Alain Rees · 11-07-2026 · 14 min leestijd
Wie strategisches, taktisches und operatives Risikomanagement gemeinsam eine durchgängige Steuerung bilden, vom Vorstand bis zur Arbeitsebene
Risikomanagement ist keine gesonderte Tätigkeit neben der Informationssicherheit, sondern deren Steuerungsmechanismus. Es übersetzt die Frage „Was kann schiefgehen?" in „Was tun wir dagegen, was akzeptieren wir, und wer entscheidet darüber?". Dennoch bleibt Risikomanagement in vielen Organisationen eine jährliche Pflichtübung: ein Register, das nach dem Audit wieder für ein Jahr geschlossen wird. Das liegt fast immer daran, dass die drei Steuerungsebenen nicht miteinander verbunden sind. In diesem Artikel erfahren Sie, wie strategisches, taktisches und operatives Risikomanagement zueinander stehen und wie Sie das Ganze mit den übrigen Prozessen in Ihrer Organisation verbinden.
Kurz gefasst
- Risikomanagement steuert die Informationssicherheit auf drei Ebenen: Die strategische Ebene setzt die Rahmen, die taktische bewertet und behandelt, die operative führt aus und erkennt.
- Der Zyklus folgt ISO 31000 und ISO 27005: Kontext, Identifikation, Analyse und Bewertung bilden zusammen die Risikobeurteilung, gefolgt von Behandlung und kontinuierlicher Überwachung.
- Die vier Behandlungsoptionen sind Vermindern, Vermeiden, Übertragen und Akzeptieren; eine Akzeptanz oberhalb der Toleranz ist eine Entscheidung der Leitung.
- Rahmen fließen nach unten, Risikoinformationen nach oben; ohne diese Wege veraltet das Register zu Papier.
- Der Risikomanagementprozess deckt sich mit den vier Phasen des Kantyra-Modells: Erkennen, Bewerten, Beheben und Nachweisen.
Die drei Ebenen unterscheiden sich nicht in der Methode, sondern in der Fragestellung, im Zeithorizont und in der Verantwortung. Strategisch geht es darum, wie viel Risiko die Organisation eingehen will. Taktisch geht es um das systematische Bewerten und Behandeln von Risiken. Operativ geht es um die tägliche Beherrschung und Erkennung. Die Ebenen sind über einen durchgängigen Zyklus verbunden: Rahmen fließen nach unten, Risikoinformationen nach oben.
Auf der strategischen Ebene, bei Vorstand und Geschäftsleitung, dreht sich alles um eine Frage: Wie viel Risiko wollen und dürfen wir eingehen, gemessen an unseren Zielen und unseren gesetzlichen Pflichten? Der Zeithorizont beträgt hier ein bis vier Jahre.
Die Kernprodukte sind die Risikobereitschaft und die Risikotoleranz. Die Risikobereitschaft ist eine qualitative Aussage je Bereich, zum Beispiel: „Wir akzeptieren nahezu kein Risiko im Umgang mit personenbezogenen Kundendaten, sind aber bereit, bei innovativen Pilotprojekten ein moderates Risiko einzugehen." Die Toleranz macht dies messbar: Ab welchem Restrisikowert ist eine Genehmigung durch die Leitung verpflichtend? Ohne diese Rahmen ist jede Risikoanalyse steuerlos, denn dann entscheidet die Analystin oder der Analyst implizit selbst, was akzeptabel ist.
Governance gehört ebenfalls hierher. Der Risikoeigentümer sitzt stets in der Linie, niemals bei der CISO-Funktion. Die zweite Linie (die CISO-Funktion, der zentrale Datenschutzkoordinator und die Risikofunktion) prüft und berät, und die dritte Linie (die interne Revision) gibt unabhängige Sicherheit. Der Datenschutzbeauftragte steht als unabhängiger interner Aufsichtsträger daneben: Er berät zwar, arbeitet aber nicht in der Linie mit. Unter NIS2 – der EU-Richtlinie (EU) 2022/2555, in Deutschland umgesetzt durch das NIS-2-Umsetzungsgesetz, das das BSIG ändert, und in Österreich durch das NISG – ist dies nicht mehr unverbindlich: Die Leitung trägt eine ausdrückliche Sorgfaltspflicht, muss die Risikobehandlungsmaßnahmen nachweislich genehmigen und deren Umsetzung überwachen und ist verpflichtet, entsprechend geschult zu sein. Eine Risikoakzeptanz oberhalb der Toleranz ist damit zu einer Entscheidung der Leitung geworden – mit persönlicher Haftung als letzter Konsequenz.
