Risikobewertung
Was ist Risikobewertung?
RisikobewertungStrukturierte Aktivität innerhalb des Risikomanagements, die Bedrohungen, Schwachstellen und Auswirkungen auf konkrete Werte identifiziert und das resultierende Risiko zur Entscheidungsfindung bewertet.
Eine Risikobewertung verbindet Risikoidentifikation, -analyse und -bewertung für einen definierten Geltungsbereich, etwa ein System, einen Geschäftsprozess, einen Lieferanten oder ein neues Projekt. Die Bewertenden sammeln Bedrohungsinformationen, kartieren Schwachstellen, schätzen Eintrittswahrscheinlichkeit und Geschäftsauswirkung und erzeugen eine nach Unternehmenskriterien priorisierte Risikoliste. Verfahren reichen von qualitativen Heatmaps bis zu quantitativen Methoden wie FAIR oder Monte-Carlo-Simulationen; die Ergebnisse fließen in Risikoregister und Behandlungspläne. Sie sind zudem regulatorische Pflicht in Rahmenwerken wie NIST SP 800-30, ISO/IEC 27005, DSGVO-DSFA oder der HIPAA Security Rule.
● Beispiele
- 01
Bewertung nach NIST SP 800-30 für eine neue SaaS-Gehaltsabrechnungsplattform.
- 02
Jährliche ISO-27005-Bewertung zur Vorbereitung des ISO-27001-Zertifizierungsaudits.
● Häufige Fragen
Was ist Risikobewertung?
Strukturierte Aktivität innerhalb des Risikomanagements, die Bedrohungen, Schwachstellen und Auswirkungen auf konkrete Werte identifiziert und das resultierende Risiko zur Entscheidungsfindung bewertet. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet Risikobewertung?
Strukturierte Aktivität innerhalb des Risikomanagements, die Bedrohungen, Schwachstellen und Auswirkungen auf konkrete Werte identifiziert und das resultierende Risiko zur Entscheidungsfindung bewertet.
Wie funktioniert Risikobewertung?
Eine Risikobewertung verbindet Risikoidentifikation, -analyse und -bewertung für einen definierten Geltungsbereich, etwa ein System, einen Geschäftsprozess, einen Lieferanten oder ein neues Projekt. Die Bewertenden sammeln Bedrohungsinformationen, kartieren Schwachstellen, schätzen Eintrittswahrscheinlichkeit und Geschäftsauswirkung und erzeugen eine nach Unternehmenskriterien priorisierte Risikoliste. Verfahren reichen von qualitativen Heatmaps bis zu quantitativen Methoden wie FAIR oder Monte-Carlo-Simulationen; die Ergebnisse fließen in Risikoregister und Behandlungspläne. Sie sind zudem regulatorische Pflicht in Rahmenwerken wie NIST SP 800-30, ISO/IEC 27005, DSGVO-DSFA oder der HIPAA Security Rule.
Wie schützt man sich gegen Risikobewertung?
Schutzmaßnahmen gegen Risikobewertung kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Risikobewertung?
Übliche alternative Bezeichnungen: IT-Risikoanalyse, Cyber-Risikobewertung.
● Verwandte Begriffe
- compliance№ 936
Risikomanagement
Der koordinierte Prozess zur Identifikation, Analyse, Bewertung, Behandlung, Überwachung und Kommunikation von Risiken, um sie innerhalb der von der Organisation definierten Toleranz zu halten.
- compliance№ 937
Risikoregister
Lebendiges Verzeichnis identifizierter Risiken mit Beschreibung, Eigentümer, Bewertungen, Behandlung und Status, mit dem die Risikoexposition der Organisation im Zeitverlauf nachgehalten wird.
- compliance№ 888
Qualitative Risikoanalyse
Analyseansatz, der Eintrittswahrscheinlichkeit und Auswirkung über deskriptive Skalen wie niedrig/mittel/hoch oder 1-5 bewertet, statt monetärer oder probabilistischer Werte.
- compliance№ 889
Quantitative Risikoanalyse
Analyseansatz, der Eintrittswahrscheinlichkeit und Auswirkung in Zahlen ausdrückt - meist als Wahrscheinlichkeiten und Verlustverteilungen - um datenbasierte Entscheidungen zu ermöglichen.
- compliance№ 282
Datenschutz-Folgenabschätzung (DPIA)
Strukturierte Bewertung gemäß Artikel 35 der DSGVO, die vor einer voraussichtlich risikoreichen Datenverarbeitung Risiken für Rechte und Freiheiten betroffener Personen identifiziert und mindert.
- appsec№ 1150
Bedrohungsmodellierung
Strukturierte Analyse, die Assets, Bedrohungen, Schwachstellen und Gegenmaßnahmen eines Systems identifiziert, damit Sicherheit im Design verankert und nicht nachträglich ergänzt wird.