de
de

Wichtige internationale Standards im Überblick

Standards sind konzentriertes Fachwissen von Menschen, die tiefe Kenntnisse in ihrer Branche haben und die Anforderungen der Organisationen verstehen, die sie vertreten: Hersteller, Lieferanten, Auftraggeber, Nutzer, Berufsverbände und Behörden. Auf Grundlage dieses gemeinsamen Erfahrungswissens entstehen Normen und Anforderungen, die helfen, systematischer und erfolgreicher zu arbeiten.

Entdecken Sie einige der bekanntesten und verbreitetsten Standards, sowie solche, die aktuelle Herausforderungen und Veränderungen adressieren und uns alle betreffen.

ISO/IEC 27005:2022Informationssicherheit, Cybersicherheit und Datenschutz –

Anleitung zum Informationssicherheits-Risikomanagement

(Information security, cybersecurity and privacy protection – Guidance on managing information security risks)

ISO/IEC 27005:2022 ist der Leitfaden für Informationssicherheits-Risikomanagement. Er bietet strukturierte Methoden und Best Practices, um Risiken systematisch zu identifizieren, zu bewerten und zu behandeln – die Kernprozesse eines jeden erfolgreichen Information Security Management Systems (ISMS).

Die Rolle von ISO/IEC 27005 in der 27000-Familie:

  • ISO/IEC 27000 → Terminologie und Überblick (Was bedeuten die Begriffe?)

  • ISO/IEC 27001 → Anforderungen an ein ISMS (Was müssen Sie tun?)

  • ISO/IEC 27002 → Praktische Sicherheitskontrollen (Wie setzen Sie Kontrollen um?)

  • ISO/IEC 27005 → Risikomanagement-Prozess (Wie identifizieren und behandeln Sie Risiken?)

ISO/IEC 27005 ist nicht zertifizierbar – es ist ein Leitfaden, den Sie zusammen mit ISO/IEC 27001 verwenden, um ein wirksames, risikobasiertes ISMS aufzubauen. Der Standard basiert auf ISO 31000 (dem allgemeinen Risikomanagement-Standard) und passt dessen Prinzipien speziell auf Informationssicherheit an.

Was ist ISO/IEC 27001:2022?

Der Risikomanagement-Prozess nach ISO/IEC 27005:2022:

Der Standard beschreibt einen 5-stufigen Prozess:

  1. Kontext etablieren – Definieren Sie den Rahmen, Risikobewertungskriterien und Risikoakzeptanzkriterien

  2. Risiken identifizieren – Erkennen Sie potenzielle Bedrohungen, Schwachstellen und Szenarien (event-based oder asset-based)

  3. Risiken analysieren – Bewerten Sie die Wahrscheinlichkeit und Auswirkung jedes Risikos (qualitativ, quantitativ, semiquantitativ)

  4. Risiken bewerten – Vergleichen Sie Risiken mit Akzeptanzkriterien und priorisieren Sie sie

  5. Risiken behandeln – Entscheiden Sie, wie Sie mit jedem Risiko umgehen (vermeiden, verringern, übertragen, akzeptieren)

Zusätzlich fordert der Standard:

  • Kommunikation und Beratung – Stakeholder während des gesamten Prozesses einbeziehen

  • Überwachung und Review – Risikomanagement kontinuierlich überwachen und anpassen

Vorteile für Ihr Business

Risikomanagement ist das Herzstück jedes ISMS. ISO/IEC 27001 fordert, dass alle Sicherheitskontrollen risikobasiert implementiert werden – aber wie stellt man das sicher? ISO/IEC 27005 liefert die Antwort.

Ohne strukturiertes Risikomanagement:

  • Organisationen verschwenden Budget für unwichtige Kontrollen

  • Kritische Risiken werden übersehen

  • Sicherheitsentscheidungen basieren auf Bauchgefühl, nicht auf Fakten

  • Audits scheitern, weil Risikobewertungen unzureichend sind

Mit ISO/IEC 27005:

  • Risiken werden systematisch und wiederholbar identifiziert

  • Sicherheitsinvestitionen richten sich nach tatsächlichen Bedrohungen

  • Management kann fundierte Entscheidungen treffen

  • Das ISMS wird effizienter und wirksamer

Besonders wichtig für Online-Dienstleister:

  • E-Learning-Plattformen müssen Risiken wie Datenlecks, Zahlungsbetrug und Plattform-Ausfälle managen

  • SaaS-Anbieter stehen vor Risiken wie Cloud-Ausfällen, API-Schwachstellen und Supply-Chain-Angriffen

  • Online-Coaches und Beraterinnen müssen vertrauliche Kundendaten vor unbefugtem Zugriff schützen

  • E-Commerce muss Zahlungsdaten, Kundendaten und Geschäftsgeheimnisse sichern

ISO/IEC 27005 hilft diesen Organisationen, Risiken zu verstehen, zu priorisieren und systematisch zu behandeln.

