Welche sind die gängigsten Risikomanagement-Frameworks?

Die am häufigsten verwendeten Risikomanagement-Frameworks sind: ISO 31000 (universell, für alle Risikoarten), NIST Risk Management Framework (Cybersicherheit, US-Ursprung), COSO ERM (Enterprise Risk Management für Corporate Governance), COBIT 2019 (IT-Governance und -Management, 40 Ziele in 5 Domänen), ISO 27005 (Informationssicherheits-Risikomanagement, ergänzt ISO 27001) und FAIR (quantitative Cyber-Risikoanalyse). Die richtige Wahl hängt von Branche, regulatorischen Anforderungen und Risikobereichen ab.

Was ist COBIT 2019 und wie unterscheidet es sich von ISO 31000?

COBIT 2019 ist ein IT-Governance- und Management-Framework von ISACA, strukturiert um 40 Governance- und Management-Ziele in fünf Domänen: EDM, APO, BAI, DSS und MEA. Anders als ISO 31000, das ein breites prinzipienbasiertes Risiko-Framework ist, fokussiert COBIT spezifisch auf IT-Governance — die Ausrichtung der IT-Strategie an Geschäftszielen. COBIT ist besonders relevant für die DORA-Compliance, die einen strukturierten IT-Governance-Ansatz für Finanzunternehmen vorschreibt.

Was ist der Unterschied zwischen ISO 31000 und NIST RMF?

ISO 31000 ist ein breites, prinzipienbasiertes Framework für alle Risikoarten. NIST RMF konzentriert sich auf Informationssysteme und Cybersicherheit mit präskriptiven Schritten. ISO 31000 beschreibt das Denken über Risiko; NIST RMF gibt konkrete Handlungsanweisungen für IT-Systeme. Viele Organisationen nutzen ISO 31000 als übergeordnetes Framework und NIST RMF für cybersicherheitsspezifische Prozesse.

Wie hängen Risikomanagement-Frameworks mit NIS2 und DORA zusammen?

NIS2 Artikel 21(2)(a) verlangt ausdrücklich Risikoanalyse- und Informationssicherheitsrichtlinien. DORA Artikel 5–16 verlangen von Finanzunternehmen umfassende IKT-Risikomanagement-Frameworks. COBIT 2019 bildet die Governance-Anforderungen von DORA besonders gut ab; ISO 27005 oder NIST RMF unterstützt NIS2 Artikel 21(2)(a) direkt.

Brauche ich ein Risikomanagement-Framework, wenn ich bereits ISO 27001 habe?

ISO 27001 beinhaltet Risikomanagement als Kernanforderung (Klausel 6.1), schreibt aber keine bestimmte Methodik vor. Viele Organisationen kombinieren ISO 27001 mit ISO 27005 oder nutzen ISO 31000 für unternehmensweite Risiken. Ihr ISMS enthält bereits einen Risikomanagement-Prozess — ein Framework formalisiert und erweitert diesen.

Was ist das FAIR-Risikomanagement-Framework?

FAIR (Factor Analysis of Information Risk) ist ein quantitatives Risikomanagement-Framework, das Cyberrisiken in finanziellen Begriffen ausdrückt. Anders als qualitative Frameworks berechnet FAIR die wahrscheinliche Häufigkeit und das Ausmaß von Verlustereignissen in Geldwerten. Es hilft Organisationen, Investitionen zu priorisieren, indem Kontrollkosten mit der erwarteten Verlustreduzierung verglichen werden.

Wie wähle ich das richtige Risikomanagement-Framework?

Berücksichtigen Sie vier Faktoren: (1) Regulatorische Anforderungen — NIS2, DORA und SOX erwarten jeweils spezifische Ansätze; (2) Risikobereiche — nur Informationssicherheit oder unternehmensweit; (3) IT-Governance-Fokus — COBIT 2019 ist entscheidend für Organisationen, bei denen DORA-Compliance im Vordergrund steht; (4) Reifegrad — prinzipienbasierte Frameworks bieten Flexibilität, präskriptive bieten Schritt-für-Schritt-Anleitungen.

Kann ich mehrere Risikomanagement-Frameworks gleichzeitig nutzen?

