Mythos 2: Risk Assessment ist nur formaler Auditpunkt

In vielen Unternehmen hält sich hartnäckig die Vorstellung, dass das Risk Assessment nach ISO 27001 vor allem ein formaler Bestandteil der Zertifizierung ist. Manche Organisationen betrachten die Risikoanalyse als einmalige Pflichtaufgabe, die vor dem Audit erfüllt werden muss, um die Zertifizierung zu erreichen. Sobald das Zertifikat erteilt wurde, verliert das Thema in der Praxis häufig an Aufmerksamkeit. Dieser Mythos führt jedoch zu erheblichen Fehlinterpretationen des Standards und kann die Wirksamkeit des gesamten Informationssicherheitsmanagementsystems beeinträchtigen.

Die Realität sieht vollkommen anders aus. Die Risikoanalyse ist das Herzstück eines jeden wirksamen ISMS. Ohne eine fundierte, realitätsnahe und kontinuierlich aktualisierte Risikobewertung verliert die ISO 27001 ihren Zweck. Die Norm ist nicht dafür gemacht, lediglich ein Zertifikat zu erzeugen. Sie soll Unternehmen befähigen, die tatsächlichen Bedrohungen für ihre Informationswerte zu verstehen und passende Maßnahmen auszuwählen. Deshalb ist die Risikoanalyse der Kernprozess, der sämtliche weiteren Aktivitäten im ISMS steuert.

Es ist ebenfalls ein verbreitetes Missverständnis, dass ISO 27001 die Erstellung eines vollständigen Katalogs aller denkbaren Risiken verlangt. Dies entspricht nicht der Intention der Norm. Die Anforderungen zielen vielmehr darauf ab, dass Unternehmen die für sie relevanten Risiken identifizieren. Der Fokus liegt auf den Risiken, die die Organisation real betreffen können, und nicht auf theoretischen Szenarien. Eine gute Risikobewertung soll ein realistisches und objektives Bild der tatsächlichen Bedrohungslage vermitteln.

In der Praxis bleiben viele Risikoanalysen jedoch abstrakt und losgelöst von der Realität. Einige Unternehmen stützen sich ausschließlich auf sehr allgemeine Risikobeschreibungen, die wenig Bezug zu den eigenen Prozessen, Systemen und Wertschöpfungsabläufen haben. Häufig wird mit austauschbaren Standardlisten gearbeitet, die kaum eine echte Aussagekraft besitzen. Ein solcher Ansatz ermöglicht es zwar, ein Audit zu bestehen, schützt aber nicht wirklich vor realen Bedrohungen. Denn Bedrohungen und Schwachstellen entfalten nur dann Bedeutung, wenn sie im Kontext des eigenen Unternehmens betrachtet werden.

Ein sinnvoller Ansatz zur Risikobewertung beginnt immer bei den Geschäftsprozessen und den Informationswerten, die für die Organisation wesentlich sind. Erst wenn klar ist, welche Prozesse kritisch für das Geschäft sind und welche Daten dabei verarbeitet werden, lässt sich einschätzen, wo Verletzlichkeiten und Risiken entstehen. Ebenso wichtig ist die Betrachtung realer Bedrohungen, nicht nur theoretischer oder selten vorkommender Szenarien. Bedrohungen können aus technischen Schwachstellen, aus Fehlkonfigurationen, aus internen Fehlern, aus Lieferantenabhängigkeiten oder aus äußeren Faktoren bestehen. Entscheidend ist, dass die Bewertung Bezug zur Realität hat und nicht nur aus Formularen besteht.

Ein wirksames Risk Assessment sollte zentrale Fragen beantworten. Dazu gehören beispielsweise: Welche Ereignisse könnten unserem Unternehmen realistisch schaden? Welche Risiken haben die größte Relevanz für unsere momentane Geschäftslage? Welche unserer vorhandenen oder geplanten Maßnahmen reduzieren Risiken tatsächlich und nachweisbar? Diese Fragen sind nicht nur für das Audit wichtig, sondern auch für das Management und die strategische Entscheidungsfindung. Sie bilden die Grundlage dafür, Risiken transparent zu machen und angemessene Entscheidungen zu treffen.

