Risikomanagement nach ISO 27005 in 6 Schritten umsetzen

Was ist die ISO 27005?

Die ISO/IEC 27005 ist eine Leitlinie (kein Zertifizierungsstandard) für das Management von Informationssicherheitsrisiken. Sie beschreibt, wie Risiken systematisch identifiziert, analysiert, bewertet, behandelt, überwacht und kommuniziert werden. Die Norm ist auf das ISMS nach ISO/IEC 27001 zugeschnitten und orientiert sich am allgemeinen Risikorahmen der ISO 31000. Das Besondere: Sie gibt Ihnen Gestaltungsfreiheit bei Methoden und Skalen – entscheidend ist Konsistenz und Nachvollziehbarkeit.

Besonders für Unternehmen, die unter Regulierungen wie NIS2 und DORA fallen, ist ein wirksames Risikomanagement unverzichtbar. Das gilt auch für Dienstleister/Zulieferer von unter NIS2 fallenden Unternehmen.

Wie sieht Risikomanagement nach ISO 27005 aus?

Die Norm lässt bewusst Spielraum, empfiehlt aber einen klaren Ablauf in sechs Schritten. Das macht den Prozess für Organisationen jeder Größe gut umsetzbar.

1. Kontext & Kriterien festlegen

Bevor Sie Risiken bewerten, legen Sie die Spielregeln fest. Das sind im Grunde fünf einfache Dinge:

1. Was schauen Sie sich an?
   Der „Bereich“ (Scope): z. B. „E-Mail-System, CRM, Cloud-Anbieter, Kundendaten“. Alles andere ist erstmal außerhalb.

2. Was tut uns weh?
   Auswirkung in 3 Stufen: niedrig – mittel – hoch.
   Denken Sie dabei an Geld, Rechtsfolgen, Ruf, Betriebsstörung (z. B. Ausfallzeit).

3. Wie wahrscheinlich ist es?
   Wahrscheinlichkeit in 3 Stufen: selten – gelegentlich – oft.

4. Ab wann handeln wir?
   Ihre Ampel-Regel (Kombination aus Auswirkung × Wahrscheinlichkeit):

   • grün = akzeptieren
   • gelb = beobachten/kleine Maßnahmen
   • rot = Maßnahme Pflicht (mit Termin & Verantwortlichem)

5. Wer entscheidet & wie oft prüfen wir?
   Rollen (z. B. Owner, CISO/IT-Leitung) und Review-Rhythmus (z. B. quartalsweise oder bei Änderungen).

2. Risiken identifizieren

Worum es geht: Erstellen Sie eine Liste plausibler Szenarien. „Was könnte passieren, wodurch, bei welchem Bereich – und was wäre die Folge?“. ISO 27005 schlägt dafür zwei Wege vor, die Sie auch kombinieren können:

• Ereignis-basiert (Top-down): Von typischen Vorfällen ausgehen (z. B. Phishing, Ransomware, Fehlversand).
• Asset-basiert (Bottom-up): Für wichtige Assets/Prozesse fragen: „Was kann hier schiefgehen?“

Nutzen Sie die einfache Schablone:

Quelle/Verursacher → Ereignis → betroffener Bereich/Asset → mögliche Folge

Beispiel: Externer Angreifer → Passwort-Spray → Microsoft 365-Konto → Datendiebstahl & Meldung an Aufsicht.

3. Analysieren & bewerten

Analysieren & bewerten lässt sich in zwei kurze Fragen aufteilen:

A) Wie groß ist das Risiko?

Für jedes Szenario aus Schritt 2 schätzen Sie:

• Auswirkung (z. B. auf Vertraulichkeit/Integrität/Verfügbarkeit, Geld, Recht, Ruf)
• Wahrscheinlichkeit (wie oft/leicht passiert es im gewählten Zeithorizont)

Die ISO 27005 schreibt keine Methode vor – Sie dürfen qualitativ (Low/Med/High), semiquantitativ (1–5-Skalen) oder quantitativ (z. B. erwarteter Verlust) arbeiten. Wichtig ist: konsistente Kriterien aus Schritt 1 nutzen und bestehende Kontrollen berücksichtigen.

B) Reicht uns das?

Jetzt vergleichen Sie den ermittelten Risikograd mit Ihren Risikokriterien aus Schritt 1 (Akzeptanz-Schwellen, Ampelregeln). Ergebnis: akzeptieren, beobachten oder behandeln. Dazu mehr im nächsten Schritt.

Beispiel:

Im Beispiel aus dem vorherigen Schritt:

Externer Angreifer → Passwort-Spray → Microsoft 365-Konto → Datendiebstahl & Meldung an Aufsicht.

In dem Fall könnte die Bewertung folgendendermaßen aussehen:

1. Auswirkung: hoch (mögliche Meldung, Bußgeld, Reputationsschaden)
2. Wahrscheinlichkeit: gelegentlich
3. Analyse-Ergebnis: hoch × gelegentlich = Matrix ergibt rot
4. Bewertung: laut Kriterien ist „rot“ nicht akzeptabel → Behandeln (z. B. pflichtweite Multi-Faktor-Authentifizierung (MFA), Anti-Phishing-Training, Mail-Filter) und Rest­risiko nach Umsetzung erneut bewerten.

