Quantitative Cyberrisikobeurteilung für NIS2 und DORA
Die Sitzung des Leitungsorgans, in der „hohes Risiko“ nicht mehr ausreichte
Es ist 08:15 Uhr an einem Dienstag. Der CISO eines schnell wachsenden Fintech-Unternehmens steht vor dem Sitzungsraum des Leitungsorgans mit drei Versionen derselben Cyberrisiko-Geschichte.
Die erste Version ist vertraut: Ransomware ist „hoch“, Cloud-Ausfall ist „hoch“, Lieferantenkompromittierung ist „mittel“, Missbrauch privilegierter Zugriffsrechte ist „hoch“. Das ist vertretbar, mit dem aktuellen Risikoregister abgestimmt und für die Entscheidung, die das Leitungsorgan treffen muss, nahezu nutzlos.
Die zweite Version ist eine technische Roadmap: unveränderbare Backups bereitstellen, Identitätskontrollen verbessern, Resilienztests finanzieren, Lieferantenüberwachung stärken und Protokollierungsabdeckung erweitern. Das ist sinnvoll, aber der CFO stellt die Frage, die die Sitzung verändert: „Welche dieser Maßnahmen reduziert pro Euro das größte Geschäftsrisiko?“
Die dritte Version verändert die Diskussion.
Ein 12-stündiger Ausfall der Plattform zur Zahlungsorchestrierung wird mit €620.000 an Bruttoauswirkungen auf Betrieb, Verträge und Umsatz geschätzt. Die aktuelle annualisierte Exponierung wird auf €186.000 geschätzt. Ein Resilienzpaket für €74.000 kann den erwarteten Jahresverlust auf etwa €62.000 reduzieren. Die verbleibende Exponierung liegt weiterhin oberhalb der Toleranz, weil der Service eine kritische oder wichtige Funktion unterstützt, die Exponierung durch Kundenbenachrichtigungen wesentlich bleibt und die Abhängigkeit von Dritten hoch ist.
Nun diskutiert das Leitungsorgan nicht mehr über Farben. Es diskutiert finanzielle Exponierung, Risikotoleranz, regulatorische Rechenschaftspflicht und Investitionsprioritäten.
Das ist quantitative Cyberrisikobeurteilung im Jahr 2026. Sie ist kein mathematisches Theater. Sie behauptet nicht, dass Cyberereignisse mit perfekter Präzision vorhergesagt werden können. Sie ist die disziplinierte Übersetzung von „das ist rot“ in „das ist die plausible finanzielle Exponierung, das ist das Konfidenzniveau, das ist die regulatorische Konsequenz, das ist die Entscheidung zur Risikobehandlung und das ist der Nachweispfad“.
Für CISOs, Compliance-Manager, Auditoren und Geschäftsverantwortliche wird diese Umstellung in der Praxis verpflichtend. ISO/IEC 27001:2022 verlangt einen dokumentierten, konsistenten und vergleichbaren Prozess für Risikobeurteilung und Risikobehandlung. NIS2 verlagert Cybersicherheitsrisiken in Genehmigung, Aufsicht, Schulung und Haftung des Leitungsorgans. DORA stellt IKT-Risikogovernance, Resilienztests, Vorfallklassifizierung, Drittparteienrisiko und Rechenschaftspflicht des Managements für Finanzunternehmen in den Mittelpunkt. NIST CSF 2.0 gibt der Führungsebene eine Governance-Sprache für Risikobereitschaft, Priorisierung und Aufsicht. GDPR ergänzt Rechenschaftspflichten, wenn personenbezogene Daten betroffen sind.
Die Lücke besteht nicht darin, dass Organisationen keine Risikoregister haben. Die Lücke besteht darin, dass viele Risikoregister Geld, Prioritäten, Rechenschaftspflicht des Leitungsorgans oder Auditnachweise nicht erklären können.
Der Ansatz von Clarysec schließt diese Lücke, indem der Zenith Blueprint: 30-Schritte-Roadmap für Auditoren Zenith Blueprint, Clarysec-Richtlinien und Zenith Controls: Der Cross-Compliance-Leitfaden Zenith Controls zu einem praktischen Nachweismodell verbunden werden: quantifizieren, was wesentlich ist, auf Maßnahmen abbilden, zeigen, wer es akzeptiert hat, und nachweisen, dass die Behandlung gewirkt hat.
Warum qualitative Risikoregister nicht mehr ausreichen
Qualitative Risikobeurteilung bleibt wichtig. Eine klare Matrix für Eintrittswahrscheinlichkeit und Auswirkung hilft Teams bei der Priorisierung, wenn Daten unvollständig sind, insbesondere über einen breiten ISMS-Geltungsbereich hinweg. Das Problem beginnt, wenn die Organisation dort stehen bleibt.
Ein Leitungsorgan kann verstehen, dass ein Risiko „hoch“ ist, aber es kann drei „hohe“ Risiken, die um dasselbe Budget konkurrieren, nicht ohne Weiteres vergleichen. Hat das Ransomware-Szenario, der Cloud-Ausfall, das Lieferantenkonzentrationsrisiko oder die Schwäche bei privilegiertem Zugriff die höchste Priorität? Die Antwort hängt von finanzieller Exponierung, regulatorischem Schweregrad, Kundenauswirkung, vertraglichen Verpflichtungen, Servicekritikalität und Restrisiko nach der Behandlung ab.
