ISMS Risikobehandlungsplan: Erstellung, Dokumentation und Umsetzung nach ISO 27001
Alle Beiträge
Informationssicherheit

ISMS Risikobehandlungsplan: Erstellung, Dokumentation und Umsetzung nach ISO 27001

Veröffentlicht am 31.03.2026·11 min. Lesedauer

Inhaltsverzeichnis

Der Risikobehandlungsplan ist eines der zentralen Dokumente in einem Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001. Er dokumentiert, wie eine Organisation mit identifizierten Informationssicherheitsrisiken umgeht: welche Risiken durch Maßnahmen reduziert werden, welche bewusst akzeptiert werden und welche auf andere Weise behandelt werden. Ohne einen nachvollziehbaren Risikobehandlungsplan ist eine ISO 27001 Zertifizierung nicht möglich.

Trotz seiner zentralen Bedeutung stellt der Risikobehandlungsplan viele Unternehmen vor Herausforderungen: Wie wird er strukturiert? Welche Risikobehandlungsoptionen stehen zur Verfügung? Wie wird die Verbindung zu den Annex A Controls hergestellt? Dieser Artikel beantwortet diese Fragen praxisnah und zeigt Schritt für Schritt, wie Sie einen wirksamen ISMS Risikobehandlungsplan erstellen.

Das Wichtigste in Kürze:

  • Der Risikobehandlungsplan dokumentiert, wie identifizierte Risiken im ISMS systematisch behandelt werden – er ist ein Pflichtdokument nach ISO 27001 (Kapitel 6.1.3).
  • Es stehen vier Risikobehandlungsoptionen zur Verfügung: Risikominderung, Risikovermeidung, Risikotransfer und Risikoakzeptanz.
  • Jedes behandelte Risiko muss mit konkreten Maßnahmen (Controls) verknüpft werden – die ISO 27001 Annex A liefert einen Referenzkatalog mit 93 Controls.
  • Die Erklärung zur Anwendbarkeit (SoA) und der Risikobehandlungsplan sind eng miteinander verbunden und werden im Audit gemeinsam geprüft.
  • Ein wirksamer Risikobehandlungsplan enthält klare Verantwortlichkeiten, Zeitpläne und messbare Kriterien für die Umsetzung der Maßnahmen.

 

Was ist ein ISMS Risikobehandlungsplan?

Der ISMS Risikobehandlungsplan ist ein dokumentierter Plan, der für jedes identifizierte und bewertete Informationssicherheitsrisiko festlegt, wie die Organisation damit umgeht. Er ist das Bindeglied zwischen der Risikoanalyse (in der Risiken identifiziert und bewertet werden) und der operativen Umsetzung von Sicherheitsmaßnahmen.

Einordnung in den ISMS-Prozess

Der Risikobehandlungsplan entsteht im Rahmen des Risikomanagementprozesses, der in der ISO 27001 in Kapitel 6.1 beschrieben wird. Der Gesamtprozess umfasst:

  1. Risikoidentifikation: Welche Risiken bestehen für die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen?
  2. Risikobewertung: Wie hoch ist die Eintrittswahrscheinlichkeit und welches Ausmaß hätte der Schaden?
  3. Risikobehandlung: Wie wird mit den bewerteten Risiken umgegangen? Hier entsteht der Risikobehandlungsplan.
  4. Risikoüberwachung: Werden die Maßnahmen wirksam umgesetzt und verändern sich die Risiken über die Zeit?

Der Risikobehandlungsplan wird von der Geschäftsführung (oder dem definierten Risikoeigner) genehmigt und bildet die Grundlage für die Zuweisung von Ressourcen und Verantwortlichkeiten. In Audits ist er eines der am intensivsten geprüften Dokumente.

Anforderungen der ISO 27001 an den Risikobehandlungsplan

Die ISO 27001 stellt in Kapitel 6.1.3 explizite Anforderungen an den Risikobehandlungsprozess und den daraus resultierenden Plan:

  • Für jedes Risiko müssen geeignete Risikobehandlungsoptionen ausgewählt werden.
  • Alle zur Risikobehandlung erforderlichen Controls müssen bestimmt werden (unter Berücksichtigung von Annex A als Referenz).
  • Die ausgewählten Controls müssen mit den Annex A Controls abgeglichen werden, um sicherzustellen, dass keine wesentlichen Controls übersehen wurden.
  • Eine Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) muss erstellt werden.
  • Der Risikobehandlungsplan muss formuliert und von den Risikoeignern genehmigt werden.

