Skip to content

Welche Optionen haben Sie nach einer Risikobewertung, um ein Risiko zu behandeln? Geben Sie je ein Beispiel.

Kurzantwort

Sie können mindern (Eintrittswahrscheinlichkeit/Auswirkung mit Kontrollen senken), übertragen (die finanzielle Auswirkung über Versicherung oder Verträge verlagern), vermeiden (die riskante Tätigkeit ganz einstellen) oder akzeptieren (das Restrisiko bewusst hinnehmen). Die Wahl hängt vom Risikoappetit und einem Kosten-Nutzen-Vergleich gegenüber dem erwarteten Verlust des Risikos ab.

Sobald ein Risiko identifiziert und analysiert ist, muss die Leitung entscheiden, was damit geschehen soll. Der CISSP definiert vier Behandlungsoptionen, und Interviewer wollen sowohl die Liste als auch das Urteilsvermögen, um zwischen ihnen zu wählen.

Die vier Optionen

  • Mindern (reduzieren) — Kontrollen anwenden, um Eintrittswahrscheinlichkeit oder Auswirkung zu senken. MFA einzuführen, um das Risiko der Kontoübernahme zu verringern, ist Minderung. Dies ist die häufigste Behandlung, treibt das Risiko aber selten auf null.
  • Übertragen (teilen) — die finanzielle Folge auf einen Dritten verlagern, typischerweise über eine Cyberversicherung oder Vertragsklauseln mit einem Lieferanten. Das Risikoereignis kann weiterhin eintreten; Sie haben nur verschoben, wer zahlt. Reputationsschaden und Ihre Verantwortung können Sie nicht übertragen.
  • Vermeiden — das Risiko beseitigen, indem die Tätigkeit überhaupt nicht ausgeübt wird, z. B. ein Feature einstellen oder den Eintritt in einen Markt ablehnen. Angebracht, wenn das Risiko den Nutzen in den Schatten stellt.
  • Akzeptieren — eine informierte Entscheidung treffen, das Risiko zu tolerieren, meist wenn die Behandlungskosten den erwarteten Verlust übersteigen. Die Akzeptanz muss bewusst, dokumentiert und vom zuständigen Geschäftsverantwortlichen freigegeben sein.

Restrisiko

Nach der Minderung bleibt immer ein Restrisiko. Die Organisation muss dieses Restrisiko bewusst akzeptieren — das ist nie allein die Entscheidung des Sicherheitsteams. Die richtige Person zur Freigabe ist der Geschäftsverantwortliche oder das obere Management, dessen Budget und Verantwortung das Risiko berührt.

Verknüpfung mit Kosten-Nutzen

Die Entscheidung ist wirtschaftlich: den ALE des Risikos mit den Kosten jeder Behandlung vergleichen. Kostet eine Kontrolle mehr als der Verlust, den sie verhindert, kann Akzeptieren oder Übertragen die rationale Wahl sein. Deshalb ist die Auswahl der Behandlung Governance, nicht reine Technik.

Worauf Interviewer achten

Die genau vier Begriffe (mindern, übertragen, vermeiden, akzeptieren), ein konkretes Beispiel für jeden, der Punkt, dass Übertragen das Risiko nicht auslöscht, und die Klarheit, dass die Risikoakzeptanz beim Geschäftsverantwortlichen gegenüber einem dokumentierten Restrisiko liegt.

Wahrscheinliche Anschlussfragen

  • Wer in der Organisation ist befugt, ein Risiko förmlich zu akzeptieren?
  • Warum ist das Übertragen eines Risikos nicht dasselbe wie dessen Beseitigung?
  • Was ist Restrisiko und wann entsteht es?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.