Risikoanalyse

Die Risikoanalyse ist der Prozess, mit dem Bedrohungen, Schwachstellen und ihre möglichen Auswirkungen systematisch identifiziert und bewertet werden. Üblicherweise wird ein Risiko aus der Eintrittswahrscheinlichkeit eines Ereignisses und dem zu erwartenden Schaden abgeleitet, um daraus eine nachvollziehbare Priorisierung zu gewinnen.

Sie bildet das Fundament eines jeden Informationssicherheits-Managementsystems und ist zentraler Bestandteil von Standards wie ISO 27001. Erst die Kenntnis der relevanten Risiken erlaubt es, knappe Ressourcen dorthin zu lenken, wo sie den grössten Schutz bewirken, statt Massnahmen nach Bauchgefühl zu ergreifen.

Nach der Bewertung folgt die Risikobehandlung mit vier grundsätzlichen Optionen: ein Risiko vermindern, vermeiden, auf Dritte übertragen (etwa durch Versicherung) oder bewusst akzeptieren. Eine Risikoanalyse ist kein einmaliges Dokument, sondern muss regelmässig und bei wesentlichen Änderungen der Bedrohungslage oder der Systeme aktualisiert werden.