Ja, und die meisten Organisationen tun das. Ein gängiger Ansatz ist ISO 31000 als übergreifendes Enterprise-Risk-Framework, COBIT 2019 für IT-Governance, ISO 27005 oder NIST RMF für Cybersicherheitsrisiken und FAIR für die quantitative Analyse spezifischer Hochrisiken.

Risikomanagement-Frameworks: Der vollständige Leitfaden für 2026

Published 7. März 2026

Updated 9. Apr. 2026

By Emre Salmanoglu

Risikomanagement-Frameworks: Der vollständige Leitfaden für 2026

ISO 31000, NIST RMF, COSO ERM, COBIT 2019, ISO 27005 und FAIR im Vergleich — die wichtigsten Risikomanagement-Frameworks für NIS2, DORA und ISO 27001.

Risikomanagement

Frameworks

ISO 31000

NIST RMF

COSO ERM

COBIT

ISO 27005

Compliance

Risikomanagement-Frameworks: Der vollständige Leitfaden für 2026

Ein Risikomanagement-Framework ist ein strukturierter Ansatz zur Identifikation, Bewertung, Behandlung und Überwachung von Risiken. Die sechs meistgenutzten Frameworks sind ISO 31000, NIST RMF, COSO ERM, COBIT 2019, ISO 27005 und FAIR — jedes für unterschiedliche Organisationskontexte und regulatorische Anforderungen konzipiert.

Gemäß NIS2 Artikel 21 und DORA Artikel 5–16 müssen europäische Organisationen dokumentierte Risikomanagement-Prozesse implementieren. Ein anerkanntes Framework liefert die Evidenzbasis, die Aufsichtsbehörden und Auditoren erwarten.

Dieser Leitfaden behandelt die wichtigsten Frameworks, wie sie sich unterscheiden und wie Sie das richtige für Ihren regulatorischen Kontext auswählen.

Die wichtigsten Erkenntnisse

NIS2 und DORA schreiben Risikomanagement-Frameworks vor — nicht nur Kontrollen. Artikel 21(2)(a) NIS2 verlangt ausdrücklich Risikoanalyse-Konzepte.
COBIT 2019 (40 Governance-Ziele in 5 Domänen) ist zunehmend relevant für die DORA-Compliance im Finanzsektor.
Die meisten Organisationen nutzen mehrere Frameworks: ISO 31000 als Dach → COBIT/ISO 27005 für domänenspezifische Prozesse → FAIR für quantitative Analyse.
ISO 27005 ist die praktische Wahl für ISO 27001-Implementierer — es erfüllt direkt Klausel 6.1.
Ein Framework auf dem Papier ist kein Compliance-Nachweis — Sie brauchen ein lebendiges Risikoregister, dokumentierte Entscheidungen und Aufsicht auf Vorstandsebene.

Was ist ein Risikomanagement-Framework?

Ein Risikomanagement-Framework ist eine Sammlung von Prinzipien, Prozessen und Praktiken für systematisches Risikomanagement. Es definiert:

Wie Risiken identifiziert werden — was schiefgehen kann und wo
Wie Risiken bewertet werden — Wahrscheinlichkeit, Auswirkung und Priorität
Wie Risiken behandelt werden — akzeptieren, mindern, übertragen oder vermeiden
Wie Risiken überwacht werden — kontinuierliches Tracking und Review
Wie über Risiken berichtet wird — Kommunikation an Stakeholder und Aufsichtsbehörden

Ohne ein Framework wird Risikomanagement inkonsistent — verschiedene Teams bewerten Risiken unterschiedlich, Dokumentationslücken entstehen und regulatorische Nachweise sind schwer zu erbringen.

Die wichtigsten Risikomanagement-Frameworks

ISO 31000: Risikomanagement — Grundsätze und Leitlinien

Ideal für: Organisationen, die einen universellen Risikomanagement-Ansatz für alle Risikoarten benötigen.

ISO 31000 ist der internationale Standard für Risikomanagement, anwendbar auf jede Organisation unabhängig von Größe, Branche oder Sektor. Er liefert Prinzipien und einen generischen Prozess — keine präskriptiven Kontrollen.

Kernelemente:

Integration in Governance und Entscheidungsfindung
Risikobewertungsprozess: Identifikation → Analyse → Evaluation
Risikobehandlung mit kontinuierlicher Überwachung und Überprüfung
Kommunikation und Konsultation durchgehend

Stärken: Flexibel, branchenunabhängig, weithin anerkannt. Funktioniert als Dach-Framework.