Zusammenfassung der wichtigsten Vorteile

  • ✓ Gezielte Sicherheitsinvestitionen basierend auf tatsächlichen Risiken

  • ✓ Systematischer, wiederholbarer Risikomanagement-Prozess

  • ✓ Erfüllung der Risikomanagement-Anforderungen von ISO/IEC 27001

  • ✓ Fundierte Entscheidungsfindung durch transparente Risikobewertungen

  • ✓ Proaktive Identifikation und Behandlung von Bedrohungen

  • ✓ Erhöhte Resilienz und Anpassungsfähigkeit

  • ✓ Vertrauen bei Kunden, Partnern und Regulierungsbehörden

  • ✓ Flexibel anpassbar an jede Organisation

Für wen ist ISO/IEC 27005:2022 relevant?

ISO/IEC 27005:2022 ist relevant für alle, die ein ISMS aufbauen oder bereits betreiben:

Risikomanager und Sicherheitsbeauftragte (Durchführung von Risikobewertungen)
CISOs und Sicherheitsteams (Identifikation und Behandlung von Bedrohungen)
IT-Abteilungen (Bewertung technischer Risiken)
Compliance- und Audit-Teams (Nachweis risikobasierten Handelns)
Management und Geschäftsführung (Strategische Entscheidungen basierend auf Risikobewertungen)
Beraterinnen und Auditorinnen (Unterstützung von Organisationen bei Risikobewertungen)
Online-Akademien und E-Learning-Plattformen (Risiken für Lernendendaten und Plattform-Verfügbarkeit)
SaaS- und Cloud-Anbieter (Risiken für Cloud-Infrastruktur, APIs, Datenintegrität)
E-Commerce und Online-Dienstleister (Risiken für Zahlungsdaten, Kundendaten, Geschäftsgeheimnisse)
Kleine und mittlere Unternehmen (Strukturierte Herangehensweise an Risikomanagement)

Wie unterstützt EAS™ Sie bei ISO/IEC 27005:2022?

Der European Attestation Standard™ (EAS™) orientiert sich an den Risikomanagement-Prinzipien von ISO/IEC 27005:2022 und stellt sicher, dass Ihre Online-Dienstleistungen und digitalen Angebote auf Basis strukturierter Risikobewertungen geschützt werden – ohne dass Sie selbst ISO-zertifiziert sein müssen.

Durch die Verwendung von EAS™-Kriterien können Sie:

  • Einen strukturierten Risikomanagement-Prozess für Ihr ISMS aufbauen

  • Risiken systematisch identifizieren, analysieren und behandeln

  • Sicherheitsinvestitionen auf Basis tatsächlicher Bedrohungen priorisieren

  • ISO/IEC 27001-Anforderungen an risikobasiertes Handeln erfüllen

  • Ihre Organisation auf eine zukünftige ISO/IEC 27001-Zertifizierung vorbereiten

  • Vertrauen bei Lernenden, Kundinnen, Partnern und Regulierungsbehörden aufbauen

_______________________________________

Mehr erfahren: Besuchen Sie die ISO-Website oder kontaktieren Sie einen EAS™-zertifizierten Auditor für eine umfassende Beratung zu Ihrer spezifischen Situation.

Der Risikomanagement-Prozess im Detail

1. Kontext etablieren

Zweck: Den Rahmen für das Risikomanagement festlegen.

Wichtige Fragen:

  • Was ist der Geltungsbereich? (Welche Systeme, Daten, Prozesse?)

  • Welche internen und externen Faktoren beeinflussen Risiken? (Compliance-Anforderungen, Geschäftsumfeld, Stakeholder)

  • Was sind unsere Risikoakzeptanzkriterien? (Welche Risiken sind akzeptabel? Welche nicht?)

  • Wer ist für welche Risiken verantwortlich? (Risk Ownership)

Ergebnis: Ein klar definierter Rahmen, innerhalb dessen Risiken identifiziert und bewertet werden.

2. Risiken identifizieren

Zweck: Potenzielle Bedrohungen, Schwachstellen und Szenarien erkennen.

ISO/IEC 27005:2022 bietet zwei Ansätze:

Event-based Approach (Szenariobasiert):

  • Fokus auf Bedrohungsszenarien (z.B. „Ransomware-Angriff", „DDoS-Angriff", „Insider-Bedrohung")

  • Nützlich für strategische Risikobewertungen und Bedrohungslandschaften

  • Beispiel: „Was passiert, wenn ein Mitarbeiter versehentlich Malware herunterlädt?"

Asset-based Approach (Vermögensbasiert):

  • Fokus auf spezifische Assets (Systeme, Daten, Prozesse)

  • Für jedes Asset: Welche Bedrohungen? Welche Schwachstellen?

