Risikomanagement und Priorisierung
Sie können nicht alles gleich schützen. Weder das Budget noch die Zeit noch die personellen Ressourcen reichen dafür aus. Risikomanagement hilft Ihnen zu entscheiden, was zuerst zu schützen ist, wie viel zu investieren ist und wann „gut genug" tatsächlich gut genug ist.
Hier geht es nicht darum, Compliance-Formulare auszufüllen. Es geht darum, mit begrenzten Ressourcen kluge Entscheidungen zu treffen.
Warum Risikomanagement für kleine Unternehmen wichtig ist
Ohne formales Risikomanagement werden Sicherheitsentscheidungen getroffen auf Basis von:
- Dem jüngsten Vorfall
- Was die lauteste Person im Raum denkt
- Was der letzte Nachrichtenartikel behandelt hat
- Was Werkzeugverkäufer aktuell vertreiben
Dies führt zu Fehlinvestitionen. Sie könnten 50.000 € für ein fortschrittliches Bedrohungserkennungssystem ausgeben, während Ihre S3-Buckets öffentlich zugänglich bleiben. Oder alle zu Phishing schulen, während drei Personen das Admin-Passwort teilen.
Risikomanagement bietet einen Rahmen zur Beantwortung der Frage: „Worauf sollen wir uns als nächstes konzentrieren?"
Die Grundlagen: Was ist Risiko?
In der Sicherheit wird Risiko berechnet als:
Risiko = Wahrscheinlichkeit × Auswirkung
Wahrscheinlichkeit: Wie wahrscheinlich ist diese Bedrohung? Täglich? Einmal im Jahr? Einmal im Jahrzehnt?
Auswirkung: Wenn es passiert, wie schlimm ist es? Kleine Unannehmlichkeit? Großer finanzieller Verlust? Unternehmensbedrohend?
Eine Bedrohung mit hoher Wahrscheinlichkeit, aber geringer Auswirkung (Spam-E-Mails) erfordert eine andere Behandlung als eine mit geringer Wahrscheinlichkeit, aber katastrophaler Auswirkung (Ransomware, die alle Daten vernichtet).
Risikomaßnahmen
Für jedes identifizierte Risiko haben Sie vier Möglichkeiten:
| Maßnahme | Wann anwenden | Beispiel |
|---|---|---|
| Mindern | Risiko ist zu hoch, Kontrollen können es reduzieren | MFA hinzufügen, um Kontoübernahmerisiko zu verringern |
| Akzeptieren | Risiko ist niedrig genug, oder Minderungskosten übersteigen den Nutzen | Akzeptieren, dass ein unkritisches internes Werkzeug kurze Ausfallzeiten haben könnte |
| Übertragen | Jemand anderes kann das Risiko besser handhaben | Cyber-Versicherung abschließen, Managed Security Services nutzen |
| Vermeiden | Risiko ist nicht akzeptabel und kann nicht gemindert werden | Keine Kreditkartendaten speichern; stattdessen Stripe verwenden |
Der Großteil der Sicherheitsarbeit ist Minderung. Aber zu wissen, wann man akzeptiert, überträgt oder vermeidet, ist ebenso wichtig.
Vereinfachter Risikobewertungsprozess
Enterprise-Risiko-Frameworks (ISO 31000, NIST RMF) sind umfassend, aber für kleine Unternehmen überwältigend. Hier ist ein praktischer Ansatz, den Sie an einem Tag abschließen können.
Schritt 1: Kritische Assets identifizieren (2 Stunden)
Was würde am meisten schaden, wenn es kompromittiert, zerstört oder geleakt würde?
Asset-Kategorien zu berücksichtigen:
| Kategorie | Beispiele | Fragen, die zu stellen sind |
|---|---|---|
| Daten | Kunden-PII, Quellcode, Finanzdaten | Welche Daten können nicht wiederhergestellt werden? Welche Daten würden den Ruf schädigen, wenn sie geleakt werden? |
| Systeme | Produktionsserver, Datenbanken, SaaS-Plattformen | Welche Systeme stoppen das Geschäft, wenn sie ausfallen? |
| Prozesse | Zahlungsabwicklung, Kunden-Onboarding | Welche Prozesse verarbeiten sensible Vorgänge? |
| Menschen | Schlüsselmitarbeiter mit kritischem Wissen oder Zugang | Wer hat die Schlüssel zum Königreich? |
| Reputation | Marke, Kundenvertrauen | Was würde Kunden vertreiben? |
Schnellübung: Listen Sie Ihre Top-10-Assets auf. Wenn Sie Schwierigkeiten bei der Priorisierung haben, fragen Sie: „Wenn dieses morgen verschwinden würde, wie lange bis das Unternehmen es bemerkt? Wie lange bis zur Krise?"
