Risikoregister
Verfolgen, bewerten und verwalten Sie organisatorische Sicherheitsrisiken.
Überblick
Das Risikoregister hilft Ihnen dabei:
- Risiken zu identifizieren und zu dokumentieren
- Wahrscheinlichkeit und Auswirkung zu bewerten
- Risikobehandlungspläne zu verfolgen
- Risiken im Zeitverlauf zu überwachen
- Über Risikoposition zu berichten
Navigieren Sie zu Risikoregister in der Seitenleiste.
Risikostruktur
Risikoeintrag
Jedes Risiko enthält:
| Feld | Beschreibung |
|---|---|
| Risiko-ID | Eindeutige Kennung |
| Titel | Risikoname |
| Beschreibung | Detaillierte Risikobeschreibung |
| Kategorie | Risikokategorie |
| Wahrscheinlichkeit | Eintrittswahrscheinlichkeit |
| Auswirkung | Schweregrad bei Eintritt |
| Risiko-Score | Berechnetes Risikoniveau |
| Eigentümer | Verantwortliche Person |
| Status | Aktueller Risikostatus |
| Behandlung | Risikoreaktionsplan |
Risikokategorien
Organisieren Sie Risiken nach Kategorie:
- Technisch: System-Schwachstellen, Architekturfehler
- Operativ: Prozessfehler, menschliche Fehler
- Compliance: Regulatorische Verstöße, Audit-Fehler
- Drittanbieter: Lieferantenrisiken, Lieferkette
- Physisch: Einrichtung, Umwelt
- Strategisch: Geschäft, Marktrisiken
Risikobewertung
Wahrscheinlichkeitsskala
| Stufe | Score | Beschreibung |
|---|---|---|
| Selten | 1 | Unwahrscheinlich einzutreten |
| Unwahrscheinlich | 2 | Könnte gelegentlich eintreten |
| Möglich | 3 | Könnte manchmal eintreten |
| Wahrscheinlich | 4 | Wird wahrscheinlich eintreten |
| Fast sicher | 5 | Wird erwartet einzutreten |
Auswirkungsskala
| Stufe | Score | Beschreibung |
|---|---|---|
| Vernachlässigbar | 1 | Minimale Auswirkung |
| Gering | 2 | Kleine Auswirkung, leicht zu bewältigen |
| Moderat | 3 | Spürbare Auswirkung |
| Groß | 4 | Erhebliche Auswirkung |
| Schwerwiegend | 5 | Kritische Auswirkung auf Betrieb |
Risiko-Score-Berechnung
Risiko-Score = Wahrscheinlichkeit × Auswirkung
Score-Bereich Risikoniveau
1-4 Niedrig (Grün)
5-9 Mittel (Gelb)
10-16 Hoch (Orange)
17-25 Kritisch (Rot)Risikomatrix
Visuelle Risikobewertungsmatrix:
AUSWIRKUNG
1 2 3 4 5
┌────┬────┬────┬────┬────┐
5 │ 5 │ 10 │ 15 │ 20 │ 25 │
├────┼────┼────┼────┼────┤
4 │ 4 │ 8 │ 12 │ 16 │ 20 │
W ├────┼────┼────┼────┼────┤
A 3 │ 3 │ 6 │ 9 │ 12 │ 15 │
H ├────┼────┼────┼────┼────┤
R 2 │ 2 │ 4 │ 6 │ 8 │ 10 │
S ├────┼────┼────┼────┼────┤
C 1 │ 1 │ 2 │ 3 │ 4 │ 5 │
H └────┴────┴────┴────┴────┘
E
I ■ Niedrig ■ Mittel ■ Hoch ■ Kritisch
N
L
I
C
H
K
E
I
TRisiken erstellen
Neues Risiko hinzufügen
- Gehen Sie zu Risikoregister
- Klicken Sie auf Risiko hinzufügen
- Geben Sie Risikodetails ein:
- Titel
- Beschreibung
- Kategorie
- Bewerten Sie Wahrscheinlichkeit und Auswirkung
- Weisen Sie Eigentümer zu
- Klicken Sie auf Erstellen
Risiko aus Schwachstelle
Erstellen Sie Risiken aus Sicherheitsschwachstellen:
- Öffnen Sie eine Schwachstelle
- Klicken Sie auf Risiko erstellen
- Risiko wird automatisch mit Schwachstellendetails gefüllt
- Überprüfen und passen Sie Bewertung an
- Klicken Sie auf Erstellen
Risiken importieren
Importieren Sie Risiken aus Tabelle:
- Klicken Sie auf Importieren
- Laden Sie Vorlage herunter
- Füllen Sie Risikodaten aus
- Laden Sie Datei hoch
- Überprüfen und bestätigen Sie
Risikobehandlung
Behandlungsoptionen
| Behandlung | Beschreibung | Wann verwenden |
|---|---|---|
| Mindern | Wahrscheinlichkeit oder Auswirkung reduzieren | Risiko kann kostenwirksam reduziert werden |
| Akzeptieren | Anerkennen und überwachen | Risiko innerhalb Toleranz |
| Übertragen | Auf Dritte verlagern | Versicherung, Outsourcing |
| Vermeiden | Risikoquelle eliminieren | Risiko zu hoch, Aktivität nicht wesentlich |
Behandlungspläne
Dokumentieren Sie Behandlungspläne:
- Öffnen Sie Risikodetail
- Klicken Sie auf Tab Behandlung
- Wählen Sie Behandlungstyp aus
- Fügen Sie Behandlungsdetails hinzu:
- Erforderliche Maßnahmen
- Zeitplan
- Benötigte Ressourcen
- Erwartetes Restrisiko
- Klicken Sie auf Speichern
Restrisiko
Bewerten Sie nach Behandlung das Restrisiko:
Ursprüngliches Risiko: 16 (Hoch)
Behandlung: MFA implementieren
Restrisiko-Bewertung:
- Wahrscheinlichkeit: 4 → 2 (reduziert durch Kontrolle)
- Auswirkung: 4 → 4 (unverändert)
- Restscore: 8 (Mittel)Risikostatus
Statustypen
| Status | Beschreibung |
|---|---|
| Identifiziert | Neues Risiko, noch nicht bewertet |
| Bewertung | Wird evaluiert |
| Behandlung | Behandlung läuft |
| Überwachung | Akzeptiert, wird verfolgt |
| Geschlossen | Risiko eliminiert oder nicht mehr relevant |
Status-Workflow
Identifiziert → Bewertung → Behandlung → Überwachung
↓
GeschlossenRisikoüberwachung
Risikoprüfungen
Planen Sie regelmäßige Risikoprüfungen:
- Gehen Sie zu Einstellungen → Risikomanagement
- Setzen Sie Prüfungshäufigkeit (monatlich, vierteljährlich)
- Weisen Sie Prüfer zu
- System sendet Erinnerungen
Risikotrends
Verfolgen Sie Risiko-Score-Änderungen im Zeitverlauf:
Risiko: Unbefugter Datenzugriff
Score-Historie:
Jan: ████████████████████ 20 (Kritisch)
Feb: ████████████████ 16 (Hoch)
Mär: ████████████ 12 (Hoch)
Apr: ████████ 8 (Mittel) ← MFA implementiertKey Risk Indicators (KRIs)
Professional-Funktion
KRI-Tracking erfordert Professional- oder Enterprise-Plan.