  • Nützlich für detaillierte, technische Risikobewertungen

  • Beispiel: „Welche Risiken betreffen unsere Kundendatenbank?"

Organisationen können beide Ansätze kombinieren für umfassende Risikoidentifikation.

Ergebnis: Eine Liste identifizierter Risiken mit Beschreibungen von Bedrohungen, Schwachstellen und betroffenen Assets.

3. Risiken analysieren

Zweck: Wahrscheinlichkeit und Auswirkung jedes Risikos bewerten.

ISO/IEC 27005:2022 unterstützt drei Methoden:

Qualitative Analyse:

  • Risiken werden in Kategorien eingeordnet (z.B. „hoch", „mittel", „niedrig")

  • Schnell und einfach, ideal für kleinere Organisationen

  • Beispiel: „Das Risiko eines DDoS-Angriffs ist mittel (Wahrscheinlichkeit) und hoch (Auswirkung)."

Quantitative Analyse:

  • Risiken werden in numerischen Werten ausgedrückt (z.B. „erwarteter Verlust: 50.000 EUR")

  • Präzise, aber aufwendig – ideal für große Organisationen oder kritische Assets

  • Beispiel: „Das Risiko eines Datenverlusts hat eine 5%ige Wahrscheinlichkeit und würde 200.000 EUR kosten."

Semiquantitative Analyse (neu in 2022):

  • Kombination aus qualitativen Kategorien und numerischen Skalen

  • Bietet mehr Präzision als rein qualitativ, ohne den Aufwand quantitativer Analysen

  • Beispiel: „Wahrscheinlichkeit: 3 von 5, Auswirkung: 4 von 5 → Risikostufe: 12"

Ergebnis: Eine bewertete Liste von Risiken mit Wahrscheinlichkeits- und Auswirkungsbewertungen.

4. Risiken bewerten

Zweck: Risiken priorisieren, indem sie mit Risikoakzeptanzkriterien verglichen werden.

Wichtige Fragen:

  • Welche Risiken übersteigen unsere Akzeptanzschwelle?

  • Welche Risiken müssen sofort behandelt werden?

  • Welche Risiken können akzeptiert werden?

Ergebnis: Eine priorisierte Liste von Risiken, die behandelt werden müssen.

5. Risiken behandeln

Zweck: Entscheiden, wie mit jedem Risiko umgegangen wird.

ISO/IEC 27005 beschreibt vier Risikobehandlungsoptionen:

1. Risikominderung (Risk Modification)
Implementieren Sie Sicherheitskontrollen, um Wahrscheinlichkeit oder Auswirkung zu reduzieren.
Beispiel: Einführung von Multi-Faktor-Authentifizierung, um unbefugten Zugriff zu verhindern.

2. Risikovermeidung (Risk Avoidance)
Vermeiden Sie die Aktivität, die das Risiko verursacht.
Beispiel: Verzicht auf die Speicherung sensibler Daten in der Public Cloud.

3. Risikoübertragung (Risk Sharing/Transfer)
Teilen oder übertragen Sie das Risiko auf Dritte (z.B. Cyber-Versicherung, Outsourcing).
Beispiel: Abschluss einer Cyber-Versicherung für Datenpannen.

4. Risikoakzeptanz (Risk Retention)
Akzeptieren Sie das Risiko bewusst, weil die Kosten der Behandlung den potenziellen Schaden übersteigen.
Beispiel: Ein geringfügiges Risiko mit minimaler Auswirkung wird akzeptiert.

Wichtig: Risk Owners müssen den Risikobehandlungsplan genehmigen und Restrisiken akzeptieren.

Ergebnis: Ein Risikobehandlungsplan mit ausgewählten Kontrollen (die mit ISO/IEC 27001 Annex A abgeglichen werden müssen) und ein Statement of Applicability (SoA).

Kommunikation und Beratung

Zweck: Stakeholder während des gesamten Prozesses einbinden.

  • Informieren Sie Management, Teams und externe Partner über Risiken

  • Holen Sie Feedback ein und stellen Sie sicher, dass alle relevanten Perspektiven berücksichtigt werden

  • Dokumentieren Sie Entscheidungen transparent

Überwachung und Review

Zweck: Risikomanagement kontinuierlich überwachen und anpassen.

  • Überprüfen Sie Risikobewertungen regelmäßig (z.B. jährlich oder bei größeren Änderungen)

  • Überwachen Sie neue Bedrohungen und Schwachstellen

  • Passen Sie Risikobehandlungspläne an, wenn sich das Geschäftsumfeld ändert

ISO/IEC 27005 unterscheidet zwei Zyklen:

  • Strategischer Zyklus: Grundlegende Änderungen im Geschäftsumfeld, neue Assets, neue Bedrohungslandschaft → vollständige Risikobewertung

  • Operativer Zyklus: Kleinere Änderungen, neue Schwachstellen → partielle Updates

Warum ist ISO/IEC 27005:2022 wichtig?