Einschränkungen: Auf hoher Ebene — sagt nicht, welche spezifischen Kontrollen zu implementieren sind. Muss für spezifische Bereiche ergänzt werden.

NIST Risk Management Framework (RMF)

Ideal für: Organisationen, die Informationssysteme verwalten, insbesondere solche, die sich an US-Cybersicherheitsstandards oder NIST CSF orientieren.

Das NIST RMF (SP 800-37) bietet einen strukturierten, siebenstufigen Prozess zur Integration von Sicherheit und Risikomanagement in Informationssysteme:

Vorbereiten — Kontext und Prioritäten festlegen
Kategorisieren — Informationssysteme nach Auswirkungsgrad klassifizieren
Auswählen — Sicherheitskontrollen aus NIST SP 800-53 wählen
Implementieren — Kontrollen umsetzen
Bewerten — Wirksamkeit der Kontrollen evaluieren
Autorisieren — Risikobasierte Betriebsentscheidung
Überwachen — Laufende Bewertung und Reaktion

Stärken: Präskriptiv, gut dokumentiert, integriert sich mit NIST CSF und dem SP 800-53 Kontrollkatalog. Kostenlos und öffentlich verfügbar.

Einschränkungen: US-zentriert. Kann für kleinere Organisationen komplex sein. Primär auf Informationssysteme fokussiert statt auf unternehmensweites Risiko.

COSO ERM (Enterprise Risk Management)

Ideal für: Organisationen mit Fokus auf Corporate Governance, Finanzberichterstattung und Risikoaufsicht auf Vorstandsebene.

COSO ERM ist das dominierende Framework für Enterprise Risk Management im Corporate-Governance-Kontext. 2017 aktualisiert, organisiert es Risikomanagement in fünf Komponenten:

Governance und Kultur — Vorstandsaufsicht und Risikokultur
Strategie und Zielsetzung — Risikoappetit und Geschäftsstrategieanpassung
Performance — Risikoidentifikation, -bewertung und -reaktion
Review und Revision — Überwachung und Verbesserung
Information, Kommunikation und Berichterstattung — Stakeholder-Kommunikation

Stärken: Starker Governance- und Vorstandsfokus. Weit verbreitet in Finanzdienstleistungen und börsennotierten Unternehmen. Passt zu SOX-Compliance-Anforderungen.

Einschränkungen: Breit und governance-fokussiert — braucht Ergänzung für spezifische Bereiche wie Cybersicherheit. Kann für operative Teams abstrakt sein.

ISO 27005: Risikomanagement für Informationssicherheit

Ideal für: Organisationen, die ISO 27001 implementieren oder aufrechterhalten.

ISO 27005 bietet detaillierte Anleitung für das Risikomanagement der Informationssicherheit, konzipiert als Ergänzung zu ISO 27001. Er umfasst:

Kontextfestlegung (Anwendungsbereich, Kriterien, Organisation)
Risikoidentifikation (Assets, Bedrohungen, Schwachstellen, Auswirkungen)
Risikoanalyse (qualitativ, quantitativ oder semi-quantitativ)
Risikoevaluation (Vergleich mit Akzeptanzkriterien)
Risikobehandlung (Kontrollauswahl und Restrisiko-Akzeptanz)
Risikoüberwachung und -review

Stärken: Unterstützt direkt ISO 27001 Klausel 6.1-Anforderungen. Praktisch und spezifisch für Informationssicherheit. Etablierte Methodik.

Einschränkungen: Auf Informationssicherheit beschränkt — deckt keine Enterprise-Risiken ab. Benötigt ISO 27001-Kontext für maximalen Nutzen.

FAIR (Factor Analysis of Information Risk)

Ideal für: Organisationen, die Cyberrisiken in finanziellen Begriffen für Vorstandsberichte oder Investitionsentscheidungen quantifizieren müssen.

