{"id":15005,"date":"2025-10-23T04:06:38","date_gmt":"2025-10-23T04:06:38","guid":{"rendered":"https:\/\/newestek.com\/?p=15005"},"modified":"2025-10-23T04:06:38","modified_gmt":"2025-10-23T04:06:38","slug":"6-risk-assessment-frameworks-im-vergleich","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=15005","title":{"rendered":"6 Risk-Assessment-Frameworks im Vergleich"},"content":{"rendered":"<div>\n<div id=\"remove_no_follow\">\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<section class=\"wp-block-bigbite-multi-title\">\n<div class=\"container\"><\/div>\n<\/section>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<figure class=\"wp-block-image size-large\"><figcaption class=\"wp-element-caption\">Mit dem richtigen Framework lassen sich Risiken besser ergr\u00fcnden.<\/figcaption><\/figure>\n<p class=\"imageCredit\">FOTOGRIN \u2013 shutterstock.com<\/p>\n<\/div>\n<p>F\u00fcr viele Gesch\u00e4ftsprozesse ist Technologie inzwischen unverzichtbar. Deshalb z\u00e4hlt diese auch zu den wertvollsten Assets eines Unternehmens. Leider stellt sie gleichzeitig jedoch auch eines der gr\u00f6\u00dften Risiken dar \u2013 was Risk-Assessment-Frameworks auf den Plan ruft.<\/p>\n<p>IT-Risiken formal\u00a0<a href=\"https:\/\/www.csoonline.com\/article\/3492180\/cyber-risk-assessments-risikobewertung-hilft-cisos.html\" target=\"_blank\">zu bewerten<\/a>, erm\u00f6glicht es Organisationen, besser einzusch\u00e4tzen, zu welchem Grad ihre Systeme, Devices und Daten sch\u00e4dlichen Einfl\u00fcssen ausgesetzt sind. Etwa in Form von\u00a0<a href=\"https:\/\/www.csoonline.com\/article\/3577944\/diese-unternehmen-hats-schon-erwischt.html\" target=\"_blank\">Cyberbedrohungen<\/a>,\u00a0<a href=\"https:\/\/www.csoonline.com\/article\/3495375\/third-party-risk-management-so-vermeiden-sie-compliance-unheil.html\" target=\"_blank\">Compliance-Verfehlungen<\/a>\u00a0oder\u00a0<a href=\"https:\/\/www.computerwoche.de\/a\/10-fakten-zu-datacenter-ausfaellen,3614299\" target=\"_blank\">Ausf\u00e4llen<\/a>. Zudem k\u00f6nnen IT- und Sicherheitsentscheider deren Folgen mit Hilfe von entsprechenden Rahmenwerken auch besser abzusch\u00e4tzen. Das Ziel besteht am Ende darin, s\u00e4mtliche identifizierten Risiken \u2013 und ihren Impact \u2013 zu minimieren.<\/p>\n<p>In diesem Artikel stellen wir Ihnen (in aller K\u00fcrze) sechs popul\u00e4re Risk-Assessment-Frameworks vor, die jeweils auf spezifische Risikobereiche abgestimmt sind.<\/p>\n<h3 class=\"wp-block-heading\" id=\"1-cobit\">1. COBIT<\/h3>\n<p><strong>Das ist es:<\/strong>\u00a0Hinter\u00a0<strong>COBIT<\/strong>\u00a0(<a href=\"https:\/\/www.isaca.org\/resources\/cobit\" target=\"_blank\" rel=\"noreferrer noopener\">Control Objectives for Information and Related Technology<\/a>) steht der internationale IT-Berufsverband ISACA, der sich auf IT Governance fokussiert hat. Dieses sehr umfassende und breit angelegte Framework wurde entwickelt, um dabei zu unterst\u00fctzen, Enterprise IT:<\/p>\n<ul class=\"wp-block-list\">\n<li>zu verstehen,<\/li>\n<li>zu designen,<\/li>\n<li>zu implementieren,<\/li>\n<li>zu managen und<\/li>\n<li>zu steuern.