ISO 27001 Risikomanagement richtig umsetzen

Das Risikomanagement ist der Kern jeder ISO 27001-Implementierung. Ohne eine strukturierte Risikoanalyse fehlt dem ISMS die Grundlage: Unternehmen wissen weder, welche Informationswerte gefährdet sind, noch welche Schutzmaßnahmen tatsächlich wirken. Die Norm gibt in den Klauseln 6.1.2 und 6.1.3 einen klaren Rahmen vor. Dieser Artikel zeigt, wie Sie den Prozess von der Risikoidentifikation bis zur Statement of Applicability (SoA) umsetzen.

Was ist Risikomanagement nach ISO 27001?

Das Risikomanagement nach ISO 27001 ist ein systematischer Prozess zur Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken. Es bildet das Fundament des ISMS und ist in zwei zentralen Klauseln der Norm verankert: Klausel 6.1.2 (Risikobewertung) und Klausel 6.1.3 (Risikobehandlung). Ergänzt werden diese durch die operativen Klauseln 8.2 und 8.3, die festlegen, wann und wie der Prozess in der Praxis durchgeführt werden muss.

Der Unterschied zum allgemeinen Risikomanagement (etwa nach ISO 31000) liegt im Fokus: ISO 27001 betrachtet ausschließlich Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Finanzielle oder strategische Risiken gehören nicht dazu, es sei denn, sie betreffen direkt Informationswerte. Die ISO 27005 liefert ergänzende Leitlinien zur Methodik, ist aber nicht zertifizierungsrelevant. Verbindlich sind nur die Anforderungen aus der 27001 selbst.

In der Praxis funktioniert der Prozess als Kreislauf innerhalb des PDCA-Zyklus: Risiken werden identifiziert (Plan), Maßnahmen umgesetzt (Do), deren Wirksamkeit geprüft (Check) und bei Bedarf angepasst (Act). Auditoren erwarten, dass dieser Kreislauf nachweislich durchlaufen wird, nicht nur einmalig bei der Zertifizierung, sondern regelmäßig. Klausel 8.2 schreibt vor, dass die Risikobewertung in geplanten Abständen oder bei wesentlichen Änderungen wiederholt werden muss. In der Praxis heißt das: mindestens jährlich ein vollständiges Re-Assessment, plus anlassbezogene Bewertungen bei neuen Systemen, Organisationsänderungen oder nach Sicherheitsvorfällen.

Ein verbreitetes Missverständnis: Das Risikomanagement ist kein vorgelagerter Schritt, der einmal erledigt wird und dann abgehakt ist. Es begleitet den gesamten Lebenszyklus des ISMS. Neue Assets kommen hinzu, Bedrohungslagen ändern sich, und Maßnahmen, die vor zwei Jahren ausreichend waren, können heute veraltet sein. Genau deshalb fordert die Norm den Kreislauf und nicht einen linearen Prozess.

Der vierphasige Risikomanagement-Prozess nach ISO 27001 als kontinuierlicher Kreislauf innerhalb des PDCA-Zyklus

Risikoidentifikation: Assets, Bedrohungen und Schwachstellen systematisch erfassen

Die Risikoidentifikation beginnt mit einer einfachen Frage: Was kann schiefgehen, und was wäre betroffen? Die Norm verlangt, dass Unternehmen Risiken identifizieren, die die Vertraulichkeit, Integrität oder Verfügbarkeit ihrer Informationswerte gefährden könnten. In der Praxis hat sich ein dreistufiger Ansatz bewährt: Zuerst die schützenswerten Assets erfassen, dann die relevanten Bedrohungen zuordnen, und schließlich die Schwachstellen identifizieren, die eine Bedrohung ausnutzen könnte.

Ein häufiger Fehler in dieser Phase: Unternehmen erfassen nur IT-Systeme. Informationswerte sind aber breiter gefasst. Dazu gehören auch Datenbanken, Verträge, Know-how in den Köpfen der Mitarbeiter und physische Dokumente. Wer nur Server und Laptops ins Risikoregister aufnimmt, übersieht die Hälfte der Angriffsfläche.

Der Identifikationsprozess lässt sich in Workshops organisieren. Im ersten Workshop erfasst die IT-Abteilung technische Assets (Server, Netzwerke, Cloud-Dienste, Endgeräte). Im zweiten Workshop ergänzen Fachabteilungen ihre Informationswerte: Die Personalabteilung bringt Personalakten und Gehaltsabrechnungen ein, der Vertrieb seine Kundendatenbanken und Angebotskalkulationen, die Rechtsabteilung ihre Vertragsarchive. Im dritten Schritt werden den Assets Bedrohungen und Schwachstellen zugeordnet. Dafür lohnt sich ein Blick in etablierte Bedrohungskataloge wie den BSI-Grundschutz-Kompendium oder die ENISA Threat Landscape.