FAIR ist ein quantitatives Risikoanalyse-Framework, das Risiko als wahrscheinlichen finanziellen Verlust ausdrückt:

Verlustereignishäufigkeit — Wie oft ein Bedrohungsereignis zu Verlust führt
Verlustausmaß — Wie viel jedes Verlustereignis kostet

FAIR zerlegt diese in messbare Faktoren: Bedrohungsereignishäufigkeit, Verwundbarkeit, primärer/sekundärer Verlust und Reaktionskosten.

Stärken: Liefert finanzielle Kennzahlen, die Vorstände und Führungskräfte verstehen. Ermöglicht Kosten-Nutzen-Analyse von Sicherheitsinvestitionen. Ergänzt qualitative Frameworks.

Einschränkungen: Erfordert zuverlässige Daten für Genauigkeit. Komplexer zu implementieren als qualitative Ansätze. Funktioniert am besten als Ergänzung zu einem strukturellen Framework, nicht alleinstehend.

COBIT 2019: IT-Governance und -Management

Ideal für: Organisationen, die strukturierte IT-Governance benötigen — insbesondere Finanzunternehmen unter DORA oder Organisationen, bei denen die Ausrichtung der IT-Strategie an Geschäftszielen Priorität auf Vorstandsebene hat.

COBIT 2019, veröffentlicht von ISACA, ist das führende Framework für IT-Governance und -Management. Anders als die oben genannten Frameworks, die Risikomanagement allgemein adressieren, regelt COBIT spezifisch, wie IT in einer Organisation Wert schafft und schützt. Es enthält 40 Governance- und Management-Ziele in fünf Domänen [1]:

EDM — Evaluate, Direct, Monitor (Bewerten, Lenken, Überwachen): Das Leitungsorgan bewertet strategische Optionen, lenkt die Umsetzung und überwacht die Performance. Umfasst die Risikooptimierung (EDM03).
APO — Align, Plan, Organize (Ausrichten, Planen, Organisieren): Strukturiert IT-Strategie, Risikomanagement und Ressourcenplanung. APO12 adressiert direkt das Enterprise-Risikomanagement.
BAI — Build, Acquire, Implement (Erstellen, Beschaffen, Implementieren): Regelt Beschaffung, Entwicklung und Integration von IT-Lösungen in Geschäftsprozesse.
DSS — Deliver, Service, Support (Bereitstellen, Servicieren, Unterstützen): Adressiert operativen Betrieb, Incident-Management und Business Continuity.
MEA — Monitor, Evaluate, Assess (Überwachen, Evaluieren, Bewerten): Umfasst Performance-Überwachung und regulatorische Compliance-Beurteilung.

COBIT und DORA: DORA verlangt von Finanzunternehmen IKT-Risikomanagement-Frameworks mit Verantwortlichkeit auf Vorstandsebene, dokumentierten Governance-Strukturen und kontinuierlicher Überwachung. Die EDM- und APO-Domänen von COBIT 2019 bilden diese Anforderungen direkt ab. ISACA hat spezifische Leitlinien zur Nutzung von COBIT für NIS2- und DORA-Anforderungen veröffentlicht [2].

COBIT und NIS2: Das Risikomanagement-Ziel APO12 von COBIT unterstützt die Anforderung aus NIS2 Artikel 21(2)(a) nach Risikoanalyse-Konzepten. Organisationen, die COBIT nutzen, können ihre bestehenden Governance-Ziele den zehn Risikomanagement-Maßnahmen der NIS2 zuordnen.

Stärken: Umfassender IT-Governance-Bereich. Klare Zuordnung zu regulatorischen Anforderungen inkl. DORA und NIS2. Starker Vorstandsfokus. 40 gut dokumentierte Ziele mit messbaren Ergebnissen.

Einschränkungen: Komplex in der vollständigen Implementierung — nicht alle 40 Ziele sind für jede Organisation relevant. IT-fokussiert, benötigt Ergänzung durch ISO 31000 für Nicht-IT-Risiken. Vollständige Leitlinien erfordern ISACA-Mitgliedschaft oder Kauf.

