ISO 27005 (Risikomanagement)
ISO/IEC 27005 ist der internationale Standard für Informationssicherheits-Risikomanagement. Er definiert den Prozess zur Risikoidentifikation, -bewertung, -behandlung und -kommunikation als Teil eines ISMS nach ISO 27001. ISO 27005 ist eine methodische Anleitung, kein zertifizierbarer Standard, und beschreibt wie Risiken strukturiert bewertet und behandelt werden.
ISO/IEC 27005 ist der Leitfaden für Informationssicherheits-Risikomanagement im Kontext von ISO 27001. Während ISO 27001 fordert, dass Risiken bewertet und behandelt werden, erklärt ISO 27005 wie dieser Prozess methodisch korrekt durchgeführt wird.
Der ISO 27005 Risikomanagement-Prozess
1. Context Establishment (Kontext definieren)
- Ziel des Risikomanagements festlegen
- Scope bestimmen: welche Assets, Prozesse, Systeme?
- Risikoakzeptanz-Kriterien definieren (z. B. „Risiken mit Score > 15 müssen behandelt werden”)
- Stakeholder identifizieren
2. Risk Assessment (Risikobeurteilung)
2a. Risk Identification (Risikoidentifikation)
- Assets inventarisieren
- Bedrohungen pro Asset identifizieren
- Schwachstellen pro Asset identifizieren
- Bestehende Kontrollen erfassen
2b. Risk Analysis (Risikoanalyse)
- Wahrscheinlichkeit (Likelihood): Skala 1-5
- Auswirkung (Impact): Skala 1-5 (Vertraulichkeit/Integrität/Verfügbarkeit)
- Risikowert = Likelihood × Impact
- Inherent Risk (vor Kontrollen) vs. Residual Risk (nach Kontrollen)
2c. Risk Evaluation (Risikobewertung)
- Vergleich mit Akzeptanzkriterien
- Priorisierung: welche Risiken zuerst behandeln?
3. Risk Treatment (Risikobehandlung)
Vier Optionen:
- Modify (Reduzieren): Kontrollen implementieren
- Retain (Akzeptieren): Risiko bewusst tragen (dokumentiert!)
- Avoid (Vermeiden): risikobehaftete Aktivität einstellen
- Share (Teilen): Versicherung, Outsourcing
4. Risk Acceptance
- Management genehmigt das Restrisiko
- Dokumentiert und unterschrieben
5. Risk Communication and Consultation
- Risiken an relevante Stakeholder kommunizieren
- Management-Reporting
6. Risk Monitoring and Review
- Regelmäßige Überprüfung (mindestens jährlich)
- Neue Bedrohungen und Schwachstellen einarbeiten
Risikoanalyse-Methodik praktisch
Qualitative Risikoanalyse (für die meisten KMU geeignet)
Skala 1-5 für Wahrscheinlichkeit und Auswirkung, Risikowert = W × A (1-25).
Risikoregister-Beispiel:
| ID | Asset | Bedrohung | W | A | Risiko | Behandlung |
|---|---|---|---|---|---|---|
| R01 | Produktions-DB | Ransomware | 4 | 5 | 20 KR | Backup, Segmentierung, EDR |
| R02 | E-Mail-System | Phishing → BEC | 5 | 4 | 20 KR | MFA, Anti-Phishing |
| R03 | VPN-Gateway | RCE-Schwachstelle | 3 | 5 | 15 H | Patch-Management |
| R04 | Mitarbeiter-PC | Malware | 5 | 3 | 15 H | EDR, Awareness-Training |
| R05 | Cloud-Storage | Fehlkonfiguration | 3 | 4 | 12 M | CSPM, Config-Review |
| R06 | Website | DDoS | 3 | 2 | 6 N | CDN (akzeptiert) |
W = Wahrscheinlichkeit, A = Auswirkung; KR = Kritisch (>15), H = Hoch (10-15), M = Mittel (5-9), N = Niedrig (<5)
Schutzbedarfsfeststellung (nach BSI)
- Normal: Standard-Schutzbedarf, BSI-Grundschutz-Basisanforderungen
- Hoch: Zusätzliche Maßnahmen erforderlich
- Sehr hoch: Erhöhte Anforderungen, oft individuelle Analyse
Beispiel-Schutzbedarfsanalyse:
- Asset: Kundendatenbank
- Vertraulichkeit: hoch (DSGVO-relevante Daten)
- Integrität: hoch (falsche Kundendaten → Schaden)
- Verfügbarkeit: normal (Ausfall 24 h tolerierbar)
- Ergebnis: hoch → erhöhte Schutzmaßnahmen nötig
Quantitative Risikoanalyse (für reifere Organisationen)
ALE = SLE × ARO
ALE = Annualized Loss Expectancy
SLE = Single Loss Expectancy (Schaden pro Vorfall)
ARO = Annual Rate of Occurrence (Häufigkeit pro Jahr)Beispiel - Ransomware-Angriff:
- SLE = 150.000 EUR (Wiederherstellung + Ausfall + Lösegeldforderung)
- ARO = 0,3 (30 % Wahrscheinlichkeit in diesem Jahr)
- ALE = 150.000 × 0,3 = 45.000 EUR/Jahr
Eine Kontrollmaßnahme kostet 10.000 EUR/Jahr und reduziert ARO auf 0,05:
- Neues ALE: 150.000 × 0,05 = 7.500 EUR
- Einsparung: 37.500 EUR/Jahr → Kontrolle rentiert sich
Statement of Applicability (SoA)
Das SoA ist das zentrale ISO-27001-Dokument und enthält die Liste aller ISO 27001 Annex-A-Controls (93 in der Version 2022).
Für jede Control wird festgehalten:
- Anwendbar (ja/nein)?
- Wenn anwendbar: wie implementiert?
- Wenn nicht anwendbar: Begründung
- Verbindung zum Risikomanagement: welche Controls behandeln welche Risiken?
SoA-Beispiel:
| Control-ID | Control-Name | Anwendbar | Status | Umsetzung | Risikobezug |
|---|---|---|---|---|---|
| A.8.5 | Gesicherte Authentifizierung | Ja | Implementiert | MFA für alle Admin-Konten | R02 (Phishing) |
| A.6.7 | Telearbeit | Ja | Implementiert | VPN, MDM, Richtlinie | R04 (Malware) |
| A.5.7 | Bedrohungsintelligenz | Nein | N/A | Zu klein für eigene TI | - |
Verbindung zwischen SoA und Risikomanagement:
Risiko R02 „Phishing → BEC” wird durch folgende Controls behandelt:
- A.6.3 Informationssicherheitsbewusstsein (Phishing-Training)
- A.8.5 Gesicherte Authentifizierung (MFA)
- A.5.15 Zugriffskontrolle (Least Privilege)
Alle drei Controls sind im SoA als „anwendbar” markiert und das Risiko gilt damit als behandelt.