Bei der Zuordnung von Bedrohungen hilft es, in Kategorien zu denken: Naturereignisse (Hochwasser, Brand), technisches Versagen (Hardwaredefekt, Softwarefehler), vorsätzliche Handlungen (Hacking, Industriespionage, Social Engineering) und menschliche Fehlhandlungen (versehentliches Löschen, Fehlkonfiguration). Nicht jede Bedrohung ist für jedes Asset relevant, aber die systematische Prüfung verhindert blinde Flecken.

Ein vollständiges Risikoinventar enthält typischerweise 30 bis 80 Risiken, abhängig von der Unternehmensgröße und der IT-Komplexität. Wichtig ist nicht die Menge, sondern die Vollständigkeit: Jedes Asset sollte mindestens eine Bedrohung und eine Schwachstelle zugeordnet bekommen. Lücken fallen im Audit auf. ISMS-Plattformen wie SECJUR Digital Compliance Office bilden diese Dreier-Zuordnung (Asset, Bedrohung, Schwachstelle) direkt im Risikoinventar ab, sodass keine Verknüpfungen in separaten Tabellen gepflegt werden müssen.

Tipp für die Erstaufnahme: Starten Sie mit den kritischsten Geschäftsprozessen und arbeiten Sie sich zu den unterstützenden Prozessen vor. Ein ERP-System, das den gesamten Auftragseingang steuert, hat eine höhere Priorität als ein internes Wiki. Die Reihenfolge der Erfassung bestimmt nicht die Bewertung, hilft aber dabei, schnell die größten Risikoherde zu identifizieren.

Risikobewertung: Eintrittswahrscheinlichkeit und Auswirkung bestimmen

Nach der Identifikation folgt die Bewertung: Wie wahrscheinlich ist es, dass ein Risiko eintritt, und wie schwer wären die Folgen? Die Norm lässt bewusst offen, welche Methode Unternehmen verwenden. In der Praxis hat sich die qualitative Bewertung mit einer Risikomatrix durchgesetzt, weil sie pragmatisch ist und von Auditoren akzeptiert wird.

Die quantitative Bewertung (mit konkreten Euro-Beträgen für den erwarteten Schaden) ist aufwendiger und lohnt sich erst ab einer gewissen Unternehmensgröße. Für KMU mit weniger als 500 Mitarbeitern reicht die qualitative Methode in fast allen Fällen aus.

Das Prinzip ist einfach: Jedes Risiko bekommt zwei Bewertungen auf einer Skala von 1 (niedrig) bis 5 (kritisch). Die Kombination aus Eintrittswahrscheinlichkeit und Auswirkung ergibt den Risikowert. Risiken in der roten Zone (Werte 15-25) erfordern sofortige Maßnahmen, Risiken in der gelben Zone (Werte 8-14) werden im nächsten Behandlungszyklus adressiert, und Risiken in der grünen Zone (Werte 1-6) werden dokumentiert und beobachtet.

Bevor die erste Bewertung stattfindet, muss die Organisation ihre Bewertungsskala definieren. Was bedeutet "Auswirkung Stufe 4" konkret? Beispiele: Stufe 1 (minimal) = Schaden unter 5.000 Euro, keine Betriebsunterbrechung. Stufe 3 (mittel) = Schaden 50.000-100.000 Euro oder Betriebsunterbrechung bis 8 Stunden. Stufe 5 (kritisch) = Schaden über 500.000 Euro, Betriebsunterbrechung über 48 Stunden oder Meldepflicht an Aufsichtsbehörden. Ohne diese Kalibrierung bewerten unterschiedliche Abteilungen nach Bauchgefühl, und die Ergebnisse sind nicht vergleichbar.

Zusätzlich muss die Geschäftsleitung den Risikoappetit festlegen: Ab welchem Risikowert wird eine Behandlung zwingend? Typisch ist ein Schwellenwert bei 8 oder 9. Alles darüber muss aktiv behandelt werden, alles darunter kann nach dokumentierter Entscheidung akzeptiert werden. Diese Schwelle wird in der Risikomanagement-Richtlinie festgehalten und gilt für alle folgenden Bewertungszyklen.

