Beschreibung¶
Das systematische Identifizieren, Analysieren, Bewerten, Steuern und Überwachen von Chancen und Risiken wird als Chancen und Risikomanagement bezeichnet.
Im Folgenden sind die dafür notwendigen, grundlegenden Schritte dargestellt. Die detaillierte ISMS Methode ist der Richtlinie zum Chancen- und Risikomanagement beschrieben.
[!tip] Beim Chancen- und Risikomanagement handelt es sich um einen Prozess, der immer wieder von neuem beginnt und mindestens einmal im Jahr durchlaufen werden sollte. Unser Tipp: Fang erst einmal klein an und verbessere dich bei jedem Durchlauf.
Vorgehen¶
| Aktivität | Beschreibung | Anmerkung | |
|---|---|---|---|
| 1 | Top 5 Geschäftsprozesse identifizieren | Im 1. Schritt identifiziert die Geschäftsführung zusammen mit dem Informationssicherheitsbeauftragten die Top 5 der Geschäftsprozesse. Welches sind die Kernprozesse im Unternehmen ohne die kein Geld verdient werden würde? Eine Störung dieser Prozesse zieht unmittelbar einen finanziellen Schaden und/oder einen Schaden der Reputation mit sich. | Behalte insbesondere die Geschäftsprozesse im Fokus, in denen kritischen Informationen (z.B. Kundendaten) verarbeitet werden. Du hast mehr als 5 kritische Prozesse identifiziert? Kein Problem aber nimm dir für den Anfang nicht zu viel vor. Im Zweifelsfall erweiterst du die Menge der Prozesse im nächsten Jahr. |
| 2 | Durchführung der Strukturanalyse | Nachdem die Top 5 der Geschäftsprozesse definiert sind, folgt die Strukturanalyse. Welche Anwendungen, IT-Systeme oder vielleicht auch Gebäude und Personen sind für diese Prozesse wichtig? Nutzt die vorhandene Dokumentation und das Wissen der Experten, aber verliert euch nicht in den Details. Eine grobe Architekturskizze der einzelnen Komponenten reicht meist schon aus. | |
| 3 | Erstellung von Chancen und Risiken anhand des Gefährdungskatalogs | Die Vorbereitungsphase ist nun fast abgeschlossen. Ergänze jetzt die im SmartKit erfassten Geschäftsprozesse um die jeweils relevanten Chancen Risiken anhand der Vorlagen aus dem Gefährdungskatalog. Der Gefährdungskatalog ist dazu unmittelbar auf der Seite des Geschäftsprozesses dargestellt. Es kann vorab auch bereits schon einmal eine vorläufige Bewertung der somit identifizierten Risiken vorgenommen werden. | |
| 4 | Ermittlung zusätzlicher Chancen- und Risiken | Ermittle die Chancen und Risiken, die über die Chancen und Risiken aus dem Gefährdungskatalog hinausgehen und sich aus dem jeweiligen Prozess und der dahinterliegenden notwendigen Struktur (Produkten, Anwendungen, IT-Systeme, Personen, Gebäude etc.) ergeben. | Chancen und Risiken sollten so konkret wie möglich formuliert werden, das erleichtert die Bewertung und das Beschreiben von Maßnahmen. |
| 5 | Bewertung der Chancen und Risiken | Alle ermittelten Chancen und Risiken werden bewertet, um deren Kritikalität zu bestimmen. 1. Reaisierungswahrscheinlichkeit / Eintrittswahrscheinlichkeit: Die Wahrscheinlichkeit muss durch geeignetes Fachpersonal eingeschätzt werden. Die Einschätzung kann sich dabei z.B. auf Statistiken und eigene Erfahrungen stützen. 2. Erwarteter Nutzen / Schadenshöhe: Hierbei geht es darum, wie sich der Eintritt einer Chance / eines Risikos auswirkt, d. h. welche Nutzen und Schäden (finanzieller und anderer Art) entstehen. Der Chance- bzw. Risikowert ergibt sich aus den jeweiligen Einstufungen und kann in der Chancen- bzw. Risikomatrix ermittelt werden. Risiken mit einem hohen Risikowert müssen behandelt werden. | Aus der Richtlinie zum Risikomanagement: "Risiken mit einem hohen Risikowert, A-Risiken, müssen behandelt werden. Risiken mit einem mittleren Risikowert, B-Risiken, sollten behandelt werden. C-Risiken gelten automatisch als akzeptiert, können jedoch ebenfalls behandelt werden." |
| 6 | Risikobehandlung | Im Anschluss an den Workshop wird festgelegt, wie mit den identifizierten Risiken umgegangen wird. Die Möglichkeiten zum Umgang mit einem Risiko sind: - Risikovermeidung (Einstellen bzw. Anpassung einer Tätigkeit) - Risikoreduktion (Ermittlung von Sicherheitsmaßnahmen) - Risikotransfer (z.B. Versicherung) - Risikoakzeptanz(die Geschäftsführung trägt die Risiken). |
Linksammlung¶
| Bezeichnung | Beschreibung | Pfad/Link | Anmerkung |
|---|---|---|---|
| Chancen- und Risikoanalysen | Auf dieser Seite Chancen- und Risikoanalysen angelegt und durchgeführt. | Link | |
| Richtlinie zum Chancen- und Risikomanagement | Dokument mit weiteren Details zum Thema ISMS Risikomanagement. | Link | |
| Risikoakzeptanz | Template zur Risikobehandlung bei Akzeptanz des Risikos durch die Geschäftsführung. | Link | |
| Maßnahmen | Template zur Risikobehandlung bei Reduktion des Risikos durch Maßnahmen. | Link |
\
Seiteninhalt
Änderungshistorie¶
| Datum | Autor | Änderung |
|---|---|---|
| 2026-02-15 | Visitrans | Execute SPEC-02: YAML frontmatter for 646 files, link conversion, validation |
| 2026-02-15 | Visitrans | Fix table conversion: colspan expansion, header promotion, line breaks |
| 2026-02-14 | Visitrans | Execute SPEC-01: Bulk-Export 646 Confluence pages to Obsidian vault |