Risikobehandlung.

Risikobehandlung ist das, was Sie tun, sobald Sie das Risiko kennen: vermeiden, reduzieren, übertragen, akzeptieren. Jede Entscheidung wird dokumentiert, durch die Risikobereitschaft begründet und über das SoA zu den Kontrollen und den Betriebsnachweisen nachverfolgt. Die meisten gescheiterten Audits lassen sich auf eine Sache zurückführen: Behandlungsplan und Realität haben sich auseinanderentwickelt, und niemand hat das SoA aktualisiert.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyRisk managementAll entries

Die Einschätzung der Cyber Academy

Risikobehandlung ist das, was Sie tun, sobald Sie das Risiko kennen: vermeiden, reduzieren, übertragen, akzeptieren. Jede Entscheidung wird dokumentiert, durch die Risikobereitschaft begründet und über das SoA zu den Kontrollen und den Betriebsnachweisen nachverfolgt. Die meisten gescheiterten Audits lassen sich auf eine Sache zurückführen: Behandlungsplan und Realität haben sich auseinanderentwickelt, und niemand hat das SoA aktualisiert.

Die vier Optionen der Risikobehandlung

Die Risikobehandlung ist der Schritt, in dem aus der Bewertung Handeln wird. Sobald ein Risiko identifiziert, analysiert und an Ihren Kriterien gemessen wurde, müssen Sie entscheiden, wie Sie damit umgehen. Das übliche Vokabular, das ISO 31000 und ISO/IEC 27005 gemeinsam haben, bietet Ihnen vier Familien von Reaktionen. Sie sind nicht von der besten zur schlechtesten geordnet; die richtige Wahl hängt vom Risiko, von den Kosten der Maßnahme und von der Risikobereitschaft ab, die die Leitung freigegeben hat.

  • Vermeiden: die Aktivität einstellen, die das Risiko erzeugt, oder sie anders ausführen. Sie nehmen den exponierten Dienst außer Betrieb, streichen die Funktion oder verlassen den Markt, der die Exposition auslöst.
  • Vermindern (verändern): Maßnahmen anwenden, die die Eintrittswahrscheinlichkeit, die Auswirkung oder beides senken. Dies ist der häufigste Weg und derjenige, der unmittelbar an Ihr Maßnahmenset anknüpft.
  • Übertragen (teilen): einen Teil der finanziellen oder operativen Folge auf einen Dritten verlagern, in der Regel durch eine Versicherung oder eine vertragliche Klausel. Die Übertragung verlagert selten das gesamte Risiko; Ihnen bleibt der reputationsbezogene und regulatorische Rest.
  • Akzeptieren (beibehalten): entscheiden, dass das Restrisiko tolerierbar ist, und damit leben, nachweislich dokumentiert. Die Akzeptanz ist eine legitime Entscheidung und kein Versäumnis, solange die zuständige Stelle sie zeichnet.

Von der Entscheidung zum Nachweis: die Kette, der Auditoren folgen

Das Schwierige an der Risikobehandlung ist nicht die Wahl einer Option, sondern die durchgängige Kohärenz des Belegpfads. Jede Entscheidung sollte unter Bezugnahme auf die dokumentierte Risikobereitschaft begründet, in einem Risikobehandlungsplan festgehalten und dann bis zu den Maßnahmen, die sie umsetzen, und den Nachweisen ihres Betriebs nachverfolgt werden. In einem Informationssicherheits-Managementsystem nach ISO/IEC 27001 lebt hier die Erklärung zur Anwendbarkeit (SoA): Sie erfasst, welche Maßnahmen des Annex A gelten, warum und wo der Nachweis liegt.

Die mit Abstand häufigste Audit-Feststellung in diesem Bereich ist die Drift. Der Behandlungsplan sagte das eine, die SoA das andere, und der Betrieb vor Ort hatte sich von beidem entfernt. Eine Maßnahme wird ausgemustert, ein Projekt ändert seinen Umfang, ein Lieferant wird ausgetauscht, und niemand aktualisiert die Dokumente. Die Entscheidungen mögen für sich genommen alle vernünftig gewesen sein, doch die Kette stimmt nicht mehr überein, und diese Unstimmigkeit ist es, die eine Nichtkonformität hervorbringt.