Schritt 2: Bedrohungen identifizieren (1 Stunde)
Was könnte schiefgehen? Seien Sie konkret.
Häufige Bedrohungsquellen für kleine Unternehmen:
| Bedrohungsquelle | Beispielszenarien |
|---|---|
| Externe Angreifer | Ransomware, Credential Stuffing, opportunistisches Scanning |
| Insider-Bedrohungen | Verärgerter Mitarbeiter, versehentliche Datenleckage, Social-Engineering-Opfer |
| Dritte | Anbieterpanne, Lieferkettenkomprompromittierung, SaaS-Ausfall |
| Technische Fehler | Hardwareausfall, Konfigurationsfehler, Software-Bug |
| Natur/physisch | Stromausfall, Überschwemmung, Diebstahl von Geräten |
Überdenken Sie es nicht. Sie verteidigen sich nicht gegen Nationalstaaten. Konzentrieren Sie sich auf Bedrohungen, die Unternehmen wie Ihres tatsächlich betreffen. Prüfen Sie den Verizon DBIR für Daten zu den häufigsten Angriffen in Ihrer Branche.
Schritt 3: Wahrscheinlichkeit bewerten (1 Stunde)
Schätzen Sie für jede Bedrohungs-Asset-Kombination die Wahrscheinlichkeit:
| Bewertung | Beschreibung | Häufigkeit | Beispiel |
|---|---|---|---|
| 5 – Fast sicher | Wird erwartet | Mehrmals pro Jahr | Phishing-Versuche gegen Mitarbeiter |
| 4 – Wahrscheinlich | Wird voraussichtlich eintreten | Einmal pro Jahr | Credential-Stuffing-Versuch |
| 3 – Möglich | Könnte eintreten | Alle 2–3 Jahre | Gezielter Angriff auf Ihr Unternehmen |
| 2 – Unwahrscheinlich | Könnte eintreten, wird aber nicht erwartet | Alle 5–10 Jahre | Insider-Sabotage |
| 1 – Selten | Außergewöhnliche Umstände | Alle 10+ Jahre | Nationalstaatsangriff |
Verwenden Sie Daten, wenn verfügbar:
- Wie viele Phishing-E-Mails haben Sie letzten Monat erhalten?
- Wie viele Schwachstellen-Scan-Versuche in Ihren Logs?
- Was sagen Branchendaten zur Häufigkeit von Sicherheitsverletzungen?
Wenn keine Daten verfügbar sind, verwenden Sie fundiertes Urteilsvermögen. Schätzen ist besser als gar nicht zu bewerten.
Schritt 4: Auswirkung bewerten (1 Stunde)
Wenn die Bedrohung eintritt, wie schlimm ist es?
| Bewertung | Beschreibung | Finanziell | Operativ | Reputationsmäßig |
|---|---|---|---|---|
| 5 – Katastrophal | Unternehmensfortbestand gefährdet | >1 Mio. € oder >50 % Umsatz | Monate Störung | Große Medienberichterstattung, Kundenabgang |
| 4 – Schwerwiegend | Erheblicher Schaden | 100.000–1 Mio. € | Wochen Störung | Branchenberichterstattung, merklicher Kundenverlust |
| 3 – Mittel | Merkliche Auswirkung | 10.000–100.000 € | Tage Störung | Einige Kundenbeschwerden |
| 2 – Gering | Kleine Auswirkung | 1.000–10.000 € | Stunden Störung | Kaum bemerkt |
| 1 – Vernachlässigbar | Minimale Auswirkung | Unter 1.000 € | Minuten Störung | Niemand bemerkt es |
Tipp: Berücksichtigen Sie alle Auswirkungsarten. Eine Sicherheitsverletzung könnte 50.000 € in der direkten Reaktion kosten, aber 500.000 € in verlorenen Aufträgen, wenn sie in die Nachrichten gerät.
Schritt 5: Risiken berechnen und einstufen (30 Minuten)
Multiplizieren Sie Wahrscheinlichkeit × Auswirkung, um den Risikoscore zu erhalten:
Risikoscore = Wahrscheinlichkeit (1–5) × Auswirkung (1–5)
Risikoniveaus:
- 1–4: Gering (grün) → Akzeptieren oder überwachen
- 5–9: Mittel (gelb) → Minderung planen
- 10–14: Hoch (orange) → Minderung priorisieren
- 15–25: Kritisch (rot) → Sofortiges Handeln erforderlich
Beispiel-Risikobewertung:
| Asset | Bedrohung | W | A | Score | Risikoniveau |
|---|---|---|---|---|---|
| Kundendatenbank | Ransomware | 3 | 5 | 15 | Kritisch |
| Kundendatenbank | SQL-Injection | 2 | 5 | 10 | Hoch |
| Quellcode | Entwickler-Laptop-Diebstahl | 3 | 3 | 9 | Mittel |
| E-Mail-System | Phishing → Kontoübernahme | 4 | 4 | 16 | Kritisch |
| Marketing-Website | Verunstaltung | 3 | 2 | 6 | Mittel |
| HR-Daten | Insider-Zugriffsmissbrauch | 2 | 4 | 8 | Mittel |
| Produktionsserver | DDoS | 3 | 4 | 12 | Hoch |
| Backups | Beschädigung/Löschung | 2 | 5 | 10 | Hoch |
Jetzt wissen Sie, worauf Sie sich konzentrieren: Ransomware und Phishing-to-Account-Takeover sind Ihre kritischen Risiken.