<\/li>\n<\/ul>\n<p><strong>Das kann es:<\/strong>\u00a0Laut ISACA definiert COBIT die Komponenten und Designfaktoren, ein optimales Governance-System aufzubauen und aufrechtzuerhalten. Die aktuelle Version,\u00a0<a href=\"https:\/\/www.computerwoche.de\/a\/was-ist-cobit,3614637\" target=\"_blank\">COBIT 2019<\/a>, fu\u00dft auf einem Governance-Prinzipien-Sextett:<\/p>\n<ol class=\"wp-block-list\">\n<li>Value f\u00fcr Stakeholder liefern<\/li>\n<li>ganzheitlichen Ansatz realisieren<\/li>\n<li>Governance-System dynamisch gestalten<\/li>\n<li>Management von Governance trennen<\/li>\n<li>auf individuelle Unternehmensanforderungen abstimmen<\/li>\n<li>Ende-zu-Ende-Governance-System realisieren<\/li>\n<\/ol>\n<p><strong>So funktioniert es:<\/strong>\u00a0Das COBIT-Framework ist auf Business-Fokus konzipiert und definiert eine Reihe generischer Prozesse, um IT-Komponenten zu managen. Dabei werden au\u00dferdem auch Inputs und Outputs, Schl\u00fcsselaktivit\u00e4ten, Zielsetzungen, Performance-<a href=\"https:\/\/www.csoonline.com\/article\/3492322\/cybersecurity-messen-10-kennzahlen-die-cisos-weiterbringen.html\" target=\"_blank\">Metriken<\/a>\u00a0und ein grundlegendes Reifegradmodell festgelegt.<\/p>\n<p><strong>Gut zu wissen:<\/strong>\u00a0Laut ISACA ist COBIT flexibel zu implementieren und erm\u00f6glicht Unternehmen, ihre Governance-Strategie anzupassen.<\/p>\n<h3 class=\"wp-block-heading\" id=\"2-fair\">2. FAIR<\/h3>\n<p><strong>Das ist es:<\/strong>\u00a0Das Framework\u00a0<strong>FAIR<\/strong>\u00a0(<a href=\"https:\/\/www.fairinstitute.org\/what-is-fair\" target=\"_blank\" rel=\"noreferrer noopener\">Factor Analysis of Information Risk<\/a>) bildet eine Methodik ab, um unternehmensbezogene Risiken zu quantifizieren und zu managen. Dahinter steht das Fair Institute, eine wissenschaftlich ausgerichtete Non-Profit-Organisation, die sich dem Management von betrieblichen und sicherheitstechnischen Risiken verschrieben hat. Laut den Machern ist FAIR das einzige, quantitative Standardmodell auf internationaler Ebene, um diese Art von Risiken zu erfassen.<\/p>\n<p><strong>Das kann es:<\/strong>\u00a0FAIR bietet ein Modell, um die genannten Risiken in finanzieller Hinsicht zu verstehen, zu analysieren und zu quantifizieren. Laut dem Fair Institute unterscheidet es sich dabei insofern von anderen Risk-Assessment-Frameworks, als dass es seinen Fokus nicht auf qualitative Farbdiagramme oder numerisch gewichtete Skalen legt. Stattdessen will FAIR eine Grundlage liefern, um einen robusten Risikomanagement-Ansatz auszubilden.<\/p>\n<p><strong>So funktioniert es:<\/strong>\u00a0FAIR ermittelt in erster Linie Wahrscheinlichkeiten mit Blick auf die Frequenz und das Ausma\u00df von\u00a0<a href=\"https:\/\/www.computerwoche.de\/a\/was-sie-ueber-dlp-wissen-muessen,3549370\" target=\"_blank\">Data-Loss-Ereignissen<\/a>. Es handelt sich hierbei nicht um eine Methodik, um individuelle Risikobewertungen durchzuf\u00fchren. Vielmehr will das Framework Unternehmen in die Lage versetzen, IT-Risiken zu verstehen, zu analysieren und zu messen.<\/p>\n<p>Zu den Komponenten des FAIR-Frameworks geh\u00f6ren:<\/p>\n<ul class=\"wp-block-list\">\n<li>eine Taxonomie f\u00fcr IT-Risiken,<\/li>\n<li>eine standardisierte Nomenklatur f\u00fcr Risiken,<\/li>\n<li>eine Methode um Datenerfassungskriterien zu definieren,<\/li>\n<li>Messskalen f\u00fcr Risikofaktoren,<\/li>\n<li>eine Engine f\u00fcr Risikoberechnungen, sowie<\/li>\n<li>ein Modell, um komplexe Risikoszenarien zu analysieren.