Zwei Hinweise für die Praxis: Erstens, definieren Sie die Bewertungsskala vor der ersten Risikobewertung. Was bedeutet "Auswirkung 4" für Ihr Unternehmen? Ohne klare Kriterien bewerten unterschiedliche Abteilungen unterschiedlich, und die Ergebnisse sind nicht vergleichbar. Zweitens, dokumentieren Sie die Begründung für jede Bewertung. Auditoren fragen nicht nur nach dem Ergebnis, sondern nach dem Weg dorthin.

Qualitative 5x5-Risikomatrix mit Beispielrisiken farbcodiert nach Risikoakzeptanz

Risikobehandlung: Die vier Optionen nach ISO 27001

Nach der Bewertung steht die Frage: Was tun mit den identifizierten Risiken? Die ISO 27001 definiert vier Behandlungsoptionen. Welche Option für ein konkretes Risiko passt, hängt vom Risikowert, den verfügbaren Ressourcen und der Risikobereitschaft des Unternehmens ab. Die Entscheidung muss dokumentiert werden, auch wenn ein Risiko bewusst akzeptiert wird.

"Akzeptieren" bedeutet nicht "Ignorieren". Jedes akzeptierte Risiko muss mit dem Risikoeigner abgestimmt und dokumentiert sein. Die Geschäftsleitung muss den Risikobehandlungsplan formal genehmigen. Das ist keine Formalität: Im Audit wird geprüft, ob die Genehmigung vorliegt und ob die Risikobereitschaft des Unternehmens konsistent angewendet wurde.

In der Praxis kombinieren Unternehmen oft mehrere Optionen für ein Risiko. Beispiel: Das Risiko "Ransomware auf dem Fileserver" wird gemindert (durch Netzwerksegmentierung und Backups), gleichzeitig wird das Restrisiko eines erfolgreichen Angriffs auf eine Cyberversicherung übertragen. Die Kombination "Mindern + Übertragen" ist bei hohen Risikenwerten verbreitet, weil eine einzelne Maßnahme selten das gesamte Risiko abdeckt.

Der Risikobehandlungsplan fasst alle Entscheidungen zusammen: Welches Risiko wird wie behandelt, wer ist verantwortlich, bis wann soll die Maßnahme umgesetzt sein und welches Budget steht zur Verfügung. Klausel 6.1.3 verlangt, dass der Plan die ausgewählten Controls dokumentiert und gegen die 93 Annex-A-Controls abgeglichen wird. Dieser Abgleich bildet die Grundlage für die Statement of Applicability.

"Die Risikoanalyse ist der eine Schritt im ISMS, den kein Tool der Welt für Sie übernehmen kann. Aber ein gutes Tool sorgt dafür, dass die Ergebnisse nicht in einer vergessenen Excel-Datei verschwinden, sondern in einem lebenden Risikoregister, das bei jeder Änderung aktualisiert wird."

Amin Abbaszadeh, Informationssicherheitsexperte bei SECJUR

Statement of Applicability (SoA): Die Brücke zwischen Risiko und Control

Die Statement of Applicability (SoA) dokumentiert, welche der 93 Annex-A-Controls für das Unternehmen anwendbar sind und warum. Sie ist das Ergebnis der Risikobehandlung und gleichzeitig das zentrale Dokument für den Zertifizierungsaudit. Ohne eine vollständige SoA ist keine ISO 27001-Zertifizierung möglich.

Der logische Ablauf ist: Die Risikobewertung zeigt, welche Risiken behandelt werden müssen. Die Risikobehandlung bestimmt, mit welchen Maßnahmen. Die SoA mappt diese Maßnahmen auf die 93 Controls aus Annex A und dokumentiert für jedes Control, ob es anwendbar ist, ob es implementiert ist, und wie die Begründung lautet. Controls, die nicht anwendbar sind, werden ebenfalls dokumentiert, mit einer Begründung warum nicht.

Ein häufiger Fehler: Unternehmen erstellen die SoA losgelöst von der Risikobehandlung und haken die 93 Controls nach Bauchgefühl ab. Das widerspricht der Logik der Norm. Die SoA soll nachweisen, dass jedes ausgewählte Control auf ein konkretes Risiko zurückgeht. Auditoren prüfen genau diese Rückverfolgbarkeit: "Warum haben Sie Control A.8.9 (Configuration Management) implementiert?" Die korrekte Antwort verweist auf ein spezifisches Risiko im Risikoregister, nicht auf ein allgemeines Sicherheitsgefühl.

