Risikomanagementplan: Aufbau eines datengetriebenen Cyberrisikoprogramms

Phase 1: Verstehen Sie Ihren aktuellen Risikomanagementzustand

Die erste Phase legt das Fundament, indem sie bestimmt, wo Sie sich befinden und wo Sie hinmüssen. Bevor Änderungen vorgenommen werden, ist es entscheidend, den einzigartigen Geschäftskontext der Organisation, die aktuellen Risikomanagementpraktiken und die allgemeine Risikotoleranz zu verstehen. Es ist auch eine Gelegenheit, Konsens zu erzielen, da die frühzeitige Ausrichtung der Stakeholder für die späteren Transformationsziele von entscheidender Bedeutung ist.

Anstatt von Grund auf neu zu beginnen, hilft die Ist-Zustandsbewertungsphase dabei zu ermitteln, welche Aspekte Ihres Risikomanagementprogramms gestärkt werden können und welche Bereiche Aufmerksamkeit erfordern.

Eine umfassende Ist-Zustandsbewertung starten

Beginnen Sie mit der Überprüfung Ihrer bestehenden Cyberrisikomanagementkomponenten:

• Governance-Strukturen: Wer ist für Cyberrisiko-Entscheidungen verantwortlich?
• Compliance-Verpflichtungen: Welche Vorschriften gelten für Ihre Organisation?
• Aktuelle Prozesse: Wie identifizieren, bewerten und behandeln Sie Risiken heute?
• Vorhandene Tools: Welche GRC-Systeme, Schwachstellenscanner oder Risikoplattformen nutzen Sie?
• Integrationsgrade: Sind Ihre Risikoprozesse vernetzt oder isoliert?

Dokumentieren Sie sowohl Stärken, die genutzt werden können, als auch Schwächen, die behoben werden müssen. Holen Sie Input von IT, Sicherheit, Compliance, Geschäftsbereichen und der Unternehmensführung ein, um ein vollständiges Bild zu gewährleisten.

Geschäftsziele kritischen Assets zuordnen

Ihr Cyberrisikomanagementplan muss schützen, was für Ihr Unternehmen am wichtigsten ist. Identifizieren und priorisieren Sie:

• Kritische Geschäftsprozesse, die Umsatz generieren
• Systeme und Daten, die für den Betrieb unverzichtbar sind
• Assets, deren Kompromittierung den Ruf schädigen würde
• Geistiges Eigentum und Wettbewerbsvorteile

Beispielsweise könnte ein E-Commerce-Unternehmen Kundenzahlungssysteme und Plattformverfügbarkeit priorisieren, während sich ein Pharmaunternehmen auf Forschungsdaten und den Schutz geistigen Eigentums konzentriert. Dieser geschäftsorientierte Ansatz stellt sicher, dass Sicherheitsinvestitionen echten Wert liefern.

Die organisatorische Risikobereitschaft und den Reifegrad ermitteln

Was ist die Risikobereitschaft Ihres Unternehmens – das Risikoniveau, das Vorstand und Führungskräfte bei der Verfolgung von Geschäftszielen akzeptieren?

Im Rahmen der Ist-Zustandsbewertung ist es wichtig, mit der Unternehmensführung zusammenzuarbeiten, um die Cyberrisikotoleranz in klaren finanziellen Begriffen zu formulieren. Das Verständnis der Risikobereitschaft bietet einen Kompass für Ihr Programm: Es definiert, welches Restrisiko tolerierbar ist und wo das Management eine Risikoreduktion erwartet.

Neben der Risikobereitschaft sollten Sie Ihren aktuellen Risikomanagement-Reifegrad bewerten. Sind Ihre Risikoprozesse ad-hoc und reaktiv, oder haben Sie bereits strukturierte Praktiken etabliert? Die Verwendung eines Reifegradmodells kann hilfreich sein, um den Ausgangspunkt zu bestimmen.

Laut der Umfrage State of Cyber Risk Management 2025 sind Organisationen mit höherem Cyberrisiko-Reifegrad deutlich besser in der Lage, Vorfällen standzuhalten und sich davon zu erholen.