Die strategische Ebene erhält regelmäßig, meist vierteljährlich, ein aggregiertes Risikobild: die Top-Risiken, den Trend, den Stand der Behandlungspläne und die formell akzeptierten Restrisiken. NIS2 legt die Latte dabei höher als einen festen Berichtszeitpunkt: Die Leitung genehmigt die Maßnahmen nicht nur, sondern überwacht auch deren Umsetzung und muss sich aktiv über Risiken, Maßnahmen und Vorfälle informieren lassen. Ein schwerwiegender Vorfall oder ein Restrisiko, das die Toleranz überschreitet, wartet also nicht auf den Quartalsbericht, sondern erreicht die Leitung unmittelbar. Sie steuert über Richtlinien, Budget und Priorisierung nach.
Auf der taktischen Ebene, bei der CISO-Funktion, den Informationssicherheitsbeauftragten und den Prozess- und Systemeigentümern, wird der Risikomanagementprozess selbst eingerichtet und ausgeführt. Der Zeithorizont reicht von drei bis achtzehn Monaten.
Der Zyklus folgt im Kern ISO 27005 und besteht aus vier Schritten. Der erste Schritt ist Kontext und Umfang: Welchen Prozess oder welches System bewerten Sie, welche Abhängigkeiten bestehen, und welche VIV-Klassifizierung gilt? Die Klassifizierung nach Vertraulichkeit, Integrität und Verfügbarkeit bildet die Brücke zwischen Geschäftsinteresse und Sicherheitsanforderung und bestimmt die Tiefe der Analyse. Der zweite Schritt ist die Risikoidentifikation und -analyse: Welche Bedrohungen können über welche Schwachstellen welche Auswirkungen verursachen? Sie bewerten dies anhand einer festen Eintritts- und Auswirkungsmatrix, damit die Werte organisationsweit vergleichbar bleiben.
Der dritte Schritt ist die Risikobehandlung mit den vier klassischen Optionen. Sie können ein Risiko durch Maßnahmen vermindern, es vermeiden, indem Sie die Tätigkeit einstellen oder anders gestalten, es über eine Versicherung oder eine vertragliche Absicherung bei einem Lieferanten übertragen oder es formell akzeptieren, wenn es innerhalb der Toleranz liegt und der Risikoeigentümer unterzeichnet. Der vierte Schritt ist die Erfassung im Risikoregister – je Risiko mit einem Eigentümer, einem Restrisikowert, einem Behandlungsplan und einem Termin zur Neubewertung.
In Kantyra ist dieses Register das Herzstück der Plattform. Jedes Risiko hat einen Eigentümer, einen Bearbeiter, eine Kategorie, einen Brutto- und einen Restwert sowie einen Neubewertungstermin, und Sie verknüpfen es mit den Assets, Maßnahmen, Lieferanten und Vorfällen, zu denen es gehört. Die Matrix ist von 3×3 bis 5×5 konfigurierbar, mit Ihren eigenen Skalenbezeichnungen, und auf Wunsch verlangt die Plattform bei jedem Wert eine Begründung. Die Risikotoleranz legen Sie als Einstellung fest: Risiken mit einem Restwert oberhalb dieser Grenze markiert die Plattform – im Register und auf dem Dashboard – so lange, bis ihnen eine formelle Akzeptanz gegenübersteht. Diese Akzeptanz läuft über das Ausnahmenregister, das das Vier-Augen-Prinzip erzwingt: Die antragstellende Person kann ihre eigene Risikoakzeptanz nicht genehmigen, jede Akzeptanz erhält ein Enddatum, und die Plattform überwacht dieses Ablaufdatum mit einer Aufgabe, sobald die Neubewertung näher rückt.