Das Risikoregister
Ein Risikoregister ist Ihr lebendes Dokument zur Verfolgung von Risiken und deren Behandlung. Es muss nicht ausgefallen sein – eine Tabellenkalkulation reicht völlig.
Risikoregister-Vorlage
| ID | Asset | Bedrohung | W | A | Score | Aktuelle Kontrollen | Maßnahme | Eigentümer | Zieldatum | Status |
|---|---|---|---|---|---|---|---|---|---|---|
| R-001 | Kunden-DB | Ransomware | 3 | 5 | 15 | Tägliche Backups, AV | Mindern: Netzwerksegmentierung, EDR hinzufügen | IT-Lead | Q1 2025 | In Bearbeitung |
| R-002 | Phishing | 4 | 4 | 16 | Einfacher Spam-Filter | Mindern: E-Mail-Security-Gateway einrichten, Nutzer schulen | Security Champion | Q1 2025 | Geplant | |
| R-003 | Quellcode | Laptop-Diebstahl | 3 | 3 | 9 | Vollständige Festplattenverschlüsselung | Akzeptieren: Aktuelle Kontrollen ausreichend | Dev-Lead | k. A. | Akzeptiert |
Bewährte Praktiken für das Risikoregister
-
Vierteljährlich überprüfen – Risiken ändern sich. Neue Bedrohungen entstehen. Kontrollen reifen.
-
Eigentümer zuweisen – Jedes Risiko braucht eine verantwortliche Person.
-
Behandlungsfortschritt verfolgen – Ein Risikoregister, das nur Risiken auflistet, ist nutzlos. Verfolgen Sie, was Sie dagegen unternehmen.
-
Einfach halten – 15–25 Risiken sind handhabbar. 200 Risiken bedeuten, dass Sie es nie ansehen werden.
-
Akzeptierte Risiken einbeziehen – Dokumentieren Sie, warum Sie sie akzeptiert haben. Wenn die Führungsebene fragt „Warum haben wir nicht...?", haben Sie die Antwort.
Werkzeuge für das Risikoregister
| Werkzeug | Kosten | Am besten für |
|---|---|---|
| Google Sheets | Kostenlos | Schneller Einstieg, kleine Teams |
| Notion | Kostenloser Tarif | Visuell, einfaches Teilen |
| Jira/Linear | Kostenlose Tarife | Integration mit Entwicklungs-Workflow |
| OWASP Threat Dragon | Kostenlos | Visuelles Bedrohungsmodellieren |
| SimpleRisk | Kostenlos (Community) | Dediziertes Risikomanagement |
| LogicGate, ServiceNow | Kostenpflichtig | Enterprise-GRC-Bedarf |
Empfehlung für kleine Unternehmen: Beginnen Sie mit einer Tabellenkalkulation. Wechseln Sie zu einem dedizierten Werkzeug nur, wenn die Komplexität es erfordert.
Die Risikomatrix: visuelle Priorisierung
Eine Risikomatrix macht die Priorisierung visuell und leicht für die Führungsebene kommunizierbar.
