1. Home
  2. Knowledge Base
  3. Enterprise ISMS
  4. User Manual
  5. Risikobewertung
  6. Risikobewertung
Searching...

Risikobewertung

In der Risikobewertung wird das Risiko ermittelt, das von einer Gefährdung ausgeht. Wie hoch dieses Risiko ist, hängt sowohl von der Eintrittshäufigkeit (Eintrittswahrscheinlichkeit) der Gefährdung, als auch von der Höhe des Schadens ab, der dabei droht. Bei der Risikobewertung müssen daher beide Einflussgrößen berücksichtigt werden.

Um Risiken mit angemessenem Aufwand einzuschätzen, gibt es kein einfaches allgemeingültiges Konzept. Der Risikoanteil „Schadenshöhe“ kann nur von der Institution selbst eingeschätzt werden. Hierbei geht es darum, wie sich der Eintritt einer Gefährdung auswirken kann, d. h. welche Schäden finanzieller und anderer Art, welche direkten Schäden und welche Folgeschäden entstehen können, wenn das Risiko eintritt.

Der Ablauf der Risikobewertung lässt sich in die folgenden 3 Schritte einteilen:

  1. Zuständigkeiten für die Risikobewertung festlegen
  2. Risikobewertung – Organisation und Prozesse 
  3. Risikobewertung – Assetgruppen

Um zur Risikobewertung zu gelangen, wählen Sie in der Sidebar den Menüpunkt Risikobewertung aus.

Nun werden Ihnen die 3 genannten Schritte in einzelnen Kacheln auf dem Dashboard angezeigt. Was in welchem Schritt passiert und was genau hier zu tun ist, wird Ihnen nun Schritt für Schritt erklärt.

1. Zuständigkeiten für Risikobewertung

In diesem Schritt ist es notwendig die einzelnen Bausteine (Module) den zuständigen Abteilungen bzw. zuständigen Personen zuzuweisen. Die Pie Chart zeigt die Anzahl der Module, die bereits zugeordnet wurden, nicht zugeordnete Module und nicht anwendbare Module.

1.1 Um die Zuständigkeiten festzulegen, wählen Sie die Schaltfläche Zuständigkeiten festlegen. Mithilfe des Buttons zur Übersicht gelangt man ebenfalls zu den Abteilungen. Dort ist ersichtlich, welche Module welchen Abteilungen zugewiesen sind.

Wie auch anhand des obigen Screenshots zu erkennen ist, sind 40 Module nicht zugeordnet. Ziel ist es, diese Module den zuständigen Abteilungen zuzuweisen. Nachdem man die Schaltfläche Zuständigkeiten festlegen angeklickt hat, werden die einzelnen Bausteine (Module) nach den zugewiesenen Abteilungen gereiht.

1.2 Wählen Sie in der Sidebar den Status Nicht zugeordnet aus und klappen Sie mit einem Klick die Stufe Undefiniert auf, um die nicht zugewiesenen Module zu bearbeiten.

Nun werden Ihnen alle Bausteine aufgelistet, die einer Abteilung zugeordnet werden sollen.

1.3 Mit dem Klick auf Assign weisen Sie den Baustein einer Abteilung zu. Sollte der Baustein (Modul) nicht anwendbar sein, dann wählen Sie Not applicable aus und hinterlassen Sie einen Kommentar, wieso dieser Baustein nicht anwendbar ist.

Nachdem Sie nun alle gewünschten Bausteine den zuständigen Abteilungen zugeordnet haben, können Sie die nachfolgenden Unterschritte überspringen und zum nächsten Schritt (2. Risikobewertung – Organisation und Prozesse) gehen. Die nachfolgenden Unterschritte sind optional.

1.4 Optional können Bausteine (Module) von Ihnen erstellt werden, sollten die BSI Standard Module nicht ausreichen. Ist das der Fall, dann wählen Sie einfach die Schaltfläche Anlegen aus.

Nun wird Ihnen die Eingabemaske geöffnet, in welcher Modulbezeichnung, Modulnamen und Beschreibung des Moduls anzugeben ist.