Viele Organisationen stellen fest, dass ihr Risikomanagement-Reifegrad durch isolierte Funktionen, subjektive Bewertungen und einen Fokus auf Checkbox-Compliance geprägt ist. Hochreife Organisationen hingegen identifizieren und quantifizieren Risiken proaktiv und integrieren Risikoüberlegungen in die Entscheidungsfindung, was zu größerer Resilienz und Leistung führt.

Ihren Governance-Rahmen bewerten

Starke Governance bildet das Rückgrat eines jeden effektiven Cyberrisikomanagementplans. Bewerten Sie, ob Sie folgendes haben:

• Klare Rollen und Verantwortlichkeiten über Geschäfts-, IT- und Sicherheitsfunktionen hinweg
• Dokumentierte Richtlinien, die mit Frameworks übereinstimmen (NIST CSF, ISO 27001)
• Definierte Risikobewertungs- und Behebungsprozesse
• Eskalationswege von der operativen bis zur Vorstandsebene
• Regelmäßige Risikoberichterstattungszyklen

Ihre Compliance-Landschaft verstehen

Cybersicherheit operiert heute in einem zunehmend komplexen und risikoreichen regulatorischen Umfeld. Globale Regulatoren halten die Unternehmensführung für das Cyberrisikomanagement verantwortlich, mit Anforderungen, die weit über traditionelle IT-Kontrollen hinausgehen. Ein datengetriebenes Sicherheitsprogramm zielt höher als Compliance-Checklisten.

Im Rahmen der Ist-Zustandsbewertung sollten Organisationen:

• Alle anwendbaren Gesetze, Vorschriften und Standards basierend auf Geografie, Branche und Geschäftsbetrieb identifizieren
• Die aktuelle Compliance-Lage bewerten, einschließlich formaler Lücken, Audit-Ergebnisse oder Kontrollmängel
• Bereiche der Nicht-Compliance dokumentieren und das damit verbundene operative oder rechtliche Risiko bestimmen

Wichtige Regulierungs- und Standardisierungsorgane treiben den Wandel in rasantem Tempo voran:

• EU-NIS2-Richtlinie: Erfordert Executive-Aufsicht und Genehmigung von Cybersicherheitsrisikomanagementmaßnahmen auf Vorstandsebene
• US-SEC-Cyber-Regeln: Schreiben die Offenlegung wesentlicher Cybersicherheitsrisiken und -vorfälle in Finanzberichten vor
• Sektorspezifische Vorschriften: HIPAA, PCI DSS, DORA, SOX, GLBA und andere
• Branchen-Frameworks: ISO/IEC 27001, NIST CSF, UK Cyber Essentials, SOC 2

Dokumentieren Sie aktuelle Compliance-Lücken und die damit verbundenen Risiken, um Abhilfemaßnahmen zu priorisieren.

Ihren Risikomanagement-Technologie-Stack inventarisieren

Ein weiterer Aspekt der Ist-Zustandsbewertung ist ein Inventar des Technologie-Stacks, der Ihre Geschäfts- und Risikomanagementaktivitäten unterstützt.

Vorhandene Tools können umfassen:

• Governance, Risk and Compliance (GRC)-Plattformen: Tools, die Risikoregister verwalten, Workflows automatisieren, Bewertungen durchführen und die Behebung verfolgen
• Schwachstellen- und Bedrohungsmanagement-Tools: Plattformen, die technische Expositionen identifizieren und Bedrohungsinformationen verarbeiten
• Drittanbieter-Risikomanagement-Tools: Zur Bewertung von Lieferanten, Partnern und externen Abhängigkeiten
• Risikoquantifizierungsplattformen: Aufkommende Plattformen, insbesondere solche, die das FAIR-Modell zur Cyberrisikoquantifizierung nutzen, helfen Organisationen dabei, technische Kennzahlen in finanzielle Begriffe zu übersetzen

Sind Ihre Systeme integriert? Liefern sie umsetzbare Erkenntnisse oder nur weitere Datensilos?