| Wahrscheinlichkeit | Auswirkung 1 | Auswirkung 2 | Auswirkung 3 | Auswirkung 4 | Auswirkung 5 |
|---|---|---|---|---|---|
| 5 – Fast sicher | 5 Mittel | 10 Hoch | 15 Kritisch | 20 Kritisch | 25 Kritisch |
| 4 – Wahrscheinlich | 4 Gering | 8 Mittel | 12 Hoch | 16 Kritisch | 20 Kritisch |
| 3 – Möglich | 3 Gering | 6 Mittel | 9 Mittel | 12 Hoch | 15 Kritisch |
| 2 – Unwahrscheinlich | 2 Gering | 4 Gering | 6 Mittel | 8 Mittel | 10 Hoch |
| 1 – Selten | 1 Gering | 2 Gering | 3 Gering | 4 Gering | 5 Mittel |
Farbkodierung für Präsentationen:
- Grün (Gering): Überwachen, kein sofortiges Handeln
- Gelb (Mittel): Minderung planen, angemessener Zeitrahmen
- Orange (Hoch): Priorisieren, innerhalb eines Quartals angehen
- Rot (Kritisch): Sofortiges Handeln, an Führungsebene eskalieren
Risikodaten zur Priorisierung nutzen
Sicherheitsinitiativen priorisieren
Bei der Entscheidung zwischen Projekten vergleichen Sie deren Risikoreduktion:
| Initiative | Kosten | Aufwand | Behandelte Risiken | Risikoreduktion |
|---|---|---|---|---|
| MFA-Einführung | 2.000 €/Jahr | 2 Wochen | R-002 (Phishing) | 16 → 8 |
| EDR-Einsatz | 10.000 €/Jahr | 1 Monat | R-001 (Ransomware) | 15 → 10 |
| Sicherheitsschulung | 3.000 € | Laufend | R-002, R-003 | Mehrfach -2 |
| Netzwerksegmentierung | 5.000 € | 2 Monate | R-001 | 15 → 9 |
MFA bietet die beste Risikoreduktion pro Euro. Beginnen Sie dort.
Sicherheitsbudget rechtfertigen
Risikodaten erleichtern Budget-Gespräche:
Vor der Risikobewertung: „Wir brauchen 15.000 € für Sicherheitswerkzeuge." → „Warum? Wir hatten noch keine Probleme."
Nach der Risikobewertung: „Unser größtes Risiko – Phishing führt zur Kontoübernahme – hat einen Score von 16/25. Branchendaten zeigen, dass ähnliche Unternehmen durchschnittliche Sicherheitsverletzungskosten von 150.000 € haben. Eine Investition von 15.000 € in E-Mail-Sicherheit und Schulung reduziert dieses Risiko auf 8/25 und halbiert damit ungefähr unseren erwarteten Verlust."
Risiken bewusst akzeptieren
Manchmal lautet die richtige Antwort „Risiko akzeptieren". Aber tun Sie es bewusst:
Risikoakzeptanz-Vorlage
Risiko-ID: R-003
Risikobeschreibung: Quellcode-Diebstahl durch Laptop-Diebstahl
Aktueller Risikoscore: 9 (Mittel)
Aktuelle Kontrollen: Vollständige Festplattenverschlüsselung, Remote-Wipe-Funktion
Empfehlung: Akzeptieren
Begründung:
- Aktuelle Kontrollen reduzieren die Auswirkung erheblich
- Zusätzliche Kontrollen (z. B. kein lokaler Code) würden die Produktivität stark beeinträchtigen
- Kosten zusätzlicher Minderung übersteigen den erwarteten Verlust
Akzeptiert von: [CTO-Name]
Datum: [Datum]
Überprüfungsdatum: [Datum + 1 Jahr]
Risikobewertung für spezifische Szenarien
Bewertung neuer Anbieter
Vor der Einführung eines neuen SaaS-Werkzeugs:
| Risikofaktor | Fragen | Warnsignale |
|---|---|---|
| Datenexposition | Auf welche Daten werden sie zugreifen? | Zugriff auf alle Kundendaten, wenn nur E-Mail benötigt wird |
| Authentifizierung | Unterstützen sie SSO/MFA? | Nur Passwort-Authentifizierung |
| Sicherheitsverletzungshistorie | Gab es bereits Vorfälle? | Kürzlicher Vorfall, schlechte Reaktion |
| Compliance | Haben sie SOC 2/ISO 27001? | Keine Drittpartei-Audits |
| Backup/Wiederherstellung | Was ist ihr SLA? Datenexport? | Keine Exportmöglichkeit |
Neue Funktion/neues Projekt
Vor dem Aufbau von etwas Neuem:
- Welche sensiblen Daten werden verarbeitet?
- Welche Authentifizierung/Autorisierung ist erforderlich?
- Welche Dritte sind beteiligt?
- Wie groß ist der Schadensradius bei einer Kompromittierung?
- Was ist die MVP-Sicherheitsanforderung?
Infrastrukturänderung
Vor größeren Änderungen:
- Welche bestehenden Kontrollen sind betroffen?
- Werden neue Angriffsvektoren eingeführt?
- Was ist der Rollback-Plan?
- Hat Sicherheit das Design überprüft?
Häufige Fehler
-
Analyse-Lähmung – Monate für eine perfekte Bewertung aufwenden, anstatt zu handeln. Eine grobe Bewertung in einem Tag schlägt eine perfekte, die ein Quartal dauert.
-
Akzeptierte Risiken ignorieren – Sie aufschreiben und vergessen. Vierteljährlich überprüfen.
