte. Definierte Eskalationsverfahren stellen sicher, dass nichts in der Linie hängen bleibt – jede Eskalation wird dokumentiert, nachverfolgt und mündet in Entscheidungen oder Korrekturmaßnahmen.


Die methodische Grundlage dieses Regelkreises beschreibt die Seite „Der IS-Risikomanagementprozess nach ISO/IEC 27005“ – die übergreifende Architektur die Einstiegsseite „Risikomanagement“.