Risikomanagement-Frameworks: Der vollständige Leitfaden für 2026
Ein praxisnaher Leitfaden zu Risikomanagement-Frameworks — was sie sind, die wichtigsten Frameworks (ISO 31000, NIST RMF, COSO ERM, ISO 27005), wie man das richtige wählt und wie sie mit Compliance-Anforderungen wie NIS2, DORA und ISO 27001 zusammenhängen.
Risikomanagement-Frameworks: Der vollständige Leitfaden für 2026
Ein Risikomanagement-Framework gibt Ihrer Organisation einen strukturierten Weg, Risiken zu identifizieren, zu bewerten und zu behandeln — statt bei jedem Vorfall Ad-hoc-Entscheidungen zu treffen. Ob Sie ISO 27001 implementieren, sich auf NIS2 vorbereiten oder ein Enterprise-Risk-Programm aufbauen: Sie brauchen ein Framework, das zu Ihrem regulatorischen Kontext und Reifegrad passt.
Dieser Leitfaden behandelt die wichtigsten Frameworks, wie sie sich unterscheiden und wie Sie das richtige auswählen.
Was ist ein Risikomanagement-Framework?
Ein Risikomanagement-Framework ist eine Sammlung von Prinzipien, Prozessen und Praktiken für systematisches Risikomanagement. Es definiert:
- Wie Risiken identifiziert werden — was schiefgehen kann und wo
- Wie Risiken bewertet werden — Wahrscheinlichkeit, Auswirkung und Priorität
- Wie Risiken behandelt werden — akzeptieren, mindern, übertragen oder vermeiden
- Wie Risiken überwacht werden — kontinuierliches Tracking und Review
- Wie über Risiken berichtet wird — Kommunikation an Stakeholder und Aufsichtsbehörden
Ohne ein Framework wird Risikomanagement inkonsistent — verschiedene Teams bewerten Risiken unterschiedlich, Dokumentationslücken entstehen und regulatorische Nachweise sind schwer zu erbringen.
Die wichtigsten Risikomanagement-Frameworks
ISO 31000: Risikomanagement — Grundsätze und Leitlinien
Ideal für: Organisationen, die einen universellen Risikomanagement-Ansatz für alle Risikoarten benötigen.
ISO 31000 ist der internationale Standard für Risikomanagement, anwendbar auf jede Organisation unabhängig von Größe, Branche oder Sektor. Er liefert Prinzipien und einen generischen Prozess — keine präskriptiven Kontrollen.
Kernelemente:
- Integration in Governance und Entscheidungsfindung
- Risikobewertungsprozess: Identifikation → Analyse → Evaluation
- Risikobehandlung mit kontinuierlicher Überwachung und Überprüfung
- Kommunikation und Konsultation durchgehend
Stärken: Flexibel, branchenunabhängig, weithin anerkannt. Funktioniert als Dach-Framework.
Einschränkungen: Auf hoher Ebene — sagt nicht, welche spezifischen Kontrollen zu implementieren sind. Muss für spezifische Bereiche ergänzt werden.
NIST Risk Management Framework (RMF)
Ideal für: Organisationen, die Informationssysteme verwalten, insbesondere solche, die sich an US-Cybersicherheitsstandards oder NIST CSF orientieren.
Das NIST RMF (SP 800-37) bietet einen strukturierten, siebenstufigen Prozess zur Integration von Sicherheit und Risikomanagement in Informationssysteme:
- Vorbereiten — Kontext und Prioritäten festlegen
- Kategorisieren — Informationssysteme nach Auswirkungsgrad klassifizieren
- Auswählen — Sicherheitskontrollen aus NIST SP 800-53 wählen
- Implementieren — Kontrollen umsetzen
- Bewerten — Wirksamkeit der Kontrollen evaluieren
- Autorisieren — Risikobasierte Betriebsentscheidung
- Überwachen — Laufende Bewertung und Reaktion
Stärken: Präskriptiv, gut dokumentiert, integriert sich mit NIST CSF und dem SP 800-53 Kontrollkatalog. Kostenlos und öffentlich verfügbar.
Einschränkungen: US-zentriert. Kann für kleinere Organisationen komplex sein. Primär auf Informationssysteme fokussiert statt auf unternehmensweites Risiko.
COSO ERM (Enterprise Risk Management)
Ideal für: Organisationen mit Fokus auf Corporate Governance, Finanzberichterstattung und Risikoaufsicht auf Vorstandsebene.
COSO ERM ist das dominierende Framework für Enterprise Risk Management im Corporate-Governance-Kontext. 2017 aktualisiert, organisiert es Risikomanagement in fünf Komponenten:
- Governance und Kultur — Vorstandsaufsicht und Risikokultur
- Strategie und Zielsetzung — Risikoappetit und Geschäftsstrategieanpassung
- Performance — Risikoidentifikation, -bewertung und -reaktion
- Review und Revision — Überwachung und Verbesserung
- Information, Kommunikation und Berichterstattung — Stakeholder-Kommunikation
Stärken: Starker Governance- und Vorstandsfokus. Weit verbreitet in Finanzdienstleistungen und börsennotierten Unternehmen. Passt zu SOX-Compliance-Anforderungen.
