Risiken steuern: KPIs, Berichte, Eskalation
Ein Risikoregister ist kein Selbstzweck
Viele Organisationen bewerten Risiken einmal – und dann veralten die Einträge im Register. Wirksam wird Risikomanagement erst durch den Regelkreis danach: klare Verantwortung pro Risiko, messbare Kennzahlen, verlässliche Berichte und definierte Eskalationswege. Erst dann kann eine Geschäftsführung tatsächlich steuern.
Jedes Risiko hat einen Namen
Das Fundament ist die Rollenarchitektur: Die Geschäftsführung trägt die Gesamtverantwortung, genehmigt Strategie und Behandlungsplan und entscheidet über Risiken oberhalb der Schwellenwerte. Der Informationssicherheitsbeauftragte (ISB) steuert den Prozess, pflegt Risikobehandlungsplan und SoA und berichtet quartalsweise – direkt der Geschäftsführung unterstellt. Jedes identifizierte Risiko wird einem Risikoeigner zugewiesen, der es bewertet, behandelt und überwacht. Und alle Mitarbeitenden melden risikorelevante Sachverhalte unverzüglich. Bei personenbezogenen Daten ist der Datenschutzbeauftragte stets einbezogen; Notfallmanagement und BCM sind angebunden.
Messen statt vermuten
Kennzahlen machen die Wirksamkeit des Risikomanagements sichtbar – etwa die Zahl unbehandelter wesentlicher Risiken, der Anteil fristgerecht umgesetzter Maßnahmen, kritische offene Schwachstellen nach Ablauf der Patch-Frist, die Verfügbarkeit kritischer Systeme oder die Awareness-Schulungsabdeckung. Jede Kennzahl hat Zielwert, Turnus und Verantwortlichen; Abweichungen lösen Korrekturmaßnahmen oder Eskalationen aus.
Berichten, bevor es brennt
Das Berichtswesen arbeitet zweigleisig: Regelmäßige Risikoberichte liefern quartalsweise das Gesamtbild – Risikoinventur, Bewertung, Gesamtrisikoprofil, Stand der Maßnahmen – mit zukunftsorientierter Einschätzung statt reiner Rückschau. Ad-hoc-Berichte greifen sofort bei kritischen Ereignissen: Cyberangriffe, Datenpannen, Schwellenwertüberschreitungen, rechtlich relevante Sachverhalte. Definierte Eskalationsverfahren stellen sicher, dass nichts in der Linie hängen bleibt – jede Eskalation wird dokumentiert, nachverfolgt und mündet in Entscheidungen oder Korrekturmaßnahmen.
Die methodische Grundlage dieses Regelkreises beschreibt die Seite „Der IS-Risikomanagementprozess nach ISO/IEC 27005“ – die übergreifende Architektur die Einstiegsseite „Risikomanagement“.
