Ein Risikokatalog dient als zentrales Instrument, um potenzielle Risiken systematisch zu erfassen, zu analysieren und zu bewerten. Die einzelnen Elemente stehen in enger Beziehung zueinander und tragen gemeinsam zur abschliessenden Definition eines Risikos bei.
In der Praxis wird dies umgesetzt, indem die Risiken zum Asset erfasst, beurteilt und beurteilt werden, siehe nachfolgendes Beispiel (Quele: Link).
Die nachfolgende Tabelle beschreibt die Hauptkomponenten eines Risikokatalogs und stellt ihre gegenseitigen Abhängigkeiten dar.
| Element des Risikokatalogs | Beschreibung | Abhängigkeit |
| Asset (Wert oder Schutzobjekt) | Ressourcen, Systeme, Informationen oder Prozesse, die geschützt werden müssen. | Der Ausgangspunkt, ohne dieses zu schützende Asset gibt es kein Risiko. |
| Bedrohung (Threat) | Potenzielle Ereignisse oder Aktionen, die negative Auswirkungen auf ein Asset haben könnten. | Richtet sich gegen spezifische Assets und nutzt deren Schwachstellen aus. |
| Schwachstelle (Vulnerability) | Lücken oder Mängel in Systemen oder Prozessen, die von Bedrohungen ausgenutzt werden können. | Notwendig, damit eine Bedrohung ein Asset beeinträchtigen kann. |
| Eintrittswahrscheinlichkeit (Likelihood) | Wahrscheinlichkeit, mit der eine Bedrohung eine Schwachstelle ausnutzt und ein Risiko realisiert wird. | Hängt von der Präsenz von Bedrohungen und Schwachstellen sowie von bestehenden Kontrollen ab. |
| Auswirkung (Impact) | Potenzielle negative Konsequenzen, die auftreten, wenn eine Bedrohung eine Schwachstelle ausnutzt. | Verbunden mit dem Wert des betroffenen Assets und der Schwere des Ereignisses. |
| Risikobewertung (Risk Rating) | Kennzahl oder Kategorie, die das Risiko anhand von Eintrittswahrscheinlichkeit und Auswirkung quantifiziert. | Ergibt sich aus der Kombination von Eintrittswahrscheinlichkeit und Auswirkung. |
| Bestehende Kontrollen (Existing Controls) | Aktuelle Sicherheitsmassnahmen oder Prozesse, die dazu beitragen, Risiken zu reduzieren. | Beeinflussen die Eintrittswahrscheinlichkeit und/oder die Auswirkung eines Risikos. |
| Risiko (Risk) | Potenzielles Ereignis, bei dem eine Bedrohung eine Schwachstelle ausnutzt, um ein Asset zu beeinträchtigen, was zu negativen Auswirkungen führt. | Ergebnis der Interaktion zwischen Bedrohungen, Schwachstellen, Eintrittswahrscheinlichkeit, Auswirkung und bestehenden Kontrollen. |
| Risikobesitzer (Risk Owner) | Person oder Einheit, die für das Management des Risikos verantwortlich ist. | Muss das Risiko verstehen, um angemessene Massnahmen zu ergreifen. |
| Empfohlene Massnahmen (Recommended Actions) | Vorschläge zur Risikobehandlung, um die Eintrittswahrscheinlichkeit oder die Auswirkung zu reduzieren. | Basieren auf der Risikobewertung und den identifizierten Schwachstellen. |
| Status und Fristen | Aktueller Stand der Risikobehandlung und zeitliche Vorgaben für Massnahmen. | Helfen bei der Nachverfolgung und Priorisierung der Risikobearbeitung. |
Diese Elemente ermöglichen eine systematische Erfassung und Bewertung von Risiken, indem sie die Beziehung zwischen Assets, Bedrohungen, Schwachstellen, Eintrittswahrscheinlichkeit und Auswirkungen klar definieren. Durch das Verständnis dieser Abhängigkeiten können fundierte Entscheidungen getroffen werden, um Risiken effektiv zu managen und die Sicherheit sowie Kontinuität der Geschäftsprozesse zu gewährleisten.