Ein weiterer häufiger Fehler besteht darin, das Risk Assessment als rein dokumentarische Aufgabe zu betrachten. Viele Unternehmen erstellen Tabellen und Risikomatrizen, weil sie glauben, dies sei der einzige Zweck des Prozesses. Doch das Ziel des Risk Assessments ist nicht die Dokumentation. Sie ist lediglich der Nachweis dafür, dass die Organisation ihre Risiken verstanden hat und die richtigen Schlüsse daraus zieht. Das eigentliche Ziel ist die fundierte und nachvollziehbare Steuerung der Informationssicherheit. Maßnahmen aus Anhang A oder alternative Maßnahmen entfalten erst dann ihre Wirkung, wenn sie aus einer echten Risikobetrachtung heraus ausgewählt werden.

Wenn Unternehmen das Risk Assessment nach der Zertifizierung ignorieren oder nur oberflächlich fortführen, entsteht ein trügerisches Sicherheitsgefühl. Eine Zertifizierung allein schützt nicht vor Angriffen, Datenverlust oder Geschäftsunterbrechungen. Was zählt, ist die gelebte Praxis. Bedrohungslagen ändern sich ständig. Technologien entwickeln sich weiter. Neue Anwendungen werden eingeführt, neue Dienstleister kommen hinzu, und interne Prozesse ändern sich. Ein einmal erhobenes Risikoprofil ist daher nie dauerhaft gültig. Es muss regelmäßig überprüft und aktualisiert werden, damit das ISMS wirksam bleibt.

Das Risk Assessment ist daher ein kontinuierlicher Prozess, der in die gesamte Unternehmenssteuerung integriert werden sollte. Das bedeutet, dass Risiken bei Projekten, bei Veränderungen der IT-Landschaft, bei neuen Lieferantenbeziehungen oder bei organisatorischen Veränderungen immer mitgedacht werden müssen. Das ISMS wird nur dann nachhaltig erfolgreich sein, wenn das Risk Assessment als Werkzeug verstanden wird, das Führungskräfte und Fachabteilungen bei ihren Entscheidungen unterstützt.

Ein rein auditgetriebener Ansatz kann kurzfristig funktionieren, führt aber langfristig dazu, dass Risiken übersehen oder falsch eingeschätzt werden. Unternehmen erfüllen dann zwar die formellen Anforderungen, sind aber dennoch erheblichen Gefährdungen ausgesetzt. Die Norm ist bewusst so gestaltet, dass sie keine Checklistenmentalität fördert, sondern ein systematisches und faktenbasiertes Denken über Risiken verlangt. Sie fordert Transparenz, Nachvollziehbarkeit und eine nachvollziehbare Begründung für die Auswahl von Maßnahmen.

Ein effektives Risk Assessment hilft Unternehmen dabei, Prioritäten zu setzen und Ressourcen sinnvoll einzusetzen. Statt alle möglichen Risiken gleich intensiv zu behandeln, ermöglicht eine gute Analyse die Konzentration auf die wirklich relevanten Bedrohungen. Damit steigt nicht nur das Sicherheitsniveau, sondern auch die Effizienz der Sicherheitsmaßnahmen. Gleichzeitig unterstützt die Risikoanalyse die Kommunikation zwischen IT, Management und Fachbereichen, weil sie eine gemeinsame Grundlage für Entscheidungen schafft.

Wer das Risk Assessment lediglich als Pflichtaufgabe zur Erlangung des Zertifikats betrachtet, verfehlt den eigentlichen Sinn der ISO 27001. Informationssicherheit ist kein Projekt, sondern ein dauerhafter Prozess. Das Zertifikat ist nur ein äußeres Zeichen für ein Managementsystem, das im Unternehmen gelebt werden muss. Die Qualität der Risikoanalyse entscheidet darüber, ob das ISMS wirklich funktioniert oder ob es lediglich der formellen Compliance dient.

Im nächsten Teil dieser Reihe folgt Mythos 3 zur Risikobewertung und ihrer praktischen Umsetzung.