Richten Sie KRIs für wichtige Risiken ein:
- Öffnen Sie Risikodetail
- Klicken Sie auf Tab KRIs
- Definieren Sie Indikator:
- Zu verfolgender Indikator
- Schwellenwerte
- Datenquelle
- System alarmiert bei Überschreitung von Schwellenwerten
Risikoberichterstattung
Risikozusammenfassung
Zeigen Sie Gesamtrisikoposition an:
Risikoregister-Zusammenfassung
Gesamt-Risiken: 24
Nach Stufe:
Kritisch ██ 2 (8%)
Hoch ████ 4 (17%)
Mittel ████████ 8 (33%)
Niedrig ██████████ 10 (42%)
Top-Risiken:
1. Ransomware-Angriff (Score: 20)
2. Datenpanne via Drittanbieter (Score: 16)
3. Compliance-Verstoß (Score: 15)Risiko-Heatmap
Visuelle Darstellung aller Risiken:
- Gehen Sie zu Berichte → Risiko-Heatmap
- Sehen Sie Risiken in Matrix dargestellt
- Klicken Sie auf Zelle, um Risiken auf dieser Stufe zu sehen
- Exportieren Sie für Präsentationen
Trendbericht
Verfolgen Sie Änderungen der Risikoposition:
| Zeitraum | Kritisch | Hoch | Mittel | Niedrig | Gesamt-Score |
|---|---|---|---|---|---|
| Q1 | 3 | 5 | 7 | 8 | 156 |
| Q2 | 2 | 4 | 8 | 10 | 128 |
| Q3 | 2 | 4 | 8 | 10 | 124 |
Executive-Bericht
Generieren Sie Risikobericht auf Board-Ebene:
- Klicken Sie auf Berichte → Executive Summary
- Wählen Sie Zeitraum aus
- Wählen Sie einzuschließende Abschnitte aus
- Generieren Sie PDF
Integration mit Kontrollen
Risiko-Kontrolle-Mapping
Verknüpfen Sie Risiken mit mildernden Kontrollen:
- Öffnen Sie Risikodetail
- Klicken Sie auf Tab Kontrollen
- Klicken Sie auf Kontrolle verknüpfen
- Wählen Sie relevante Kontrollen aus
- Klicken Sie auf Verknüpfen
Kontrollwirksamkeit
Sehen Sie, wie Kontrollen Risiko reduzieren:
Risiko: SQL Injection-Angriff
Inhärenter Risiko-Score: 20
Mildernde Kontrollen:
- Parametrisierte Abfragen (Wirksamkeit: 80%)
- Eingabevalidierung (Wirksamkeit: 60%)
- WAF (Wirksamkeit: 40%)
Restrisiko-Score: 6API-Zugriff
bash
# Risiken auflisten
GET /api/v1/risks?status=monitoring
# Risikodetails abrufen
GET /api/v1/risks/{risk_id}
# Risiko erstellen
POST /api/v1/risks
{
"title": "Datenpanne durch Phishing",
"description": "Risiko von Datenpanne durch Phishing-Angriffe",
"category": "technical",
"likelihood": 4,
"impact": 5,
"owner_id": "user_123"
}
# Risiko aktualisieren
PATCH /api/v1/risks/{risk_id}
{
"treatment_type": "mitigate",
"treatment_plan": "E-Mail-Sicherheitsschulung implementieren",
"residual_likelihood": 2,
"residual_impact": 5
}Siehe API-Referenz für vollständige Dokumentation.
Best Practices
- Regelmäßige Prüfungen: Überprüfen Sie Risiken mindestens vierteljährlich
- Eigentümer zuweisen: Jedes Risiko braucht einen Eigentümer
- Behandlung dokumentieren: Detaillieren Sie, wie Risiken adressiert werden
- Trends verfolgen: Überwachen Sie Risiko-Scores im Zeitverlauf
- Mit Kontrollen verknüpfen: Verbinden Sie Risiken mit mildernden Kontrollen
- Zeitnah aktualisieren: Neu bewerten nach Änderungen oder Vorfällen
- An Führung berichten: Halten Sie Führungskräfte informiert