Einschränkungen: Breit und governance-fokussiert — braucht Ergänzung für spezifische Bereiche wie Cybersicherheit. Kann für operative Teams abstrakt sein.
ISO 27005: Risikomanagement für Informationssicherheit
Ideal für: Organisationen, die ISO 27001 implementieren oder aufrechterhalten.
ISO 27005 bietet detaillierte Anleitung für das Risikomanagement der Informationssicherheit, konzipiert als Ergänzung zu ISO 27001. Er umfasst:
- Kontextfestlegung (Anwendungsbereich, Kriterien, Organisation)
- Risikoidentifikation (Assets, Bedrohungen, Schwachstellen, Auswirkungen)
- Risikoanalyse (qualitativ, quantitativ oder semi-quantitativ)
- Risikoevaluation (Vergleich mit Akzeptanzkriterien)
- Risikobehandlung (Kontrollauswahl und Restrisiko-Akzeptanz)
- Risikoüberwachung und -review
Stärken: Unterstützt direkt ISO 27001 Klausel 6.1-Anforderungen. Praktisch und spezifisch für Informationssicherheit. Etablierte Methodik.
Einschränkungen: Auf Informationssicherheit beschränkt — deckt keine Enterprise-Risiken ab. Benötigt ISO 27001-Kontext für maximalen Nutzen.
FAIR (Factor Analysis of Information Risk)
Ideal für: Organisationen, die Cyberrisiken in finanziellen Begriffen für Vorstandsberichte oder Investitionsentscheidungen quantifizieren müssen.
FAIR ist ein quantitatives Risikoanalyse-Framework, das Risiko als wahrscheinlichen finanziellen Verlust ausdrückt:
- Verlustereignishäufigkeit — Wie oft ein Bedrohungsereignis zu Verlust führt
- Verlustausmaß — Wie viel jedes Verlustereignis kostet
FAIR zerlegt diese in messbare Faktoren: Bedrohungsereignishäufigkeit, Verwundbarkeit, primärer/sekundärer Verlust und Reaktionskosten.
Stärken: Liefert finanzielle Kennzahlen, die Vorstände und Führungskräfte verstehen. Ermöglicht Kosten-Nutzen-Analyse von Sicherheitsinvestitionen. Ergänzt qualitative Frameworks.
Einschränkungen: Erfordert zuverlässige Daten für Genauigkeit. Komplexer zu implementieren als qualitative Ansätze. Funktioniert am besten als Ergänzung zu einem strukturellen Framework, nicht alleinstehend.
Framework-Vergleich
| Framework | Scope | Ansatz | Ideal für | Regulatorische Ausrichtung |
|---|---|---|---|---|
| ISO 31000 | Alle Risikoarten | Prinzipienbasiert | Unternehmensweites Risk-Programm | Allgemein (unterstützt jede Regulierung) |
| NIST RMF | Informationssysteme | Präskriptiv, schrittweise | Cybersicherheits-Risikomanagement | NIST CSF, FedRAMP, CMMC |
| COSO ERM | Enterprise Risk | Governance-fokussiert | Risikoaufsicht auf Vorstandsebene | SOX, Corporate Governance |
| ISO 27005 | Informationssicherheit | Methodenfokussiert | ISO 27001-Implementierung | ISO 27001, NIS2, DORA |
| FAIR | Cyberrisiko (quantitativ) | Datengetrieben, finanziell | Risikoquantifizierung und ROI | Vorstandsberichte, Investitionsentscheidungen |
Wie Risikomanagement-Frameworks mit Regulierungen zusammenhängen
NIS2
NIS2 Artikel 21(2)(a) verlangt ausdrücklich „Konzepte für die Risikoanalyse und Sicherheit von Informationssystemen." Betroffene Organisationen müssen einen dokumentierten Risikomanagement-Prozess vorweisen. ISO 27005 oder NIST RMF unterstützt diese Anforderung direkt.
Darüber hinaus definieren die zehn Risikomanagement-Maßnahmen der NIS2 (Artikel 21) die Kontrolldomänen, die Ihr Framework abdecken muss.
DORA
DORA Artikel 5-16 schreiben ein umfassendes IKT-Risikomanagement-Framework für Finanzunternehmen vor. DORA ist präskriptiver als NIS2 — es spezifiziert Governance-Anforderungen (Verantwortung des Leitungsorgans), Risikoidentifikationsprozesse und kontinuierliche Überwachungspflichten.
Finanzunternehmen kombinieren typischerweise COSO ERM (Enterprise-Ebene) mit ISO 27005 oder NIST RMF (IKT-spezifische Ebene) zur Erfüllung der DORA-Anforderungen.