<\/li>\n<\/ul>\n<p><strong>Gut zu wissen:<\/strong>\u00a0Die quantitative Risk-Assessment-Ansatz von FAIR ist branchen\u00fcbergreifend anwendbar.<\/p>\n<h3 class=\"wp-block-heading\" id=\"3-iso-iec-27001\">3. ISO\/IEC 27001<\/h3>\n<p><strong>Das ist es:<\/strong>\u00a0Bei\u00a0<strong><a href=\"https:\/\/www.iso.org\/standard\/27001\" target=\"_blank\" rel=\"noreferrer noopener\">ISO\/IEC 27001<\/a><\/strong>\u00a0handelt es sich um einen internationalen Standard, der mit Leitlinien in Sachen IT-Security-Management unterst\u00fctzt. Urspr\u00fcnglich wurde er im Jahr 2005 gemeinschaftlich von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) ver\u00f6ffentlicht \u2013 und wird seither sukzessive \u00fcberarbeitet.<\/p>\n<p><strong>Das kann es:<\/strong>\u00a0ISO\/IEC 27001 ist laut den Verantwortlichen ein Guide f\u00fcr Unternehmen jeder Gr\u00f6\u00dfe und aus s\u00e4mtlichen Branchen, um ein\u00a0<a href=\"https:\/\/www.csoonline.com\/article\/3495288\/isms-nach-iso-27001-anforderungen-und-umsetzung.html\" target=\"_blank\">Information-Security-Management-System<\/a>\u00a0(ISMS) aufzusetzen, zu implementieren, zu warten und fortlaufend zu verbessern.<\/p>\n<p><strong>So funktioniert es:<\/strong>\u00a0ISO\/IEC 27001 f\u00f6rdert einen ganzheitlichen Cybersicherheitsansatz, der Menschen, Richtlinien und Technologie auf den Pr\u00fcfstand stellt. Ein auf dieser Grundlage erstelltes ISMS ist laut ISO ein Tool f\u00fcr Risikomanagement, Cyberresilienz und Operational Excellence.<\/p>\n<p><strong>Gut zu wissen:<\/strong>\u00a0ISO\/IEC-27001-konform zu sein bedeutet, einem weltweit eingesetzten Standard zu gen\u00fcgen und Datensicherheitsrisiken aktiv zu managen.<\/p>\n<h3 class=\"wp-block-heading\" id=\"4-nist-risk-management-framework\">4. NIST Risk Management Framework<\/h3>\n<p><strong>Das ist es:<\/strong>\u00a0Das\u00a0<strong><a href=\"https:\/\/csrc.nist.gov\/projects\/risk-management\/about-rmf\" target=\"_blank\" rel=\"noreferrer noopener\">Risk Management Framework<\/a><\/strong>\u00a0(RMF) wurde von der US-Beh\u00f6rde NIST (National Institute of Standards and Technology) entwickelt. Dieses Framework stellt einen umfassenden, wiederverwend- und messbaren, siebenstufigen Prozess in den Mittelpunkt, um IT- und Datenschutzrisiken zu managen. Dabei kommt eine ganze Reihe von\u00a0<a href=\"https:\/\/www.csoonline.com\/article\/3492240\/nist-cybersecurity-framework-das-andert-sich-mit-csf-2-0.html\" target=\"_blank\">NIST<\/a>-eigenen Standards und Guidelines zur Anwendung, um die Implementierung von Risikomanagement-Initiativen zu unterst\u00fctzen.<\/p>\n<p><strong>Das kann es:<\/strong>\u00a0Laut NIST realisiert das RMF einen Prozess, der die Risikomanagementaktivit\u00e4ten in den Bereichen Sicherheit, Datenschutz und\u00a0<a href=\"https:\/\/www.csoonline.com\/article\/3492023\/supply-chain-risk-management-so-wird-ihre-lieferkette-resilient.html\" target=\"_blank\">Supply Chain<\/a>\u00a0in den Lebenszyklus der Systementwicklung integriert. Dabei ber\u00fccksichtigt der Ansatz Effektivit\u00e4t, Effizienz und Einschr\u00e4nkungen durch geltende Gesetze, Direktiven, Anordnungen, Richtlinien, Standards oder Vorschriften.