🔍 Was beobachte ich?

In Risk-Workshops sehe ich regelmäßig dasselbe Muster: Risiken werden bewertet, priorisiert, mit Controls versehen. Vorher hat niemand gefragt, welche Geschäftsziele auf dem Spiel stehen. Das Risikoregister ist korrekt ausgefüllt – und völlig kontextlos.

🎯 Was soll eigentlich erreicht werden?

Risikomanagement soll Entscheidungen ermöglichen: Welche Risiken akzeptiere ich, welche behandle ich zuerst? ISO 31000 definiert Risiko als „Auswirkung von Unsicherheit auf Ziele" – die Bewertung setzt damit voraus, dass Ziele existieren.

⚠️ Warum funktioniert das nicht?

Ohne Organisationsziele fehlt der Bezugsrahmen. Was für eine verfügbarkeitsgetriebene Organisation ein kritisches Risiko ist, kann für eine vertraulichkeitsgetriebene zweitrangig sein. Wer Risiken ohne Zielkontext bewertet, misst eine Abweichung von nichts – die Priorisierung bleibt reines Bauchgefühl, im besten Fall dokumentiert. Controls werden für Risiken implementiert, die strategisch irrelevant sein können.

💡 Was funktioniert besser?

Vor der Risikobewertung kommen die Ziele: Was muss diese Organisation leisten, was darf sie nicht verlieren? NIST IR 8286B zeigt, wie Organisationsziele in Cybersecurity-Risiken übersetzt werden – von der Strategie bis zur operativen Ebene. Wer Risiken auf Ziele bezieht, kann auch begründen, wie ein Risiko priorisiert wird.

📚🔍