Risikoanalysen

  1. Übersicht
  2. Privacytool
  3. 4. Informationssicherheit
  4. Risikoanalysen

Modul Risikoanalysen: Überblick

Das Modul Risikoanalysen ermöglicht eine strukturierte Bewertung und Verwaltung von Risiken innerhalb der Organisation. Es dient dazu, Bedrohungen zu identifizieren, ihre Auswirkungen zu bewerten und geeignete Maßnahmen zur Risikominimierung festzulegen.
Hauptfunktionen des Moduls:

  • Erstellen, Bearbeiten und Verwalten von Risikoanalysen
  • Übersichtliche tabellarische Darstellung bestehender Risikoanalysen
  • Einstufung von Schutzzielen (Integrität, Verfügbarkeit, Vertraulichkeit)
  • Risikoeinschätzung vor und nach Maßnahmen
  • Export von Risikoanalysen als PDF-Bericht für Dokumentationszwecke

Tabellarische Ansicht der Risikoanalysen

Das Modul bietet eine übersichtliche Tabelle, in der alle angelegten Risikoanalysen angezeigt werden:

  • Bezeichnung: Name der Risikoanalyse
  • Betroffene Schutzziele: Welche Schutzziele (Integrität, Verfügbarkeit, Vertraulichkeit) betroffen sind
  • Basisrisiko: Ausgangsbewertung des Risikos vor Maßnahmen
  • Aktuelles Risiko: Bewertung des Risikos nach bereits umgesetzten Maßnahmen
  • Projiziertes Risiko: Erwartete Risikostufe nach vollständiger Umsetzung aller Maßnahmen
  • Such- und Filterfunktion: Ermöglicht das gezielte Auffinden spezifischer Risikoanalysen
  • Massenaktionen: Ermöglicht das Löschen oder Kopieren von Risikoanalysen in andere Organisationen.

Zusätzlich kann über die Funktion „Einstellungen bearbeiten“ (unten rechts) direkt in das Modul Bedrohungen gewechselt werden. Hier können Einstellungen für die Risikoanalyse vorgenommen werden, wie z. B. die Definition von Bedrohungen oder die Anpassung der Risikomatrizen.

PDF-Berichte: Risikoanalysen exportieren

Das Modul bietet die Möglichkeit, Risikoanalysen als PDF-Report zu exportieren. Dies dient der internen Dokumentation und kann z. B. für Prüfungen oder Audits verwendet werden.

Funktionen des PDF-Exports:

  • Detaillierte Darstellung der Risikoanalyse mit allen Schutzzielen, Einstufungen und Maßnahmen
  • Farbcodierte Risikobewertungen zur besseren Übersicht
  • Maßnahmen und Status der Umsetzung als zusammenfassende Darstellung
  • Grafische Risikoübersicht mit Wahrscheinlichkeiten und Schadenshöhen

Das Modul Risikoanalysen ermöglicht eine strukturierte Erfassung und Bewertung von Risiken. Durch die tabellarische Übersicht lassen sich Risikoanalysen einfach verwalten. Die PDF-Export-Funktion bietet eine standardisierte Möglichkeit zur Dokumentation und externen Berichterstattung.

Risikoanalysen erstellen und verwalten

Das Modul Risikoanalysen unterstützt Organisationen bei der strukturierten Bewertung und Minimierung von Risiken. Es unterstützt bei der Identifikation von Bedrohungen, der Bewertung von Risiken und der Planung geeigneter Maßnahmen.

In diesem Beispiel wird die Risikobewertung für den Server eines Unternehmens durchgeführt. Dabei werden Ausfälle, Cyberangriffe und Datenverlust als zentrale Bedrohungen betrachtet. Ziel ist es, Risiken für Verfügbarkeit, Integrität und Vertraulichkeit zu bewerten und durch geeignete Maßnahmen zu reduzieren.

Grundangaben

Beim Erstellen einer neuen Risikoanalyse werden zunächst die Grundangaben festgelegt:

  • Bezeichnung: Der Name der Risikoanalyse, z. B. Serverbetrieb.
  • Beschreibung: Eine kurze Beschreibung des zu analysierenden Szenarios.
  • Risikomatrix: Auswahl der Bewertungsmethodik für die Risikoeinschätzung (z. B. BSI-Standard 200-3).
  • Betroffene Schutzziele: Auswahl der relevanten Schutzziele (Integrität, Verfügbarkeit, Vertraulichkeit).

Hinweis: Die Wahl der Risikomatrix bestimmt die Bewertung von Bedrohungen und Risikostufen. Die Risikomatrix und der Schutzbedarf können im Modul Bedrohungen definiert und an die spezifischen Anforderungen der Organisation angepasst werden.

