Risiken bewerten
Wichtig ist, sich vorab Gedanken über ein Schema zur Risikobewertung zu machen. Nur so kann man zu vergleichbaren Ergebnissen kommen und eine Priorisierung der identifizierten Risiken für die Risikobehandlung erreichen. Zur Risikobewertung gibt es in der ISO-27001-Norm tatsächlich auch grobe Vorgaben. Und zwar geht es darum, die Folgen bei Eintritt (Schadenshöhe) sowie die Eintrittswahrscheinlichkeit der identifizierten Risiken abzuschätzen. Weiter ins Detail geht die Norm an dieser Stelle nicht. Gängig und auch vom BSI vorgeschlagen ist ein vierstufiges Modell zur Bewertung der beiden Einflussgrößen Schadenshöhe und Eintrittswahrscheinlichkeit (siehe folgender Infokasten). Um eine Vergleichbarkeit der Risiken zu erreichen, können diese in einer Risikomatrix eingestuft werden. Der so ermittelte Risikowert gibt einen Hinweis darauf, welche Risiken bei der Behandlung bevorzugt werden sollten.