4. Behandeln/Behandlungsplan

Für jedes nicht akzeptable Risiko wählen Sie eine von 4 Behandlungsoptionen und setzen Sie diese mit Plan um, inkl. Kontrollen, Zuständigkeiten und Freigaben. Die Optionen lauten:

1. Vermeiden: Ursache beseitigen (z. B. unsicheren Dienst nicht nutzen).
2. Modifizieren/Mindern: Kontrollen einführen/verbessern (z. B. MFA, Härtung, Schulung).
3. Übertragen/Teilen: z. B. Versicherung, vertragliche Haftung beim Dienstleister.
4. Akzeptieren: dokumentiert zustimmen, dass Sie das Rest­risiko tragen.

Mini-Beispiel:

1. Option: Modifizieren
2. Kontrollen: MFA verpflichtend, Phishing-Training, Mail-Filter-Tuning, Admin-Zugriffe härten
3. Plan: IT bis 31.10. MFA auf 100 %, HR schult bis 15.11., SecOps testet Filter monatlich
4. KPI: Clickrate < 5 %, kompromittierte Konten = 0/Quartal
5. Rest­risiko: „niedrig“ anvisiert; Risikoeigner (Geschäftsbereich) zeichnet gegen

5. Überwachen & verbessern

Prüfen Sie Umsetzungsfortschritt und Wirksamkeit der Kontrollen anhand von Kennzahlen. Reagieren Sie auf Abweichungen mit Korrekturmaßnahmen und passen Sie Bewertungen bei Änderungen im Kontext an.

Konkret überwachen Sie dabei:

• Umsetzungsfortschritt Ihrer Maßnahmen/Behandlungspläne (Termine, Verantwortliche, Status).
• Wirksamkeit der Kontrollen (werden die Ziele/KPIs erreicht?)
• Ereignisse & Beinahe-Vorfälle (lernen & nachjustieren)
• Änderungen im Kontext (Technik, Lieferanten, Gesetze, Bedrohungen) – ggf. Risiken neu bewerten.

Diese „Monitoring & Review“-Schleife ist Teil von ISO 27005 und baut auf ISO 31000 auf.

6. Kommunikation & Dokumentation

Worum es geht: Sorgen Sie für transparente Risikokommunikation (Management, Fachbereiche, IT/SecOps, Compliance) und auditfeste Dokumentation.

Legen Sie fest, was kommuniziert wird (Risiken, KPIs, Vorfälle, Änderungen), wer die Informationen bekommen soll (Management, IT etc.), wann sie kommuniziert werden (ad hoc, monatlich, jährlich) und wie die Informationen geteilt werden (Dashboards, Reports, Tickets, Jour-fixe).

Was sind die Vorteile eines Risikomanagements nach ISO 27005?

• Passgenau für ISO 27001: 27005 liefert die Umsetzungshilfe für die risikobasierten Anforderungen – das erleichtert Audits und Zertifizierungsvorbereitung.
• Proaktiv & priorisiert: Relevante Risiken werden früh erkannt, nachvollziehbar bewertet und ressourceneffizient behandelt.
• Flexibel & skalierbar: Die Norm lässt Methodenwahl zu – vom 3×3-Ansatz bis zu quantitativen Verfahren – und passt damit zu Start-up wie Konzern.
• Transparenz für Stakeholder: Saubere Dokumentation und klare Verantwortlichkeiten schaffen Vertrauen bei Management, Kunden, Auditoren.
• Kontinuierliche Verbesserung: Monitoring & Review sind fest verankert – Bewertungen und Kontrollen bleiben aktuell.
• Kompatibel zum Enterprise Risk Management: Ausrichtung an ISO 31000 erleichtert die Anbindung an unternehmensweite Risikoprozesse.

So kann ISiCO beim Aufbau eines Risikomanagements nach ISO 27005 unterstützen

Wir begleiten Sie ganzheitlich – von der ersten Standortbestimmung bis zum auditfesten Betrieb:

• Quick-Check & GAP-Analyse zu ISO 27005/27001 inkl. Handlungsempfehlungen (auch in Bezug auf Regularien wie NIS2 und DORA).
• Methodik & Kriterien entwickeln
• Risikoworkshops & Szenario-Katalog
• Risikoregister & Templates
• Analyse & Priorisierung
• Behandlungspläne
• Schulung & Awareness (Fachbereich, IT/SecOps, Management)
• Lieferanten-/Third-Party-Risikomanagement
• Integration ins ISMS
• Begleitung von Management-Reviews und Korrekturmaßnahmen

Wir stehen Ihnen gerne auch als externer Informationssicherheitsbeauftragter (ISB) zur Verfügung. Sprechen Sie uns an – wir entwickeln gern ein passendes Vorgehen für Ihr Unternehmen.