Deshalb funktioniert quantitative Cyberrisikobeurteilung am besten als hybrides Modell. Quantifizieren Sie nicht jedes geringfügige Thema. Nutzen Sie qualitative Bewertung über das gesamte Register hinweg und ergänzen Sie anschließend finanzielle Analysen für Risiken, die Managemententscheidungen, Investitionsfreigaben, vertragliche Maßnahmen, Risikoübertragung oder Aufsicht durch das Leitungsorgan erfordern.
Clarysecs Enterprise-Risikomanagement-Richtlinie Risk Management Policy unterstützt dies ausdrücklich. In Abschnitt „Anforderungen an die Umsetzung der Richtlinie“, Klausel 6.2.3, heißt es:
„Je nach Risikokategorie und Verfügbarkeit von Informationen können sowohl qualitative als auch quantitative Methoden angewendet werden.“
Diese Klausel ist wichtig, weil sie ein häufiges Versagen verhindert: Scheingenauigkeit. Reife Organisationen erzwingen keine Finanzmodellierung für jedes kleine Risiko. Sie wenden sie dort an, wo die Entscheidung sie erfordert.
Für KMU kann die Grundlage einfach bleiben. Clarysecs KMU-Risikomanagement-Richtlinie Risk Management Policy - SME, Abschnitt „Governance-Anforderungen“, Klausel 5.1.2, besagt:
„Jeder Risikoeintrag muss Beschreibung, Eintrittswahrscheinlichkeit, Auswirkung, Bewertung, Verantwortlichen und Behandlungsplan enthalten.“
Die Verbesserung besteht nicht darin, diese Struktur zu ersetzen. Die Verbesserung besteht darin, die wichtigsten Einträge um finanzielle Schätzungen zu ergänzen, insbesondere wenn Ausfallzeiten, regulierte Services, personenbezogene Daten, Cloud-Abhängigkeit, IKT-Outsourcing oder kritische Kundenzusagen betroffen sind.
Der Governance-Wandel: Cyberrisiko ist jetzt ein Artefakt für das Leitungsorgan
Die Quantifizierung von Cyberrisiken ist nicht nur eine Finanzübung. Sie ist Governance-Nachweis.
Nach ISO/IEC 27001:2022 muss die Organisation Kontext, interessierte Parteien, rechtliche und vertragliche Anforderungen, Geltungsbereich, Schnittstellen und Abhängigkeiten bestimmen. Sie muss einen Prozess zur Informationssicherheitsrisikobeurteilung definieren, der konsistente, gültige und vergleichbare Ergebnisse erzeugt. Sie muss Risiken für Vertraulichkeit, Integrität und Verfügbarkeit identifizieren, Risikoverantwortliche bestimmen, Auswirkungen und Eintrittswahrscheinlichkeit beurteilen, Risikoniveaus bestimmen und Risiken priorisieren. Anschließend muss sie Behandlungsoptionen auswählen, Maßnahmen bestimmen, diese mit Annex A vergleichen, eine Erklärung zur Anwendbarkeit (SoA) erstellen, die Genehmigung der Risikoverantwortlichen einholen und dokumentierte Informationen aufbewahren.
Das bedeutet: Das Risikoregister ist keine private Tabellenkalkulation für das Sicherheitsteam. Es ist eine ISMS-Aufzeichnung, die Führung, Maßnahmensauswahl, Verantwortung für die Risikobehandlung und Managementbewertung verbindet.
NIS2 erhöht die Erwartung weiter. Leitungsorgane wesentlicher und wichtiger Einrichtungen müssen Maßnahmen zum Cybersicherheitsrisikomanagement genehmigen, deren Umsetzung überwachen und Schulungen erhalten, damit sie Risiken verstehen und Cybersicherheitspraktiken beurteilen können. NIS2 Article 21 verlangt geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Umsetzungskosten, der Risikoexponierung, der Größe der Einrichtung, der Eintrittswahrscheinlichkeit, des Schweregrads sowie gesellschaftlicher und wirtschaftlicher Auswirkungen.
Diese Formulierung, „gesellschaftliche und wirtschaftliche Auswirkungen“, macht die finanzielle Quantifizierung von Cyberrisiken wirkungsvoll. Ein Anbieter, der Cloud, Rechenzentren, DNS, Vertrauensdienste, Managed Services, Managed Security Services, digitale Infrastruktur, Online-Marktplätze oder andere erfasste Sektoren unterstützt, muss gegebenenfalls nicht nur zeigen, dass Maßnahmen existieren, sondern auch, warum sie im Verhältnis zur Exponierung angemessen sind.
Für Finanzunternehmen gilt DORA seit dem 17. Januar 2025 und bildet das sektorspezifische Regelwerk für digitale operationale Resilienz. Es umfasst IKT-Risikomanagement, Meldung schwerwiegender IKT-bezogener Vorfälle, Tests der digitalen operationalen Resilienz, Austausch von Informationen über Cyberbedrohungen, IKT-Drittparteienrisiko und Aufsicht über kritische IKT-Drittdienstleister. Für Finanzunternehmen, die auch nach nationaler Umsetzung von NIS2 erfasst sind, wirkt DORA für die relevanten IKT-Risikomanagement- und Vorfallmeldepflichten als sektorspezifischer Rechtsakt der Union.
Praktisch braucht ein Fintech keine fünf voneinander getrennten Risikorahmenwerke. Es braucht ein integriertes Risikomodell, das zeigt, welches Regime gilt, welche Abhängigkeiten bestehen, welche finanzielle Exponierung plausibel ist und wie das Management die Behandlung genehmigt und überwacht hat.
