---
title: "Die Sicherheitsinventur"
date: 2026-04-29T07:35:00+02:00
draft: false
image: "2026-04-29_Sicherheitsinventur.jpg"
tags: ["Anti-Pattern", "Risikomanagement", "ISO 27001", "FAIR"]
keywords: ["ATV-Modell", "Risikoidentifikation", "ISO 31000", "Vulnerability-Management", "Asset-basierte Risikoanalyse", "NIS2"]
description: "Das ATV-Modell reduziert Risikomanagement auf Inventur – und verwechselt bestätigte Probleme mit Risiken."
---

## 🔍 Was beobachte ich?

In Risk-Workshops werden Assets der Reihe nach durchgegangen: Schwachstellen-Scans, Bedrohungskataloge, Einstufungen nach Vertraulichkeit, Integrität und Verfügbarkeit. Das nennt sich Risikoidentifikation. Das Ergebnis ist eine priorisierte Schwachstellenliste – kein Risikoregister.

## 🎯 Was soll eigentlich erreicht werden?

Risiken systematisch identifizieren und priorisieren. ISO 31000 und ISO 27001 fordern genau das. Nur die Methode – Asset-Inventur plus Bedrohungsabgleich – führt nicht dorthin.

## ⚠️ Warum funktioniert das nicht?

Das ATV-Modell (Asset, Bedrohung, Schwachstelle) enthält einen konzeptionellen Denkfehler: Wenn alle drei Faktoren bestätigt sind, ist die Ungewissheit aufgelöst. Das ist kein Risiko mehr – das ist ein dokumentiertes Problem mit konkretem Handlungsbedarf. Risiko im Sinne von ISO 31000 ist „Auswirkung von Ungewissheit auf Ziele" – ohne Ungewissheit kein Risiko. Dazu kommt: Assets sind Mittel zum Zweck, keine Organisationsziele. Strategische Risiken wie NIS2-Konformitätslücken bei Lieferanten, Schlüsselpersonenverluste im Security-Team oder systemische Sicherheitsblindheit in der Entwicklung tauchen in keiner Asset-Liste auf. ISO 27001 hat die Pflicht zur Asset-basierten Risikoidentifikation seit der Revision 2013 bewusst aufgegeben.

## 💡 Was funktioniert besser?

Risikoidentifikation beginnt bei Zielen, nicht bei Assets. Das FAIR-Modell betrachtet Risiko als Wahrscheinlichkeit und Ausmaß zukünftiger Verluste – Asset, Bedrohung und Schwachstelle sind Faktoren in dieser Kalkulation, nicht ihr Ergebnis. Wer Schwachstellen findet, betreibt Vulnerability-Management. Wer Risiken analysiert, fragt: Welche Ungewissheit bedroht welches Ziel?

## 📚🔍

- ISO 31000:2018 Risk management – Guidelines [https://www.iso.org/standard/65694.html](https://www.iso.org/standard/65694.html) 🔒
- SRA Glossary – Risk Definition (Aven et al.) [https://www.sra.org/wp-content/uploads/2020/04/SRA-Glossary-FINAL.pdf](https://www.sra.org/wp-content/uploads/2020/04/SRA-Glossary-FINAL.pdf)
- FAIR Institute – Factor Analysis of Information Risk [https://www.fairinstitute.org/what-is-fair](https://www.fairinstitute.org/what-is-fair)
- NIST IR 8286B: Prioritizing Cybersecurity Risk for ERM [https://csrc.nist.gov/pubs/ir/8286/b/upd1/final](https://csrc.nist.gov/pubs/ir/8286/b/upd1/final)