Wie führen Sie eine Risikobewertung durch?
Kurzantwort
Eine Risikobewertung identifiziert Assets und ihren Wert, die Bedrohungen und Schwachstellen, die sie betreffen könnten, und schätzt das Risiko dann als Funktion von Eintrittswahrscheinlichkeit und Auswirkung. Sie können es qualitativ durchführen (hoch/mittel/niedrig, schnell und subjektiv) oder quantitativ (SLE × ARO = ALE, datengetrieben, aber schwieriger). Rahmenwerke wie NIST RMF und ISO 27005 geben Struktur, und das Ergebnis speist die Risikobehandlung: mindern, übertragen, vermeiden oder akzeptieren.
Die Risikobewertung ist der Motor eines Sicherheitsprogramms: Sie entscheidet, wohin ein endliches Budget fließt. Interviewer — besonders auf Senior- und Führungsebene — fragen danach, um zu bestätigen, dass Sie über Risiko in Begriffen denken können, die das Geschäft versteht, und nicht nur in technischer Schwere.
Der Prozess
- Kontext und Scope festlegen. Welches System, welche Geschäftseinheit oder welchen Prozess bewerten Sie, und gegen welche Risikotoleranz?
- Assets identifizieren. Katalogisieren, was zählt — Daten, Systeme, Menschen, Prozesse — und deren Wert für das Geschäft.
- Bedrohungen und Schwachstellen identifizieren. Plausible Bedrohungsquellen (Kriminelle, Insider, Natur) mit den Schwächen paaren, die sie ausnutzen könnten.
- Risiko analysieren. Eintrittswahrscheinlichkeit und Auswirkung für jedes Bedrohungs-/Schwachstellenpaar schätzen, um ein Risikoniveau abzuleiten.
- Bewerten und behandeln. Das Risiko mit der Toleranz vergleichen und für jeden Punkt eine Behandlung wählen.
Qualitativ gegen quantitativ
Die qualitative Analyse bewertet Risiko auf Skalen — hoch/mittel/niedrig oder eine 1–5-Matrix. Sie ist schnell, kommuniziert gut mit nicht-technischen Stakeholdern, ist aber subjektiv. Die quantitative Analyse beziffert es in Geld: Single Loss Expectancy × Annualized Rate of Occurrence = Annualized Loss Expectancy (SLE × ARO = ALE). Der ALE erlaubt es, eine Kontrolle zu rechtfertigen, indem man sie mit dem verhinderten Verlust vergleicht, hängt aber von Daten ab, die oft schwer zu beschaffen sind. Reife Programme verbinden beides — qualitativ zum Triagieren, quantitativ für die größten Risiken und großen Ausgabenentscheidungen.
Rahmenwerke
NIST RMF (SP 800-37) bettet die Bewertung in einen vollständigen Lebenszyklus ein — kategorisieren, auswählen, implementieren, bewerten, autorisieren, überwachen. ISO 27005 liefert den Prozess des Informationssicherheits-Risikomanagements innerhalb eines ISO-27001-ISMS. Beide erzwingen Wiederholbarkeit und Auditierbarkeit.
Risikobehandlung
Die Bewertung speist eine Entscheidung pro Risiko: mindern (Kontrollen hinzufügen), übertragen (Versicherung, Outsourcing), vermeiden (die Aktivität einstellen) oder akzeptieren (das Restrisiko formal abzeichnen). Die Akzeptanz muss eine dokumentierte Geschäftsentscheidung sein, kein Standardfall.
Worauf Interviewer achten
Sie wollen das Denken in Wahrscheinlichkeit mal Auswirkung, Sicherheit im Umgang mit SLE/ARO/ALE, das Wissen, wann qualitativ quantitativ schlägt, ein anerkanntes Rahmenwerk und die vier Behandlungsoptionen mit der Risikoakzeptanz als explizite, verantwortete Entscheidung.
Wahrscheinliche Anschlussfragen
- Was ist der Unterschied zwischen qualitativer und quantitativer Risikoanalyse, und wann nutzen Sie welche?
- Definieren Sie SLE, ARO und ALE und wie sie zusammenhängen.
- Was sind die vier Optionen der Risikobehandlung nach der Bewertung?