Gap-Analyse durchführen

Phase 1 schließt mit einer umfassenden Gap-Analyse ab, die Folgendes aufdeckt:

• Unklare Rollen und nicht zugewiesene Risikoverantwortung
• Veraltete Richtlinien und Verfahren
• Ineffiziente Ressourcenallokation
• Fehlende Integrationen zwischen Tools
• Diskrepanzen zwischen Sicherheitskennzahlen und Geschäftszielen

Diese Baseline-Bewertung bildet die Grundlage für den Aufbau Ihrer Transformations-Roadmap.

Phase 2: Einen idealen Zielzustand gestalten – die Roadmap

Mit einem soliden Verständnis des aktuellen Risikomanagementprogramms sowie bestehender Lücken und Workstreams im Geschäftskontext konzentriert sich Phase 2 auf den Aufbau einer strategischen Vision für die Organisation. Dies umfasst die Definition von Leitprinzipien, die Identifizierung von Anwendungsfällen und die Betrachtung, wie aktuelle Workstreams verbessert und neue, noch nicht existierende geschaffen werden können.

Ihre Transformationsziele definieren

Legen Sie konkrete Ziele zur Verbesserung Ihres Risikomanagement-Lebenszyklus fest:

Risikoidentifikation:

• Kontinuierliche Asset-Erkennung implementieren
• Integration von Bedrohungsinformationen automatisieren
• Funktionsübergreifende Risikoidentifikationsprozesse etablieren

Risikobewertung:

• Qualitative Methoden durch einen datengetriebenen Ansatz verbessern
• Quantitatives Framework (wie FAIR) übernehmen, um Risiken in Geschäftsbegriffen zu verstehen
• ROSI (Return on Security Investments) klar formulieren

Risikobehandlung:

• Risikoakzeptanzkriterien schaffen, die an Geschäftsauswirkungen geknüpft sind
• Cyber-Versicherungspolizzen identifizieren, die unvermeidbare Risiken angemessen abdecken

Risikoberichterstattung:

• Executive-Dashboards mit geschäftsrelevanten Kennzahlen entwickeln
• KRIs und KPIs identifizieren, die Entscheidungen unterstützen
• Berichterstattungszyklen auf Vorstandsebene etablieren

Ein Zielzustandsziel könnte beispielsweise die Implementierung eines quantitativen Risikoanalyse-Frameworks (wie FAIR) für wichtige Risikoszenarien sein, die in der Ist-Bewertung identifiziert wurden, anstatt sich ausschließlich auf qualitative Risikobewertungen zu stützen. Ein weiteres Ziel könnte die Etablierung eines robusten Risikobehandlungsprozesses sein, bei dem Minderungsmaßnahmen basierend auf Risikoreduktionswirkung und Kosten-Nutzen-Analyse priorisiert werden, anstatt alle „hohen" Risiken gleich zu behandeln.

Verbesserungen der Risikoberichterstattung könnten die Entwicklung datengestützter und risikobasierter Dashboards umfassen. Durch die Festlegung klarer Ziele wie „Top-10-Risiken pro Geschäftseinheit quantifizieren" oder „wichtige Cyberrisikoindikatoren in vierteljährliche Unternehmensrisikoberichte integrieren" schaffen Sie konkrete Ziele zur Verbesserung von Fähigkeiten, Ressourcenallokation und Resilienz.

Datengetriebene Methoden einbeziehen

Modernes Risikomanagement bedeutet zunehmend datengetriebenes Risikomanagement (DDRM) – die Nutzung sowohl qualitativer als auch quantitativer Methoden zur Unterstützung von Cybersicherheitsentscheidungen. Bei der Ausarbeitung des Zielzustands sollten Initiativen und Tools einbezogen werden, die datengetriebene Risikobewertungstechniken implementieren.

Das FAIR-Modell (Factor Analysis of Information Risk) bietet eine strukturierte Methodik zur Analyse von Cyberrisiken in finanziellen Begriffen. Die Integration eines quantitativen Ansatzes wie FAIR kann für jedes Sicherheitsprogramm wegweisend sein. Es bietet Risikoanalysten ein Framework zur Schätzung wahrscheinlicher Verlustfrequenzen und -auswirkungen in Euro, indem Cyberrisiken in die Sprache des Unternehmens übersetzt werden. Diese Art der Risikokommunikation ermöglicht den Vergleich von Risikominderungsoptionen nach erwartetem ROI.

