Die Einschätzung der Cyber Academy
ISO 31000 ist die internationale Leitliniennorm für das Risikomanagement: Grundsätze, Rahmenwerk, Prozess, anwendbar auf jede Organisation und jede Art von Risiko. Sie ist nicht zertifizierbar; der PECB-Pfad lautet Foundation, Risk Manager und anschließend Lead Risk Manager. Es gibt keinen ISO 31000 Lead Auditor: ISO 31000 ist eine Leitlinie, keine Managementsystemnorm, daher gibt es nichts, wogegen auditiert werden könnte.
TL;DR
- 1ISO 31000 ist eine Leitlinie, kein zertifizierbares Managementsystem. Es gibt keinen Lead Auditor.
- 2PECB-Pfad: Foundation (2 Tage), Risk Manager (5 Tage), Lead Risk Manager (5 Tage). Die höchste Qualifikation ist Lead Risk Manager.
- 3Foundation vermittelt das Vokabular, die Grundsätze und das Prozessmodell. Erforderliche Voraussetzung für die höheren Qualifikationen.
- 4Risk Manager wendet ISO 31000 auf einen bestimmten Anwendungsbereich an. Lead Risk Manager leitet das unternehmensweite Risikoprogramm über alle Funktionen hinweg.
- 5Ergänzt ISO 27005 (informationssicherheitsspezifisches Risiko) und EBIOS RM (strategische Cyber-Szenarien): unterschiedliche Blickwinkel auf dieselbe Risikodisziplin.
Wie der ISO-31000-Pfad in einer Organisation tatsächlich funktioniert
ISO 31000 implementiert man nicht so, wie man ein Managementsystem implementiert. Es gibt keine Erklärung zur Anwendbarkeit, keine verbindlichen Klauseln, die zu erfüllen sind, keinen Überwachungsauditzyklus. Was Sie stattdessen aufbauen, ist ein Risikomanagement-Rahmenwerk: eine Art und Weise, wie Risiken organisationsweit einheitlich identifiziert, analysiert, behandelt, überwacht und berichtet werden, sowie ein Prozess, dem die Personen in operativen Rollen tatsächlich folgen. Die Norm liefert Ihnen die Grundsätze und das Vokabular; die eigentliche Arbeit besteht darin, sie in Ihrer Governance, Ihren Gremien und Ihren Entscheidungspunkten mit Leben zu füllen.
Deshalb verläuft der Pfad so, wie er verläuft. Foundation gibt Ihnen die gemeinsame Sprache, damit "Eintrittswahrscheinlichkeit", "Risikokriterien", "Risikoappetit" und "Restrisiko" für alle im Raum dasselbe bedeuten. Risk Manager lehrt Sie, den Prozess innerhalb eines definierten Anwendungsbereichs zu führen: einer Abteilung, eines Programms, einer Produktlinie. Lead Risk Manager lehrt Sie, das Rahmenwerk selbst über alle Funktionen hinweg zu gestalten und zu steuern, was ebenso sehr eine Governance-Aufgabe wie eine fachliche ist.
Der Pfad ist bewusst sequenziell aufgebaut. Foundation ist die Voraussetzung für die höheren Qualifikationen, weshalb die meisten Praktiker mit dem ISO 31000 Foundation-Kurs beginnen, bevor sie entscheiden, ob sie die Stufe Risk Manager oder Lead Risk Manager benötigen.
Die Wahl Ihrer Stufe: Risk Manager oder Lead Risk Manager
Die Entscheidung hängt nicht von der hierarchischen Stellung auf dem Papier ab, sondern davon, wofür Sie verantwortlich sein werden. Risk Manager ist für die Person, die den Risikoprozess innerhalb eines Anwendungsbereichs führt und ein Risikoregister verantwortet: Sie moderieren Workshops, bewerten Risiken anhand vereinbarter Kriterien, schlagen Maßnahmen vor und halten das Register über die Zeit hinweg verlässlich. Lead Risk Manager ist für die Person, die das Ganze über die Organisation hinweg kohärent machen muss: die Risikokriterien und den Risikoappetit festlegen, das Rahmenwerk gestalten, es mit der Strategie und den anderen Assurance-Funktionen integrieren und an den Vorstand berichten.
Ein nützlicher Test: Wenn Ihre Aufgabe lautet, zu beantworten "was sind unsere größten Risiken in diesem Bereich und was tun wir dagegen", ist Risk Manager die richtige Stufe. Wenn Ihre Aufgabe lautet, zu beantworten "ist unser Risikomanagement-Rahmenwerk zweckmäßig, und kann die Führung sich darauf verlassen, um Entscheidungen zu treffen", benötigen Sie Lead Risk Manager. Viele absolvieren zunächst Risk Manager, führen ein oder zwei Jahre ein Programm und absolvieren dann Lead Risk Manager, wenn sie in eine unternehmensweite oder CISO-nahe Rolle wechseln.
