Die Risikobewertung, oder Risk Assessment, ist der Prozess der Identifizierung, Analyse und Bewertung von Risiken, die eine Organisation bedrohen können. Dieses systematische Verfahren zielt darauf ab, die Organisation vor internen wie externen Bedrohungen zu schützen, indem Schwachstellen identifiziert und Lösungen zur Stärkung der Abwehrmechanismen geplant werden. Die durch die Risikobewertung gewonnenen Informationen werden anschließend genutzt, um Maßnahmen zur Verbesserung der Informationssicherheit und der Infrastruktur zu implementieren.

Die Hauptziele

• Identifizieren: Ermittlung potenzieller Ereignisse (Bedrohungen), die die Informationssicherheitsziele einer Organisation gefährden könnten. Dies beinhaltet das Verständnis der Wahrscheinlichkeit, mit der solche Ereignisse eintreten, sowie der möglichen Konsequenzen im Falle ihres Eintretens.
• Analysieren: Vertiefung des Verständnisses für die identifizierten Risiken und Bestimmung ihres Relevanzgrades. Dieser Schritt umfasst häufig die Bewertung des Wertes der gefährdeten Vermögenswerte, die Identifizierung von Schwachstellen und die Bewertung der Wirksamkeit bestehender Kontrollen.
• Bewerten: Vergleich der Ergebnisse der Risikoanalyse mit den festgelegten Risikokriterien. Diese Kriterien berücksichtigen Faktoren wie die Ziele der Organisation, die Risikobereitschaft (das Risikoniveau, das die Organisation zu akzeptieren bereit ist) und die Erwartungen der Stakeholder. Die Bewertung ermöglicht es festzustellen, ob das Risiko (und seine potenziellen Auswirkungen) akzeptabel ist oder ein Eingreifen erfordert.

Hauptphasen der Risikobewertung:

Hier sind die üblicherweise beteiligten Phasen:

1. Gefahren identifizieren: Bestimmung potenzieller Risiken oder Bedrohungen, die die Informationssicherheit der Organisation gefährden könnten.
2. Schweregrad des Risikos bewerten: Einschätzung der Wahrscheinlichkeit jedes identifizierten Risikos sowie der potenziellen Auswirkungen im Falle eines Eintretens.
3. Kontrollmaßnahmen implementieren: Definition von Maßnahmen zur Reduzierung oder Bewältigung der identifizierten Risiken.
4. Prozess dokumentieren: Aufzeichnung aller Erkenntnisse und ergriffenen Maßnahmen in einem formellen Bericht.
5. Überwachen und Überprüfen: Regelmäßige Überprüfung der Wirksamkeit der Kontrollmaßnahmen und Aktualisierung der Risikobewertung bei Bedarf.

Die Risikobewertung ist ein kontinuierlicher Prozess, der regelmäßig durchgeführt werden muss, insbesondere wenn signifikante Änderungen innerhalb der Organisation oder in ihrem externen Umfeld auftreten. Dieser iterative Ansatz stellt sicher, dass der Risikomanagementprozess mit den Unternehmenszielen in Einklang bleibt. Tools wie VERA 7 können Organisationen bei der Durchführung von Risikobewertungen und der Verwaltung der zugehörigen Daten unterstützen.