Arbeiten Sie mit ISO 27001, so halten Sie die Maßnahmenauswahl in der Erklärung zur Anwendbarkeit fest: Welche Maßnahmen aus Anhang A wenden Sie an, welche nicht und warum. Dieses Dokument ist das Scharnier zwischen der Risikoanalyse und dem Managementsystem. In Kantyra verknüpfen Sie Risiken und Maßnahmen mit ebendiesen Anhang-A-Maßnahmen, sodass die Erklärung nicht neben, sondern auf Ihrer Risikoanalyse ruht, und exportieren sie als PDF für die Auditorin oder den Auditor. Eine Risikoanalyse selbst durchläuft zudem eine Prüfrunde nach dem Vier-Augen-Prinzip: Die erstellende Person reicht sie ein, und eine andere genehmigt sie oder gibt sie mit Kommentaren zurück.
Die taktische Ebene wacht auch über die methodische Konsistenz: eine Matrix, ein Register, ein Akzeptanzverfahren. Ohne diese Konsistenz sind Risiken über Abteilungen hinweg nicht addierbar, und Sie können der Leitung kein verlässliches Bild geben.
Auf der operativen Ebene, bei Administratoren, dem Security-Team und Teamleitern, geht es um Ausführung und Erkennung, in einem Rhythmus von täglich bis monatlich. Die Maßnahmen aus den Behandlungsplänen werden hier umgesetzt und aufrechterhalten: Patchen, Zugriffsverwaltung, Protokollierung, Backups, Härtung. Zugleich liefert diese Ebene die Sinnesorgane des Risikomanagements: Schwachstellenmanagement, Vorfallerfassung, Überwachung und Risikoindikatoren wie Patch-Rückstand, die Zahl der Konten ohne MFA und die Meldebereitschaft bei Phishing.
Entscheidend ist der Rückkopplungsweg nach oben. Eine operative Feststellung – etwa eine kritische Schwachstelle, die nicht fristgerecht behoben werden kann, oder eine Reihe ähnlicher Vorfälle – ist keine einzelne Meldung, sondern ein Signal dafür, dass ein Risikowert im Register möglicherweise nicht mehr stimmt. Die operative Ebene eskaliert an die taktische, wenn eine Maßnahme strukturell nicht funktioniert oder sich als nicht umsetzbar erweist. Die taktische Ebene eskaliert an die strategische, wenn das Restrisiko die Toleranz überschreitet. Ohne diese Wege veraltet das Risikoregister zu einer papierenen Wirklichkeit, und das ist in der Praxis die häufigste Fehlerform.
In Kantyra ist dieser Rückkopplungsweg fest eingebaut, sodass er nicht von guten Vorsätzen abhängt. Einen Vorfall verknüpfen Sie mit dem Risiko, das eingetreten ist, und bei einem hohen oder kritischen Vorfall legt die Plattform automatisch eine Aufgabe an, dieses Risiko neu zu bewerten. Maßnahmen verfügen über einen eigenen Wirksamkeitstest mit geplantem Termin; rückt dieser Termin näher oder ist das Ergebnis unzureichend, erscheint dies von selbst in der Aufgabenliste. So hält die Arbeitsebene das Register aktuell, ohne einen gesonderten Berichtskreislauf.
Die drei Ebenen bilden gemeinsam einen durchgängigen Verbesserungszyklus. Die strategische Ebene setzt die Rahmen, die taktische analysiert und behandelt, die operative führt aus und misst, und die Berichtslinie nach oben speist die Nachsteuerung, woraufhin die Leitung die Rahmen neu justiert. Ein gesunder Rhythmus sieht so aus: kontinuierliches operatives Erkennen, vierteljährliche Aktualisierung des Registers und taktische Berichterstattung sowie eine jährliche (und bei großen Änderungen anlassbezogene) Neujustierung der Risikoanalysen und der Risikobereitschaft über die Managementbewertung.
Für diese Managementbewertung bündelt Kantyra das Bild in einem Managementbericht, der jederzeit einen aktuellen Überblick gibt: die Top-Risiken und Risikoniveaus, den Fortschritt bei der Erklärung zur Anwendbarkeit, den Vorfalltrend der vergangenen zwölf Monate sowie die offenen und überfälligen Aufgaben.