Im Anschluss tragen Sie den Typ des Moduls (Assetgruppe oder Organisation/Prozesse), Unternehmen, Schicht und die Priorität ein. Danach wählen Sie Speichern aus. Nun kann dem Modul wie in Schritt 1.3 beschrieben die zuständige Abteilung zugewiesen werden.

1.5 Optional: Abteilungen können in der Ansicht Zuständigkeiten festlegen (siehe Schritt 1.1) angelegt werden. Dazu müssen Sie zum Dashboard zurück und den Button zur Übersicht auswählen.

Nun werden Ihnen die verschiedenen Abteilungen mit den zugehörigen ISMS Verantwortlichen angezeigt. Weiters sieht man welche Bausteine (Module) welchen Abteilungen zugewiesen sind. Möchte man eine weitere Abteilung anlegen, so ist der Button Anlegen zu klicken.

Geben Sie hier einfach die Bezeichnung der Abteilung und den dafür zuständigen ISMS Verantwortlichen ein. Anschließend klicken Sie auf Speichern. Nun sollte die Abteilung erstellt worden sein. Jetzt können Sie Bausteine (Module) zuweisen. Wie das geht, wurde Ihnen bereits im ersten Schritt (Zuständigkeiten für Risikobewertung) gezeigt.

2. Risikobewertung – Organisation und Prozesse

Nachdem die Zuständigkeiten festgelegt wurden, kann die Risikobewertung für Organisation und Prozesse durchgeführt werden. Im Dashboards können Sie unter anderem sehen, wie viele Module zu bewerten sind.

2.1 Wählen Sie die Schaltfläche Bewertung durchführen aus, um die zugewiesenen Module zu bewerten.

Nun werden Ihnen die einzelnen zu bewertenden Module aufgelistet. Um die Module strukturiert Abteilung für Abteilung zu bewerten, filtern Sie diese einfach nach der gewünschten Abteilung in der Sidebar. INFO: Die Anzahl der nicht bewerteten Module pro Abteilung steht klein rechts neben der Abteilungsbezeichnung.

2.2 Wählen Sie den Filter so, dass Ihnen alle nicht bewerteten Module einer Abteilung angezeigt werden, um sie strukturiert abzuarbeiten.

2.3 Hier können Sie nun Modul für Modul durcharbeiten. Wählen Sie ein Modul mittels Anklicken aus (Hinweis: es wird Ihnen über Drop Down eine weitere Zeile geöffnet, die ebenfalls anzuklicken ist).

Nun wird Ihnen das Modul in der Detailansicht angezeigt. Ein Modul beinhaltet Sicherheitsmaßnahmen, die dazu da sind, um bestimmte Gefährdungen einzudämmen. Welche Gefährdungen mit welchen Sicherheitsmaßnahmen verbunden sind, sehen Sie in der Tabelle. Um die Gefährdungen zu minimieren müssen Sicherheitsmaßnahmen umgesetzt werden.

2.4 Geben Sie den Umsetzungsgrad Ihrer Sicherheitsmaßnahmen an. Dazu wählen Sie Drag and Drop aus, um die Sicherheitsmaßnahmen zu bewerten bzw. den Umsetzungsgrad festzulegen.

2.5 Legen Sie den Umsetzungsgrad der Sicherheitsmaßnahmen einfach per Drag and Drop fest (Hinweis: einfach die Kacheln in die korrekte Spalte ziehen).

Durch das Festlegen des Umsetzungsgrades einzelner Sicherheitsmaßnahmen werden die Maßnahmen und somit das Modul bewertet. Der Umsetzungsgrad ist dann in der Tabelle ersichtlich und dient zur Behandlung der Gefährdungen / Risiken dieses Bausteins (Moduls). Je höher dieser Wert desto geringer ist die Eintrittswahrscheinlichkeit der zugehörigen Gefährdungen / Risiken. Daher ist es notwendig, die Sicherheitsmaßnahmen so gut wie möglich in der Abteilung umzusetzen.