-
Alle Risiken gleich behandeln – Der Sinn ist die Priorisierung. Wenn alles hohe Priorität hat, hat nichts Priorität.
-
Keine Stakeholder einbeziehen – Eine Risikobewertung in der Isolation übersieht den Geschäftskontext. Beziehen Sie Produkt, Entwicklung und Führungsebene ein.
-
Statisches Risikoregister – Risiken ändern sich. Neue Assets entstehen. Bedrohungen entwickeln sich. Regelmäßig überprüfen und aktualisieren.
-
Übermäßiges Vertrauen in Frameworks – NIST und ISO sind nützliche Referenzen, kein Evangelium. Passen Sie sie an Ihren Kontext an.
-
Risikoakzeptanz vergessen – Manchmal ist die Akzeptanz des Risikos die richtige Entscheidung. Diese Entscheidung nicht zu dokumentieren, ist der Fehler.
-
Auswirkungs-Verzerrung – Menschen konzentrieren sich auf Risiken mit hoher Auswirkung, auch wenn die Wahrscheinlichkeit vernachlässigbar ist. Eine einmalige Katastrophe im Jahrhundert verdient möglicherweise weniger Aufmerksamkeit als häufige Vorfälle mit mittlerer Auswirkung.
Risiken in Euro quantifizieren
Die Führungsebene versteht Geld besser als Risikoscores. Wandeln Sie abstrakte Risiken in finanzielle Begriffe um.
Einfache Risikoquantifizierung
Jährlicher Verlusterwartungswert (ALE) = Einzel-Verlusterwartungswert × Jährliche Häufigkeit
Beispiel: Kundendaten-Sicherheitsverletzung
- Einzel-Verlusterwartungswert (SLE): 150.000 € (Reaktion + Bußgelder + Reputation)
- Jährliche Häufigkeit (ARO): 0,1 (10 % Chance pro Jahr)
- ALE = 150.000 € × 0,1 = 15.000 €/Jahr erwarteter Verlust
Wenn eine Maßnahme von 5.000 €/Jahr die ARO auf 0,02 reduziert:
- Neuer ALE = 150.000 € × 0,02 = 3.000 €/Jahr
- Einsparungen: 15.000 € - 3.000 € = 12.000 €/Jahr
- ROI: (12.000 € - 5.000 €) / 5.000 € = 140 %
Kostenschätzungs-Referenz
Verwenden Sie diese Bereiche für Ihre Berechnungen (nach Unternehmensgröße anpassen):
| Auswirkungstyp | Kleine Unternehmen Schätzung | Hinweise |
|---|---|---|
| Incident Response | 10.000–50.000 € | Interne Zeit + Forensik |
| Rechtlich/regulatorisch | 20.000–200.000 € | Je nach Rechtsordnung, Datentyp |
| Kundenbenachrichtigung | 1–5 € pro Datensatz | In den meisten Rechtsordnungen erforderlich |
| Kredit-Monitoring | 10–20 € pro Person/Jahr | Oft nach PII-Verletzung erforderlich |
| Ausfallzeit | 1.000–50.000 € pro Stunde | Hängt vom Geschäftsmodell ab |
| Reputation | 5–20 % Umsatzauswirkung | Schwer zu quantifizieren, aber real |
Risiken in Geschäftsbegriffen präsentieren
| Technische Darstellung | Geschäftliche Darstellung |
|---|---|
| „SQL-Injection-Risiko ist hoch" | „Ein Angreifer könnte unsere gesamte Kundendatenbank stehlen" |
| „Risikoscore 16 von 25" | „Wir schätzen 75.000 € erwarteten Jahresverlust durch dieses Risiko" |
| „Wir brauchen eine WAF" | „Für 10.000 €/Jahr können wir die Wahrscheinlichkeit einer Sicherheitsverletzung um 60 % reduzieren" |
| „CVSS-9,8-Schwachstelle" | „Diese Schwachstelle ermöglicht es Angreifern, innerhalb von Stunden nach dem Scannen die Kontrolle über unsere Server zu übernehmen" |
STRIDE: Bedrohungsmodellierung für Entwickler
Für Entwicklungsteams bietet STRIDE eine systematische Methode zur Identifizierung von Bedrohungen. Verwenden Sie es beim Entwurf neuer Funktionen oder bei der Überprüfung von Architekturen.