Das klassische Prozessmodell aus ISO 31000 und ISO 27005 zeichnet das Risikomanagement als geschichteten Zyklus. In seinem Inneren sitzt die Risikobeurteilung: den Kontext festlegen, Risiken identifizieren, sie analysieren und sie bewerten. Darum herum folgen die Risikobehandlung sowie die kontinuierliche Überwachung und Neubewertung, und entlang der gesamten Schleife verläuft eine Achse, die alles verbindet: die Risikokommunikation und die Information über Risiken.
Wer dieses Prozessmodell neben das Kantyra-Modell legt, erkennt denselben Zyklus mit anderen Etiketten. Die Risikobeurteilung, vom Kontext bis zur Bewertung, ist die Phase Bewerten. Die Risikobehandlung, mit den vier Behandlungsoptionen und den daraus folgenden Maßnahmen, ist die Phase Beheben. Die Überwachung und Neubewertung, gespeist aus Vorfällen, Schwachstellen und Indikatoren, ist die Phase Erkennen. Und die Kommunikationsachse, das fortlaufende Informieren von Leitung, Aufsichtsbehörde und Auditor, ist die Phase Nachweisen.
Es gibt einen wesentlichen Unterschied, und er liegt im Ausgangspunkt. Das ISO-Modell beginnt oben, beim Kontext: Es denkt von der Analyse zur Praxis. Das Kantyra-Modell beginnt unten, beim Erkennen: Es denkt von der Praxis zur Analyse. Das ist eine bewusste Entscheidung, denn der häufigste Mangel im Risikomanagement ist nicht eine fehlende Analyse, sondern eine Analyse, die nicht mehr von dem gespeist wird, was tatsächlich geschieht. Risikomanagement sitzt im Kantyra-Modell daher nicht in einer einzelnen Phase; es ist der Zyklus des Modells, angewandt auf Risiken.
Risikomanagement steht und fällt mit der Verbindung zu den Prozessen ringsum. Ein nützliches Gestaltungsprinzip: Jeder Prozess sollte entweder dem Risikoregister Eingaben liefern oder eine Behandlung daraus ausführen. Sobald ein Prozess weder das eine noch das andere tut, hat er sich von der Risikosteuerung gelöst.
Risikomanagement ist der Motor des ISMS, kein angrenzender Prozess. ISO 27001:2022 verlangt in Kapitel 6, dass Sie die Risikobeurteilung und die Risikobehandlung einrichten – mit dem Behandlungsplan und der Erklärung zur Anwendbarkeit (die Risiken mit Maßnahmen verbindet) als verpflichtenden Ergebnissen – und in Kapitel 8, dass Sie diese Beurteilung auch regelmäßig und bei großen Änderungen durchführen. Die Managementbewertung aus Kapitel 9 ist der formelle Moment, in dem das Risikobild eine Nachverfolgung durch die Leitung erhält.
Vorfälle sind materialisierte Risiken. Jeder bedeutende Vorfall sollte zu der Frage führen: Stand dieses Risiko im Register, stimmte die Eintrittseinschätzung, und funktionierten die Maßnahmen? Umgekehrt bestimmen Risikowerte die Priorisierung und die Eskalationsschwellen bei der Vorfallbearbeitung. Unter NIS2 kommt die gesetzliche Meldepflicht hinzu, mit einer Frühwarnung innerhalb von 24 Stunden, einer Meldung innerhalb von 72 Stunden und einem Abschlussbericht innerhalb eines Monats, was Anforderungen an die operative Erkennungs- und Triage-Kette stellt. In Kantyra markieren Sie einen solchen Vorfall als meldepflichtig: Das Register berechnet die Fristen ab dem Zeitpunkt des Eintritts und meldet, wenn eine Frist verstreicht, ohne dass der zugehörige Schritt festgehalten wurde.
Jede bedeutende Änderung sollte eine Risikobeurteilung durchlaufen, bevor sie genehmigt wird. Hier wird „Security by Design" praktisch: Eine Änderung, die die VIV-Klassifizierung oder das Bedrohungsprofil berührt, führt zu einer ergänzenden Risikoanalyse der Unterschiede statt zu einer völlig neuen Analyse.
