Einstieg · Risikomanagement
Risk Management Workshop
Ein Tagesworkshop für Unternehmen, die ihre ISO 27001 über ein GRC-Tool wie Vanta oder secjur umgesetzt haben — mit Zertifikat, aber ohne dass je ein erfahrener Risk-Profi auf das Risikomanagement geschaut hat. Wir prüfen die vorhandene Methodik gegen ISO 27005, trennen die echten Top-Risiken von der generischen Tool-Liste und treffen mit dem Management belastbare Behandlungs- und Akzeptanz-Entscheidungen.
- 1 Workshop-Tag
- 2.900 EUR (zzgl. USt. · inkl. Vor- und Nachbereitung)
- Belastbare Risikomethodik + echte Top-Risiken
Wann relevant
Wann sich das lohnt.
- Ihr habt ISO 27001 mit einem GRC-Tool (Vanta, secjur, Drata o. Ä.) umgesetzt und zertifiziert — aber das Risikomanagement lief weitgehend automatisch, ohne dass jemand mit Erfahrung die Annahmen hinterfragt hat.
- Das Risikoregister ist voll, wirkt aber generisch: die Einträge stammen aus der Tool-Vorlage, nicht aus eurem tatsächlichen Geschäft — und niemand kann sagen, welche fünf Risiken wirklich zählen.
- Risiken werden akzeptiert oder behandelt, ohne dass eine nachvollziehbare Methode dahintersteht — im nächsten Überwachungs- oder Rezertifizierungs-Audit wird das zum Thema.
- Die Geschäftsführung soll Risiken freigeben, hat aber keine Entscheidungsgrundlage, die über die Ampelfarben im Tool hinausgeht.
Leistungsumfang
Was wir übernehmen.
Review der bestehenden Methodik
Wir sehen uns euer Risikoregister, die Bewertungsskalen und die im Tool hinterlegte Methode an — und gleichen sie gegen die Anforderungen von ISO 27005 und ISO 27001 Klausel 6.1.2 ab. Wo die Tool-Automatik trägt und wo sie nur Häkchen produziert, wird sichtbar.
Risikomethodik nach ISO 27005
Wir gehen die Methodik strukturiert durch: Kontext und Risikokriterien, Identifikation entlang eurer echten Assets und Prozesse, Bewertung nach Eintritt und Auswirkung, Behandlungsoptionen und Akzeptanz. So entsteht ein Verfahren, das ihr selbst weiterführen könnt.
Dokumentiert gegen wirksam
Ein Eintrag im Register belegt noch keine bewusste Entscheidung. Wir arbeiten heraus, wo die Tool-Einträge nur formal existieren und wo tatsächlich jemand ein Risiko verstanden und darüber entschieden hat — dasselbe Reifegrad-Denken wie im ISO-27001-Cheat-Sheet (Policy, Procedure, Implementation, Evidence).
Echte Top-Risiken statt Tool-Liste
Aus der langen, generischen Liste destillieren wir gemeinsam die Risiken, die euer Geschäft wirklich treffen — priorisiert nach Wahrscheinlichkeit, Auswirkung und Konzentrationswirkung. Der Rest bleibt dokumentiert, tritt aber in den Hintergrund.
Behandlungs- und Akzeptanz-Entscheidungen
Für die Top-Risiken treffen wir mit dem Management nachvollziehbare Entscheidungen: mitigieren, transferieren, vermeiden oder bewusst akzeptieren — jeweils begründet und dokumentiert, so dass sie einem Auditor und einer Aufsicht standhalten.
Ergebnis
Was dir das bringt.
- Eine belastbare, selbst weiterführbare Risikomethodik nach ISO 27005 — jenseits der Tool-Automatik.
- Eine kurze Liste der tatsächlichen Top-Risiken eures Unternehmens, priorisiert und managementtauglich formuliert.
- Dokumentierte Behandlungs- und Akzeptanz-Entscheidungen, die im Überwachungs- und Rezertifizierungs-Audit tragen.
- Eine klare Einschätzung, wo euer bestehendes Register wirksam ist und wo es nur formal befüllt war — mit konkreten nächsten Schritten.
Ablauf
So gehen wir vor.
- 01
Vorgespräch
In einem 30-Minuten-Termin klären wir Ausgangslage, eingesetztes GRC-Tool, Zertifizierungsstand und Teilnehmerkreis. Ihr erhaltet vorab eine kurze Liste der gewünschten Unterlagen (Risikoregister, Methodikbeschreibung, letzter Auditbericht).
- 02
Workshop (1 Tag)
Ein moderierter Tag mit den Verantwortlichen für ISMS und Risiko sowie einem Vertreter der Geschäftsführung — vor Ort oder remote. Review der Methodik, Herausarbeiten der echten Top-Risiken, Behandlungs- und Akzeptanz-Entscheidungen.
- 03
Schriftliche Auswertung
Innerhalb einer Woche erhaltet ihr die Auswertung: bewertete Methodik, priorisierte Top-Risiken, dokumentierte Entscheidungen und konkrete Empfehlungen zur Weiterführung im Tool.
- 04
Optional: nächster Schritt
Auf Wunsch begleiten wir die Umsetzung weiter — als tiefergehendes Security Risk Assessment oder als laufende Sicherheitsführung durch den externen CISO. Ohne Druck, mit klarer Empfehlung.
FAQ
Häufige Fragen.
Worin unterscheidet sich der Workshop vom NIS2 Strategiebriefing?
Das NIS2 Strategiebriefing betrachtet eure Lage durch die regulatorische NIS2-Brille (Art. 21) und richtet sich an Unternehmen, die sich erst zu ihren NIS2-Pflichten orientieren. Der Risk Management Workshop setzt bei der ISO-27001/27005-Methodik an — für Unternehmen, die bereits zertifiziert sind, deren Risikomanagement aber tool-getrieben und ohne externe Erfahrung entstanden ist.
Funktioniert der Workshop mit unserem GRC-Tool (Vanta, secjur, Drata)?
Ja. Wir arbeiten tool-agnostisch und direkt mit dem Register und der Methodik, die euer Tool bereitstellt. Ziel ist, die vorhandene Automatik mit einer belastbaren Methode zu unterlegen — nicht, das Tool zu ersetzen.
Was passiert nach dem Workshop?
Ihr könnt die Methodik selbst weiterführen. Wenn ihr tiefer gehen wollt, folgt ein Security Risk Assessment; wenn ihr die Sicherheitsführung dauerhaft auslagern wollt, der externe CISO.
Andere Leistungen
Auch interessant
Cyber Reality Check
Strukturierte Standortbestimmung in 1–2 Tagen. Management-Report mit Top 10 Risiken.
NIS2 Strategiebriefing
Halbtags-Workshop mit Geschäftsführung und IT-Lead. Reifegrad-Einschätzung und schriftliche Empfehlung. Fixpreis 2.480 EUR.
NIS2 Beratung
GAP-Analyse, Umsetzungs-Roadmap und laufende Begleitung zur NISG-Compliance — modular über Monate bis Jahresprojekt.
Cyber Governance Setup
CISO-Funktion in 6–12 Wochen aufbauen — Governance, Rollen, Prozesse. Übergabefähig in vCISO-Betrieb.
Security Risk Assessments
Strukturierte Bewertung der IT-Sicherheitslage. Klare Prioritäten statt Toollisten.
Externer CISO / vCISO
Sicherheitsführung als externe Funktion — strategisch, planbar, ohne Vollzeit-Stelle.
Interim Projektmanagement
Erfahrene Projektleitung für IT- und Sicherheitsvorhaben — temporär, fokussiert.