GDPR ergänzt eine weitere Ebene. Wenn personenbezogene Daten betroffen sind, kann ein Cyberereignis zu einer Datenschutzverletzung werden, nicht nur zu einem operativen Vorfall. Das Risikomodell sollte Verarbeitungskontext, Rolle als Verantwortlicher oder Auftragsverarbeiter, Datenkategorien, gegebenenfalls besondere Kategorien personenbezogener Daten, Sicherheitsmaßnahmen, Bewertungslogik für Datenschutzverletzungen und Meldeauswirkungen identifizieren.
Von der Heatmap zu Euro: das praktische hybride Modell
Die richtige Frage lautet nicht: „Sollen wir qualitative Risikobeurteilung ersetzen?“ Die richtige Frage lautet: „Welche Risiken verdienen finanzielle Quantifizierung?“
Der Zenith Blueprint, Phase Risikomanagement, Schritt 12, „Methoden der Risikobeurteilung: qualitativ und quantitativ“, gibt eine pragmatische Antwort:
„Quantitative Risikobeurteilung versucht, Risiken in numerischen Größen zu schätzen (z. B. erwarteter Jahresverlust in einer Währung). Dies umfasst häufig:
✓ Erhebung historischer Vorfalldaten (z. B. wie häufig eine Datenschutzverletzung eintritt und welche durchschnittlichen Kosten entstehen). ✓ Nutzung von Modellen wie Annualized Loss Expectancy (ALE = Single Loss Impact × Annual Rate of Occurrence) oder Rahmenwerken wie FAIR (Factor Analysis of Information Risk) für komplexere Analysen.“
Derselbe Schritt warnt, dass rein quantitative Analyse für KMU schwierig sein kann, weil historische Daten begrenzt sein können und der Prozess ressourcenintensiv ist. Die praktische Antwort ist eine „leichtgewichtige quantitative“ Analyse für die wichtigsten Risiken.
| Element | Praktische Bedeutung | Beispiel |
|---|---|---|
| Single Loss Impact | Geschätzte Auswirkung, wenn das Szenario einmal eintritt | €620.000 für einen 12-stündigen Ausfall der Zahlungsplattform |
| Annual Rate of Occurrence | Geschätzte Häufigkeit pro Jahr | 0,3, also ungefähr einmal alle 3,3 Jahre |
| Annualized Loss Expectancy | Single Loss Impact multipliziert mit Annual Rate of Occurrence | €186.000 erwartete jährliche Exponierung |
| Behandlungskosten | Kosten des Maßnahmenpakets | €74.000 für Failover, Überwachung und Tests |
| Verbleibender annualisierter Verlust | Geschätzte jährliche Exponierung nach Behandlung | €62.000 |
| Entscheidung | Behandeln, übertragen, vermeiden oder akzeptieren | Behandeln und Restrisiko in der Managementbewertung prüfen |
Die Zahlen müssen nicht perfekt sein. Sie müssen erklärt werden. Annahmen zu Auswirkungen können Umsatzverlust, SLA-Gutschriften, Kundenentschädigung, Vorfallreaktion, Rechtsberatung, forensische Unterstützung, Überstunden, Kundensupport, Aufwand für regulatorische Meldungen, Abwanderung und Reputationsauswirkungen umfassen. Annahmen zur Häufigkeit können aus internen Vorfällen, Berichten zu Lieferantenausfällen, Bedrohungsinformationen, Branchenerfahrung, Schwachstellenexponierung, Audit-Feststellungen und Maßnahmenreife abgeleitet werden.
Der Zenith Blueprint, Phase Risikomanagement, Schritt 10, „Festlegung von Risikokriterien und Auswirkungsmatrix“, erläutert, warum das Modell kalibriert werden muss:
„Bei der Definition von Auswirkungen ist es sinnvoll, die Stufen auf die konkrete Größenordnung Ihres Unternehmens zu beziehen. Zum Beispiel: ‚Wesentliche finanzielle Auswirkung = Verlust > $100k‘ (an Ihren Kontext anpassen). Berücksichtigen Sie auch regulatorische Auswirkungen: Eine Verletzung des Schutzes personenbezogener Daten kann beispielsweise aufgrund von GDPR-Bußgeldern und Meldepflichten automatisch als ‚wesentlich‘ oder ‚schwerwiegend‘ gelten, selbst wenn der direkte finanzielle Verlust unklar ist.“
Das ist die Brücke zwischen qualitativer und quantitativer Risikobeurteilung. „Wesentlich“ wird erst aussagekräftig, wenn die Organisation definiert, was wesentlich in finanziellen, operativen, rechtlichen und kundenbezogenen Begriffen bedeutet.
Durchgearbeitetes Beispiel: Quantifizierung des Risikos eines Cloud-Ausfalls beim Lieferanten
Stellen Sie sich einen SaaS-Anbieter vor, der Kunden aus dem Finanzsektor bedient. Er ist von einem Cloud-Hosting-Anbieter, einer verwalteten Datenbankplattform, einem Zahlungs-Gateway und einem Dienst für Kundenbenachrichtigungen abhängig. Das Team wählt ein Szenario für die quantitative Analyse aus:
„Längerer Ausfall der verwalteten Datenbankplattform verursacht eine Störung eines kundenbezogenen Services und verzögerte Transaktionsverarbeitung.“
Schritt 1: Risikoszenario und Verantwortlichen definieren
Die KMU-Risikomanagement-Richtlinie verlangt Beschreibung, Eintrittswahrscheinlichkeit, Auswirkung, Bewertung, Verantwortlichen und Behandlungsplan. Die Enterprise-Risikomanagement-Richtlinie, Abschnitt „Governance-Anforderungen“, Klausel 5.2.2, ergänzt, dass das Register:
„Risikoverantwortliche, Auswirkungs- und Eintrittswahrscheinlichkeitsbewertungen, Behandlungspläne, Fristen und Maßnahmenreferenzen enthält“
Der Verantwortliche ist nicht „IT“. Der rechenschaftspflichtige Verantwortliche ist der Serviceverantwortliche, unterstützt durch CISO, CTO, Compliance-Manager, Lieferantenmanager und Finanzen.
