26. Mai 2026 • Cybersicherheit
Die Risikoanalyse ist in der Norm ISO 27001 kein optionales Zusatzmodul – sie bildet vielmehr das Fundament, auf dem die gesamte Norm aufbaut. Ohne ein strukturiertes Verständnis dafür, was schiefgehen kann und wie wahrscheinlich und schwerwiegend die Folgen wären, basieren alle Sicherheitsmaßnahmen Ihres Unternehmens auf Annahmen statt auf Fakten. In diesem Artikel wird erläutert, was eine Risikoanalyse nach ISO 27001 beinhaltet, wie man sie Schritt für Schritt angeht und wie ein praktisches Beispiel aussieht.
Was ist eine Risikoanalyse nach ISO 27001?
Eine Risikoanalyse nach ISO 27001 ist ein strukturierter Prozess, in dem eine Organisation Risiken für die Informationssicherheit ermittelt, deren Eintrittswahrscheinlichkeit und potenzielle Auswirkungen bewertet und entscheidet, wie mit ihnen umgegangen werden soll. Das Ergebnis ist ein Risikoregister – eine dokumentierte Übersicht über alle ermittelten Risiken und die jeweils getroffenen Entscheidungen.
Die Norm ISO 27001 schreibt keine bestimmte Methode für die Durchführung einer Risikoanalyse vor. Die Norm verlangt, dass die Methode konsistent und reproduzierbar ist und zu vergleichbaren Ergebnissen führt. In der Praxis verwenden die meisten Organisationen eine Wahrscheinlichkeits-Auswirkungs-Matrix, ein qualitatives Bewertungssystem oder eine Kombination aus beidem.
Die Risikoanalyse ist kein einmaliger Vorgang. Die Norm ISO 27001 schreibt vor, dass sie regelmäßig überprüft werden muss – in festgelegten Abständen und immer dann, wenn sich wesentliche Änderungen in der Organisation oder ihrem Umfeld ergeben. Damit ist sie ein lebendiges Dokument und kein archivierter Bericht.
Warum die Risikoanalyse für die Norm ISO 27001 von zentraler Bedeutung ist
ISO 27001 ist eine risikobasierte Norm. Das bedeutet, dass die von einer Organisation umgesetzten Kontrollmaßnahmen sich am Risiko orientieren sollten und nicht an Konventionen oder dem Verhalten der Wettbewerber. In Abschnitt 6.1.2 der ISO 27001 wird ausdrücklich gefordert, dass Organisationen einen Prozess zur Risikobewertung definieren, diesen konsequent anwenden und dokumentierte Informationen als Nachweis aufbewahren.
Dieser risikobasierte Ansatz hat praktische Auswirkungen: Zwei Organisationen derselben Branche können sehr unterschiedliche Kontrollmaßnahmen aufweisen, da sich ihre Risikoprofile unterscheiden. Ein Gesundheitsdienstleister, der mit sensiblen Patientendaten umgeht, ist anderen Bedrohungen ausgesetzt und hat ein anderes Risiko als ein Logistikunternehmen. Durch die Risikoanalyse wird das ISMS an die Organisation angepasst und nicht umgekehrt.
Die Norm ISO 27001 schreibt nicht vor, welche Risiken Sie priorisieren sollen. Sie schreibt vor, dass Sie über einen Prozess verfügen müssen, der streng genug ist, um dies selbst zu ermitteln – und dass Sie dokumentieren, dass Sie dies getan haben.
Die vier Schritte einer Risikoanalyse nach ISO 27001
Zwar lässt die Norm ISO 27001 eine gewisse Flexibilität bei der Methodik zu, doch folgen effektive Risikoanalysen stets vier Kernschritten:
- Identifizieren Sie Ressourcen und Bedrohungen. Beginnen Sie damit, die für Ihr Unternehmen wichtigen Informationsressourcen zu erfassen: Daten, Systeme, Prozesse, Mitarbeiter. Ermitteln Sie für jede Ressource die Bedrohungen, denen sie ausgesetzt ist – unbefugter Zugriff, Datenverlust, Systemausfall, menschliches Versagen – sowie die Schwachstellen, durch die diese Bedrohungen ausgenutzt werden können.
- Wahrscheinlichkeit und Auswirkungen bewerten. Bewerten Sie für jedes identifizierte Risiko die Wahrscheinlichkeit seines Eintretens und die Auswirkungen, die es hätte, sollte es eintreten. Eine einfache Skala von 1 bis 3 oder 1 bis 5 eignet sich für die meisten Organisationen. Aus der Kombination dieser beiden Werte ergibt sich ein Risikograd.
