🔍 Was beobachte ich?

Stakeholder-Analysen listen Kundschaft, Regulatoren, Beschäftigte, Lieferanten. Lauter wohlgesonnene Parteien. Wer der Organisation schaden will, steht auf keiner dieser Listen. Sein Stuhl am Tisch bleibt leer.

🎯 Was soll eigentlich erreicht werden?

Die Analyse soll erfassen, wer die Organisation beeinflusst und was diese Parteien von ihr erwarten. ISO 27001 nennt das „interessierte Parteien".

⚠️ Warum funktioniert das nicht?

Niemand ist stärker am Ergebnis interessiert als die Angreifenden. Sie verfolgen ein Interesse, nur ein feindliches. Fehlen sie auf der Karte, leiten wir Maßnahmen aus freundlichen Erwartungen und Checklisten ab. Die Frage „Cui bono?" – wem nützt unser Schaden? – stellt niemand. So verteidigen wir gegen eine abstrakte Bedrohung statt gegen eine Ransomware-Gruppe mit Motiv, Fähigkeit und Absicht.

💡 Was funktioniert besser?

Die Stakeholder-Analyse um die feindlichen Parteien erweitern. Threat-Intelligence liefert deren Profil: Wer zielt auf uns, mit welcher Motivation, welcher Fähigkeit, welcher Absicht? Auch der Gegner ist eine interessierte Partei. Wer ihn modelliert, erdet die Risikobewertung in realen Akteuren statt in Vermutungen.

📚🔍