Die Verbesserung Ihres Risikomanagement-Tooling-Stacks (wie Risikoquantifizierungssoftware oder verbesserte GRC-Plattformen) sollte ebenfalls auf der Roadmap stehen. Das Endziel ist der Übergang zu einem evidenzbasierten Risikomanagement, bei dem Entscheidungen durch Kennzahlen und Modelle statt durch Bauchgefühl unterstützt werden.

Phase 3: Erstimplementierung

Die Erstimplementierungsphase konzentriert sich auf die Priorisierung von Workstreams, die Definition von Meilensteinen und die Schulung von Mitarbeitern auf allen Ebenen des Unternehmens, um ein stärkeres Risikobewusstsein zu entwickeln.

Workstreams erstellen und Meilensteine definieren

Die Roadmap sollte in handhabbare Workstreams unterteilt werden. Jeder Stream adressiert eine Kernkomponente der Risikotransformation und ist an messbare, kurzfristige Meilensteine geknüpft, die Wert demonstrieren.

Wichtige Workstreams für das Change Management:

• Governance und Compliance
• Prozesse und Kommunikation
• Technologie und Tooling
• Menschen und Kompetenzaufbau

Pilotinitiativen oder gezielte Verbesserungen starten

Anstatt den Rollout eines völlig neuen Programms zu versuchen, beginnen Sie mit inkrementellen Erfolgen. Dies könnten spezifische Geschäftsbereiche, bestimmte Risikodomänen oder ausgewählte Prozesse sein, die für Verbesserungen bereit sind.

Funktionsübergreifende Risikomanagementteams aufbauen

Cyberrisikomanagement kann nicht als isolierte Funktion erfolgreich sein – es erfordert funktionsübergreifende Zusammenarbeit. Nutzen Sie die Erstimplementierungsphase, um ein funktionsübergreifendes Team oder eine Arbeitsgruppe zu formalisieren, die das Risikoprogramm vorantreibt. Dies umfasst Input von IT-Sicherheit, IT-Betrieb, Compliance/Recht, Enterprise Risk Management, Beschaffung, Finanzen und wichtigen Geschäftsbereichen.

Phase 4: Optimierung des Risikomanagementplans

Nach dem ersten Rollout besteht das Ziel darin, Cyberrisikomanagement in die alltäglichen Geschäftsaktivitäten einzubetten und kontinuierlich zu verbessern. Diese Phase verwandelt Risikomanagement von einem Projekt in eine dauerhafte Fähigkeit.

Risikomanagement in Governance und Geschäftsprozesse einbetten

• Risikoaktualisierungen in vierteljährliche Geschäftsüberprüfungen und Risikoausschusssitzungen einbeziehen
• Risikobewertungen für wichtige IT-Projekte und Lieferantenänderungen vorschreiben
• Mit unternehmensweiten Governance-Zyklen wie strategischer Planung oder Beschaffung in Einklang bringen

Fortschritte im Cybersicherheitsrisikomanagement mit folgenden KPIs verfolgen:

• Mean Time to Detect (MTTD)
• Mean Time to Remediate/Respond (MTTR)
• Richtlinien-Compliance-Rate
• Kosten pro Vorfall

Die Aufsicht der Führungs- und Vorstandsebene über Leistungskennzahlen spielt eine entscheidende Rolle bei der Aufrechterhaltung der Rechenschaftspflicht.

Kritische Erfolgsfaktoren und Change Management

Es gibt mehrere kritische Erfolgsfaktoren, die den Erfolg einer Change-Management-Initiative bestimmen können:

• Executive-Unterstützung
• Funktionsübergreifende Zusammenarbeit
• Realistischer Umfang mit klaren Meilensteinen
• Schulung und Kompetenzentwicklung
• Wert demonstrieren

Technologie und Frameworks allein reichen nicht aus. Der Erfolg hängt von starker Führung, klaren datengetriebenen Zielen und einer Belegschaft ab, die ihre Kommunikations- und Risikomanagementfähigkeiten kontinuierlich weiterentwickelt.