Schritt 2: finanzielle Exponierung schätzen
Das Team schätzt:
- €35.000 pro Stunde an verlorenem Transaktionsumsatz und SLA-Gutschriften
- €8.000 pro Stunde für Support, Eskalation und Kosten der Vorfallbearbeitung
- €60.000 für Kundenabhilfe und Kommunikationskosten
- €120.000 an potenzieller Abwanderung oder kommerzieller Auswirkung
- 10 Stunden als plausiblen schweren Ausfall auf Basis der Lieferantenhistorie und einer Architekturprüfung
Single Loss Impact beträgt:
10 × (€35.000 + €8.000) + €60.000 + €120.000 = €610.000
Die aktuelle Eintrittswahrscheinlichkeit wird auf 0,25 pro Jahr geschätzt. Annualized Loss Expectancy beträgt:
€610.000 × 0,25 = €152.500
Das vorgeschlagene Behandlungspaket umfasst ein Multi-Region-Failover-Design, getestete Backup-Wiederherstellung, Prüfung des Lieferanten-SLA, synthetische Überwachung, eine Tabletop-Übung und die Aktualisierung des Exit-Plans. Die Kosten im ersten Jahr betragen €82.000, mit wiederkehrenden Kosten von €34.000.
Nach der Behandlung wird die verbleibende Eintrittswahrscheinlichkeit auf 0,10 pro Jahr und die verbleibende Einzelschadenauswirkung aufgrund schnellerer Wiederherstellung auf €350.000 geschätzt. Der verbleibende ALE beträgt:
€350.000 × 0,10 = €35.000
Die Reduktion der erwarteten jährlichen Exponierung im ersten Jahr beträgt etwa €117.500, bevor regulatorische Resilienz, Kundenvertrauen und vertragliche Vorteile berücksichtigt werden.
Schritt 3: Behandlung auswählen und Begründung dokumentieren
Risikobehandlung ist nicht immer reine Minderung. Clarysecs KMU-Risikomanagement-Richtlinie, Abschnitt „Anforderungen an die Umsetzung der Richtlinie“, Klausel 6.1.3, besagt:
„Übertragen: Verträge, Service Level Agreements oder Versicherungen nutzen, um Risiko extern zu übertragen.“
Für dieses Szenario wählt die Organisation eine gemischte Behandlung: Reduktion durch technische Resilienz, teilweise Übertragung durch SLA und vertragliche Rechtsbehelfe sowie Akzeptanz des Restrisikos mit Genehmigung durch das Management.
Schritt 4: Behandlung auf die Erklärung zur Anwendbarkeit abbilden
Die Enterprise-Risikomanagement-Richtlinie, Abschnitt „Ausrichtung an der Erklärung zur Anwendbarkeit (SoA)“, Klausel 6.5.1, besagt:
„Maßnahmenentscheidungen, die sich aus dem Risikobehandlungsprozess ergeben, müssen in der SoA abgebildet werden.“
Hier wird das Finanzmodell auditfähig. Das Szenario des Lieferantenausfalls wird mit ISO/IEC 27001:2022 Annex A-Maßnahmen zu Lieferanten, Cloud, Kontinuität, Vorfällen und Störungen verknüpft. Es wird außerdem mit NIS2-Sicherheit der Lieferkette und Aufrechterhaltung des Geschäftsbetriebs, DORA-IKT-Drittparteienrisiko und Resilienztests, GDPR-Sicherheit und Bewertung von Datenschutzverletzungen bei betroffenen personenbezogenen Daten sowie NIST CSF-Governance-, Lieferketten-, Reaktions- und Wiederherstellungsergebnissen verknüpft.
Der Zenith Blueprint, Phase Risikomanagement, Schritt 13, „Risikobehandlungsplanung und Erklärung zur Anwendbarkeit“, erläutert die Nachvollziehbarkeit:
„Die SoA ist faktisch ein Brückendokument: Sie verknüpft Ihre Risikobeurteilung und Risikobehandlung mit den tatsächlichen Kontrollen, die Sie haben. Durch ihre Erstellung prüfen Sie zugleich, ob Sie Kontrollen übersehen haben.“
Eine belastbare SoA-Begründung könnte lauten: „Anwendbar, weil der Ausfall der verwalteten Datenbank kritische Kundenservices, IKT-Drittparteienabhängigkeit, vertragliche Verpflichtungen gegenüber Kunden, Kontinuitätszusagen und potenzielle Verfügbarkeit personenbezogener Daten betrifft. Maßnahmen werden ausgewählt, um eine quantifizierte annualisierte Exponierung von €152.500 zu reduzieren und ein vom Management genehmigtes Restrisiko zu unterstützen.“
Schritt 5: anhand von Schwellenwerten eskalieren
Die Enterprise-Risikomanagement-Richtlinie, Abschnitt „Governance-Anforderungen“, Klausel 5.6, verlangt:
„Die Risiko-Befugnismatrix muss Schwellenwerte für die Eskalation an die oberste Leitung oder das Leitungsorgan klar definieren.“
Eine annualisierte Exponierung von €152.500 kann die lokale Managementtoleranz überschreiten. Ein Risiko mit geringerem Wert kann dennoch eskalationspflichtig sein, wenn es eine kritische oder wichtige Funktion betrifft, DORA-Erwartungen auslöst, personenbezogene Daten umfasst, Kundenzusagen gefährdet oder eine Rechenschaftspflicht des Leitungsorgans nach NIS2 begründet.