In der Praxis ist die SoA-Erstellung der aufwendigste Dokumentationsschritt. Alle 93 Controls einzeln durchzugehen, zu bewerten und zu begründen, kostet in einem mittelständischen Unternehmen 2 bis 4 Wochen, wenn es manuell mit Excel passiert. SECJUR Digital Compliance Office generiert die Statement of Applicability automatisch, weil die Plattform die Verbindung zwischen Risiken, Behandlungsplänen und Controls bereits kennt. Die automatische Zuordnung funktioniert nicht nur für ISO 27001, sondern auch für TISAX und NIS2, wenn das Unternehmen mehrere Standards parallel betreibt.

Welche der 93 Controls im Detail relevant sind und wie sie umgesetzt werden, beschreibt unser Leitfaden zu den Annex-A-Controls.

Häufige Fehler beim ISO 27001 Risikomanagement

In der Beratungspraxis zeigen sich immer wieder dieselben Stolpersteine. Die folgenden sechs Fehler treten bei Erstimplementierungen besonders häufig auf und führen regelmäßig zu Abweichungen im Zertifizierungsaudit oder zu einem Risikomanagement, das auf dem Papier existiert, aber in der Praxis nicht funktioniert.

Alle sechs Fehler haben einen gemeinsamen Nenner: Sie entstehen, wenn das Risikomanagement als bürokratische Pflichtübung behandelt wird, statt als lebendiger Prozess. Wer den Zweck versteht (nämlich informierte Entscheidungen über den Umgang mit Risiken zu treffen), vermeidet die meisten dieser Fallstricke von allein. Für die übrigen hilft eine Plattform, die Konsistenz erzwingt und Erinnerungen an fällige Reviews auslöst.

Ein siebter Punkt, der streng genommen kein Fehler, aber eine häufige Schwäche ist: Unternehmen beziehen externe Veränderungen nicht ein. Neue Bedrohungen (wie die Zunahme von KI-gestütztem Phishing seit 2023), regulatorische Änderungen (wie die NIS2-Richtlinie) oder Veränderungen in der Lieferkette erfordern eine Aktualisierung der Risikolandschaft. Ein Risikoregister, das seit zwei Jahren unverändert ist, wird im Überwachungsaudit kritisch hinterfragt.

Risikomanagement mit einer ISMS-Plattform umsetzen

Viele Unternehmen starten ihr Risikomanagement in Excel. Das funktioniert bei 20 Risiken. Bei 60 oder mehr Risiken, mehreren Behandlungszyklen und jährlichen Re-Assessments wird die Pflege aufwendig: Versionen geraten durcheinander, Bewertungen sind nicht nachvollziehbar, und der Zusammenhang zwischen Risiko, Behandlungsplan und Annex-A-Control geht verloren.

ISMS-Plattformen wie SECJUR Digital Compliance Office automatisieren den Kernprozess: Risikoinventar anlegen, Bewertungsmatrix konfigurieren, Behandlungspläne zuweisen und den Umsetzungsstatus verfolgen. Der Vorteil liegt nicht in der Automatisierung der Bewertung selbst (die bleibt Expertenarbeit), sondern in der Konsistenz und Nachvollziehbarkeit über die Zeit.

Was eine Plattform konkret abnimmt: Die Verknüpfung zwischen Risiko, Behandlungsplan und Annex-A-Control wird automatisch hergestellt. Wenn ein Risiko als "mindern" behandelt wird und der Behandlungsplan auf Netzwerksegmentierung verweist, ordnet die Plattform das dem passenden Control zu (z.B. A.8.22 Network Segregation). Bei der SoA-Erstellung muss das Unternehmen diese Zuordnung nicht manuell nachvollziehen, sie ist bereits dokumentiert. Das spart nicht nur Zeit, sondern reduziert Fehler bei der Rückverfolgbarkeit, die im Audit geprüft wird.

Der Umstieg von Excel auf eine ISMS-Plattform lohnt sich in der Regel ab 40-50 Risiken im Register oder spätestens beim zweiten Bewertungszyklus. Dann wird der Aufwand für die manuelle Pflege größer als der Einarbeitungsaufwand in die Plattform. Der Nutzen zeigt sich besonders in der Auditvorbereitung: Statt tagelang Excel-Listen zu konsolidieren, exportiert die Plattform den aktuellen Stand auf Knopfdruck.

Wie der gesamte ISMS-Aufbau Schritt für Schritt funktioniert, beschreibt unser Leitfaden zum ISMS aufbauen. Dort wird auch klar, wie das Risikomanagement in den Gesamtprozess eingebettet ist: Es steht nicht isoliert, sondern verbindet Scope-Definition, Asset-Management und Maßnahmenumsetzung.