Risikomanagement nach NIS-2: Ein Praxisleitfaden

NIS-2 fordert “geeignete und verhältnismäßige” Maßnahmen. Das klingt vernünftig, wirft aber sofort eine Frage auf: Wie bestimmen Sie, was “geeignet” und “verhältnismäßig” ist? Die Antwort: durch Risikomanagement.

Ohne Risikoanalyse fischen Sie im Trüben. Sie wissen nicht, wo die größten Gefahren lauern, und Sie können nicht begründen, warum Sie bestimmte Maßnahmen ergreifen und andere nicht. Risikomanagement ist das Fundament, auf dem alles andere aufbaut.

Was Risikomanagement wirklich bedeutet

Vergessen Sie erstmal die komplizierten Frameworks. Im Kern geht es um drei Fragen: Was kann schiefgehen? Wie wahrscheinlich ist das? Und was tun wir dagegen?

Das klingt simpel, und das ist es auch – zumindest vom Prinzip her. Die Kunst liegt darin, diese Fragen systematisch zu beantworten und die Ergebnisse zu dokumentieren. Nicht einmal, sondern regelmäßig.

Der Prozess in fünf Schritten

Schritt 1: Den Rahmen abstecken. Bevor Sie loslegen, müssen Sie wissen, was Sie analysieren. Alle IT-Systeme? Nur die kritischen? Welche Standorte? Welche Prozesse? Mein Rat: Fangen Sie mit den kritischen Systemen an. Das, was Ihr Geschäft am Laufen hält. Den Rest können Sie später hinzufügen.

Außerdem brauchen Sie Kriterien. Was bedeutet “hohe Wahrscheinlichkeit”? Was ist ein “schwerer Schaden”? Definieren Sie das, bevor Sie anfangen. Sonst vergleichen Sie später Äpfel mit Birnen.

Schritt 2: Risiken identifizieren. Jetzt wird es konkret. Welche Assets haben Sie, die geschützt werden müssen? Server, Anwendungen, Daten, Know-how in den Köpfen Ihrer Mitarbeiter. Listen Sie das auf.

Dann: Was kann diese Assets gefährden? Ransomware, natürlich. Aber auch Hardware-Ausfälle, Fehlkonfigurationen, der frustrierte Mitarbeiter, der gekündigt hat und noch Zugang hat. Naturereignisse. Der Bagger, der versehentlich das Glasfaserkabel durchtrennt.

Und schließlich: Welche Schwachstellen machen die Assets verwundbar? Ungepatchte Software, schwache Passwörter, fehlende Backups, keine Schulungen für Mitarbeiter.

Aus der Kombination entstehen Risikoszenarien: “Ransomware verschlüsselt unsere Produktionsdaten, weil der VPN-Zugang nicht mit MFA gesichert ist.” Das ist ein Risiko. Konkret, greifbar, bewertbar.

Schritt 3: Risiken analysieren. Für jedes Szenario schätzen Sie zwei Dinge: Wie wahrscheinlich ist das? Und wie schlimm wäre es?

Für die Wahrscheinlichkeit schauen Sie sich an, was in Ihrer Branche passiert, was bei Ihnen schon vorgekommen ist, und welche Schutzmaßnahmen Sie bereits haben. Ein Unternehmen ohne MFA wird eher gehackt als eines mit. Das ist keine Raketenwissenschaft.

Für die Auswirkung denken Sie an alles: Finanzielle Schäden (direkt und indirekt), Betriebsunterbrechung (wie lange, wie umfassend), Reputationsschaden (steht es in der Zeitung?), und regulatorische Konsequenzen (DSGVO-Bußgeld obendrauf?).

Dann multiplizieren Sie. Wahrscheinlichkeit mal Auswirkung ergibt den Risikowert. Das ist vereinfacht, aber es funktioniert.

Schritt 4: Risiken bewerten. Jetzt haben Sie eine Liste von Risiken mit Werten. Sortieren Sie nach Wert. Die Risiken ganz oben sind die, um die Sie sich zuerst kümmern müssen.

Legen Sie fest, was akzeptabel ist und was nicht. Risiken unter einem bestimmten Wert können Sie akzeptieren – das sind die, bei denen es teurer wäre, etwas dagegen zu tun, als den Schaden zu tragen, falls er eintritt. Alles darüber muss behandelt werden.

Schritt 5: Risiken behandeln. Hier haben Sie vier Optionen.