<\/p>\n<p><strong>So funktioniert es:<\/strong>\u00a0Der siebenstufige Prozess des NIST RMF gliedert sich in.<\/p>\n<ol class=\"wp-block-list\">\n<li>wesentliche Aktivit\u00e4ten, um die Organisation auf den Umgang mit Sicherheits- und Datenschutzrisiken\u00a0<strong>vorzubereiten<\/strong>.<\/li>\n<li>Systeme und Daten, die verarbeitet, gespeichert und \u00fcbertragen werden, auf der Grundlage einer Impact-Analyse\u00a0<strong>kategorisieren<\/strong>.<\/li>\n<li>eine Reihe von Kontrollma\u00dfnahmen\u00a0<strong>ausw\u00e4hlen<\/strong>, um Systeme auf der Grundlage einer Risikobewertung zu sch\u00fctzen.<\/li>\n<li>Kontrollma\u00dfnahmen\u00a0<strong>implementieren<\/strong>\u00a0\u2013 und dokumentieren, wie das vonstattengeht.<\/li>\n<li>Kontrollma\u00dfnahmen \u00fcberpr\u00fcfen und\u00a0<strong>bewerten<\/strong>, ob diese wie gew\u00fcnscht funktionieren.<\/li>\n<li>Systembetrieb auf Grundlage einer risikobasierten Entscheidung\u00a0<strong>autorisieren<\/strong>.<\/li>\n<li>Implementierung und Systemrisiken kontinuierlich\u00a0<strong>\u00fcberwachen<\/strong>.<\/li>\n<\/ol>\n<p><strong>Gut zu wissen:<\/strong>\u00a0Das RMF bietet einen verfahrenstechnischen und geordneten Prozess, um Organisation dabei zu unterst\u00fctzen, Security in ihre allgemeinen Risikomanagement-Prozesse einzubetten.<\/p>\n<h3 class=\"wp-block-heading\" id=\"5-octave\">5. OCTAVE<\/h3>\n<p><strong>Das ist es:<\/strong>\u00a0<strong>OCTAVE<\/strong>\u00a0(<a href=\"https:\/\/insights.sei.cmu.edu\/documents\/1210\/1999_005_001_16769.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Operationally Critical Threat, Asset, and Vulnerability Evaluation<\/a>\u00a0(PDF)) ist ein Framework, um Risiken im Bereich der Cybersicherheit zu identifizieren und zu managen. Es wurde vom CERT-Team der Carnegie Mellon University in den USA entwickelt.<\/p>\n<p><strong>Das kann es:<\/strong>\u00a0Dieses Risk-Assessment-Framework definiert eine umfassende Evaluierungsmethode. Diese erm\u00f6glicht Unternehmen nicht nur,\u00a0<a href=\"https:\/\/www.csoonline.com\/article\/3493004\/report-von-xm-cyber-geschaftskritische-assets-in-gefahr.html\" target=\"_blank\">missionskritische IT-Assets<\/a>\u00a0zu identifizieren, sondern auch die Bedrohungen, die mit diesen in Zusammenhang stehen und die Schwachstellen, die das erst erm\u00f6glichen.<\/p>\n<p><strong>So funktioniert es:<\/strong>\u00a0Laut den Verantwortlichen erm\u00f6glicht die Zusammenstellung von IT-Assets, -Bedrohungen und \u2013<a href=\"https:\/\/www.csoonline.com\/article\/3495294\/schwachstellen-managen-die-6-besten-vulnerability-management-tools.html\" target=\"_blank\">Schwachstellen<\/a>\u00a0Unternehmen, zu durchdringen, welche Daten wirklich bedroht sind. Mit diesem Verst\u00e4ndnis ausgestattet, k\u00f6nnen die Anwender eine Schutzstrategie entwickeln und implementieren, um diese nachhaltig zu sch\u00fctzen.<\/p>\n<p><strong>Gut zu wissen:<\/strong>\u00a0Das OCTAVE-Framework ist in zwei Versionen erh\u00e4ltlich.<\/p>\n<ul class=\"wp-block-list\">\n<li>OCTAVE-S bietet eine vereinfachte Methodik, die auf kleinere Unternehmen mit flachen hierarchischen Strukturen ausgerichtet ist.