🔍 Was beobachte ich?

In Risk-Workshops werden Assets der Reihe nach durchgegangen: Schwachstellen-Scans, Bedrohungskataloge, Einstufungen nach Vertraulichkeit, Integrität und Verfügbarkeit. Das nennt sich Risikoidentifikation. Das Ergebnis ist eine priorisierte Schwachstellenliste – kein Risikoregister.

🎯 Was soll eigentlich erreicht werden?

Risiken systematisch identifizieren und priorisieren. ISO 31000 und ISO 27001 fordern genau das. Nur die Methode – Asset-Inventur plus Bedrohungsabgleich – führt nicht dorthin.

⚠️ Warum funktioniert das nicht?

Das ATV-Modell (Asset, Bedrohung, Schwachstelle) enthält einen konzeptionellen Denkfehler: Wenn alle drei Faktoren bestätigt sind, ist die Ungewissheit aufgelöst. Das ist kein Risiko mehr – das ist ein dokumentiertes Problem mit konkretem Handlungsbedarf. Risiko im Sinne von ISO 31000 ist „Auswirkung von Ungewissheit auf Ziele" – ohne Ungewissheit kein Risiko. Dazu kommt: Assets sind Mittel zum Zweck, keine Organisationsziele. Strategische Risiken wie NIS2-Konformitätslücken bei Lieferanten, Schlüsselpersonenverluste im Security-Team oder systemische Sicherheitsblindheit in der Entwicklung tauchen in keiner Asset-Liste auf. ISO 27001 hat die Pflicht zur Asset-basierten Risikoidentifikation seit der Revision 2013 bewusst aufgegeben.

💡 Was funktioniert besser?

Risikoidentifikation beginnt bei Zielen, nicht bei Assets. Das FAIR-Modell betrachtet Risiko als Wahrscheinlichkeit und Ausmaß zukünftiger Verluste – Asset, Bedrohung und Schwachstelle sind Faktoren in dieser Kalkulation, nicht ihr Ergebnis. Wer Schwachstellen findet, betreibt Vulnerability-Management. Wer Risiken analysiert, fragt: Welche Ungewissheit bedroht welches Ziel?

📚🔍