Framework-Vergleich

Framework	Scope	Ansatz	Ideal für	Regulatorische Ausrichtung
ISO 31000	Alle Risikoarten	Prinzipienbasiert	Unternehmensweites Risk-Programm	Allgemein (unterstützt jede Regulierung)
NIST RMF	Informationssysteme	Präskriptiv, schrittweise	Cybersicherheits-Risikomanagement	NIST CSF, FedRAMP, CMMC
COSO ERM	Enterprise Risk	Governance-fokussiert	Risikoaufsicht auf Vorstandsebene	SOX, Corporate Governance
COBIT 2019	IT-Governance & -Management	Zielbasiert, 40 Ziele	DORA-Compliance, IT-Governance	DORA, NIS2, SOX (IT-Kontrollen)
ISO 27005	Informationssicherheit	Methodenfokussiert	ISO 27001-Implementierung	ISO 27001, NIS2, DORA
FAIR	Cyberrisiko (quantitativ)	Datengetrieben, finanziell	Risikoquantifizierung und ROI	Vorstandsberichte, Investitionsentscheidungen

Wie Risikomanagement-Frameworks mit Regulierungen zusammenhängen

NIS2

NIS2 Artikel 21(2)(a) verlangt ausdrücklich „Konzepte für die Risikoanalyse und Sicherheit von Informationssystemen." Betroffene Organisationen müssen einen dokumentierten Risikomanagement-Prozess vorweisen. ISO 27005 oder NIST RMF unterstützt diese Anforderung direkt.

Darüber hinaus definieren die zehn Risikomanagement-Maßnahmen der NIS2 (Artikel 21) die Kontrolldomänen, die Ihr Framework abdecken muss. Das APO12-Ziel von COBIT 2019 (Risikomanagement) bietet einen strukturierten Prozess zur Implementierung dieser Maßnahmen und zum Aufbau der Auditnachweis-Basis, die NIS2-Aufsichtsbehörden erwarten.

DORA

DORA Artikel 5–16 schreiben ein umfassendes IKT-Risikomanagement-Framework für Finanzunternehmen vor. DORA ist präskriptiver als NIS2 — es spezifiziert Governance-Anforderungen (Verantwortung des Leitungsorgans, Artikel 5), Risikoidentifikationsprozesse (Artikel 8) und kontinuierliche Überwachungspflichten (Artikel 10). Separate Testanforderungen erscheinen später in DORA, unter anderem in den Artikeln 24–25.

Finanzunternehmen nutzen typischerweise COBIT 2019 für die Governance- und Management-Schicht (EDM-, APO-Domänen) in Kombination mit ISO 27005 oder NIST RMF für den IKT-spezifischen Risikobewertungsprozess. Die ISACA-Leitlinien von 2025 zu DORA sind ein hilfreicher Bezugspunkt für die Zuordnung der Governance-Anforderungen aus Artikel 5–6, COBIT sollte jedoch als passende Option und nicht als formal vorgeschriebenes Modell verstanden werden [2].

ISO 27001

ISO 27001 Klausel 6.1 verlangt von Organisationen, „die Risiken und Chancen zu bestimmen" und Maßnahmen zu planen. Eine spezifische Risikobewertungsmethodik wird nicht vorgeschrieben — hier füllt ISO 27005 die Lücke.

SOC 2

Die Trust Services Criteria von SOC 2 erfordern Risikobewertung als Teil der gemeinsamen Kriterien. Organisationen nutzen oft COSO ERM-Konzepte für die Governance-Ebene und NIST oder ISO 27005 für die technische Risikobewertung.

Wie Sie das richtige Framework auswählen

Schritt 1: Regulatorische Treiber identifizieren

Wenn Sie einhalten müssen...	Erwägen Sie...
NIS2	ISO 27005 + ISO 31000
DORA	COBIT 2019 + ISO 27005
ISO 27001	ISO 27005
SOX	COSO ERM
NIST CSF	NIST RMF
Mehrere EU-Regulierungen	ISO 31000 (Dach) + COBIT 2019 + ISO 27005

Schritt 2: Risikobereich bestimmen

Nur Informationssicherheit → ISO 27005 oder NIST RMF
IT-Governance und -Management → COBIT 2019 (besonders für DORA-regulierte Unternehmen)
Unternehmensweit → ISO 31000 oder COSO ERM
Finanzielle Quantifizierung → FAIR als ergänzenden Ansatz hinzufügen

Schritt 3: Reifegrad berücksichtigen

Am Anfang: ISO 27005 bietet den strukturiertesten, praktischsten Ansatz für ISO 27001 und NIS2
Fortgeschritten: ISO 31000 als Dach mit domänenspezifischen Ergänzungen (COBIT für IT-Governance, ISO 27005 für Informationssicherheit)
Experte: Multi-Framework-Ansatz mit COBIT 2019 auf Governance-Ebene und FAIR für quantitative Analyse