| Stufe | Dauer | Anwendungsbereich | Für wen er passt |
|---|---|---|---|
| Foundation | 2 Tage | Grundsätze, Rahmenwerk und Prozessmodell; nur Vokabular, keine Umsetzungsverantwortung | Alle, die die gemeinsame Sprache benötigen: Analysten, Projektmanager, Auditoren aus anderen Bereichen, Neueinsteiger ins Risikomanagement |
| Risk Manager | 5 Tage | Den ISO-31000-Prozess innerhalb eines definierten Anwendungsbereichs anwenden; ein Risikoregister verantworten und führen | Praktiker, die Beurteilungen moderieren und das Risiko für eine Abteilung, ein Programm oder ein Produkt verwalten |
| Lead Risk Manager | 5 Tage | Das unternehmensweite Risiko-Rahmenwerk gestalten und leiten; Kriterien und Appetit festlegen; an die Führung berichten | Heads of Risk, CISOs und erfahrene GRC-Rollen, die für das gesamte Programm verantwortlich sind |
Warum es keinen ISO 31000 Lead Auditor gibt
Diese Frage kommt ständig auf, weil die meisten anderen ISO-Qualifikationen paarweise auftreten: Lead Implementer und Lead Auditor, als Spiegelbild der zertifizierbaren Norm dahinter. ISO 31000 hat keinen Lead Auditor, weil es nichts gibt, wogegen auditiert werden könnte. Ein Audit prüft die Konformität mit Anforderungen, den "shall"-Aussagen einer Managementsystemnorm wie ISO 27001 oder ISO 9001. ISO 31000 enthält Leitlinien, das "should" der guten Praxis, keine Anforderungen. Sie können eine Organisation nicht nach ISO 31000 zertifizieren, also können Sie kein Zertifizierungsaudit dagegen durchführen, also gibt es keine Auditoren-Qualifikation.
Das bedeutet nicht, dass sich das Risikomanagement der Prüfung entzieht. Es wird indirekt bewertet. Wenn ein ISO-27001-Auditor Ihren Risikobeurteilungs- und Risikobehandlungsprozess untersucht, prüft er die Konformität mit den ISO-27001-Klauseln 6.1 und 8.2/8.3, und ISO 31000 (oft über ISO 27005) ist die anerkannte Referenz dafür, wie dieser Prozess aussehen sollte. Der Lead Risk Manager baut also das Rahmenwerk auf, und der Managementsystem-Auditor prüft, ob das Rahmenwerk dort angewendet wird, wo eine zertifizierbare Norm es verlangt. Das sind zwei verschiedene Aufgaben, und ihre Vermischung ist das häufigste Missverständnis, das die Teilnehmer in den Schulungsraum mitbringen.
Wie ISO 31000 ISO 27005 und EBIOS RM ergänzt
Dies sind keine konkurrierenden Normen; es sind unterschiedliche Blickwinkel auf dieselbe Disziplin, und erfahrene Praktiker nutzen sie gemeinsam. ISO 31000 ist der generische Rahmen, der für jedes Risiko in jeder Organisation gilt. ISO 27005 verengt diesen Rahmen auf Informationssicherheitsrisiken, mit den Details zu Werten, Bedrohungen und Schwachstellen, die ein ISMS benötigt. EBIOS Risk Manager, die französische Methode (ANSSI), nähert sich dem Problem von strategischen Angriffsszenarien und dem Ökosystem aus Angreifern und Stakeholdern her, was bei kritischen Cyber-Risiken stark ist und im öffentlichen und regulierten Sektor der EU zunehmend erwartet wird.
Das praktische Muster ist geschichtet: ISO 31000 legt die Grundsätze, das Rahmenwerk und den Prozess fest, die die gesamte Organisation teilt; ISO 27005 Risk Manager gibt Ihnen die informationssicherheitsspezifische Methode, die sich in ein ISO-27001-ISMS einfügt; und EBIOS Risk Manager gibt Ihnen die szenariengetriebene, angreiferzentrierte Sicht für die wichtigsten Cyber-Risiken. Sie widersprechen einander nicht, und das Vokabular von ISO 31000 ist es, was einem Team erlaubt, ohne Verwirrung zwischen ihnen zu wechseln.
| ISO 31000 | ISO 27005 | EBIOS RM | |
|---|---|---|---|
| Anwendungsbereich | Jedes Risiko, jede Organisation | Informationssicherheitsrisiko | Strategische Cyber-Risikoszenarien |
| Rolle | Grundsätze, Rahmenwerk, Prozess | IS-spezifische Risikomethode für ein ISMS | Angreifer- und ökosystemgetriebene Analyse |
| Passt zu | Unternehmensweite Governance | ISO-27001-Zertifizierung | ANSSI / regulierter und öffentlicher Sektor |
| Ansatz | Generisch und top-down | Wert, Bedrohung, Schwachstelle | Szenario- und stakeholdergetrieben |
Relevanz über Cyber hinaus und die häufigen Fehler
Da ISO 31000 risikoartunabhängig ist, deckt dasselbe Rahmenwerk operationelle, finanzielle, Lieferketten-, Projekt-, Sicherheits-, Compliance- und strategische Risiken ab. Genau das ist ihr eigentlicher Wert für einen CISO, der einen Platz am Tisch des Unternehmens einnehmen möchte: ISO 31000 zu sprechen bedeutet, die Sprache zu sprechen, die der Vorstand und die übergeordnete Risikofunktion bereits verwenden, und nicht einen Cyber-Dialekt, den sie übersetzen müssen. Die Qualifikation lässt sich gut außerhalb der Sicherheit einsetzen, was mit ein Grund dafür ist, dass sie im Zentrum einer ernsthaften GRC-Laufbahn steht und nicht an deren Rand.