STRIDE-Kategorien
| Bedrohung | Was es bedeutet | Beispiel | Minderungsansatz |
|---|---|---|---|
| Spoofing (Identitätsvortäuschung) | Als jemand anderes ausgeben | Gestohlene Anmeldedaten verwenden | Authentifizierung, MFA |
| Tampering (Manipulation) | Daten oder Code modifizieren | SQL-Injection, Preise ändern | Eingabevalidierung, Integritätsprüfungen |
| Repudiation (Abstreitbarkeit) | Getätigte Aktionen leugnen | Benutzer behauptet, keine Transaktion gemacht zu haben | Audit-Logs, Nicht-Abstreitbarkeit |
| Information Disclosure (Informationsoffenlegung) | Sensible Daten preisgeben | Datenbank-Dump, ausführliche Fehler | Verschlüsselung, Zugangskontrolle, Fehlerbehandlung |
| Denial of Service (Dienstverweigerung) | System unverfügbar machen | DDoS, Ressourcenerschöpfung | Rate-Limiting, Redundanz |
| Elevation of Privilege (Rechteausweitung) | Unberechtigten Zugang erlangen | Admin-Kontoübernahme, Rechteausweitung | Least Privilege, Autorisierungsprüfungen |
Schnelle STRIDE-Analyse
Stellen Sie für jede neue Funktion folgende Fragen:
1. SPOOFING: Wie überprüfen wir die Benutzeridentität?
- Können Angreifer legitime Benutzer imitieren?
- Ist das Session-Management sicher?
2. TAMPERING: Können Daten während der Übertragung oder Speicherung verändert werden?
- Wird die Eingabe validiert?
- Sind Integritätsprüfungen vorhanden?
3. REPUDIATION: Können wir beweisen, was passiert ist?
- Werden Aktionen protokolliert?
- Sind Logs manipulationssicher?
4. INFORMATION DISCLOSURE: Welche Daten könnten geleakt werden?
- Sind Fehler zu ausführlich?
- Sind sensible Daten verschlüsselt?
5. DENIAL OF SERVICE: Kann dies missbraucht werden?
- Gibt es Rate-Limits?
- Was passiert unter Last?
6. ELEVATION OF PRIVILEGE: Können Benutzer mehr tun als erlaubt?
- Wird die Autorisierung auf jeder Ebene geprüft?
- Sind Admin-Funktionen ordentlich geschützt?
Ressourcen zur Bedrohungsmodellierung
- OWASP Threat Modeling — Umfassender Leitfaden
- Microsoft Threat Modeling Tool — Kostenloses visuelles Werkzeug
- Threagile — Open-Source, codebasierte Bedrohungsmodellierung
- OWASP Threat Dragon — Kostenlos, Open-Source-Diagrammerstellung
Reale Vorfälle: Wenn Risiken nicht gemanagt wurden
Fall 1: Der vergessene S3-Bucket
Ein Startup hatte „öffentliche S3-Buckets" in seinem Risikoregister als „Mittel"-Risiko eingetragen. Sie planten, es „nächstes Quartal" zu beheben – drei Quartale hintereinander. Ein Sicherheitsforscher fand den Bucket mit 2 Millionen Kundendatensätzen und berichtete Journalisten, bevor er das Unternehmen benachrichtigte.
Kosten: 400.000 € für Incident Response, Anwaltskosten und Kundenverlust. Die 2.000 € und 2 Tage zur Behebung hatten zu lange als „zu teuer" gegolten.
Fall 2: Das akzeptierte Risiko, das zurückschlug
Ein SaaS-Unternehmen akzeptierte das Risiko, keine MFA auf seiner Admin-Konsole zu haben, weil „sie hinter einem VPN ist". Der Laptop eines Mitarbeiters wurde durch Phishing kompromittiert. Der Angreifer griff auf das VPN zu, dann auf die Admin-Konsole. Keine MFA bedeutete vollständigen Zugang zu Kundendaten.
Das Risikoregister besagte: „Akzeptiert – VPN bietet ausreichenden Schutz." Die Risikoüberprüfung hatte nicht hinterfragt, ob VPN allein ausreichend war.
Fall 3: Die Risikobewertung, die den Deal rettete
Ein Fintech-Startup befand sich in M&A-Gesprächen. Die Due-Diligence des Erwerbers umfasste eine Sicherheitsüberprüfung. Da das Startup über Folgendes verfügte:
- Dokumentiertes Risikoregister
- Klare Risikoeigentümer
- Regelmäßige Quartalsüberprüfungen
- Formale Akzeptanzdokumentation für bekannte Lücken
verbrachte das Sicherheitsteam des Erwerbers 2 statt 2 Wochen mit der Bewertung. Das Startup demonstrierte eine über seine Größe hinausgehende Sicherheitsreife und trug so zu einer höheren Bewertung bei.
