GRASP German GRC
Kostenlos testen Kontakt

ISO 27005: Was ist Risikomanagement?

Veröffentlicht am: 3. Dezember 2025

Max Mustermann

Veröffentlicht am: 03.12.2025

ISO 27005

Bei ISO 27005 handelt es sich um einen methodischen Kern eines wirksamen Informationssicherheitsmanagements. Die Norm ISO/IEC 27005:2022 beschreibt, wie Unternehmen Risiken für Vertraulichkeit, Integrität und Verfügbarkeit von Informationen systematisch erkennen, bewerten und behandeln können. Sie liefert damit den praktischen Rahmen, um Informationssicherheitsrisiken nachvollziehbar und wiederholbar zu steuern und die Anforderungen aus ISO 27001 mit Leben zu füllen. Man spricht auch von Risikomanagement. Die offizielle ISO-Seite hält zur ISO 27005 weitere Informationen bereit.

Im Unterschied zu rein technischen Sicherheitsmaßnahmen betrachtet ISO 27005 das Thema Risiko ganzheitlich. Es werden nicht nur einzelne Schwachstellen oder Bedrohungen betrachtet, sondern immer das Zusammenspiel aus Geschäftsprozessen, Informationswerten, Bedrohungen, Schwachstellen und den möglichen Auswirkungen auf Ihr Unternehmen. Dadurch entsteht ein klarer Blick darauf, welche Risiken wirklich kritisch sind und wo Sie Ihre begrenzten Ressourcen am sinnvollsten einsetzen.

Weitere Grundlagen zur Norm ISO 27001 finden Sie hier:
Was ist ISO 27001?

Aktualisierte Perspektive auf ISO 27005 und Gartner

Gartner hat ISO 27005 schon kurz nach der ersten Veröffentlichung als wichtigen Referenzrahmen für Informationssicherheitsrisikomanagement hervorgehoben. Seitdem hat sich die Norm weiterentwickelt. Die aktuelle Version ISO/IEC 27005:2022 ist stärker an ISO 31000 ausgerichtet und damit deutlich näher an modernen Enterprise-Risk-Management-Ansätzen. Aus Sicht von Gartner eignet sich ISO 27005 heute sehr gut als Grundlage, um Informationssicherheitsrisiken einheitlich zu erfassen und mit anderen Unternehmensrisiken vergleichbar zu machen.

Wichtig ist dabei, dass ISO 27005 bewusst keine starre Methode vorschreibt. Die Norm beschreibt den Prozess, die Phasen und die Ziele des Risikomanagements. Sie sagt aber nicht, dass Sie genau ein bestimmtes Berechnungsmodell verwenden müssen. Das entspricht auch der Einschätzung von Gartner. ISO 27005 liefert den Rahmen, in dem Sie beispielsweise qualitative Skalen, semiquantitative Modelle oder quantitative Methoden wie FAIR einsetzen können. Damit passt sich ISO 27005 an die Größe, Reife und Branche Ihres Unternehmens an, statt Sie in ein einzelnes Verfahren zu zwingen.

Welche Rolle spielt ISO 27005 im ISMS?

ISO 27005 ist kein Zertifizierungsstandard, sondern eine Leitlinie für den Risikomanagementprozess innerhalb eines Informationssicherheitsmanagementsystems. Während ISO 27001 beschreibt, dass ein risikobasierter Ansatz notwendig ist, beantwortet ISO 27005 die Frage, wie dieser Ansatz konkret aussehen kann. Wenn Sie ein ISMS aufbauen oder weiterentwickeln, benötigen Sie einen dokumentierten, reproduzierbaren Prozess, mit dem Sie Risiken identifizieren, bewerten, priorisieren und behandeln. Genau an dieser Stelle setzt ISO 27005 an.

Ein ISMS ohne strukturiertes Risikomanagement bleibt oft bei generellen Sicherheitsmaßnahmen stehen. Mit einem ISO 27005 Risikomanagement können Sie Sicherheitsmaßnahmen nachvollziehbar begründen, Prioritäten erklären und Entscheidungen gegenüber Geschäftsführung, Revision und Aufsicht dokumentieren. So entsteht ein Informationssicherheitsmanagement, das nicht nur auf Best Practices basiert, sondern direkt aus den Risiken des Unternehmens abgeleitet ist.

Mehr zu den Grundlagen des Informationssicherheitsmanagements finden Sie hier:
Was ist ein ISMS?

Wie funktioniert ISO 27005 Risikomanagement im Überblick?

ISO 27005 beschreibt einen vollständigen Risikomanagementprozess, der sich an den Grundsätzen der ISO 31000 orientiert und auf Informationssicherheit fokussiert ist. Der Prozess ist zyklisch angelegt. Das bedeutet, dass Sie Risiken nicht einmalig erfassen und dann liegen lassen, sondern regelmäßig neu bewerten und anpassen. Auf diese Weise bleibt das Risikobild aktuell und Veränderungen in Prozessen, Systemen oder Bedrohungslage werden berücksichtigt.

