Skip to content

Wie führen Sie eine Risikobewertung durch?

Kurzantwort

Eine Risikobewertung identifiziert Assets und ihren Wert, die Bedrohungen und Schwachstellen, die sie betreffen könnten, und schätzt das Risiko dann als Funktion von Eintrittswahrscheinlichkeit und Auswirkung. Sie können es qualitativ durchführen (hoch/mittel/niedrig, schnell und subjektiv) oder quantitativ (SLE × ARO = ALE, datengetrieben, aber schwieriger). Rahmenwerke wie NIST RMF und ISO 27005 geben Struktur, und das Ergebnis speist die Risikobehandlung: mindern, übertragen, vermeiden oder akzeptieren.

Die Risikobewertung ist der Motor eines Sicherheitsprogramms: Sie entscheidet, wohin ein endliches Budget fließt. Interviewer — besonders auf Senior- und Führungsebene — fragen danach, um zu bestätigen, dass Sie über Risiko in Begriffen denken können, die das Geschäft versteht, und nicht nur in technischer Schwere.

Der Prozess

  1. Kontext und Scope festlegen. Welches System, welche Geschäftseinheit oder welchen Prozess bewerten Sie, und gegen welche Risikotoleranz?
  2. Assets identifizieren. Katalogisieren, was zählt — Daten, Systeme, Menschen, Prozesse — und deren Wert für das Geschäft.
  3. Bedrohungen und Schwachstellen identifizieren. Plausible Bedrohungsquellen (Kriminelle, Insider, Natur) mit den Schwächen paaren, die sie ausnutzen könnten.
  4. Risiko analysieren. Eintrittswahrscheinlichkeit und Auswirkung für jedes Bedrohungs-/Schwachstellenpaar schätzen, um ein Risikoniveau abzuleiten.
  5. Bewerten und behandeln. Das Risiko mit der Toleranz vergleichen und für jeden Punkt eine Behandlung wählen.

Qualitativ gegen quantitativ

Die qualitative Analyse bewertet Risiko auf Skalen — hoch/mittel/niedrig oder eine 1–5-Matrix. Sie ist schnell, kommuniziert gut mit nicht-technischen Stakeholdern, ist aber subjektiv. Die quantitative Analyse beziffert es in Geld: Single Loss Expectancy × Annualized Rate of Occurrence = Annualized Loss Expectancy (SLE × ARO = ALE). Der ALE erlaubt es, eine Kontrolle zu rechtfertigen, indem man sie mit dem verhinderten Verlust vergleicht, hängt aber von Daten ab, die oft schwer zu beschaffen sind. Reife Programme verbinden beides — qualitativ zum Triagieren, quantitativ für die größten Risiken und großen Ausgabenentscheidungen.

Rahmenwerke

NIST RMF (SP 800-37) bettet die Bewertung in einen vollständigen Lebenszyklus ein — kategorisieren, auswählen, implementieren, bewerten, autorisieren, überwachen. ISO 27005 liefert den Prozess des Informationssicherheits-Risikomanagements innerhalb eines ISO-27001-ISMS. Beide erzwingen Wiederholbarkeit und Auditierbarkeit.

Risikobehandlung

Die Bewertung speist eine Entscheidung pro Risiko: mindern (Kontrollen hinzufügen), übertragen (Versicherung, Outsourcing), vermeiden (die Aktivität einstellen) oder akzeptieren (das Restrisiko formal abzeichnen). Die Akzeptanz muss eine dokumentierte Geschäftsentscheidung sein, kein Standardfall.

Worauf Interviewer achten

Sie wollen das Denken in Wahrscheinlichkeit mal Auswirkung, Sicherheit im Umgang mit SLE/ARO/ALE, das Wissen, wann qualitativ quantitativ schlägt, ein anerkanntes Rahmenwerk und die vier Behandlungsoptionen mit der Risikoakzeptanz als explizite, verantwortete Entscheidung.

Wahrscheinliche Anschlussfragen

  • Was ist der Unterschied zwischen qualitativer und quantitativer Risikoanalyse, und wann nutzen Sie welche?
  • Definieren Sie SLE, ARO und ALE und wie sie zusammenhängen.
  • Was sind die vier Optionen der Risikobehandlung nach der Bewertung?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.