2.6 Arbeiten Sie genau nach diesem Vorgehen (Schritte 2.2 bis 2.5) alle weiteren nicht bewerteten Module ab.

3. Risikobewertung – Assetgruppen

In diesem Schritt wird die Risikobewertung mit den Assetgruppen fortgesetzt. Der Ablauf der Bewertung bleibt gleich wie auch beim zweiten Schritt Risikobewertung – Organisation und Prozesse. Ein wesentlicher Unterschied bei den Assetgruppen ist, dass die Assetgruppe auch Assets besitzen kann. Assets sind die Werte eines Unternehmens, die es zu schützen gilt. 

3.1 Wählen Sie die Schaltfläche Bewertung durchführen aus, um die zugewiesenen Module zu bewerten.

Nun werden Ihnen die einzelnen zu bewertenden Module aufgelistet. Um die Module strukturiert Abteilung für Abteilung zu bearbeiten, filtern Sie diese nach der gewünschten Abteilung in der Sidebar. INFO: Die Anzahl der nicht bewerteten Module pro Abteilung steht klein rechts neben der Abteilungsbezeichnung.

3.2 Wählen Sie den Filter so, dass Ihnen alle nicht bewerteten Module einer Abteilung angezeigt werden, um sie strukturiert abzuarbeiten.

3.3 Hier können Sie sich nun Modul für Modul durcharbeiten. Wählen Sie ein Modul mittels Klick aus (es wird Ihnen über Drop Down eine weitere Zeile geöffnet, die ebenfalls anzuklicken ist).

Nun wird Ihnen das Modul in der Detailansicht angezeigt. Ein Modul beinhaltet Sicherheitsmaßnahmen, die dazu da sind, um bestimmte Gefährdungen einzudämmen. Welche Gefährdungen mit welchen Sicherheitsmaßnahmen verbunden sind, sehen Sie in der Tabelle. Um die Gefährdungen zu minimieren müssen Sicherheitsmaßnahmen umgesetzt werden.

3.4 Geben Sie den Umsetzungsgrad Ihrer Sicherheitsmaßnahmen an. Dazu wählen Sie Drag and Drop aus, um die Sicherheitsmaßnahmen zu bewerten bzw. den Umsetzungsgrad festzulegen.

3.5 Legen Sie den Umsetzungsgrad der Sicherheitsmaßnahmen einfach per Drag and Drop fest (Hinweis: einfach Kacheln in die korrekte Spalte ziehen).

Durch das Festlegen des Umsetzungsgrades einzelner Sicherheitsmaßnahmen werden die Maßnahmen und somit das Modul bewertet. Der Umsetzungsgrad ist dann in der Tabelle ersichtlich und dient zur Behandlung der Gefährdungen / Risiken dieses Bausteins (Moduls). Je höher dieser Wert, desto geringer ist die Eintrittswahrscheinlichkeit der zugehörigen Gefährdungen / Risiken. Daher ist es notwendig, die Sicherheitsmaßnahmen so gut wie möglich in der Abteilung umzusetzen.

3.6 Arbeiten Sie genau nach diesem Vorgehen (Schritte 3.2 bis 3.5) alle weiteren nicht bewerteten Module ab.

HINWEIS: Im Rahmen der Risikobewertung erfolgt die Bewertung der zugeteilten Org&Proz Module / Assetgruppen anhand der Bewertung der Einzelmaßnahmen nach einem definiertem Reifegradmodell. Dies kann unter „Einstellungen“ angepasst werden. 

Prozesse werden reaktiv gehandhabt und ad-hoc durchgeführt  0% 
Prozesse folgen einem regelmäßigen jedoch gelebtem (nicht dokumentierten) Muster  25% 
Prozesse sind formal dokumentiert und kommuniziert  50% 
Prozesse sind umgesetzt und werden aktiv angewendet, überwacht und gemessen  75% 
Das methodische Vorgehen wird laufend durch „Good Practices“ verbessert   100% 
Updated on 20. Mai 2022
Was this article helpful?
Yes No
Need Support?
Can't find the answer you're looking for?
Contact Support