 

Die vier Risikobehandlungsoptionen im Detail

Die Risikobehandlung nach ISO 27001 kennt vier grundlegende Optionen. Für jedes identifizierte Risiko muss eine (oder eine Kombination) dieser Optionen gewählt und dokumentiert werden.

1. Risikominderung (Risikomodifikation)

Die Risikominderung ist die am häufigsten gewählte Option. Durch die Implementierung von Sicherheitsmaßnahmen (Controls) wird die Eintrittswahrscheinlichkeit und/oder die Auswirkung eines Risikos auf ein akzeptables Niveau reduziert.

Beispiele:

  • Implementierung von Multi-Faktor-Authentifizierung zur Reduktion des Risikos unbefugter Zugriffe.
  • Einführung eines Patch-Management-Prozesses zur Minimierung von Schwachstellen.
  • Durchführung von Security-Awareness-Schulungen zur Reduktion von Phishing-Risiken.
  • Verschlüsselung von Daten zur Minderung des Risikos bei Datenverlust.

Wichtig: Die Risikominderung eliminiert ein Risiko nicht vollständig. Es verbleibt immer ein Restrisiko, das dokumentiert und von den Risikoeignern akzeptiert werden muss.

2. Risikovermeidung

Bei der Risikovermeidung wird die risikobehaftete Aktivität, der Prozess oder die Technologie vollständig aufgegeben. Das Risiko wird eliminiert, indem seine Ursache beseitigt wird.

Beispiele:

  • Verzicht auf den Einsatz einer unsicheren Legacy-Anwendung durch Migration auf eine moderne Alternative.
  • Einstellung eines Dienstes, der nicht ausreichend abgesichert werden kann.
  • Verlagerung sensibler Datenverarbeitung aus einem unsicheren Standort.

Einschränkung: Risikovermeidung ist nicht immer praktikabel. Viele Risiken sind mit Kernprozessen des Unternehmens verbunden und können nicht einfach vermieden werden, ohne die Geschäftstätigkeit einzuschränken.

3. Risikotransfer (Risikoübertragung)

Beim Risikotransfer wird das Risiko ganz oder teilweise auf einen Dritten übertragen. Die häufigsten Formen sind Versicherungen und die Auslagerung an spezialisierte Dienstleister.

Beispiele:

  • Abschluss einer Cyber-Versicherung zur finanziellen Absicherung gegen Schäden durch Cyberangriffe.
  • Auslagerung des IT-Betriebs an einen spezialisierten Managed-Security-Service-Provider (MSSP).
  • Vertragliche Übertragung von Sicherheitsverantwortung auf einen Cloud-Anbieter (Shared-Responsibility-Modell).

Wichtig: Der Risikotransfer überträgt die finanzielle oder operative Verantwortung – die Rechenschaftspflicht verbleibt jedoch bei der Organisation. Sie bleibt dafür verantwortlich, dass angemessene Sicherheitsmaßnahmen getroffen werden, auch wenn ein Dienstleister die operative Umsetzung übernimmt.

4. Risikoakzeptanz

Bei der Risikoakzeptanz entscheidet die Organisation bewusst, ein Risiko ohne zusätzliche Maßnahmen zu tragen. Diese Option ist gerechtfertigt, wenn die Kosten der Risikobehandlung den potenziellen Schaden übersteigen oder wenn das Risiko bereits innerhalb der definierten Risikoakzeptanzkriterien liegt.

Beispiele:

  • Akzeptanz des Restrisikos nach Implementierung von Minderungsmaßnahmen, wenn das verbleibende Risiko unterhalb der Schwelle liegt.
  • Bewusste Akzeptanz eines geringen Risikos, dessen Behandlung unverhältnismäßig hohe Kosten verursachen würde.

Voraussetzungen: Die Risikoakzeptanz muss dokumentiert, begründet und von den zuständigen Risikoeignern oder der Geschäftsführung formal genehmigt werden. „Akzeptanz durch Nichtstun” – also das unbewusste Ignorieren eines Risikos – ist keine gültige Risikoakzeptanz im Sinne der ISO 27001.

 

Schritt-für-Schritt-Anleitung: ISMS Risikobehandlungsplan erstellen

Die Erstellung eines ISMS Risikobehandlungsplans folgt einem strukturierten Prozess. Die folgende Anleitung orientiert sich an den Anforderungen der ISO 27001 und zeigt die einzelnen Schritte praxisnah auf.