Die Business-Impact-Analyse (BIA) und die Risikoanalyse sind Schwesterinstrumente. Die BIA bestimmt, worauf die Organisation höchstens verzichten kann, ausgedrückt in Wiederherstellungszeiten und maximalem Datenverlust. Die Risikoanalyse bestimmt, wie wahrscheinlich eine Störung ist. Verfügbarkeitsrisiken aus dem Register speisen die Kontinuitätspläne, und Übungen liefern umgekehrt Feststellungen an das Register zurück. In Kantyra stehen beide Analysen als Vorlage im selben Assessment-Modul und teilen sich dasselbe Risikoregister, in dem Kontinuitätsrisiken eine eigene Kategorie haben.
Auslagern verlagert ein Risiko, beseitigt es aber nicht. Einkauf und Vertragsmanagement sind daher Ausführungskanäle der Risikobehandlung: klassifizierungsabhängige Anforderungen in Ausschreibungen, Auftragsverarbeitungsverträge, Exit-Vereinbarungen und eine regelmäßige Beurteilung kritischer Lieferanten. NIS2 weist die Sicherheit der Lieferkette ausdrücklich der Organisation selbst zu, daher gehören Lieferantenrisiken als vollwertige Einträge ins Register und nicht in eine separate Liste im Einkauf. In Kantyra verknüpfen Sie Lieferanten deshalb direkt mit den Risiken im Register, und jeder Lieferant erhält eine regelmäßige Beurteilung, die automatisch als Aufgabe wiederkehrt.
Die Datenschutz-Folgenabschätzung (DSFA) ist methodisch eine Risikoanalyse aus der Perspektive der betroffenen Person statt aus jener der Organisation. Wer dies klug einrichtet, lässt die DSFA und die Risikoanalyse für die Informationssicherheit dieselbe Aufnahme, Klassifizierung und Registerstruktur teilen – mit dem zentralen Datenschutzkoordinator als Rolle der zweiten Linie neben der CISO-Funktion und dem Datenschutzbeauftragten als unabhängigem Prüfer. In Kantyra stehen beide als Vorlage im selben Assessment-Modul, mit derselben Prüfrunde. Datenschutzverletzungen laufen über denselben Vorfallprozess, mit einem eigenen Meldeweg an die zuständige Datenschutzaufsichtsbehörde; im Vorfallregister halten Sie fest, ob ein Vorfall eine Datenschutzverletzung war und ob er der Aufsichtsbehörde gemeldet wurde.
Compliance übersetzt gesetzliche und vertragliche Anforderungen wie NIS2, die DSGVO und, sofern anwendbar, DORA in verpflichtende Maßnahmen und minimale Risikorahmen. Das Audit prüft unabhängig, ob der Risikoprozess wie beschrieben funktioniert. Auditfeststellungen sind eine strukturelle Eingabequelle für das Register; in Kantyra verfügen sie über ein eigenes Register für Feststellungen und deren Nachverfolgung.
Ohne aktuellen Überblick über Systeme, Daten und Eigentümer analysieren Sie Risiken auf einem unvollständigen Spielfeld. Dies ist in der Praxis die am meisten unterschätzte Abhängigkeit: Die Qualität Ihres Risikobilds ist nie besser als die Qualität Ihrer Verwaltung von Assets und Verarbeitungen. In Kantyra geben Sie deshalb jedem Asset einen Eigentümer, eine Datenklassifizierung und einen VIV-Wert und verknüpfen es mit den darauf ruhenden Risiken.
Der Mensch ist in nahezu jeder Risikoanalyse ein dominanter Faktor. Awareness-Programme sind damit eine vollwertige Risikobehandlungsmaßnahme – vorausgesetzt, Sie messen sie auf der richtigen Ebene: Teilnahmezahlen belegen nur, dass die Schulung absolviert wurde, nicht, dass sich das Verhalten ändert. Forschung zum Messen und Berichten von Security Awareness zeigt, dass die Meldebereitschaft der beste Prädiktor für Risikoreduktion ist, mit dem Klickverhalten als ergänzendem, aber trübem Maß. Auch HR-Prozesse wie Eintritt, Austritt und Screening sind operative Maßnahmen, die unmittelbar aus dem Register folgen.