Cross-Compliance-Zuordnung: ein quantifiziertes Risiko, viele Verpflichtungen
Ein quantifiziertes Cyberrisiko sollte nicht in fünf getrennte Compliance-Tabellen kopiert werden. Es sollte als ein Risikobjekt mit mehreren Compliance-Sichten geführt werden.
| Compliance-Sicht | Was das quantifizierte Risiko zeigen muss | Nachweisartefakt |
|---|---|---|
| ISO/IEC 27001:2022 | Risikokriterien, Verantwortlicher, Eintrittswahrscheinlichkeit, Auswirkung, Behandlung, Restrisikoakzeptanz, SoA-Zuordnung und Betriebsnachweise | Risikoregister, Behandlungsplan, SoA, Managementbewertung, Audit-Aufzeichnungen |
| NIS2 | Geeignete und verhältnismäßige Maßnahmen, Genehmigung und Aufsicht durch das Leitungsorgan, Vorfall- und Kontinuitätsaspekte, Maßnahmen zur Lieferkette | Sitzungsprotokolle des Leitungsorgans, Schulungsnachweise, Genehmigungen zur Risikobehandlung, Vorfall-Workflow |
| DORA | IKT-Risikogovernance, kritische oder wichtige Funktionen, IKT-Drittparteienabhängigkeiten, Tests, Vorfallklassifizierung und Resilienzstrategie | IKT-Risikomanagementrahmenwerk, Informationsregister, Testergebnisse, Vorfallklassifizierung, Exit-Plan |
| GDPR | Geltungsbereich personenbezogener Daten, Sicherheitsmaßnahmen, Auswirkungen von Datenschutzverletzungen, Rechenschaftspflicht von Verantwortlichem oder Auftragsverarbeiter, Kontext rechtmäßiger Verarbeitung | Verknüpfung zum Verzeichnis von Verarbeitungstätigkeiten, DPIA sofern anwendbar, Bewertung von Datenschutzverletzungen, Sicherheitsnachweise |
| NIST CSF 2.0 | Risikobereitschaft, standardisierte Priorisierung, Governance, Lieferantenrisiko, Erkennungs-, Reaktions- und Wiederherstellungsergebnisse | Ist- und Zielprofile, Maßnahmenplan, POA&M, Aufzeichnungen zu Lieferantenrisiken |
| COBIT 2019 | Governance-Ziele, Leistungsüberwachung, Risikooptimierung, Ressourcenentscheidungen und Assurance | Governance-Berichterstattung, Kennzahlen zur Maßnahmenleistung, Assurance-Berichte |
NIS2 Article 21 ist besonders relevant, weil er Risikoanalyse, Sicherheitsrichtlinien, Verfahren zum Umgang mit Informationssicherheitsvorfällen, Aufrechterhaltung des Geschäftsbetriebs, Backup, Disaster Recovery, Krisenmanagement, Sicherheit der Lieferkette, sichere Entwicklung, Behandlung von Schwachstellen, Wirksamkeitsbewertung, Cyberhygiene, Schulung, Kryptografie, HR-Sicherheit, Zugriffskontrolle, Asset-Management und Authentifizierung umfasst.
DORA schafft eine ähnliche Disziplin für Finanzunternehmen, jedoch mit sektorspezifischem Fokus. Es verlangt ein internes Governance- und Kontrollrahmenwerk für IKT-Risiken, für das das Leitungsorgan letztverantwortlich ist. Erwartet werden Genehmigung und Aufsicht über IKT-Richtlinien, Rollen, Strategie zur digitalen operationalen Resilienz, IKT-Risikotoleranz, Kontinuitäts- und Reaktionspläne, Auditpläne, Budgets, Schulungen, IKT-Drittparteienrichtlinien und Meldekanäle.
DORA gibt der quantitativen Risikobeurteilung außerdem einen direkten operativen Auslöser: die Vorfallklassifizierung. Schwerwiegende IKT-bezogene Vorfälle müssen anhand von Kriterien wie betroffenen Kunden, Gegenparteien und Transaktionen, Dauer, Ausfallzeit, geografischer Ausbreitung, Datenverlusten mit Auswirkungen auf Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit, Kritikalität der betroffenen Services und wirtschaftlicher Auswirkung klassifiziert werden. Wenn das Risikomodell bereits Ausfallzeit, Kundenauswirkung, Datenauswirkung und wirtschaftlichen Verlust schätzt, unterstützt es bei einem realen Ereignis die Vorfallklassifizierung.
Der Maßnahmen-Crosswalk, der Rechenschaftspflicht des Leitungsorgans auditierbar macht
In Zenith Controls ordnet Clarysec ISO/IEC 27002:2022 Maßnahme 5.4, „Management responsibilities“, als Governance-Anker für Rechenschaftspflicht in der Informationssicherheit ein. Der Leitfaden behandelt die Maßnahme als präventiv, unterstützend für Vertraulichkeit, Integrität und Verfügbarkeit, ausgerichtet auf das Cybersicherheitskonzept „Identify“, mit Governance als operativer Fähigkeit sowie Governance und Ökosystem als Sicherheitsdomänen.