<\/li>\n<li>OCTAVE Allegro ist hingegen ein umfassenderes Framework, das sich in erster Linie f\u00fcr gro\u00dfe Unternehmen oder solche mit komplexen Strukturen eignet.<\/li>\n<\/ul>\n<h3 class=\"wp-block-heading\" id=\"6-tara\">6. TARA<\/h3>\n<p><strong>Das ist es:<\/strong>\u00a0<strong>TARA<\/strong>\u00a0(<a href=\"https:\/\/www.mitre.org\/news-insights\/publication\/threat-assessment-and-remediation-analysis-tara\" target=\"_blank\" rel=\"noreferrer noopener\">Threat Assessment and Remediation Analysis<\/a>) stellt eine Engineering-Methodik dar, mit deren Hilfe, Sicherheitsl\u00fccken identifiziert, bewertet und behoben werden k\u00f6nnen. Dieses Framework wurde von der Non-Profit-Organisation MITRE entwickelt.<\/p>\n<p><strong>Das kann es:<\/strong>\u00a0Das Framework ist Teil des MITRE-Systemportfolios, das darauf ausgerichtet ist, die Cybersicherheitshygiene sowie die Resilienz von IT-Systemen in einem m\u00f6glichst fr\u00fchen Stadium (innerhalb des Beschaffungsprozesses) zu adressieren.<\/p>\n<p><strong>So funktioniert es:<\/strong>\u00a0Das TARA-Framework nutzt einen Datenkatalog, um Angriffsvektoren zu identifizieren, die genutzt werden k\u00f6nnten, um Systemschwachstellen auszunutzen sowie potenzielle Gegenma\u00dfnahmen einzuleiten.<\/p>\n<p><strong>Gut zu wissen:<\/strong>\u00a0TARA wurde urspr\u00fcnglich im Jahr 2010 entwickelt und kam bereits in mehr als 30 Cyber-Risk-Assessments zum Einsatz. Dieses Framework eignet sich in besonderem Ma\u00dfe f\u00fcr Risikostudien, die sich auf Sicherheitsbedrohungen konzentrieren. (fm)<\/p>\n<p><strong>Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong><a href=\"https:\/\/www.csoonline.com\/de\/newsletters\/signup\/\" target=\"_blank\"><strong>Unser kostenloser Newsletter<\/strong><\/a><strong> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Mit dem richtigen Framework lassen sich Risiken besser ergr\u00fcnden. FOTOGRIN \u2013 shutterstock.com F\u00fcr viele Gesch\u00e4ftsprozesse ist Technologie inzwischen unverzichtbar. Deshalb z\u00e4hlt diese auch zu den wertvollsten Assets eines Unternehmens. Leider stellt sie gleichzeitig jedoch auch eines der gr\u00f6\u00dften Risiken dar \u2013 was Risk-Assessment-Frameworks auf den Plan ruft. IT-Risiken formal\u00a0zu bewerten, erm\u00f6glicht es Organisationen, besser einzusch\u00e4tzen, zu welchem Grad ihre Systeme, Devices und Daten sch\u00e4dlichen Einfl\u00fcssen&#8230; <\/p>\n<p class=\"more\"><a class=\"more-link\" href=\"https:\/\/newestek.com\/?p=15005\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-15005","post","type-post","status-publish","format-standard","hentry","category-uncategorized","is-cat-link-borders-light is-cat-link-rounded"],"_links":{"self":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/15005","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=15005"}],"version-history":[{"count":0,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/15005\/revisions"}],"wp:attachment":[{"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=15005"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=15005"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=15005"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}