Fall 4: Prioritäten ohne Risikobewertung
Ein Unternehmen investierte 50.000 € in fortschrittliche Bedrohungserkennung, während es:
- 30 % der Systeme nicht gepatcht hatte
- Keine MFA auf kritischen Systemen hatte
- Gemeinsame Admin-Passwörter verwendete
Ihre erste „erkannte Bedrohung" war ein Angreifer, der bereits drinnen war und diese gemeinsamen Anmeldedaten verwendete. Das teure Erkennungswerkzeug funktionierte perfekt – es erkannte die Sicherheitsverletzung, die grundlegende Hygiene verhindert hätte.
Risikokommunikation: Es realistisch machen
Die Szenario-Technik
Statt abstrakter Risikoscores, erzählen Sie Geschichten:
Abstrakt: „Risiko R-002: Phishing führt zur Kontoübernahme. Wahrscheinlichkeit 4, Auswirkung 4, Score 16."
Szenario: „Es ist Donnerstagmittag. Ein Entwickler klickt auf einen Link in einer E-Mail, die aussieht, als käme sie von GitHub. Er gibt seine Anmeldedaten ein. Am Freitagmorgen hat der Angreifer alle unsere privaten Repositories geklont, einschließlich dem mit hardcodierten API-Schlüsseln. Er hat auf unser AWS-Konto zugegriffen und Kundendaten heruntergeladen. Unser erster Hinweis ist ein Tweet eines Sicherheitsforschers, der besagt, dass unsere Daten zum Verkauf stehen."
Szenarien machen Risiken greifbar. Die Führungsebene erinnert sich an Szenarien.
Risikobereitschafts-Aussagen: Beispiele
Lassen Sie die Führungsebene explizite Risikobereitschaft genehmigen. Beispiele:
Konservativ (regulierte Branche):
„Wir akzeptieren kein Risiko mit einem Score von 10 oder höher. Alle mittleren Risiken (5–9) müssen dokumentierte Minderungspläne mit 90-Tage-Zeitplänen haben. Kein Produktivsystem darf bekannte kritische oder hohe Schwachstellen länger als 7 Tage haben."
Ausgewogen (typisches Technologieunternehmen):
„Risiken mit einem Score von 15+ erfordern C-Level-Genehmigung zur Akzeptanz. Risiken mit einem Score von 10–14 erfordern VP-Genehmigung. Alle hohen und kritischen Risiken müssen Minderungspläne haben. Wir akzeptieren, dass einige mittlere Risiken bestehen werden; sie erfordern eine vierteljährliche Überprüfung."
Aggressiv (frühes Startup):
„Wir priorisieren die Markteinführungszeit. Risiken mit einem Score von 20+ erfordern die Genehmigung des Gründers. Wir akzeptieren bewusst höhere Risiken im Tausch gegen Geschwindigkeit, dokumentieren aber unsere Entscheidungen für zukünftige Referenz. Risiken der Exposition von Kundendaten sind unabhängig vom Score nicht akzeptabel."
Heatmaps für Präsentationen
Visuelle Risikopräsentationen funktionieren besser als Tabellen:
Unternehmens-Risiko-Heatmap – Q1 2025
| Wahrscheinlichkeit | Auswirkung: Gering | Auswirkung: Mittel | Auswirkung: Hoch |
|---|---|---|---|
| Hoch | — | E-Mail-Phishing | Kunden-DB |
| Mittel | Website | Laptop-Diebstahl | Quellcode |
| Gering | — | — | DDoS |
Schwerpunktbereiche: Schutz der Kunden-DB, E-Mail-Sicherheit. Akzeptable Risiken: Website-Verunstaltung (geringe Wahrscheinlichkeit/Auswirkung).
Experten-Tipps
Die „3-in-30"-Überprüfung
Können Sie keine vollständige Bewertung durchführen? Machen Sie „3 in 30":
- Identifizieren Sie Ihre Top-3-Assets
- Nennen Sie für jedes die Top-3-Bedrohungen
- Bewerten Sie diese in 30 Minuten
Das gibt Ihnen 9 Risikopositionen, die Ihre kritischsten Bereiche abdecken. Besser als nichts.
Bedrohungsaufklärung zur Kalibrierung der Wahrscheinlichkeit nutzen
Schätzen Sie die Wahrscheinlichkeit nicht im Vakuum:
- Prüfen Sie den Verizon DBIR für Ihre Branche
- Überprüfen Sie CISA-Warnungen für aktive Exploits
- Überwachen Sie Have I Been Pwned auf Anmeldedatenexposition in Ihrer Domain
Der „Zeitungstest" für Auswirkungen
Bei der Schätzung der Auswirkung fragen Sie: „Würde das in die Nachrichten kommen?" Wenn ja, ist es wahrscheinlich eine 4 oder 5.
Risikobereitschafts-Aussage
Lassen Sie die Führungsebene die Risikobereitschaft definieren: „Wir akzeptieren keine Risiken über [Score X], außer wenn explizit von [Rolle] genehmigt." Das gibt Ihnen klare Eskalationskriterien.