Häufige Fehler

Risikobewertung als Checkbox-Übung behandeln. Jährliche Risikobewertungen, die in der Schublade landen, reduzieren kein Risiko. Effektive Frameworks integrieren Risikomanagement in den täglichen Betrieb und die Entscheidungsfindung.
Ein einziges Framework für alles verwenden. Enterprise Risk, Informationssicherheitsrisiko und finanzielles Risiko haben unterschiedliche Dynamiken. Ein geschichteter Ansatz (Dach-Framework + domänenspezifische Frameworks) ist effektiver.
Frameworks mit Kontrollen verwechseln. Ein Framework sagt Ihnen wie Sie Risiken managen. Kontrollen (wie MFA, Verschlüsselung oder Backup-Richtlinien) sind was Sie implementieren, um spezifische Risiken zu behandeln. Überspringen Sie nicht das Framework und springen direkt zu Kontrollen.
Risikomanagement nicht mit Compliance-Nachweisen verbinden. Ihr Risikoregister, Behandlungspläne und Restrisiko-Entscheidungen sind Compliance-Nachweise. Wenn sie nicht dokumentiert und zugänglich sind, können Aufsichtsbehörden und Auditoren Ihren Ansatz nicht verifizieren.

Vom Framework zum operativen Nachweis

Die Lücke zwischen einem Risikomanagement-Framework auf dem Papier und dessen Nachweis gegenüber Stakeholdern — Kunden, Auditoren, Aufsichtsbehörden — ist der Punkt, an dem viele Organisationen scheitern. Ein Framework auf dem Papier muss untermauert werden durch:

Ein lebendiges Risikoregister mit aktuellen Bewertungen
Dokumentierte Behandlungsentscheidungen und deren Begründung
Nachweise regelmäßiger Überprüfung und Aufsicht auf Vorstandsebene
Belege, dass der Risikoappetit mit der tatsächlichen Praxis übereinstimmt

Hier wird ein Trust Center zur externen Nachweisebene — es veröffentlicht Ihre Sicherheitslage, Compliance-Status und Risikomanagement-Ansatz für die Stakeholder, die dies einsehen müssen.

Wie Orbiq Risikomanagement unterstützt

Trust Center: Veröffentlichen Sie Ihre Sicherheitslage, Zertifizierungen und Compliance-Status als kauffertige Nachweissammlung
Kontinuierliches Monitoring: Verfolgen Sie die Wirksamkeit Ihrer Kontrollen und erkennen Sie Änderungen, die Ihre Risikolandschaft betreffen
Evidence Management: Automatisierte Sammlung von Compliance-Nachweisen für Audits und regulatorische Prüfungen
Vendor Risk Monitoring: Bewerten und überwachen Sie Drittparteienrisiken als Teil Ihres Lieferketten-Risikomanagements

Weiterführende Lektüre

NIS2-Compliance: Der vollständige Leitfaden — Risikomanagement-Anforderungen unter NIS2
DORA-Compliance-Leitfaden — IKT-Risikomanagement für Finanzdienstleistungen
Was ist ein Trust Center? — Externe Nachweisebene für Ihr Risk-Programm
Sicherheitsfragebogen-Software — Wie Risiko-Frameworks moderne Lieferantenbewertungen prägen

Quellen & Referenzen

ISACA - COBIT 2019 Framework: Introduction and Methodology
ISACA - Resilience and Security in Critical Sectors: Navigating NIS2 and DORA Requirements
Europäisches Parlament, „Richtlinie (EU) 2022/2555 (NIS2)," Artikel 21, eur-lex.europa.eu
Europäisches Parlament, „Verordnung (EU) 2022/2554 (DORA)," Artikel 5–16, eur-lex.europa.eu
ISO, „ISO 31000:2018 Risikomanagement — Leitlinien," iso.org
ISO, „ISO/IEC 27005:2022 Informationssicherheits-Risikomanagement," iso.org

Dieser Leitfaden wird vom Orbiq-Team gepflegt. Letzte Aktualisierung: April 2026.