Das ist wichtig, weil finanzielle Cyberexponierung in Managemententscheidungen gehört. Zenith Controls verknüpft ISO/IEC 27002:2022 Maßnahme 5.4 mit mehreren unterstützenden Maßnahmen:
| Maßnahmenbeziehung nach ISO/IEC 27002:2022 | Warum sie für quantifizierte Risiken relevant ist |
|---|---|
| 5.2 Rollen und Verantwortlichkeiten für Informationssicherheit | Risikoverantwortliche, Maßnahmenverantwortliche und Eskalationsbefugnisse müssen definiert sein |
| 5.1 Richtlinien für Informationssicherheit | Quantifizierte Risikoentscheidungen müssen mit genehmigten Richtlinienzusagen übereinstimmen |
| 5.35 Unabhängige Überprüfung der Informationssicherheit | Unabhängige Überprüfung gibt dem Management objektive Sicherheit zur Risikobehandlung |
| 5.36 Einhaltung von Richtlinien, Regeln und Standards für Informationssicherheit | Überwachung der Einhaltung zeigt, ob Behandlungen wie vorgesehen wirksam sind |
| 5.8 Informationssicherheit im Projektmanagement | Neue Produkte und Änderungen müssen Cyberrisiko und finanzielle Exponierung früh berücksichtigen |
Zenith Controls ordnet Managementverantwortlichkeiten außerdem den ISO/IEC 27001:2022-Klauseln 5.1, 5.2 und 9.3 zu und verbindet damit Führung, Richtlinie und Managementbewertung. Zusätzlich erfolgt eine Zuordnung zu ISO/IEC 27014:2020-Klauseln 6 und 7, die Governance-Rahmenwerke und Prozesse für Bewertung, Steuerung, Überwachung und Kommunikation von Informationssicherheit behandeln.
Die Nachweiskette ist klar:
- Das Management definiert Risikobereitschaft, Toleranz und Eskalationsschwellen.
- Risikoverantwortliche quantifizieren die wichtigsten Cyberrisiken.
- Maßnahmen werden ausgewählt und in der SoA abgebildet.
- Behandlungsmaßnahmen werden umgesetzt und überwacht.
- Unabhängige Überprüfung und Überwachung der Einhaltung prüfen die Wirksamkeit.
- Die Managementbewertung beurteilt Leistung, Vorfälle, Auditergebnisse, Ressourcen und Verbesserungsmaßnahmen.
- Das Leitungsorgan erhält finanzielle Exponierung, Restrisiko und Nachweise zur Rechenschaftspflicht in geschäftlichen Begriffen.
Clarysecs KMU-Risikomanagement-Richtlinie, Abschnitt „Rollen und Verantwortlichkeiten“, Klausel 4.1.1, stärkt diese Governance-Rolle:
„Legt die Risikobereitschaft der Organisation fest und genehmigt den Risikomanagementrahmen.“
Bei einem KMU kann dies der General Manager oder Eigentümer sein. Bei einem regulierten Finanzunternehmen kann es das Leitungsorgan sein. Das Prinzip der Rechenschaftspflicht ist dasselbe.
Wie Auditoren und Aufsichtsbehörden Ihre Zahlen prüfen werden
Quantitative Cyberrisikobeurteilung wird nicht als perfekte versicherungsmathematische Wissenschaft auditiert. Sie wird auf Methode, Konsistenz, Nachvollziehbarkeit, Governance und Nachweise geprüft.
| Sicht von Auditor oder Prüfer | Was geprüft wird | Erwartete Nachweise |
|---|---|---|
| ISO/IEC 27001:2022 | Klausel 6.1.2 Risikobeurteilung, Klausel 6.1.3 Risikobehandlung, SoA-Entscheidungen, Genehmigung durch Risikoverantwortliche und Klausel 9.3 Managementbewertung | Risikokriterien, Register, Behandlungsplan, SoA, Genehmigungen, Protokolle der Managementbewertung |
| Zuständige Behörde nach NIS2 | Genehmigung und Aufsicht durch das Leitungsorgan, Article 21-Maßnahmen, Verhältnismäßigkeit, Vorfallsbereitschaft und Schulung | Unterlagen für das Leitungsorgan, Schulungsnachweise, Risikogenehmigungen, Vorfallverfahren, Kontinuitätsnachweise |
| DORA-Aufseher oder interner Auditor | IKT-Risikomanagementrahmenwerk, IKT-Risikotoleranz, kritische oder wichtige Funktionen, Tests, Vorfallklassifizierung und IKT-Drittparteienrisiko | IKT-Risikoregister, Resilienzstrategie, Informationsregister, Testergebnisse, Exit-Pläne |
| NIST CSF 2.0-Prüfer | GOVERN-Ergebnisse, einschließlich GV.RM-02 Risikobereitschaft und -toleranz sowie GV.RM-06 standardisierte Priorisierung | Ist-Profil, Zielprofil, Maßnahmenplan, Verknüpfung mit Unternehmensrisiken |
| COBIT 2019-Prüfer | Governance über Unternehmens-IT, Risikooptimierung, Entscheidungsrechte, Ressourcenzuweisung und Assurance | Governance-Berichterstattung, Leistungskennzahlen, Assurance-Berichte |
Die Clarysec Richtlinie zur Audit- und Compliance-Überwachung – SME Audit and Compliance Monitoring Policy-sme - SME, Abschnitt „Governance-Anforderungen“, Klausel 5.4.3, macht den Auditkreislauf ausdrücklich:
„Audit-Feststellungen und Statusaktualisierungen müssen in den Prozess der ISMS-Managementbewertung aufgenommen werden.“
Das ist kritisch. Wenn das Risikomodell eine Exponierung von €500.000 schätzt, das interne Audit aber feststellt, dass der Wiederherstellungstest fehlgeschlagen ist, muss sich das Restrisiko ändern. Wenn der Lieferanten-Exit-Plan nicht getestet ist, sollte die Organisation das Restrisiko nicht so akzeptieren, als wäre die Maßnahme ausgereift. Wenn DORA-Tests eine kritische Lücke identifizieren, muss diese Feststellung in Behandlung, Budget und Managementbewertung einfließen.