Beispiel:
„Risiken mit einem Score von 15 oder höher erfordern CEO-Genehmigung zur Akzeptanz. Risiken mit einem Score von 10–14 erfordern CTO-Genehmigung. Risiken unter 10 können von Abteilungsleitern akzeptiert werden."
Risiken mit OKRs verknüpfen
Verknüpfen Sie Sicherheitsrisiken mit Unternehmenszielen:
- „Unser Q1-Ziel ist 2 Mio. € ARR" → „Eine Sicherheitsverletzung würde Verkaufszyklen um ~2 Monate verzögern"
- „Wir starten in der EU" → „DSGVO-Bußgelder könnten 4 % des Umsatzes betragen"
Das macht Sicherheit für Geschäftsprioritäten relevant.
Workshop: Führen Sie Ihre Risikobewertung durch
Teil 1: Asset-Inventar (1 Stunde)
- Kritische Assets Ihres Unternehmens auflisten
- Kategorisieren: Daten, Systeme, Prozesse, Menschen, Reputation
- Nach Wichtigkeit einstufen (wenn Sie nur 5 schützen könnten, welche 5?)
Ergebnis: Asset-Inventar mit Top-10-kritischen-Assets identifiziert
Teil 2: Bedrohungsidentifikation (1 Stunde)
- Für jedes Top-Asset, 3–5 relevante Bedrohungen identifizieren
- Konkret sein: „Ransomware per Phishing-E-Mail", nicht nur „Cyberangriff"
- Bedrohungsaufklärungsquellen zur Validierung nutzen
Ergebnis: Bedrohungsliste, den Assets zugeordnet
Teil 3: Risikobewertung (1 Stunde)
- Jedes Bedrohungs-Asset-Paar für Wahrscheinlichkeit (1–5) bewerten
- Jedes für Auswirkung (1–5) bewerten
- Risikoscores berechnen
- Von höchstem zu niedrigstem einstufen
Ergebnis: Eingestufte Risikoliste mit Scores
Teil 4: Risikoregister (1 Stunde)
- Risikoregister anhand der bereitgestellten Vorlage erstellen
- Aktuelle Kontrollen für jedes Risiko dokumentieren
- Maßnahme vorschlagen (mindern, akzeptieren, übertragen, vermeiden)
- Eigentümer und Zieldaten für hohe/kritische Risiken zuweisen
Ergebnis: Initiales Risikoregister mit Top-15-Risiken
Teil 5: Risikomaßnahmenplan (1 Stunde)
- Für Ihre Top-5-Risiken, konkrete Minderungsmaßnahmen definieren
- Kosten und Aufwand für jede schätzen
- Zeitplan und Prioritäten vorschlagen
- Zusammenfassung für die Führungsebene vorbereiten
Ergebnis: Risikomaßnahmenplan mit priorisierten Maßnahmen
So erklären Sie es der Führungsebene
Der Pitch:
„Ich möchte formalisieren, wie wir Sicherheitsentscheidungen treffen. Im Moment reagieren wir auf alles, was dringend erscheint. Eine Risikobewertung gibt uns ein klares Bild unserer tatsächlichen Risiken – was wahrscheinlich passiert und wie schlimm es wäre. Dann können wir in die Dinge investieren, die am wichtigsten sind, nicht nur in die lautesten."
Was zu präsentieren ist:
- Top-5-Risiken mit Beschreibungen in einfacher Sprache
- Aktuelle Kontrollen und Lücken
- Vorgeschlagene Investitionen mit Kosten und Risikoreduktion
- Was Sie zu akzeptieren empfehlen (und warum das in Ordnung ist)
Die Anfrage:
„Ich brauche 4 Stunden für die erste Bewertung und 30 Minuten Ihrer Zeit zur Überprüfung der Ergebnisse. Danach vierteljährliche 15-minütige Überprüfungen, um es aktuell zu halten."
Erwartetes Ergebnis:
„Sie erhalten Einblick in unsere tatsächliche Sicherheitslage und die Daten, um fundierte Entscheidungen darüber zu treffen, wo Sie investieren."
Fazit
Sie können nicht alle Risiken eliminieren. Das Ziel ist es, bewusste Entscheidungen zu treffen, welche Risiken akzeptiert, welche reduziert und welche übertragen werden sollen. Ein Risikoregister macht diese Entscheidungen explizit statt implizit.
Beginnen Sie mit einer Tabellenkalkulation und vier Spalten. Den Prozess können Sie später ausbauen.
Was kommt als nächstes
Als nächstes: Compliance und regulatorische Anforderungen – verstehen, was Sie rechtlich tun müssen und wie Sie das in einen Wettbewerbsvorteil umwandeln können.