Die Fehler sind über Organisationen hinweg konsistent. Man behandelt das Risikoregister als Compliance-Artefakt, das einmal im Jahr zu erstellen ist, statt als lebendiges Entscheidungswerkzeug. Man definiert Risikokriterien, denen niemand zustimmt, sodass die Bewertung zur Inszenierung wird. Man verwechselt Risikoappetit (eine Führungsentscheidung) mit Risikotoleranz (der Betriebsspielraum) und legt weder das eine noch das andere ausdrücklich fest, was bedeutet, dass Behandlungsentscheidungen keinen Anker haben. Und man überspringt Foundation und wirft ein ganzes Team in einen Risk-Manager-Kurs, in dem die Hälfte des Raumes noch darüber streitet, was "Eintrittswahrscheinlichkeit" bedeutet.
Wenn Sie ein Programm aufbauen und nicht nur eine Prüfung ablegen, ist die Reihenfolge, die funktioniert: Bringen Sie das Team durch ISO 31000 Foundation, um ein gemeinsames Vokabular zu schaffen, schicken Sie Ihre Bereichsverantwortlichen durch ISO 31000 Risk Manager, und lassen Sie diejenige Person, die das unternehmensweite Rahmenwerk verantwortet, ISO 31000 Lead Risk Manager absolvieren. Diese Reihenfolge vermeidet den teuersten Fehlermodus, nämlich ein Rahmenwerk, das nur eine einzige Person versteht.
Frequently asked questions
01Warum gibt es keinen ISO 31000 Lead Auditor?
ISO 31000 ist eine Leitlinie, keine Managementsystemnorm. Es gibt kein zertifizierbares System, gegen das auditiert werden könnte. Manche Schulungskataloge bewerben einen ISO 31000 Lead Auditor; diese Qualifikation existiert im PECB-Programm nicht. Wer danach fragt, meint in der Regel den ISO 27001 Lead Auditor (der das ISMS mit der Risikomethodik von ISO 27005 auditiert) oder den ISO/IEC 27005 Risk Manager (der die Methodik auf die Informationssicherheit anwendet).
Wenn Ihr Auditor ein ISO-31000-Audit erwartet, widersprechen Sie: Es gibt kein zertifizierbares Konformitätskriterium. Vermutlich meint er eine Reifegradbeurteilung des Risikomanagement-Rahmenwerks, was eine andere Aufgabe ist.
02Risk Manager oder Lead Risk Manager: Was ist das Richtige für mich?
Risk Manager (5 Tage) richtet sich an Praktiker, die einen definierten Risikobereich verantworten: eine Abteilung, ein Programm, eine Tochtergesellschaft. Der Kurs lehrt Sie, ISO 31000 innerhalb dieses Bereichs umzusetzen. Die meisten GRC-Analysten und Risk Officers bleiben auf dieser Stufe.
Lead Risk Manager (5 Tage) richtet sich an erfahrene Praktiker, die das unternehmensweite Risikoprogramm verantworten: den Risikoappetit festlegen, das Rahmenwerk gestalten, das Risiko über Geschäftsbereiche hinweg integrieren und an den Vorstand berichten. Erforderlich, wenn die Rollenbezeichnung Head of Risk, Chief Risk Officer oder gleichwertig lautet.
03Wie verhält sich ISO 31000 zu ISO 27005?
Unterschiedliche Anwendungsbereiche. ISO 31000 ist die generische Risikomanagement-Leitlinie und gilt für finanzielle Risiken, operationelle Risiken, strategische Risiken, Compliance-Risiken, Informationssicherheitsrisiken, kurzum für alles. ISO 27005 ist die Anwendung der Grundsätze von ISO 31000 speziell auf Informationssicherheitsrisiken im Kontext eines ISO-27001-ISMS.
Eine Risikofachkraft mit ISO-31000-Qualifikationen arbeitet unternehmensweit. Eine auf Informationssicherheitsrisiken spezialisierte Fachkraft mit ISO-27005-Qualifikationen arbeitet innerhalb des ISMS-Anwendungsbereichs. Erfahrene Praktiker verfügen häufig über beides.
04Ist ISO 31000 auch außerhalb der Cybersicherheit relevant?
Ja, sehr. ISO 31000 ist branchenunabhängig. Sie wird im Finanzrisikomanagement (neben den Basel- und Solvency-Rahmenwerken), im unternehmensweiten Risikomanagement (neben COSO ERM), im Lieferketten-, Umwelt-, Projekt- und operationellen Risiko eingesetzt. Die Grundsätze und das Prozessmodell sind über alle Bereiche hinweg identisch; nur die Werte- und Bedrohungskategorien ändern sich.




