Zum Inhalt springen

Einstieg · Risikomanagement

Risk Management Workshop

Ein Tagesworkshop für Unternehmen, die ihre ISO 27001 über ein GRC-Tool wie Vanta oder secjur umgesetzt haben — mit Zertifikat, aber ohne dass je ein erfahrener Risk-Profi auf das Risikomanagement geschaut hat. Wir prüfen die vorhandene Methodik gegen ISO 27005, trennen die echten Top-Risiken von der generischen Tool-Liste und treffen mit dem Management belastbare Behandlungs- und Akzeptanz-Entscheidungen.

Vor Ort in der Steiermark · Österreichweit remote

Dauer
1 Workshop-Tag
Investition
2.900 EUR (zzgl. USt. · inkl. Vor- und Nachbereitung)
Ergebnis
Belastbare Risikomethodik + echte Top-Risiken

Wann relevant

Wann sich das lohnt.

  • Ihr habt ISO 27001 mit einem GRC-Tool (Vanta, secjur, Drata o. Ä.) umgesetzt und zertifiziert — aber das Risikomanagement lief weitgehend automatisch, ohne dass jemand mit Erfahrung die Annahmen hinterfragt hat.
  • Das Risikoregister ist voll, wirkt aber generisch: die Einträge stammen aus der Tool-Vorlage, nicht aus eurem tatsächlichen Geschäft — und niemand kann sagen, welche fünf Risiken wirklich zählen.
  • Risiken werden akzeptiert oder behandelt, ohne dass eine nachvollziehbare Methode dahintersteht — im nächsten Überwachungs- oder Rezertifizierungs-Audit wird das zum Thema.
  • Die Geschäftsführung soll Risiken freigeben, hat aber keine Entscheidungsgrundlage, die über die Ampelfarben im Tool hinausgeht.

Leistungsumfang

Was wir übernehmen.

Review der bestehenden Methodik

Wir sehen uns euer Risikoregister, die Bewertungsskalen und die im Tool hinterlegte Methode an — und gleichen sie gegen die Anforderungen von ISO 27005 und ISO 27001 Klausel 6.1.2 ab. Wo die Tool-Automatik trägt und wo sie nur Häkchen produziert, wird sichtbar.

Risikomethodik nach ISO 27005

Wir gehen die Methodik strukturiert durch: Kontext und Risikokriterien, Identifikation entlang eurer echten Assets und Prozesse, Bewertung nach Eintritt und Auswirkung, Behandlungsoptionen und Akzeptanz. So entsteht ein Verfahren, das ihr selbst weiterführen könnt.

Dokumentiert gegen wirksam

Ein Eintrag im Register belegt noch keine bewusste Entscheidung. Wir arbeiten heraus, wo die Tool-Einträge nur formal existieren und wo tatsächlich jemand ein Risiko verstanden und darüber entschieden hat — dasselbe Reifegrad-Denken wie im ISO-27001-Cheat-Sheet (Policy, Procedure, Implementation, Evidence).

Echte Top-Risiken statt Tool-Liste

Aus der langen, generischen Liste destillieren wir gemeinsam die Risiken, die euer Geschäft wirklich treffen — priorisiert nach Wahrscheinlichkeit, Auswirkung und Konzentrationswirkung. Der Rest bleibt dokumentiert, tritt aber in den Hintergrund.

Behandlungs- und Akzeptanz-Entscheidungen

Für die Top-Risiken treffen wir mit dem Management nachvollziehbare Entscheidungen: mitigieren, transferieren, vermeiden oder bewusst akzeptieren — jeweils begründet und dokumentiert, so dass sie einem Auditor und einer Aufsicht standhalten.

Ergebnis

Was dir das bringt.

  • Eine belastbare, selbst weiterführbare Risikomethodik nach ISO 27005 — jenseits der Tool-Automatik.
  • Eine kurze Liste der tatsächlichen Top-Risiken eures Unternehmens, priorisiert und managementtauglich formuliert.
  • Dokumentierte Behandlungs- und Akzeptanz-Entscheidungen, die im Überwachungs- und Rezertifizierungs-Audit tragen.
  • Eine klare Einschätzung, wo euer bestehendes Register wirksam ist und wo es nur formal befüllt war — mit konkreten nächsten Schritten.

Ablauf

So gehen wir vor.

  1. 01

    Vorgespräch

    In einem 30-Minuten-Termin klären wir Ausgangslage, eingesetztes GRC-Tool, Zertifizierungsstand und Teilnehmerkreis. Ihr erhaltet vorab eine kurze Liste der gewünschten Unterlagen (Risikoregister, Methodikbeschreibung, letzter Auditbericht).

  2. 02

    Workshop (1 Tag)

    Ein moderierter Tag mit den Verantwortlichen für ISMS und Risiko sowie einem Vertreter der Geschäftsführung — vor Ort oder remote. Review der Methodik, Herausarbeiten der echten Top-Risiken, Behandlungs- und Akzeptanz-Entscheidungen.

  3. 03

    Schriftliche Auswertung

    Innerhalb einer Woche erhaltet ihr die Auswertung: bewertete Methodik, priorisierte Top-Risiken, dokumentierte Entscheidungen und konkrete Empfehlungen zur Weiterführung im Tool.

  4. 04

    Optional: nächster Schritt

    Auf Wunsch begleiten wir die Umsetzung weiter — als tiefergehendes Security Risk Assessment oder als laufende Sicherheitsführung durch den externen CISO. Ohne Druck, mit klarer Empfehlung.

FAQ

Häufige Fragen.

Worin unterscheidet sich der Workshop vom NIS2 Strategiebriefing?

Das NIS2 Strategiebriefing betrachtet eure Lage durch die regulatorische NIS2-Brille (Art. 21) und richtet sich an Unternehmen, die sich erst zu ihren NIS2-Pflichten orientieren. Der Risk Management Workshop setzt bei der ISO-27001/27005-Methodik an — für Unternehmen, die bereits zertifiziert sind, deren Risikomanagement aber tool-getrieben und ohne externe Erfahrung entstanden ist.

Funktioniert der Workshop mit unserem GRC-Tool (Vanta, secjur, Drata)?

Ja. Wir arbeiten tool-agnostisch und direkt mit dem Register und der Methodik, die euer Tool bereitstellt. Ziel ist, die vorhandene Automatik mit einer belastbaren Methode zu unterlegen — nicht, das Tool zu ersetzen.

Was passiert nach dem Workshop?

Ihr könnt die Methodik selbst weiterführen. Wenn ihr tiefer gehen wollt, folgt ein Security Risk Assessment; wenn ihr die Sicherheitsführung dauerhaft auslagern wollt, der externe CISO.