Risikomanagement ist gescheitert. Bauen wir es neu auf.
Webinar-Programm 2026: Neugestaltung des Cybersicherheits-Risikomanagements
Reihe 1: Cybersicherheits-Risikomanagement, neu gedacht: von ISO 27005 bis in den Vorstand
Um Sie bei der Bewältigung Ihrer Herausforderungen im Cybersicherheits-Risikomanagement zu unterstützen, hat C-Risk eine dreiteilige Webinar-Reihe zur Behebung von Mängeln im Cybersicherheits-Risikomanagement entwickelt. Dieser Ansatz spiegelt Gartners Empfehlungen zum CRQ wider: Beginnen Sie mit Entscheidungen, drücken Sie Risikopotenziale in Spannen aus und legen Sie Schwellenwerte für die Risikobereitschaft fest. Das Ergebnis ist ein Risikoprogramm, das Geschäftsentscheidungen im gesamten Unternehmen unterstützt.
Diese Reihe behandelt den Wandel von einem compliance-orientierten zu einem datengesteuerten Risikomanagement, legt die Grundlage für eine fundierte Analyse und verbindet quantifiziertes Cyberrisiko mit der Unternehmensführung.

1.1 - Risikomanagement ist fehlerhaft. Bauen wir es neu auf.
Cyber-Risikoprogramme investieren viel Aufwand in Compliance und Kontrolltests, doch diese sind nur Bestandteile des Risikomanagementprozesses.
Dieses 30-minütige Livestorm-Webinar analysierte, warum viele Cyber-Risikoprogramme zwar audit-konform sein können, jedoch für Unternehmensvorstände keinen strategischen Mehrwert liefern. Die Referenten identifizierten das Kernproblem nicht als Mangel an Tools, sondern als eine „Lücke in der Daten- und Governance-Kette" und skizzierten ein Zielbetriebsmodell für ein datengetriebenes, vorstandsrelevantes Risikomanagement.
Christophe Foret (Mitgründer von C-Risk) und Neil MacGowan (Director Customer Success, C-Risk) behandelten folgende Schwerpunktthemen:
- Vorstand und Prüfer stellen grundlegend unterschiedliche Fragen: Die meisten Cyber-Risikoprogramme sind gegenüber einem Prüfer „verteidigbar", erweisen sich jedoch gegenüber einem Vorstand als „wertlos" – da Entscheidungen auf Vorstandsebene quantifizierte, finanziell aufbereitete Entscheidungsgrundlagen erfordern.
- Die Lücke liegt in der Fähigkeits- und Datenkette, nicht im Fehlen von Rahmenwerken: Bestehende „risikobasierte" Rahmenwerke wurden als primär für Prüfer konzipiert beschrieben – nicht für Vorstände. Organisationen beantworten daher häufig die falsche Fragestellung mit den falschen Kennzahlen.
- Fragmentiertes Risikomanagement hemmt die strategische Handlungsfähigkeit: Laut zitierter Gartner-Forschung betreiben 54 % der Organisationen ein isoliertes Risikomanagement. Die Referenten brachten dies mit Unklarheiten, verzögerten Zeitplänen und strategischen Blockaden in Verbindung – und wiesen darauf hin, dass 70 % der Transformationsprojekte scheitern, wenn Risiken unzureichend gesteuert werden.
>Die Aufzeichnung ist verfügbar hier.
1.2 - Risikoinformationen als Grundlage: die zehn Datenfaktoren
Am 2. Juni werden Christophe Foret und Neil MacGowan das zweite Webinar der Reihe veranstalten.
Die Analyse von Cyber-Risiken ist nur so glaubwürdig wie die Szenarien, auf denen sie basiert. Viele Programme analysieren das, was das Framework oder Tool vorgibt, anstatt der Szenarien, die tatsächlich eine Entscheidung beeinflussen würden.
Die Eingrenzung sollte mit den Entscheidungen beginnen, die das Unternehmen treffen muss, und den Bedrohungen, die sie am wahrscheinlichsten betreffen. Cyber-Bedrohungsintelligenz und Experteninput grenzen das Feld auf die wichtigsten Bedrohungsszenarien für das Unternehmen ein. Ein gut eingegrenztes Szenario zeigt, welche Daten benötigt werden, um Unsicherheiten zu reduzieren und eine objektive Analyse zu unterstützen.
Das lernen Sie:
- Wie man von einem generischen Risikoregister zu Szenarien übergeht, die mit spezifischen Geschäftsentscheidungen verknüpft sind
- Wie man Cyber-Bedrohungsintelligenz und Input von Fachexperten integriert, um Szenarien zu priorisieren
- Welche Daten jedes Szenario erfordert und wie man eine Analyse durchführt
- Woran man erkennt, dass ein Szenario gut abgegrenzt ist