- Legen Sie die Risikobehandlung fest. Entscheiden Sie für jedes Risiko über eine Behandlungsoption: mindern (eine Kontrollmaßnahme zur Risikominderung umsetzen), akzeptieren (dokumentieren, dass das Risikoniveau akzeptabel ist), übertragen (z. B. durch Versicherung oder Auslagerung) oder vermeiden (die Tätigkeit ändern, die das Risiko verursacht).
- Dokumentieren und überprüfen. Halten Sie alle Ergebnisse, Behandlungsentscheidungen und Restrisiken in einem Risikoregister fest. Verknüpfen Sie jede Entscheidung mit den entsprechenden Kontrollmaßnahmen aus Anhang A der ISO 27001. Legen Sie einen Termin für die Überprüfung fest.
Beispiel für eine Risikoanalyse: So sieht das in der Praxis aus
Nachfolgend finden Sie ein vereinfachtes Beispiel für eine Risikoanalyse für eine Organisation mit einem kleinen IT-Team und einer Mischung aus Mitarbeitern im Büro und im Homeoffice. Die Bewertungen erfolgen auf einer Skala von 1 bis 3 (1 = gering, 3 = hoch).
| Risiko | Wahrscheinlichkeit | Auswirkungen | Risikostufe | Behandlung |
|---|---|---|---|---|
| Mitarbeiter klickt auf Phishing-Link, Zugangsdaten gestohlen | 3 | 3 | Hoch | Risikominderung – Phishing-Simulation + Sensibilisierungsschulung |
| Nicht gepatchte Software, die von Malware ausgenutzt wird | 2 | 3 | Hoch | Risikominderung – Richtlinie zum Patch-Management |
| Laptop verloren oder gestohlen mit unverschlüsselten Daten | 2 | 2 | Mittel | Risikominderung – vollständige Festplattenverschlüsselung + MDM |
| Ein wichtiger Mitarbeiter verlässt das Unternehmen, Wissen geht verloren | 2 | 2 | Mittel | Risikominderung – Dokumentation + Wissenstransferprozess |
| Büro überflutet, Serverraum nicht zugänglich | 1 | 3 | Mittel | Transfer – Versicherung zur Aufrechterhaltung des Geschäftsbetriebs + Cloud-Backup |
| Social-Media-Konto gehackt | 1 | 1 | Niedrig | Akzeptieren – überwachen, keine zusätzlichen Kontrollen erforderlich |
Dieses Beispiel für eine Risikoanalyse verdeutlicht, wie menschliches Verhalten – insbesondere die Anfälligkeit für Phishing – immer wieder als Risiko mit hoher Priorität auftritt. Es ist zudem eines der Risiken, die sich durch strukturierte Schulungen zur Sensibilisierung für Sicherheitsfragen am besten angehen lassen.
Schulungen zur Sensibilisierung für Sicherheitsfragen als Maßnahme zur Risikobehandlung
In fast jeder ISO 27001-Risikoanalyse landen menschliche Risiken in der Kategorie mit hoher Priorität. Phishing, Social Engineering, schwache Passwörter und die versehentliche Offenlegung von Daten sind vorhersehbare, immer wiederkehrende Risiken – und sie werden von Menschen verursacht, nicht von Systemen.
Die Kontrollmaßnahme 6.3 in Anhang A der ISO 27001 schreibt ausdrücklich vor, dass Organisationen allen Mitarbeitern Sensibilisierungs-, Schulungs- und Weiterbildungsmaßnahmen zum Thema Informationssicherheit anbieten müssen. Dabei geht es nicht nur darum, einmal im Jahr ein Modul zu absolvieren. Die Kontrollmaßnahme verlangt eine kontinuierliche Sensibilisierung, die mit der Bedrohungslage Schritt hält.
Die ISO 27001-Schulung zur Sensibilisierung für Sicherheitsfragen von Guardey basiert genau darauf: kurze, wiederkehrende Schulungen in Kombination mit Phishing-Simulationen, die Unternehmen sowohl den erforderlichen Umfang als auch die notwendige Dokumentation bieten, um die Anforderungen der Auditoren zu erfüllen. Der Eintrag im Risikoregister für menschliches Versagen wechselt von „hohes Risiko, teilweise gemindert“ zu „hohes Risiko, aktiv gemanagt“ – ein Unterschied, der bei einem Audit von Bedeutung ist.
Beseitigung menschlicher Risiken zur Einhaltung der Norm ISO 27001
Schaffen Sie eine Sicherheitskultur, bevor die Prüfer an die Tür klopfen.