Risikobasierte Sicherheitsinvestitionen
Statt Budget wahllos zu verteilen, können Sie gezielt in Kontrollen investieren, die die größten Risiken adressieren. Das spart Geld und maximiert die Wirkung.

Systematischer, wiederholbarer Prozess
ISO/IEC 27005 bietet einen strukturierten Ansatz, der konsistent angewendet werden kann – unabhängig davon, wer die Risikobewertung durchführt. Ergebnisse sind vergleichbar und nachvollziehbar.

Erfüllung von ISO/IEC 27001-Anforderungen
ISO/IEC 27001 fordert risikobasiertes Handeln. Mit ISO/IEC 27005 können Sie diese Anforderung zuverlässig erfüllen und bei Audits überzeugen.

Bessere Entscheidungsfindung auf Managementebene
Risikobewertungen liefern dem Management klare Fakten: Welche Bedrohungen existieren? Wie wahrscheinlich sind sie? Was kosten Gegenmaßnahmen? Entscheidungen werden transparenter und fundierter.

Proaktive statt reaktive Sicherheit
Organisationen, die ISO/IEC 27005 anwenden, identifizieren Risiken, bevor sie zu Vorfällen werden. Das reduziert die Wahrscheinlichkeit von Datenpannen, Ausfällen und Sicherheitsvorfällen erheblich.

Erhöhte Resilienz
Durch kontinuierliche Überwachung und Anpassung des Risikomanagements bleibt Ihre Organisation widerstandsfähig – auch bei sich ändernden Bedrohungen (z.B. neue Ransomware-Varianten, Zero-Day-Exploits).

Vertrauen bei Stakeholdern
Kunden, Partner, Investoren und Regulierungsbehörden wollen wissen, dass Risiken professionell gemanagt werden. ISO/IEC 27005 zeigt, dass Sie das tun.

Flexibilität für unterschiedliche Organisationen
Der Standard schreibt keine spezifische Methode vor – Organisationen können event-based, asset-based oder hybride Ansätze wählen, je nach ihren Bedürfnissen.

Integration mit anderen Frameworks
ISO/IEC 27005 lässt sich leicht mit ISO 31000, NIST Risk Management Framework und anderen Standards kombinieren.

Verbindung zu anderen Standards

ISO/IEC 27005 und ISO/IEC 27001:
ISO/IEC 27001 fordert Risikomanagement – ISO/IEC 27005 erklärt, wie man es macht. Beide Standards arbeiten Hand in Hand.

ISO/IEC 27005 und ISO 31000:
ISO/IEC 27005 basiert auf den Prinzipien von ISO 31000 (allgemeines Risikomanagement) und passt sie speziell für Informationssicherheit an.

ISO/IEC 27005 und ISO/IEC 27002:
Nach der Risikobewertung wählen Sie Kontrollen aus ISO/IEC 27002, um Risiken zu behandeln. ISO/IEC 27005 sagt Ihnen, welche Kontrollen nötig sind – ISO/IEC 27002 sagt Ihnen, wie Sie sie umsetzen.

Was ist neu in ISO/IEC 27005:2022?

Die Version 2022 ist eine umfassende Überarbeitung der Version 2018:

  • Konsolidierung: Von 12 Klauseln und 6 Anhängen auf 10 Klauseln und 1 Anhang reduziert

  • Neuer 5-Stufen-Prozess: Klarer strukturiert (vorher 6 Stufen)

  • Risikoakzeptanz verschoben: Jetzt Teil der Risikobehandlung (nicht mehr separater Schritt)

  • Zwei Ansätze zur Risikoidentifikation: Event-based (szenariobasiert) und asset-based (vermögensbasiert) – Organisationen können beide kombinieren

  • Engere Verknüpfung mit ISO 27001: Statement of Applicability (SoA) ist jetzt Teil des Risikobehandlungsprozesses

  • Alignment mit ISO 31000: Stärkere Anlehnung an die allgemeine Risikomanagement-Norm

KONTAKTE

Moosbach,
Deutschland, 92709

kontakt@eas-standard-certification.com

ADRESSE
© 2026 European Attestation Standard (EAS). Alle Rechte vorbehalten.

IMPRESSUM & DATENSCHUTZ

FÜR UNSERE INTERNATIONALEN PARTNER:
Unsere Website wird auf Deutsch, Ukrainisch, Englisch und Italienisch gepflegt. Für die Zusammenarbeit stellen wir offizielle EAS-Dokumente und Attestierungsunterlagen auf Anfrage nicht nur in diesen, sondern in jeder weiteren benötigten Sprache nach Absprache bereit.