Risikobewertung¶
Hier erfahren Sie, wie Sie in TCM365 Risiken anlegen, nach Eintrittswahrscheinlichkeit und Auswirkung bewerten und die Ergebnisse in einer Risk Matrix (Heat Map) visualisieren.
Was ist eine Risikobewertung?¶
Eine Risikobewertung (Risk Assessment) identifiziert und bewertet potenzielle Risiken für Ihre Organisation. Jedes Risiko wird anhand von zwei Dimensionen bewertet:
- Eintrittswahrscheinlichkeit (Likelihood) -- Wie wahrscheinlich ist es, dass das Risiko eintritt?
- Auswirkung (Impact) -- Wie schwerwiegend waeren die Folgen?
Die Kombination beider Werte ergibt die Risikostufe, die bestimmt, wie dringend Maßnahmen ergriffen werden müssen.
Risiko anlegen¶
1. Neues Risiko erstellen¶
- Navigieren Sie in der Sidebar zu KRITIS/NIS2 > Risikobewertung
- Klicken Sie auf Neues Risiko
2. Risikodaten eingeben¶
Füllen Sie das Formular aus:
- Titel -- Kurze Beschreibung des Risikos (z.B. "Fehlende MFA für privilegierte Konten")
- Beschreibung -- Detaillierte Erläuterung des Risikoszenarios
- Kategorie -- Art des Risikos (z.B. Konfigurationsrisiko, Zugriffsrisiko, Compliance-Risiko, Operatives Risiko)
- Betroffener Tenant -- Welcher Tenant ist betroffen?
- Risikoverantwortlicher -- Wer ist für die Behandlung dieses Risikos zustaendig?
3. Eintrittswahrscheinlichkeit bewerten¶
Bewerten Sie, wie wahrscheinlich es ist, dass das Risiko eintritt:
| Stufe | Bezeichnung | Beschreibung |
|---|---|---|
| 1 | Sehr gering | Tritt unter normalen Umstaenden praktisch nicht ein |
| 2 | Gering | Koennte unter besonderen Umstaenden eintreten |
| 3 | Mittel | Kann gelegentlich eintreten |
| 4 | Hoch | Tritt regelmäßig oder mit hoher Wahrscheinlichkeit ein |
| 5 | Sehr hoch | Tritt mit grosser Sicherheit oder bereits häufig ein |
4. Auswirkung bewerten¶
Bewerten Sie, wie schwerwiegend die Folgen waeren:
| Stufe | Bezeichnung | Beschreibung |
|---|---|---|
| 1 | Vernachlaessigbar | Keine nennenswerten Auswirkungen auf den Betrieb |
| 2 | Gering | Leichte Beeintraechtigungen, schnell behebbar |
| 3 | Mittel | Spuerbare Beeintraechtigungen, erfordern Ressourcen zur Behebung |
| 4 | Hoch | Erhebliche Auswirkungen auf den Betrieb, Compliance oder Sicherheit |
| 5 | Kritisch | Schwerwiegende Folgen, existenzbedrohend oder mit regulatorischen Konsequenzen |
5. Risiko speichern¶
- Prüfen Sie die eingegebenen Daten
- Klicken Sie auf Speichern
- Das Risiko erscheint in der Risikouebersicht und in der Heat Map
Risk Matrix (Heat Map) lesen¶
Die Risk Matrix visualisiert alle bewerteten Risiken in einem Raster:
- X-Achse: Eintrittswahrscheinlichkeit (1-5, von links nach rechts steigend)
- Y-Achse: Auswirkung (1-5, von unten nach oben steigend)
- Farbcodierung:
| Bereich | Risikowert | Bedeutung | Empfohlene Reaktion |
|---|---|---|---|
| Grün | 1-4 | Niedriges Risiko | Akzeptieren oder beobachten |
| Gelb | 5-9 | Mittleres Risiko | Maßnahmen planen |
| Orange | 10-16 | Hohes Risiko | Prioritaer behandeln |
| Rot | 17-25 | Kritisches Risiko | Sofortmassnahmen erforderlich |
Heat Map nutzen¶
- Cluster erkennen: Wenn viele Risiken im roten oder orangen Bereich liegen, besteht dringender Handlungsbedarf
- Trends beobachten: Vergleichen Sie die Heat Map über Zeit, um zu sehen, ob sich die Risikolage verbessert
- Berichterstattung: Die Heat Map eignet sich hervorragend für Management-Praesentationen
Risikobehandlung dokumentieren¶
Für jedes Risiko können Sie Behandlungsmassnahmen definieren:
- Öffnen Sie das Risiko
- Fügen Sie eine Behandlungsmassnahme hinzu:
- Beschreibung der Maßnahme
- Verantwortlicher für die Umsetzung
- Zieldatum für die Umsetzung
- Status (geplant, in Umsetzung, abgeschlossen)
- Aktualisieren Sie die Risikobewertung nach Umsetzung der Maßnahme (Restrisiko)
Risikobehandlungsoptionen¶
| Option | Beschreibung | Beispiel |
|---|---|---|
| Vermeiden | Das Risiko wird durch Änderung der Aktivitaet eliminiert | Deaktivierung eines unsicheren Features |
| Mindern | Maßnahmen reduzieren Wahrscheinlichkeit oder Auswirkung | Aktivierung von MFA für alle Benutzer |
| Uebertragen | Das Risiko wird an einen Dritten übertragen | Cyberversicherung abschliessen |
| Akzeptieren | Das Risiko wird bewusst akzeptiert (dokumentiert) | Risiko ist gering und Behandlung unverhaeltnismaessig |
Tipp
Verknuepfen Sie Risikobehandlungsmassnahmen mit Change Requests, um die Umsetzung formal zu genehmigen und zu dokumentieren.
Best Practices¶
- Regelmäßig aktualisieren: Überprüfen Sie die Risikobewertung mindestens quartalsweise
- Nach Incidents überprüfen: Aktualisieren Sie betroffene Risiken nach jedem Sicherheitsvorfall
- Restrisiko dokumentieren: Nach der Umsetzung von Maßnahmen das verbleibende Risiko bewerten
- Compliance-Ergebnisse einbeziehen: Nutzen Sie fehlgeschlagene Baseline-Checks als Grundlage für Risiken
- Heat Map als Steuerungsinstrument: Nutzen Sie die Heat Map in Meetings mit der Geschaeftsfuehrung
Nächster Schritt¶
- Change Management -- Maßnahmen als Change Request formalisieren
- Incident Management -- Vorfälle dokumentieren, die aus Risiken resultieren