Die Kernelemente des Risikomanagements nach ISO 27005 sind:

  • Herstellen des Kontextes
  • Identifizieren von Risiken
  • Analysieren von Risiken
  • Bewerten von Risiken
  • Behandeln von Risiken
  • Akzeptieren verbleibender Risiken
  • Kommunizieren und Konsultieren
  • Überwachen und Überprüfen

Der Kontext beschreibt die Rahmenbedingungen. Dazu gehören zum Beispiel Ihre Geschäftsziele, regulatorische Anforderungen, interne Richtlinien, bestehende Sicherheitsmaßnahmen und die Grenzen des Risikomanagements. Erst wenn dieser Rahmen klar ist, lassen sich Risiken sinnvoll identifizieren und bewerten.

Der risikobasierte Ansatz: Trauen Sie sich was: Innerhalb des Risikomanagements spricht man auch vom risikobasierten Ansatz. Einen ganzen Beitrag zum Thema finden Sie hier.

Risikobewertung nach ISO 27005 im Detail

Die Risikobewertung besteht aus der Risikoidentifikation, der Risikoanalyse und der Risikobewertung. In der Risikoidentifikation erfassen Sie zunächst die Informationswerte, Prozesse und Systeme, die geschützt werden sollen, und die möglichen Bedrohungen und Schwachstellen. Daraus leiten Sie Risikoszenarien ab. Ein Szenario beschreibt, wie eine bestimmte Bedrohung über eine Schwachstelle auf einen Wert wirkt und welche Auswirkungen dies auf Ihr Unternehmen haben kann.

In der Risikoanalyse wird bewertet, wie wahrscheinlich dieses Szenario ist und wie groß der mögliche Schaden wäre. Hier können Sie mit einfachen Skalen arbeiten, etwa gering, mittel, hoch, oder mit feineren Abstufungen. Entscheidend ist, dass Ihr Bewertungsmodell nachvollziehbar ist und in der Organisation verstanden wird. Die Risikobewertung ordnet die Risiken abschließend ein und priorisiert sie. So erkennen Sie, welche Risiken besonders kritisch sind und zuerst behandelt werden müssen.

ISO 27005 schreibt nicht vor, ob Sie rein qualitativ oder quantitativ bewerten. Sie können mit einfachen Einstufungen beginnen und später zusätzlich quantitative oder semiquantitative Methoden ergänzen, wenn Ihr Reifegrad steigt oder regulatorische Anforderungen dies nahelegen.

Risikobehandlung nach ISO 27005

Nach der Bewertung stellt sich die Frage, wie mit den identifizierten Risiken umgegangen werden soll. ISO 27005 kennt die klassischen Optionen der Risikobehandlung. Sie können Risiken reduzieren, vermeiden, übertragen oder bewusst akzeptieren. In der Praxis bedeutet das zum Beispiel, dass Sie technische Maßnahmen einführen, organisatorische Vorgaben verschärfen, Versicherungen nutzen oder einen bestimmten Restrisikobereich akzeptieren, weil die Kosten einer Maßnahme den Nutzen übersteigen würden.

In ISO 27001 orientieren sich viele Unternehmen bei der Auswahl von Maßnahmen an Annex A. Hier finden sich typische Maßnahmenklassen, die Sie an Ihre Situation anpassen. Wenn Sie den IT Grundschutz einsetzen, kommen zusätzlich die Bausteine des BSI Grundschutzes in Betracht. ISO 27005 liefert den Prozess, Annex A und Grundschutz liefern typische Maßnahmenkataloge, aus denen Sie die für Ihr Unternehmen passenden Maßnahmen auswählen.

Risikokommunikation, Überwachung und kontinuierliche Verbesserung

Risikomanagement ist kein rein technischer Prozess, sondern lebt von Kommunikation. ISO 27005 legt daher großen Wert auf den Austausch zwischen Informationssicherheit, Fachbereichen, IT, Management und weiteren Stakeholdern. Risiken müssen verständlich dargestellt, Prioritäten begründet und Behandlungsvorschläge abgestimmt werden. Nur wenn alle Beteiligten das Risikobild nachvollziehen können, lassen sich tragfähige Entscheidungen treffen.

Gleichzeitig verlangt die Norm eine laufende Überwachung und Überprüfung. Neue Projekte, Systemwechsel, organisatorische Veränderungen oder neue gesetzliche Anforderungen können bestehende Bewertungen überholen. Ein moderner ISO 27005 Ansatz sieht daher regelmäßige Überprüfungszyklen vor und verknüpft Risikomanagement eng mit Audit, Business Continuity Management und Compliance.

ISO 27005 und Enterprise Risk Management

Mit der Version 2022 ist das ISO 27005 Risikomanagement noch stärker an den Prinzipien des Enterprise Risk Management ausgerichtet. Ziel ist es, Informationssicherheitsrisiken nicht isoliert zu betrachten, sondern sie in die Gesamtbetrachtung des Unternehmens einzubetten. Dadurch werden Risiken aus Informationssicherheit mit anderen Risikoarten wie Finanzen, Compliance oder Operationen vergleichbar.