Der Zenith Blueprint, Phase Audit, Überprüfung und Verbesserung, Schritt 28, „Managementbewertung“, unterstützt dies durch empfohlene Eingaben für die Managementbewertung, etwa Änderungen interner und externer Themen, regulatorische Anforderungen, Auditergebnisse, Überwachung und Messung, Ziele, Vorfälle, Nichtkonformitäten, Verbesserungsmöglichkeiten und Ressourcenbedarf. In einem Programm für quantifizierte Cyberrisiken sollte das Paket für die Managementbewertung die wichtigsten finanziellen Exponierungen, den Trend seit der letzten Überprüfung, den Fortschritt der Behandlung, überfällige Maßnahmen, Restrisiken oberhalb der Toleranz und erforderliche Entscheidungen enthalten.
Aufbau eines Cyberrisiko-Pakets für das Leitungsorgan
Ein für das Leitungsorgan geeignetes Cyberrisiko-Paket sollte Direktoren nicht mit Schwachstellenzahlen, FAIR-Variablen oder Maßnahmenkennungen überfrachten. Es sollte Cyberrisiken in Entscheidungen übersetzen.
Für jedes wesentliche quantifizierte Risiko sollte es enthalten:
- Szenarioname und betroffener Geschäftsservice
- Kritikalität des Services oder der Funktion
- Kennzeichen für personenbezogene Daten, regulierten Service und Lieferantenabhängigkeit
- Aktuelle Schätzung des Single Loss Impact
- Aktuelle Schätzung der Annual Rate of Occurrence
- Aktuelle Annualized Loss Expectancy
- Annahmen und Konfidenzniveau
- Aktuelle Maßnahmen und bekannte Lücken
- Behandlungsoptionen und Kosten
- Erwartete verbleibende Exponierung nach Behandlung
- Relevanz für ISO/IEC 27001:2022, NIS2, DORA und GDPR
- Risikoverantwortlicher und erforderliche Entscheidung
- SoA- und Richtlinienreferenzen
- Frist und Überprüfungsdatum
Eine vereinfachte Sicht für das Leitungsorgan kann wie folgt aussehen:
| Risikoszenario | Aktueller ALE | Behandlungskosten | Verbleibender ALE | Regulatorischer Treiber | Entscheidung |
|---|---|---|---|---|---|
| Ausfall der verwalteten Datenbank mit Auswirkung auf die Transaktionsverarbeitung | €152.500 | €82.000 | €35.000 | DORA-IKT-Risiko, ISO-Risikobehandlung, Lieferantenkontinuität | Behandlung genehmigen |
| Ransomware mit Auswirkung auf Kundendatenplattform | €372.000 | €100.000 | €95.000 | GDPR-Risiko einer Datenschutzverletzung, NIS2-Vorfallbehandlung, ISO-Vorfallmaßnahmen | EDR und unveränderbare Backups genehmigen |
| Kompromittierung privilegierten Zugriffs in Cloud-Administrationskonsole | €260.000 | €58.000 | €72.000 | ISO-Zugriffskontrolle, NIS2-Authentifizierung, DORA-Datenintegrität | MFA und PAM-Ausbau genehmigen |
| Konzentrationsrisiko bei kritischem SaaS-Anbieter | €190.000 | €45.000 | €95.000 | DORA-Drittparteienrisiko, NIS2-Lieferkette, ISO-Lieferantenmaßnahmen | Test des Exit-Plans genehmigen |
Die Zahlen sind Schätzungen, aber der Governance-Wert ist real. Das Leitungsorgan kann Prioritäten vergleichen. Der CISO kann Ausgaben begründen. Finanzen kann Annahmen validieren. Compliance kann Entscheidungen mit Verpflichtungen verknüpfen. Auditoren können dem Nachweispfad folgen.
Häufige Fehler bei der Quantifizierung von Cyberrisiken
Der erste Fehler ist Scheingenauigkeit. Ein Modell, das einen Verlust von €487.239,17 behauptet, ohne klare Annahmen zu dokumentieren, ist weniger glaubwürdig als eine Spanne mit dokumentierter Grundlage. Verwenden Sie, wo sinnvoll, Bandbreiten und überprüfen Sie Annahmen nach Vorfällen, Audits, Lieferantenänderungen und wesentlichen Architekturentscheidungen.
Der zweite Fehler besteht darin, nur technische Kosten zu zählen. Ein wesentlicher Cybervorfall kann Umsatzverlust, Kundenentschädigung, Betriebsunterbrechung, regulatorische Berichterstattung, Rechtsberatung, forensische Unterstützung, Kommunikationskosten, Vertragsstrafen, Abwanderung, Managementzeit und Reputationsauswirkungen umfassen.
Der dritte Fehler ist, den regulatorischen Schweregrad zu ignorieren. Eine Verletzung des Schutzes personenbezogener Daten kann wesentlich sein, selbst wenn der direkte operative Verlust gering erscheint. Ein DORA-Vorfall kann aufgrund von Servicekritikalität, Ausfallzeit, Datenverlust oder betroffenen Kunden erheblich sein. Ein NIS2-Vorfall kann wesentlich sein, weil er eine schwere Betriebsunterbrechung, einen finanziellen Verlust oder erheblichen Schaden für andere verursacht.