Was ist der Unterschied zwischen Risikobereitschaft und Risikotoleranz? Die Risikobereitschaft ist die qualitative Aussage der Leitung darüber, wie viel Risiko die Organisation je Bereich eingehen will. Die Risikotoleranz macht dies messbar: die Grenze, oberhalb derer ein Restrisiko nur mit formeller Genehmigung durch die Leitung fortbestehen darf.
Was sind die vier Behandlungsoptionen für ein Risiko? Sie können ein Risiko durch Maßnahmen vermindern, es vermeiden, indem Sie die Tätigkeit einstellen oder anders gestalten, es über eine Versicherung oder einen Lieferanten übertragen oder es formell akzeptieren, wenn es innerhalb der Toleranz liegt und der Risikoeigentümer unterzeichnet.
Wie oft sollten Sie eine Risikoanalyse aktualisieren? Ein gesunder Rhythmus ist kontinuierliches Erkennen auf der operativen Ebene, vierteljährliche Aktualisierung und Berichterstattung des Registers sowie eine jährliche (und bei großen Änderungen anlassbezogene) Neujustierung der Analysen und der Risikobereitschaft über die Managementbewertung.
Was ist der Unterschied zwischen einer Risikoanalyse, einer BIA und einer DSFA? Die Risikoanalyse beurteilt, was mit der Informationsversorgung der Organisation schiefgehen kann. Die BIA bestimmt, worauf die Organisation bei einer Störung höchstens verzichten kann, ausgedrückt in Wiederherstellungszeiten. Die DSFA beurteilt dieselbe Art von Fragen, aber aus der Perspektive der betroffenen Person, deren personenbezogene Daten verarbeitet werden. Methodisch sind es Schwesterinstrumente, die eine Registerstruktur teilen können.
Ist eine Risikomatrix eigentlich zuverlässig? Eine Matrix hat bekannte Grenzen, bleibt aber das praktikabelste Instrument, um Risiken organisationsweit vergleichbar zu machen – vorausgesetzt, Sie verwenden eine feste Skala und begründen die Werte. In einem gesonderten Artikel gehen wir näher darauf ein, was die Forschung dazu sagt.
Wenn Sie das Risikomanagement entlang dieser drei Ebenen einrichten, mit funktionierenden Eskalations- und Berichtswegen dazwischen und klaren Schnittstellen zu den umliegenden Prozessen, verwandelt es sich von einer jährlichen Pflicht in den Steuerungsmechanismus Ihrer Informationssicherheit. Das Register wird dann kein Archivstück für den Auditor, sondern das lebende Dokument, auf dem Leitung, CISO-Funktion und Betriebsorganisation dieselbe Wirklichkeit teilen. Und genau das verlangt NIS2 von Organisationen: eine nachweisbare, von der Leitung getragene Risikosteuerung, die bis auf die Arbeitsebene durchgreift.
Möchten Sie Ihr Risikoregister nicht in einzelnen Dateien verwalten, sondern in einer Umgebung, in der Risiken, Maßnahmen, Vorfälle und die Erklärung zur Anwendbarkeit miteinander verknüpft sind? In Kantyra berechnet das Register die Werte automatisch, überwacht die Plattform Neubewertungen und Akzeptanzen, und der Managementbericht liefert das Bild für die Managementbewertung durch die Leitung. Fordern Sie eine Demo an und entdecken Sie, wie der Zyklus vom Erkennen bis zum Nachweisen in der Praxis funktioniert.
Kantyra ist eine europäische ISMS- und GRC-Plattform, mit der Organisationen ihre Informationssicherheit, ihr Risikomanagement und ihre Kontinuität nachweisbar steuern, im Einklang mit ISO 27001, ISO 22301 und NIS2.
In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.
Plan een demoMessen Sie als CISO, wo Ihre Organisation und Ihr CISO Office stehen, und erfahren Sie, wie Sie mit einer Scorecard steuern und rechtzeitig nachsteuern.
Wie Sie Schwachstellenmanagement als CISO steuern, von der Richtlinie bis zur Rechenschaft gegenüber der Geschäftsleitung.
So bauen Sie Penetrationstests strukturiert auf, von der Pentest-Richtlinie und dem Kalender bis zum Bericht und zur Nachverfolgung der Erkenntnisse.