Schritt 1: Ergebnisse der Risikoanalyse übernehmen

Der Risikobehandlungsplan baut auf den Ergebnissen der vorgelagerten Risikoanalyse auf. Für den Plan werden alle Risiken übernommen, die oberhalb der definierten Risikoakzeptanzschwelle liegen und daher einer Behandlung bedürfen. Jedes Risiko sollte dabei folgende Attribute mitbringen:

  • Eindeutige Risiko-ID
  • Beschreibung des Risikos (Bedrohung, Schwachstelle, betroffener Informationswert)
  • Bewertung der Eintrittswahrscheinlichkeit und Auswirkung
  • Aktueller Risikowert (vor Behandlung)
  • Zugeordneter Risikoeigner

Schritt 2: Risikobehandlungsoption auswählen

Für jedes zu behandelnde Risiko wird eine der vier Risikobehandlungsoptionen (oder eine Kombination) ausgewählt. Die Auswahl sollte auf einer fundierten Kosten-Nutzen-Analyse basieren:

  • Welche Option reduziert das Risiko am effektivsten?
  • Welche Kosten sind mit der jeweiligen Option verbunden?
  • Ist die Option mit den Geschäftszielen und der Risikobereitschaft der Organisation vereinbar?
  • Welches Restrisiko verbleibt nach der Behandlung?

Schritt 3: Maßnahmen (Controls) definieren

Für jedes Risiko, das gemindert werden soll, müssen konkrete Maßnahmen (Controls) definiert werden. Die ISO 27001 Annex A bietet mit ihren 93 Controls (in der Version 2022) einen umfassenden Referenzkatalog, der in vier Themenbereiche gegliedert ist:

Themenbereich Anzahl Controls Beispiele
Organisatorische Controls 37 Informationssicherheitsrichtlinie, Rollen und Verantwortlichkeiten, Threat Intelligence
Personenbezogene Controls 8 Screening, Awareness-Schulungen, Verantwortlichkeiten nach Beendigung
Physische Controls 14 Physische Sicherheitszonen, Schutz vor Umweltbedrohungen, Speichermedien
Technologische Controls 34 Zugangssteuerung, Kryptografie, Logging, Netzwerksicherheit

Wichtig: Die Annex A Controls dienen als Referenz, nicht als Pflichtliste. Unternehmen müssen prüfen, welche Controls für ihre spezifischen Risiken relevant sind. Darüber hinaus können auch Controls aus anderen Quellen (z. B. BSI IT-Grundschutz, branchenspezifische Standards) herangezogen werden.

Schritt 4: Erklärung zur Anwendbarkeit (SoA) erstellen

Die Erklärung zur Anwendbarkeit (Statement of Applicability) ist ein Pflichtdokument, das eng mit dem Risikobehandlungsplan verknüpft ist. Sie listet alle Controls aus Annex A auf und dokumentiert für jedes Control:

  • Ob das Control angewendet wird oder nicht.
  • Die Begründung für die Aufnahme oder den Ausschluss.
  • Den aktuellen Umsetzungsstand.

Die SoA stellt sicher, dass kein relevantes Control übersehen wird und dass der Ausschluss von Controls nachvollziehbar begründet ist.

Schritt 5: Umsetzungsdetails festlegen

Für jede Maßnahme im Risikobehandlungsplan müssen operative Details definiert werden:

  • Verantwortlicher: Wer ist für die Umsetzung der Maßnahme verantwortlich?
  • Zeitplan: Bis wann muss die Maßnahme umgesetzt sein?
  • Ressourcen: Welche finanziellen, personellen und technischen Ressourcen werden benötigt?
  • Erwartetes Restrisiko: Auf welches Niveau wird das Risiko durch die Maßnahme voraussichtlich reduziert?
  • Wirksamkeitskriterien: Woran wird gemessen, ob die Maßnahme wirksam ist?

Schritt 6: Genehmigung durch Risikoeigner

Der Risikobehandlungsplan muss von den zuständigen Risikoeignern formal genehmigt werden. Die Genehmigung umfasst:

  • Zustimmung zu den gewählten Risikobehandlungsoptionen.
  • Akzeptanz der verbleibenden Restrisiken.
  • Freigabe der erforderlichen Ressourcen.

Diese Genehmigung ist ein explizites Audit-Kriterium und muss dokumentiert nachweisbar sein.