ISO 27001
ISO 27001 Klausel 6.1 verlangt von Organisationen, „die Risiken und Chancen zu bestimmen" und Maßnahmen zu planen. Eine spezifische Risikobewertungsmethodik wird nicht vorgeschrieben — hier füllt ISO 27005 die Lücke.
SOC 2
Die Trust Services Criteria von SOC 2 erfordern Risikobewertung als Teil der gemeinsamen Kriterien. Organisationen nutzen oft COSO ERM-Konzepte für die Governance-Ebene und NIST oder ISO 27005 für die technische Risikobewertung.
Wie Sie das richtige Framework auswählen
Schritt 1: Regulatorische Treiber identifizieren
| Wenn Sie einhalten müssen... | Erwägen Sie... |
|---|---|
| NIS2 | ISO 27005 + ISO 31000 |
| DORA | COSO ERM + ISO 27005 |
| ISO 27001 | ISO 27005 |
| SOX | COSO ERM |
| NIST CSF | NIST RMF |
| Mehrere Regulierungen | ISO 31000 (Dach) + domänenspezifische Frameworks |
Schritt 2: Risikobereich bestimmen
- Nur Informationssicherheit → ISO 27005 oder NIST RMF
- Unternehmensweit → ISO 31000 oder COSO ERM
- Finanzielle Quantifizierung → FAIR als ergänzenden Ansatz hinzufügen
Schritt 3: Reifegrad berücksichtigen
- Am Anfang: ISO 27005 bietet den strukturiertesten, praktischsten Ansatz
- Fortgeschritten: ISO 31000 als Dach mit domänenspezifischen Ergänzungen
- Experte: Multi-Framework-Ansatz mit FAIR für quantitative Analyse
Häufige Fehler
-
Risikobewertung als Checkbox-Übung behandeln. Jährliche Risikobewertungen, die in der Schublade landen, reduzieren kein Risiko. Effektive Frameworks integrieren Risikomanagement in den täglichen Betrieb und die Entscheidungsfindung.
-
Ein einziges Framework für alles verwenden. Enterprise Risk, Informationssicherheitsrisiko und finanzielles Risiko haben unterschiedliche Dynamiken. Ein geschichteter Ansatz (Dach-Framework + domänenspezifische Frameworks) ist effektiver.
-
Frameworks mit Kontrollen verwechseln. Ein Framework sagt Ihnen wie Sie Risiken managen. Kontrollen (wie MFA, Verschlüsselung oder Backup-Richtlinien) sind was Sie implementieren, um spezifische Risiken zu behandeln. Überspringen Sie nicht das Framework und springen direkt zu Kontrollen.
-
Risikomanagement nicht mit Compliance-Nachweisen verbinden. Ihr Risikoregister, Behandlungspläne und Restrisiko-Entscheidungen sind Compliance-Nachweise. Wenn sie nicht dokumentiert und zugänglich sind, können Aufsichtsbehörden und Auditoren Ihren Ansatz nicht verifizieren.
Vom Framework zum operativen Nachweis
Die Lücke zwischen einem Risikomanagement-Framework auf dem Papier und dessen Nachweis gegenüber Stakeholdern — Kunden, Auditoren, Aufsichtsbehörden — ist der Punkt, an dem viele Organisationen scheitern. Ein Framework auf dem Papier muss untermauert werden durch:
- Ein lebendiges Risikoregister mit aktuellen Bewertungen
- Dokumentierte Behandlungsentscheidungen und deren Begründung
- Nachweise regelmäßiger Überprüfung und Aufsicht auf Vorstandsebene
- Belege, dass der Risikoappetit mit der tatsächlichen Praxis übereinstimmt
Hier wird ein Trust Center zur externen Nachweisebene — es veröffentlicht Ihre Sicherheitslage, Compliance-Status und Risikomanagement-Ansatz für die Stakeholder, die dies einsehen müssen.
Wie Orbiq Risikomanagement unterstützt
- Trust Center: Veröffentlichen Sie Ihre Sicherheitslage, Zertifizierungen und Compliance-Status als kauffertige Nachweissammlung
- Kontinuierliches Monitoring: Verfolgen Sie die Wirksamkeit Ihrer Kontrollen und erkennen Sie Änderungen, die Ihre Risikolandschaft betreffen
- Evidence Management: Automatisierte Sammlung von Compliance-Nachweisen für Audits und regulatorische Prüfungen
- Vendor Risk Monitoring: Bewerten und überwachen Sie Drittparteienrisiken als Teil Ihres Lieferketten-Risikomanagements
Weiterführende Lektüre
- NIS2-Compliance: Der vollständige Leitfaden — Risikomanagement-Anforderungen unter NIS2
- DORA-Compliance-Leitfaden — IKT-Risikomanagement für Finanzdienstleistungen
- Was ist ein Trust Center? — Externe Nachweisebene für Ihr Risk-Programm
Dieser Leitfaden wird vom Orbiq-Team gepflegt. Letzte Aktualisierung: März 2026.