Risk Management ist die Disziplin, an der die meisten ISMS-Projekte zerbrechen – nicht weil das Konzept schwer wäre, sondern weil sich die Methodik in Excel-Tabellen verheddert, die Behandlungsentscheidungen nirgends nachverfolgbar sind und die Restrisiko-Akzeptanz im Top-Management eine PowerPoint-Folie statt ein protokollierter Beschluss ist.
Die ISO-27005-Methodik in vier Schritten
- Identifikation: Bedrohungen, Schwachstellen, Asset-Kombinationen.
- Analyse: Eintrittswahrscheinlichkeit + Auswirkung = Risiko-Score.
- Bewertung: Vergleich mit Risiko-Akzeptanz-Kriterien.
- Behandlung: vermeiden, mindern, übertragen, akzeptieren.
Klingt linear, ist es nie. In der Realität iteriert man zwischen den Schritten – und genau hier scheitert Excel.
Was integriertes Risk Management leistet
- Risiko-Inventar pro Asset: jedes Asset bekommt eine Risk-Matrix mit den relevanten Bedrohungs-Szenarien (gestützt auf den BSI-Gefährdungs-Katalog).
- Bewertung mit Methodik-Zwang: Eintrittswahrscheinlichkeit und Auswirkung werden nach hinterlegter Skala (z. B. 5×5) bewertet, mit Begründungs-Pflicht. „Bauchgefühl" wird so explizit als „qualitative Bewertung" markiert.
- Behandlungs-Entscheidung mit Owner: pro Risiko ein Behandlungs-Plan mit Maßnahmen, Owner, Deadline. Status-Tracking inklusive.
- Restrisiko-Berechnung: nach Maßnahmen-Implementierung wird das Restrisiko ausgewiesen – mit dokumentierter Akzeptanz durch das Top-Management (digitale Signatur via eIDAS-Signaturen).
- Audit-Trail: jede Risiko-Status-Änderung, jede Akzeptanz-Entscheidung wird mit Identität und Zeitstempel gespeichert.
Warum „die KI bewertet das Risiko" hier nicht funktioniert
Es gibt 2026 einen lauten Markt für „AI-gestützte Risikobewertung". Wir nutzen AI an mehreren Stellen, aber Risiko-Scoring gehört bewusst nicht dazu. Drei Gründe:
- Akzeptanz-Verantwortung liegt rechtlich und ethisch beim Top-Management – ein LLM kann diese Verantwortung nicht übernehmen.
- Kontext-Abhängigkeit: das gleiche technische Risiko hat in einem regulierten Umfeld andere Auswirkungen als in einem nicht-regulierten. LLM kennt diesen Kontext nicht ausreichend.
- Reproduzierbarkeit: das gleiche Risiko muss heute, morgen und im nächsten Jahr gleich bewertet werden – LLM-Outputs schwanken.
Wo AI hilft: beim Vorausfüllen von Bedrohungs-Listen pro Asset (typische Bedrohungen für DB-Server, Web-Apps, Endpoints), beim Vorschlagen von Maßnahmen-Templates, beim Generieren von Risiko-Beschreibungen für Reports.
Top-3-Pain-Points – und wie wir sie adressieren
1. „Wir haben 200 Risiken in Excel und keiner schaut mehr rein"
Lösung: Bulk-Import aus Excel mit Mapping-Wizard, danach Owner-Zuordnung mit Erinnerungs-Mails. Filter nach Severity, Status, Owner – statt 200-Zeilen-Excel scrollen.
2. „Wir wissen nicht, ob das Risiko nach den Maßnahmen wirklich kleiner ist"
Lösung: Restrisiko-Berechnung mit transparenter Formel (Risiko vor Maßnahmen × Wirksamkeit der Maßnahmen = Restrisiko). Wirksamkeit wird in den Reviews der Maßnahmen geprüft.
3. „Top-Management hat das Restrisiko nie offiziell akzeptiert"
Lösung: digitaler Akzeptanz-Workflow mit eIDAS-konformer Signatur. Audit-Trail hat den Beleg, kein „Mail-Kette-Beweis"-Drama im Audit.
Verzahnung mit anderen Modulen
- Asset-Management: Risiken hängen an Assets, Asset-Kritikalität fließt in Risiko-Bewertung.
- Maßnahmen-Plan: Behandlungsentscheidungen erzeugen Tasks im Action-Tracking.
- Review-Cycle: Risiken werden mindestens jährlich neu bewertet.
- BCDR: kritische Risiken triggern automatisch BCDR-Plan-Erstellung.
- Audit-Export: Risiko-Bericht mit Behandlungs-Plan und Restrisiko-Akzeptanz fertig für ISO-27001-Auditor.
Fazit
Risk Management ist kein Tooling-Problem, sondern eine Frage von Methodik-Disziplin und nachvollziehbarer Dokumentation. SecTepe.Core liefert das Tooling, das die Methodik erzwingt – und damit aus „wir haben mal vor zwei Jahren ein Risk-Assessment gemacht" eine kontinuierliche, auditierbare Disziplin macht. Top-Management bekommt eine echte Entscheidungs-Grundlage, der Auditor bekommt eine vollständige Akte.