Für Unternehmen, die bereits ein Enterprise Risk Management betreiben, ergibt sich daraus ein großer Vorteil. Sie können dieselben Bewertungslogiken, Berichtsformate und Entscheidungswege nutzen. ISO 27005 dient dann als Fachstandard für den Bereich Informationssicherheit, der sich nahtlos in die bestehende Risikomanagementlandschaft einfügt.

Welche Organisationen profitieren besonders von ISO 27005?

Grundsätzlich eignet sich ISO 27005 für jede Organisation, die ein systematisches Informationssicherheitsrisikomanagement etablieren möchte. Besonders profitieren Unternehmen, die eine ISO 27001 Zertifizierung anstreben oder bereits ein ISMS betreiben. Für sie ist ISO 27005 der natürliche nächste Schritt, um den geforderten risikobasierten Ansatz nachweisbar zu verankern.

Eine hohe Relevanz hat ISO 27005 außerdem für Unternehmen, die von NIS2 betroffen sind, als Betreiber kritischer Infrastrukturen gelten oder in stark regulierten Branchen unterwegs sind. Dazu gehören Finanzdienstleister, Gesundheitswesen, Energieversorger, Industrieunternehmen mit komplexen Lieferketten und Dienstleister mit Zugang zu sensiblen Kundendaten. In all diesen Fällen kann ein dokumentierter, normkonformer Risikomanagementprozess den Unterschied machen, wenn es um Prüfungen, Audits und Rechenschaft gegenüber Aufsichtsbehörden geht.

Unterstützung durch eine Software für ISO 27005 Risikomanagement

In der Praxis ist ISO 27005 Risikomanagement ohne passende Werkzeuge schwer effizient umzusetzen. Tabellen und Insellösungen stoßen schnell an Grenzen, wenn viele Werte, Szenarien und Maßnahmen zu verwalten sind. Eine moderne Risikomanagement Software wie GRASP unterstützt Sie dabei, den Prozess strukturiert und revisionssicher abzubilden.

Typische Funktionen einer Softwarelösung sind zum Beispiel:

  • Ein zentrales Risikoregister mit klaren Verantwortlichkeiten
  • Abbildung von Risikoszenarien und Schutzbedarfsanalysen
  • Unterstützung bei der Bewertung von Eintrittswahrscheinlichkeit und Auswirkung
  • Steuerung der Risikobehandlung mit Aufgaben und Fristen
  • Berichte und Dashboards für Management, Revision und Audit
  • Integration mit ISMS, BCM, Datenschutz und internem Audit

Durch diese Integration wird aus dem ISO 27005 Risikomanagement kein isolierter Prozess, sondern ein zentraler Steuerungsmechanismus in Ihrem gesamten GRC System.

Weitere Grundlagen zum ISMS finden Sie hier:
Was ist ein ISMS?

ISO 27005 Risikomanagement bietet eine klare und anerkannte Grundlage, um Risiken in der Informationssicherheit systematisch zu steuern. Die Norm liefert einen strukturierten Prozess, der zu ISO 27001, ISO 31000 und modernen Enterprise-Risk-Management-Ansätzen passt. Unternehmen, die diesen Rahmen nutzen, gewinnen Transparenz über ihre Risiken, können Maßnahmen gezielt priorisieren und erfüllen gleichzeitig Anforderungen aus Zertifizierungen und Regulierung.

Mit der aktuellen Version ISO/IEC 27005:2022 ist der Standard so ausgereift wie nie zuvor. Er verbindet Informationssicherheit, Unternehmensrisiken und Governance und macht sichtbar, welche Risiken wirklich zählen. In Kombination mit einem ISMS und einer passenden Softwarelösung wie GRASP wird Risikomanagement nicht zu einer lästigen Pflicht, sondern zu einem wirksamen Instrument, um Ihr Unternehmen sicherer, belastbarer und zukunftsfähiger zu machen.

Zur verwandten ISO 31000 lesen Sie weitere Informationen auf der offiziellen ISO-Seite.

Jetzt GRASP 30 Tage kostenlos testen!

Text auf Button: Get Started Free Trial starten

Weitere Beiträge zum Thema

GRASP ist ein Produkt der DextraData GmbH

Siegel Software Made and Hosted in Germany
Siegel Allianz für Cyber-Sicherheit Siegel Bundesverband IT-Mittelstand Siegel Lizensierte IT-Grundschutz-Inhalte Siegel ISO 27001 Zertifizierung

Produkte

ISMS - Software für Informationssicherheit

DSMS - Software für Datenschutzmanagement

Internal Audit - Sofware für Auditmanagement

QM - Software für Qualitätsmanagement

BCM - Software für Business Continuity Management

Neues bei GRASP

Unternehmen

Über uns

Fragen zu GRASP

Sie haben noch Fragen?
Kontaktieren Sie uns gerne!

Zum Kontaktformular

© DextraData GmbH

Impressum

AGB

Datenschutzerklärung

Cookie-Einstellungen