Ein ISO-Risikoregister, das funktioniert (und nicht aussieht wie ein Berater-Export)

Ein Risikoregister muss keine 300-zeilige Tabelle sein. Für ein KMU sind 30–60 Risiken realistisch. Hier das Format, das einen Audit übersteht und im Alltag wirklich nutzbar ist.

Das Risikoregister ist die zentrale Liste des „Was kann schiefgehen". Berater liefern manchmal 300-zeilige Tabellen mit theoretischen Risiken. Für ein KMU sind 30–60 realistisch. Jedes Risiko muss sich einem nicht-technischen CFO klar erklären lassen.

Pro Risiko hältst du fest

• Kurze Beschreibung („Verlust eines Laptops mit Kundendaten")
• Welches Asset oder welcher Prozess betroffen ist
• Bedrohung (Diebstahl) und Schwachstelle (keine Festplattenverschlüsselung)
• Wahrscheinlichkeit (1–5) × Auswirkung (1–5) = Score
• Bestehende Maßnahmen
• Verantwortlicher (Name)
• Restrisiko-Score
• Weitere Maßnahme (optional) + Deadline

Realistische Bewertung

Wahrscheinlichkeit: 1 = sehr selten, 3 = kann einmal pro Jahr vorkommen, 5 = tägliche Realität. Auswirkung: 1 = Unannehmlichkeit, 3 = Verlust eines Arbeitstages, 5 = Existenzbedrohung. Ein Score von 15+ erfordert Handlungsbedarf.

Review-Rhythmus

• Quartalsweise: laufende Risiken prüfen, neue Risiken ergänzen.
• Jährlich: vollständige Überprüfung im Management Review.
• Nach jedem Vorfall: Risikoregister mit der gewonnenen Erkenntnis aktualisieren.

Beispiele für realistische KMU-Risiken

1. Ransomware auf einem Mitarbeiter-Laptop über eine Phishing-Mail
2. Ehemaliger Mitarbeiter hat noch Zugriff auf Kundendaten (Offboarding-Lücke)
3. Buchhaltungs-Admin wird monatelang nicht überprüft (Review-Verzögerung)
4. Cloud-Anbieter fällt während der Hochsaison aus
5. Mitarbeiter klickt auf Phishing-Mail und MFA-Fatigue-Angriff gelingt
6. Geteiltes Passwort wird über Slack-Paste geleakt

Zur Vorfallserfassung: Vorfallsprotokoll einrichten.