Identifikation & Bewertung¶
Risiko¶
Hier sollten Risiken erfasst werden, welche den nachhaltigen und langfristigen Erfolg der Organisation oder gar deren Existenz gefährden.
Chance¶
Hier können Chancen erfasst werden, welche mit Risiken, Prozessen oder der Qualität von Produkten und Dienstleistungen in Zusammenhang stehen.
Spezifische ISMS Risiken¶
Datenschutz-Risiko¶
ISMS Lieferantenrisiko
Wurden bei der Bewertung oder Auswahl von Lieferanten, Risiken identifiziert, werden diese hier erfasst.
ISMS Projektrisiko
Risiken, welche aus der Risikobetrachtung einzelner Projekte stammen und die Informationssicherheit betreffen, werden hier erfasst.
Spezifische ISMS Risiken: BSI Gefährdungskatalog¶
Der nachfolgender Gefährdungskatalog basiert auf den Empfehlungen des BSI (Elementare Gefährdungen des BSI-IT-Grundschutz). Der Katalog dient dazu, Risiken systematisch und auf allen Ebenen zu identifizieren. Die darin enthaltenen Gefährdungen sollten im Rahmen des ISMS mindestens jährlich für alle Kernprozesse auf deren Relevanz hin geprüft werden. Für zutreffende Gefährdungen sollte ein entsprechendes Risiken erfasst, bewertet sowie ggf. dessen Behandlung eingeleitet werden.
Elementare Gefährdungen gem. BSI IT-Grundschutz-Kompendium¶
| Höhere Gewalt & Menschliche Fehlhandlungen | Organisatorische Mängel | Technisches Versagen | Vorsätzliche Handlungen |
|---|---|---|---|
| Höhere Gewalt (z.B. Blitz, Feuer, Wasser etc.) Feuer, Wasser, Sturm oder andere Gefährdungen die als "höhere Gewalt" zusammengefasst werden, können schwere Schäden an Menschen, Gebäuden und IT-Systemen verursachen. |
Fehlende oder unzureichende Angriffserkennung Eine sinnvolle Auswertung von Protokolldaten ist notwendig, um Fehleranalysen durchführen und erfolgte Angriffe identifizieren zu können. |
Ausfall oder Störung der Stromversorgung Von der Stromversorgung sind nicht nur die offensichtlichen, direkten Stromverbraucher abhängig, sondern alle Infrastruktureinrichtungen. |
Abstreiten von Handlungen Personen können abstreiten, bestimmte Handlungen begangen zu haben, wenn diese gegen Anweisungen oder Gesetze verstoßen. |
| Fehlerhafte Nutzung oder Administration von Geräten und Systemen Eine fehlerhafte Nutzung kann die Sicherheit beeinträchtigen, vor allem wenn Sicherheitsmaßnahmen missachtet werden. |
Fehlende oder unzureichende Dokumentation Bei unzureichender Dokumentation kann sich die Fehlerdiagnose erheblich verzögern. |
Ausfall oder Störung von Kommunikationsnetzen Das Internet ist ein unverzichtbares Kommunikationsmedium geworden. |
Diebstahl (von Geräten, Datenträgern oder Dokumenten) Durch Diebstahl entstehen Kosten für Wiederbeschaffung und Ausfallzeiten. |
| Fehlende oder unzureichende Regelungen Regelungen müssen nicht nur festgelegt, sondern auch bekannt und verstanden werden. |
Ausfall von IT-Systemen Der Ausfall kann zu einem Ausfall wichtiger Geschäftsprozesse führen. |
Missbrauch von (administrativen) Berechtigungen Missbräuchliche Nutzung von Berechtigungen außerhalb des vorgesehenen Rahmens. |
|
| Fehlende oder unzureichende Wartung Regelmäßige Wartung ist notwendig für die Funktionsfähigkeit der Technik. |
Datenverlust Daten können unbeabsichtigt oder unerlaubt gelöscht werden. |
Offenlegung schützenswerter Informationen Vertrauliche Daten können durch technisches Versagen oder vorsätzliche Handlungen offengelegt werden. |
|
| Personalausfall Personal kann durch Krankheit, Unfall oder andere Gründe ausfallen. |
Software-Schwachstellen oder -Fehler Schwachstellen können zu Sicherheitslücken führen. |
Sabotage & Vandalismus Mutwillige Manipulation oder Beschädigung von Systemen. |
|
| Schadprogramme Viren, Würmer, Trojaner und andere Malware können umfangreiche Schäden verursachen. |
|||
| Social Engineering & Phishing Manipulation von Mitarbeitern durch Ausnutzung menschlicher Eigenschaften. |
|||
| Unbefugter Zutritt zu schutzbedürftigen Räumlichkeiten Eindringlinge könnten sensible Informationen entwenden oder Systeme manipulieren. |
|||
| Verhinderung von Diensten / Denial of Service (DoS) Angriffe die darauf abzielen, Dienstleistungen zu verhindern. |
Hinweis: Wenn du einzelne Chancen & Risiken einem Geschäftsprozess oder einem Lieferanten zuordnen willst, denk daran, dass Label (Prozess-ID oder Lieferanten-ID) in der erfassten Chance bzw. dem Risiko zu setzen. Detaillierte Hilfe zur Chancen & Risikoidentifikation und Bewertung findest du in der entsprechenden Richtlinie.
Beim Erfassen von Chancen und Risiken werden IDs vergeben. Die folgende Übersicht kann dabei helfen, schnell einen Überblick über die bereits vergebenen IDs zu bekommen.
Verwandte Seiten¶
Änderungshistorie¶
| Datum | Autor | Änderung |
|---|---|---|
| 2026-02-15 | Visitrans | Execute SPEC-02: YAML frontmatter for 646 files, link conversion, validation |
| 2026-02-15 | Visitrans | Fix table conversion: colspan expansion, header promotion, line breaks |
| 2026-02-14 | Visitrans | Execute SPEC-01: Bulk-Export 646 Confluence pages to Obsidian vault |