Der vierte Fehler ist, die SoA nicht zu aktualisieren. Wenn Behandlungsentscheidungen Lieferantenüberwachung, Cloud-Exit-Planung, Sammlung von Vorfallnachweisen, IKT-Bereitschaft für Aufrechterhaltung des Geschäftsbetriebs oder Störungskontrollen auswählen, muss die SoA die anwendbaren Maßnahmen und den Umsetzungsstatus abbilden.
Der fünfte Fehler ist, Finanzen auszuschließen. Quantitative Cyberrisikobeurteilung ist am stärksten, wenn Sicherheit, Finanzen, Recht, Betrieb, Produkt und Compliance sich auf Annahmen zu Auswirkungen verständigen. Der CISO sollte Umsatzausfallzahlen nicht allein erfinden.
Der sechste Fehler ist, Versicherung als vollständige Risikoübertragung zu behandeln. Versicherung kann finanzielle Auswirkungen reduzieren, beseitigt aber nicht regulatorische Rechenschaftspflicht, Serviceunterbrechung, Vertrauensschäden bei Kunden oder Managementverantwortung.
Wo Clarysec unterstützt
Clarysec hilft Organisationen, ein Cyberrisikoprogramm aufzubauen, das für KMU praktikabel und für regulierte Umgebungen belastbar genug ist.
Der Zenith Blueprint führt die Organisation von Geltungsbereich und Kontext über Risikokriterien, qualitative und quantitative Beurteilung, Behandlungsplanung, SoA-Nachvollziehbarkeit, Audit, Managementbewertung und Verbesserung. Zenith Controls hilft, die Maßnahmenerwartungen aus ISO/IEC 27001:2022 und ISO/IEC 27002:2022 auf andere Rahmenwerke, Audits und Governance-Verpflichtungen abzubilden. Clarysec-Richtlinien liefern die Sprache, die Auditoren erwarten, einschließlich Risikobereitschaft, Befugnismatrizen, Behandlungsoptionen, Compliance-Register, SoA-Ausrichtung und Integration in die Managementbewertung.
Die KMU-Richtlinie zur rechtlichen und regulatorischen Einhaltung Legal and Regulatory Compliance Policy - SME, Abschnitt „Governance-Anforderungen“, Klausel 5.1.1, beginnt mit einer einfachen Verpflichtung:
„Der GM muss ein einfaches, strukturiertes Einhaltungsregister führen, das Folgendes aufführt:“
Dieses einfache Register ist wichtig. Rechtliche, regulatorische und vertragliche Verpflichtungen müssen im ISMS sichtbar sein. Für quantitative Risiken bedeutet das: NIS2, DORA, GDPR, Kundenverträge, SLAs, Outsourcing-Pflichten, Meldepflichten für Vorfälle und Auditverpflichtungen prägen Auswirkung, Behandlungspriorität und Eskalation.
Die Enterprise-Risikomanagement-Richtlinie, Abschnitt „Referenzstandards und Rahmenwerke“, Klausel 11.9.1, spiegelt außerdem unmittelbar DORA-artige Governance wider:
„Article 5: Schreibt ein dokumentiertes IKT-Risikomanagementrahmenwerk vor, das durch die Struktur dieser Richtlinie einschließlich SoA-Zuordnung und KRIs vollständig abgedeckt wird.“
Das ist das Clarysec-Modell in einem Satz: dokumentiertes IKT-Risikomanagement, auf Maßnahmen abgebildet, über Indikatoren gemessen, durch das Management überprüft und für Audits nachgewiesen.
Nächste Schritte: Machen Sie Ihr Cyberrisikoregister 2026 finanziell belastbar
Wenn Ihr aktuelles Cyberrisikoregister noch „hoch“ sagt, ohne finanzielle Exponierung, Behandlungsökonomie oder regulatorische Auswirkung zu erklären, beginnen Sie in diesem Quartal mit fünf Maßnahmen:
- Wählen Sie Ihre 5 bis 10 wichtigsten Cyberrisikoszenarien nach geschäftlicher Auswirkung aus.
- Definieren Sie finanzielle Auswirkungsschwellen für geringfügig, moderat, wesentlich und schwerwiegend.
- Schätzen Sie Single Loss Impact, Annual Rate of Occurrence und Annualized Loss Expectancy für jedes Top-Szenario.
- Ordnen Sie jede Entscheidung zur Risikobehandlung den ISO/IEC 27001:2022-Maßnahmen, der SoA, gegebenenfalls NIS2- oder DORA-Verpflichtungen, GDPR-Auswirkungen und NIST CSF-Governance-Ergebnissen zu.
- Präsentieren Sie Restrisiko, Behandlungskosten und Eskalationsschwellen in der Managementbewertung.
Clarysec kann Ihnen helfen, daraus ein wiederholbares Nachweissystem aufzubauen – mit dem Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls, der Enterprise-Risikomanagement-Richtlinie Risk Management Policy, der KMU-Risikomanagement-Richtlinie Risk Management Policy - SME und unterstützenden Audit- und Compliance-Vorlagen.
Das Ziel ist nicht, Cyberrisiken perfekt vorhersehbar zu machen. Das Ziel ist, sie erklärbar, vergleichbar, finanziell aussagekräftig und auditierbar zu machen.
Laden Sie die Risiko- und Compliance-Richtlinienvorlagen von Clarysec herunter, erkunden Sie den Zenith Blueprint oder buchen Sie ein Clarysec-Assessment, um Ihr Cyberrisikoregister 2026 in nachweisfähige Unterlagen für das Leitungsorgan zu ISO/IEC 27001:2022, NIS2, DORA und GDPR zu überführen.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
