Skip to main content

Phase 6 – Risiken analysieren und bewerten

„Risiken werden erst sinnvoll, wenn Unternehmen, Assets und Schutzmaßnahmen bekannt sind.“

Einleitung

Phase 6 – Risiken analysieren und bewerten ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.

Ziel der Phase

Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.

Benötigte Teilnehmer

  • Geschäftsführung oder IT-Entscheider
  • Interner oder externer IT-Verantwortlicher
  • Fachabteilungen nach Bedarf
  • Datenschutz oder Qualitätsmanagement, falls vorhanden

Arbeitsergebnisse der Phase

  • Dokumentierte Ergebnisse der Bestandsaufnahme
  • Offene Fragen und Risiken
  • Erste Prioritäten für spätere Maßnahmen
  • Grundlage für die nächste Phase

Checkliste

Bedrohungen identifizieren

Ziel

Ransomware, Phishing, Hardwareausfall, Fehlbedienung, Diebstahl, Feuer, Wasser, Stromausfall und Dienstleisterausfall werden betrachtet. Nicht jede Bedrohung ist für jedes Unternehmen gleich relevant.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Schwachstellen erkennen

Ziel

Fehlende Dokumentation, veraltete Systeme, gemeinsame Administratorkonten, fehlende Backups oder offene Fernzugänge werden erfasst. Schwachstellen machen Bedrohungen wirksam.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Auswirkungen bewerten

Ziel

Finanzielle Schäden, Betriebsunterbrechung, Datenverlust, Reputationsschaden und Vertragsstrafen werden bewertet. Die Auswirkungen sollten für Entscheider verständlich beschrieben werden.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Eintrittswahrscheinlichkeit bewerten

Ziel

Es wird eingeschätzt, wie wahrscheinlich ein Ereignis ist. Dabei helfen Erfahrung, technische Lage und bekannte Vorfälle.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Risikohöhe bestimmen

Ziel

Aus Auswirkung und Wahrscheinlichkeit ergibt sich eine Priorisierung. Das Ergebnis muss nicht mathematisch perfekt sein, aber nachvollziehbar.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Risikoeigentümer festlegen

Ziel

Für jedes wesentliche Risiko wird ein Verantwortlicher benannt. Ohne Owner bleiben Risiken abstrakt.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Risikobehandlung wählen

Ziel

Risiken können reduziert, akzeptiert, übertragen oder vermieden werden. Beispiel: Cyberversicherung überträgt Risiko nur teilweise, ersetzt aber keine Sicherheitsmaßnahmen.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Typische Feststellungen

In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.

Hinweise für den IT-Berater

Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.

Praxistipp

Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?

Ergebnis der Phase

Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.