 

TrustSpace Profi-Tipp:Die Erstellung und Pflege eines ISMS Risikobehandlungsplans kann komplex und zeitaufwändig sein – insbesondere wenn Risikoanalyse, Maßnahmenmanagement und SoA in verschiedenen Dokumenten und Tabellen gepflegt werden. TrustSpaceOS integriert den gesamten Risikomanagementprozess in einer Plattform: Von der Risikoidentifikation über die automatisierte Verknüpfung mit Annex A Controls bis hin zur Generierung der SoA. Risikoeigner können Behandlungspläne direkt in der Plattform genehmigen, und der Umsetzungsfortschritt wird in Echtzeit nachverfolgt. So sparen Sie bis zu 60 % des manuellen Aufwands und gehen bestens vorbereitet in jedes Audit.

 

 

Häufige Fehler beim Risikobehandlungsplan

In der Praxis treten bei der Erstellung und Pflege von ISMS Risikobehandlungsplänen regelmäßig typische Fehler auf, die im Audit zu Beanstandungen führen.

Fehlende Verbindung zwischen Risikoanalyse und Maßnahmen

Der häufigste Fehler: Maßnahmen werden ausgewählt, ohne dass eine nachvollziehbare Verbindung zu den identifizierten Risiken besteht. Jede Maßnahme im Risikobehandlungsplan muss auf mindestens ein konkretes Risiko zurückführbar sein. Umgekehrt muss für jedes Risiko oberhalb der Akzeptanzschwelle mindestens eine Behandlungsoption dokumentiert sein.

Unzureichende Begründung der Risikoakzeptanz

Risiken als „akzeptiert” zu kennzeichnen, ohne eine fundierte Begründung zu liefern, ist ein häufiger Audit-Befund. Die Risikoakzeptanz muss auf definierten Kriterien basieren, die Begründung muss dokumentiert sein, und die Genehmigung durch den Risikoeigner muss vorliegen.

Fehlende oder unrealistische Zeitpläne

Ein Risikobehandlungsplan ohne Zeitplan ist ein reines Absichtsdokument. Ebenso problematisch sind unrealistische Zeitvorgaben, die nie eingehalten werden. Setzen Sie realistische Meilensteine und überprüfen Sie den Fortschritt regelmäßig.

Keine Betrachtung des Restrisikos

Nach der Implementierung von Maßnahmen verbleibt ein Restrisiko. Dieses muss explizit bewertet und dokumentiert werden. Liegt das Restrisiko weiterhin oberhalb der Akzeptanzschwelle, sind zusätzliche Maßnahmen oder eine formale Risikoakzeptanz erforderlich.

Statischer Plan ohne Aktualisierung

Ein Risikobehandlungsplan ist ein lebendes Dokument. Neue Risiken, veränderte Bedrohungslagen, organisatorische Änderungen und die Ergebnisse von Wirksamkeitsprüfungen müssen kontinuierlich in den Plan einfließen. Ein Plan, der seit der initialen Erstellung nicht mehr aktualisiert wurde, verfehlt seinen Zweck.

 

Der Risikobehandlungsplan im Audit

Im Rahmen einer ISO 27001 Zertifizierung wird der Risikobehandlungsplan intensiv geprüft. Auditoren achten insbesondere auf folgende Aspekte:

Konsistenz der Dokumentation

Der Auditor prüft, ob eine nachvollziehbare Kette von der Risikoanalyse über den Risikobehandlungsplan bis zur SoA und den implementierten Controls besteht. Lücken oder Widersprüche zwischen diesen Dokumenten führen zu Feststellungen.

Genehmigung und Verantwortlichkeiten

Die formale Genehmigung des Plans durch die Risikoeigner wird geprüft. Ebenso wird überprüft, ob die benannten Verantwortlichen ihre Rolle kennen und aktiv wahrnehmen.

Umsetzungsstand der Maßnahmen

Auditoren prüfen stichprobenartig, ob die im Risikobehandlungsplan definierten Maßnahmen tatsächlich implementiert und wirksam sind. Eine Maßnahme, die nur auf dem Papier existiert, erfüllt die Anforderungen nicht.

Nachvollziehbare Risikoakzeptanz

Für jedes akzeptierte Risiko wird geprüft, ob die Akzeptanzentscheidung auf definierten Kriterien basiert, dokumentiert und genehmigt ist. Die Begründung muss plausibel und nachvollziehbar sein.

Aktualität des Plans

Ein Risikobehandlungsplan, der seit der initialen Erstellung nicht mehr überarbeitet wurde, deutet auf ein nicht gelebtes Risikomanagement hin. Auditoren erwarten regelmäßige Reviews und Aktualisierungen.