Risikominderung: Sie ergreifen Maßnahmen, um das Risiko zu reduzieren. MFA einführen, Backups verbessern, Mitarbeiter schulen. Das ist der Standardfall.

Risikovermeidung: Sie beseitigen die Ursache komplett. System abschalten, Prozess ändern, Geschäftsfeld aufgeben. Drastisch, aber manchmal die richtige Wahl.

Risikoübertragung: Sie versichern sich oder lagern das Risiko an einen Dienstleister aus. Das eliminiert das Risiko nicht, aber es begrenzt den finanziellen Schaden.

Risikoakzeptanz: Sie entscheiden bewusst, das Risiko zu tragen. Das ist legitim – bei niedrigen Risiken. Dokumentieren Sie die Entscheidung. Falls später jemand fragt, wollen Sie zeigen können, dass Sie nicht geschlafen haben, sondern eine fundierte Entscheidung getroffen haben.

Die Dokumentation, die Sie brauchen

Ein Risikoregister ist keine optionale Fleißarbeit. Es ist der Nachweis, dass Sie Risikomanagement betreiben. Eine Tabelle reicht: Risiko-ID, Beschreibung des Szenarios, betroffenes Asset, Wahrscheinlichkeit, Auswirkung, Risikowert, Behandlungsentscheidung, geplante Maßnahme, Status.

Das klingt nach viel Arbeit. Ist es anfangs auch. Aber wenn Sie einmal angefangen haben, ist die Pflege überschaubar. Und bei einem Audit werden Sie froh sein, dass Sie es haben.

Regelmäßige Berichte an die Geschäftsleitung gehören dazu. Nicht alle drei Monate ein 50-seitiges Dokument, aber ein Überblick: Wie ist die Risikolage? Was sind die größten Risiken? Was tun wir dagegen? Wie ist der Stand?

Die häufigsten Fehler

Zu komplex anfangen. Es gibt verschiedene Frameworks und Normen – alle mehrere hundert Seiten. Wenn Sie damit anfangen, werden Sie nie fertig. Starten Sie einfach. Verfeinern Sie später.

Nur an Technik denken. Risikomanagement ist nicht “welche Firewall kaufen wir”. Die größten Risiken sind oft organisatorisch: unklare Verantwortlichkeiten, fehlende Prozesse, ungeschulte Mitarbeiter. Beziehen Sie das ein.

Einmal machen und abhaken. Risiken ändern sich. Neue Bedrohungen tauchen auf, Systeme werden verändert, Geschäftsmodelle entwickeln sich. Risikomanagement ist ein kontinuierlicher Prozess, keine einmalige Übung.

Die Geschäftsleitung nicht einbinden. Risikoakzeptanz ist eine Management-Entscheidung. Wenn die Geschäftsleitung nicht weiß, welche Risiken sie akzeptiert, ist die Entscheidung nicht wirklich getroffen. Und im Ernstfall steht sie mit im Regen.

Maßnahmen planen, aber nicht nachverfolgen. Ein Maßnahmenplan ohne Follow-up ist Papier. Wer ist verantwortlich? Bis wann? Ist es passiert? Das muss getracked werden.

Warum das alles?

Ehrlich gesagt: Nicht wegen NIS-2. NIS-2 ist der Anlass, nicht der Grund.

Der Grund ist, dass Risikomanagement Ihnen hilft, die richtigen Entscheidungen zu treffen. Wo investieren Sie Ihr Sicherheitsbudget? In eine neue Firewall oder in MFA? In Schulungen oder in ein SIEM? Ohne Risikobewertung ist das Bauchgefühl. Mit Risikobewertung ist es fundiert.

Und wenn das BSI fragt, warum Sie bestimmte Maßnahmen haben und andere nicht, können Sie antworten: “Weil unsere Risikoanalyse das ergeben hat. Hier ist die Dokumentation.”

Das ist der Unterschied zwischen Compliance und tatsächlicher Sicherheit. Compliance können Sie faken. Sicherheit nicht. Risikomanagement hilft bei beidem.

Fangen Sie an. Identifizieren Sie Ihre kritischsten Assets, die wahrscheinlichsten Bedrohungen, die offensichtlichsten Schwachstellen. Bewerten Sie die Risiken. Entscheiden Sie, was Sie tun. Dokumentieren Sie. Dann iterieren Sie. Jeder Durchlauf macht Sie klüger – und sicherer.