Anwendungsbereich

Im Abschnitt Anwendungsbereich wird festgelegt, welche Assets (z. B. IT-Systeme, Geräte, Netzwerkinfrastruktur) in die Risikoanalyse einfließen.

Funktionen:

  • Übersicht zugeordneter Assets mit deren Schutzbedarf.
  • Neues Asset hinzufügen aus dem Asset-Register.
  • Maximaler Schutzbedarf  als höchste Schutzbedarfsstufe innerhalb der Analyse.

In der Beispielanalyse wurde das Asset Server hinzugefügt. Der Schutzbedarf wurde als hoch für Integrität und Vertraulichkeit sowie sehr hoch für Verfügbarkeit definiert, da der Server geschäftskritische Daten verarbeitet.

Risikoeinschätzung

Im Bereich der Risikoeinschätzung werden Bedrohungen identifiziert und bewertet. Jede Bedrohung wird anhand der Eintrittswahrscheinlichkeit und Schadenshöhe klassifiziert, um das Risiko fundiert zu bewerten und geeignete Maßnahmen abzuleiten.

Die Übersicht zeigt alle erfassten Bedrohungen, ihre Basiseinschätzung, geplante Behandlung und den aktuellen Bearbeitungsstatus. 



Neue Bedrohungen werden über „Bedrohung hinzufügen“ erfasst. Eine Suchfunktion erleichtert die Auswahl passender Bedrohungen aus einer vordefinierten Liste im Modul Bedrohungen


Nach der Auswahl einer Bedrohung erfolgt die Basiseinschätzung. Sie dient als Entscheidungsgrundlage für Maßnahmen. 

Basierend darauf wird eine Behandlungsstrategie festgelegt: z.B. Akzeptieren, Reduzieren oder Übertragen. 

Zur konkreten Umsetzung können hier schon direkt Maßnahmen definiert werden.

Maßnahmen

Im Bereich Maßnahmen werden konkrete Schritte zur Risikoreduzierung definiert, verwaltet und nachverfolgt. Jede Maßnahme ethält eine Bezeichnung, eine Beschreibung sowie einen Bearbeitungsstatus. So lässt sich nachvollziehen, welche Schutzmaßnahmen bereits umgesetzt oder noch in Bearbeitung sind.

Die Maßnahmenübersicht zeigt alle definierten Maßnahmen sowie deren aktuellen Status an. 

Neue Maßnahmen können direkt über die Schaltfläche "Neue Maßnahme" erfasst werden. Neben Bezeichnung und Beschreibung können Priorität und Bearbeitungsstatus festgelegt werden. Um die Umsetzung effizient zu steuern, kann eine Umsetzungsaufgabe erstellt und einem Verantwortlichen zugewiesen werden. 

Durch die strukturierte Verwaltung der Maßnahmen lässt sich der Fortschritt der Risikobehandlung gezielt steuern. Die Verknüpfung mit der Risikoeinschätzung ermöglicht eine kontinuierliche Bewertung der ergriffenen Maßnahmen und deren Einfluss auf das verbleibende Restrisiko.

Risikoübersicht

Die Risikoübersicht visualisiert die bewerteten Risiken und stellt die verschiedenen Einschätzungsstufen gegenüber. Sie zeigt das Basisrisiko, das aktuelle Risiko nach Umsetzung von Maßnahmen und das projizierte Risiko nach geplanten Maßnahmen. Dadurch lässt sich nachvollziehen, wie sich das Risiko durch getroffene oder geplante Maßnahmen verändert.

Die Risikoübersicht ist in eine Matrix aus Wahrscheinlichkeit und Schadenshöhe unterteilt. Die Zellen sind farblich gekennzeichnet, um die Kritikalität der Risiken auf einen Blick zu erfassen. Grün steht für geringe, Gelb für moderate und Rot für hohe Risiken.

Durch die Risikoübersicht wird der gesamte Risikomanagementprozess transparent und nachvollziehbar. Sie unterstützt die kontinuierliche Bewertung der Wirksamkeit von Maßnahmen und erleichtert die Entscheidungsfindung zur weiteren Risikominimierung.

Stellungnahme / Fazit

Die Stellungnahme / Fazit fasst die wesentlichen Erkenntnisse der Risikoanalyse zusammen, bewertet die derzeitige Risikosituation und leitet konkrete Empfehlungen ab.

Über den PDF-Export kann jederzeit ein aktueller Bericht der Risikoanalyse generiert werden. Dieser enthält alle Einschätzungen, Maßnahmen und das Fazit und und erleichtert die Dokumentation sowie den Austausch mit Stakeholdern.

Geschrieben von DSEV Zuletzt aktualisiert 23. Februar 2025
War dieser Artikel hilfreich?