 

Best Practices für einen wirksamen Risikobehandlungsplan

Basierend auf Erfahrungen aus zahlreichen ISMS-Implementierungen haben sich folgende Best Practices bewährt:

  • Integration statt Isolation: Pflegen Sie Risikoanalyse, Risikobehandlungsplan und SoA in einem integrierten System, nicht in getrennten Dokumenten. So vermeiden Sie Inkonsistenzen und reduzieren den Pflegeaufwand.
  • Klare Risikoakzeptanzkriterien: Definieren Sie vorab quantitative oder qualitative Kriterien, ab welchem Niveau Risiken akzeptabel sind. Dies erleichtert die Entscheidungsfindung und stellt Konsistenz sicher.
  • Regelmäßige Reviews: Überprüfen Sie den Risikobehandlungsplan mindestens quartalsweise oder anlassbezogen (z. B. nach Sicherheitsvorfällen, organisatorischen Änderungen oder neuen Bedrohungen).
  • Messbare Wirksamkeitskriterien: Definieren Sie für jede Maßnahme, woran ihre Wirksamkeit gemessen wird. Beispiele: Anzahl erfolgreicher Phishing-Simulationen, Patch-Compliance-Rate, Ergebnisse von Penetrationstests.
  • Einbindung der Fachbereiche: Risikoeigner aus den Fachbereichen müssen aktiv in die Erstellung und Genehmigung des Plans eingebunden werden. Informationssicherheit ist keine reine IT-Aufgabe.
  • Priorisierung nach Risikohöhe: Behandeln Sie die höchsten Risiken zuerst. Eine risikobasierte Priorisierung stellt sicher, dass begrenzte Ressourcen dort eingesetzt werden, wo sie den größten Effekt haben.

 

Fazit: Der Risikobehandlungsplan als Steuerungsinstrument der Informationssicherheit

Der ISMS Risikobehandlungsplan ist weit mehr als ein Audit-Dokument – er ist das zentrale Steuerungsinstrument für die Informationssicherheit Ihres Unternehmens. Er übersetzt die Ergebnisse der Risikoanalyse in konkrete, nachverfolgbare Maßnahmen und stellt sicher, dass Risiken systematisch und nachvollziehbar behandelt werden.

Ein wirksamer Risikobehandlungsplan zeichnet sich durch klare Verantwortlichkeiten, realistische Zeitpläne, eine nachvollziehbare Verbindung zu den identifizierten Risiken und den Annex A Controls sowie eine konsequente Pflege und Aktualisierung aus. Unternehmen, die ihren Risikobehandlungsplan als lebendes Dokument begreifen und aktiv nutzen, profitieren nicht nur im Audit, sondern stärken ihre Informationssicherheit nachhaltig.

 

Sie möchten Ihren ISMS Risikobehandlungsplan effizient erstellen und pflegen? TrustSpaceOS bietet ein integriertes Risikomanagement-Modul, das Risikoanalyse, Risikobehandlungsplan und Statement of Applicability in einer Plattform vereint. Automatisierte Verknüpfungen zu ISO 27001 Annex A Controls, integrierte Genehmigungs-Workflows und Echtzeit-Reporting machen die Pflege Ihres Risikobehandlungsplans so effizient wie möglich. Unsere erfahrenen ISO 27001 Berater unterstützen Sie zusätzlich bei der Konzeption und Implementierung Ihres Risikomanagements.

Jetzt kostenlose Erstberatung vereinbaren

Autor

Felix Mosler
Felix Mosler

Leiter Informationssicherheit

Das könnte Sie auch interessieren...

Mit TrustSpace automatisieren Sie das Management Ihrer Informationssicherheit. Ihre All-in-One Lösung für IT Compliance.

NIS-2-Meldepflicht: Fristen, Abläufe und praktische Anleitung für den Ernstfall - Blog Artikel Bild
NIS-2

NIS-2-Meldepflicht: Fristen, Abläufe und praktische Anleitung für den Ernstfall

Stefania Vetere
NIS 2 Lieferkette: Anforderungen an die Supply Chain Security und wie Unternehmen sich absichern - Blog Artikel Bild
NIS-2

NIS 2 Lieferkette: Anforderungen an die Supply Chain Security und wie Unternehmen sich absichern

Felix Mosler
NIS 2 Bußgeld und Haftung: Welche Strafen drohen und warum Geschäftsführer persönlich haften - Blog Artikel Bild
NIS-2

NIS 2 Bußgeld und Haftung: Welche Strafen drohen und warum Geschäftsführer persönlich haften

Stefania Vetere

Ihre Sicherheit beginnt hier

Automatisieren Sie Ihre IT-Compliance