Restrisiko und Neubewertung

Die Behandlung lässt ein Risiko nicht verschwinden. Was nach Anwendung der Maßnahmen übrig bleibt, ist das Restrisiko, und das ist der Wert, den der Risikoeigentümer tatsächlich akzeptiert. Gute Praxis ist es, die Analyse für das behandelte Risiko erneut durchzuführen, damit das Restniveau ausdrücklich wird, und es dann wieder über dieselbe Akzeptanzbefugnis zu leiten. ISO/IEC 27005, seit ihrer Überarbeitung von 2022 an den Grundsätzen von ISO 31000 ausgerichtet, fasst dies als iterative Schleife und nicht als einmalige Übung auf: Sie behandeln, Sie messen, was bleibt, Sie akzeptieren oder behandeln erneut.

Was Praktiker tatsächlich tun

In der täglichen GRC-Arbeit wird die Risikobehandlung als lebender Plan und nicht als Projektliefergegenstand geführt. Ein praktikabler Rhythmus sieht so aus:

  1. Verknüpfen Sie jede Behandlungsentscheidung mit einem benannten Risiko im Register und mit der Bereitschaftserklärung, die sie rechtfertigt, damit die Begründung den Personalwechsel überdauert.
  2. Weisen Sie jeder Maßnahme zum «Vermindern» einen einzigen rechenschaftspflichtigen Verantwortlichen und ein Zieldatum zu und verfolgen Sie sie wie jede andere Verpflichtung.
  3. Halten Sie die SoA, den Behandlungsplan und die Maßnahmennachweise in einem festen Takt abgestimmt, nicht erst vor einem Audit.
  4. Erfassen Sie das Restrisiko und die Akzeptanzunterschrift für alles, was Sie nicht vollständig mindern, einschließlich der Risiken, die Sie übertragen.

So ausgeführt, hört der Behandlungsplan auf, Audit-Theater zu sein, und wird zum Ort, an dem die Organisation ehrlich sagen kann, wem sie ausgesetzt ist und wer entschieden hat, dass dies akzeptabel war.

Frequently asked questions

01Was sind die vier Optionen der Risikobehandlung?

Vermeiden, vermindern (verändern), übertragen (teilen) und akzeptieren (beibehalten). ISO 31000 und ISO/IEC 27005 teilen dieses Vokabular. Keine ist von Natur aus überlegen; die Wahl hängt vom Risiko, von den Kosten der Behandlung und von Ihrer Risikobereitschaft ab.

02Ist das Akzeptieren eines Risikos dasselbe wie das Ignorieren?

Nein. Die Akzeptanz ist eine bewusste, dokumentierte Entscheidung, unterzeichnet von jemandem mit der richtigen Befugnis. Ein Risiko zu ignorieren lässt es unbehandelt und nicht erfasst, was genau das ist, was ein Auditor als Lücke beanstandet.

03Wie hängt die Risikobehandlung mit der Erklärung zur Anwendbarkeit zusammen?

In einem ISMS nach ISO/IEC 27001 steuern Behandlungsentscheidungen zur Risikominderung die Maßnahmen, die Sie auswählen, und die SoA erfasst, welche Maßnahmen gelten, warum und wo der Nachweis liegt. Der Behandlungsplan und die SoA müssen miteinander und mit der Realität konsistent bleiben.

04Was ist das Restrisiko in diesem Zusammenhang?

Das Restrisiko ist das, was übrig bleibt, nachdem Sie Ihre gewählten Maßnahmen angewendet haben. Es ist das Niveau, das der Risikoeigentümer tatsächlich akzeptiert, daher ist es gute Praxis, es ausdrücklich neu zu bewerten und wieder über Ihre Akzeptanzbefugnis zu leiten.

05Beseitigt die Übertragung eines Risikos Ihre Verantwortung?

Selten. Eine Versicherung oder eine vertragliche Klausel kann die finanzielle oder operative Folge auf einen Dritten verlagern, doch in der Regel behalten Sie die reputationsbezogene und regulatorische Exposition, und die Rechenschaftspflicht für das Risiko bleibt bei Ihnen.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.