SERVICE

Risiko Assessment

In diesem 3-wöchigen Sprint kombinieren wir bewährte Methoden zum Risikomanagement mit den Anforderungen der ISO 27001
Erstgespräch buchen

Risikoregister in 3 Wochen

Ziel ist es, in drei Phasen (je eine Woche) für einen festgelegten Scope ein vollständiges Bedrohungs- und Risikoprofil zu erarbeiten, das ISO 27001-konforme Vorgaben erfüllt. Am Ende steht ein ISO /IEC 27001-konformes Risikoregister mit priorisierten Risiken und einem Risikobehandlungsplan.

WOCHE 1

Kontextdefinition & Asset-Identifikation

In der ersten Woche legen wir den Grundstein für eine fundierte Risikoanalyse. Gemeinsam definieren wir den Scope, identifizieren kritische Informationswerte und erfassen erste potenzielle Bedrohungen – strukturiert und praxisnah.
Show DetailsKontaktiere uns
Aktivität
Scope-Festlegung und Rahmenbedingungen
  • Abgleich mit Ihrem ISMS-Scope gemäß ISO 27001: Definition der organisatorischen und technischen Grenzen
  • Einbindung relevanter Stakeholder (CISO, Asset-Owner, IT-Leitung, Fachbereiche) o Festlegen von Zielsetzungen, Verantwortlichkeiten und Meilensteinen
Inventarisierung kritischer Assets
  • Aufnahme aller Informationswerte (Daten, Systeme, Prozesse) innerhalb des definierten Scopes
  • Einordnung der Assets nach geschäftlicher Bedeutung, Vertraulichkeit und Integrität
  • Dokumentation in Listen oder Vorlagen (z. B. Asset-Katalog nach Anhang A)
Erste Bedrohungsanalyse
  • Workshop: Gemeinsames Brainstorming möglicher Angreifer, Motive und Angriffsszenarien pro Asset (CI)
  • Erstellung einer initialen Bedrohungsliste, in der zu jedem Asset potenzielle Threats festgehalten werden
  • Abgleich mit bestehenden Richtlinien und Kontrollen, um erste Lücken zu identifizieren
  • Different entries for tenants, branches or companies
  • Control user access of each workspace
  • Share Assets between workspaces

WOCHE 2

Risikoidentifikation & Technische Schwachstellenanalyse

In Woche 2 verknüpfen wir potenzielle Bedrohungen mit konkreten Schwachstellen in Ihrer IT-Landschaft. Auf Basis technischer Analysen und strukturierter Bewertungen entsteht ein priorisiertes Risikobild – nachvollziehbar, transparent und ISO 27001-konform.
Show DetailsKontaktiere uns
Aktivität
Bedrohungs- und Schwachstellenverknüpfung
  • Vertiefter Workshop: Zusammenführung der Bedrohungsliste (Woche 1) mit bereits bekanntem Wissen über Schwachstellen
  • Erste qualitative Einschätzung von Eintritts-wahrscheinlichkeit und Auswirkung für jedes Risiko
Ggf. Technische Scans & Bestandsaufnahme (Optional)
  • Durchführung von Scans: Erkennung potenzieller Schwachstellen in Ihren öffentlich erreichbaren Systemen
  • Durchführung interner Scans: Netzwerk- und Host-Basisscans im definierten IT-Bereich
  • Konsolidierung aller Scan-Ergebnisse: Klassifizierung nach CVSS-Score oder vergleichbarer Kennzahl
  • Dokumentation in Listen oder Vorlagen (z. B. Asset-Katalog nach Anhang A)
Risiko Assessment
  • Auswertung der Scans in Kombination mit Bedrohungsszenarien
  • Quantitative oder semi-quantitative Bewertung der erkannten Risiken (Eintrittswahrscheinlichkeit × Schadensschwere)
  • Erstellung einer Risikomatrix: Visualisierung aller identifizierten Risiken nach Priorität
  • Erstellung eines nach ISO 27001-konformes Risk Register

WOCHE 3

Risikoregister & Behandlungsplan mit Roadmap

In Woche 3 wandeln wir Erkenntnisse in konkrete Maßnahmen um. Wir entwickeln einen ISO 27001‑konformen Risk‑Treatment‑Plan, erstellen eine umsetzbare Roadmap samt Ressourcenplanung und übergeben alle Ergebnisse auditfertig – inklusive Management‑Präsentation und klaren KPIs für den kontinuierlichen Erfolg.
Show DetailsKontaktiere uns
Aktivität
Erarbeitung des Risiko-behandlungsplans
  • Workshop: Festlegen technischer, organisatorischer und prozessualer Controls gemäß ISO 27001 Annex A
  • Unterscheidung in: Sofortmaßnahmen (Quick Wins), die kurzfristig umsetzbar sind, Mittelfristige und langfristige Maßnahmen, z. B. Prozessanpassungen, Tool-Einführungen oder Schulungsprogramme
Roadmap & Ressourcenplanung
  • Abschlussbewertung aller Risikoszenarien nach Risikotoleranzkriterien und Geschäftsrelevanz
  • Erstellung einer Maßnahmen-Roadmap, in der Verantwortlichkeiten, Zeitpläne und benötigte Budgets festgelegt werden
  • Definition von kritoschen Erfolgsfaktoren, inkl. Kennzahlen (KPIs) zur späteren Erfolgskontrolle (z. B. Reduktion offener Risiken, Erfüllungsgrad der Controls)
Zusammenführung & Dokumentation
  • Finalisierung des ISO 27001-konformen Risk Treatment Plans (inkl. Risiko-Scorecard und Maßnahmenliste)
  • Erstellung eines konsolidierten Risk & Threat Reports: Management-Zusammenfassung, detaillierte Risikoanalyse und Maßnahmenempfehlungen
  • Finalisierung aller Dokumente in auditfähiger Form
Abschlusspräsentation & Übergabe der Ergebnisse
  • Darstellung der Ergebnisse vor dem Management: Risikomatrix, Risk Register, Roadmap
  • Abstimmung, wie die erarbeiteten Inhalte in den laufenden ISMS-Betrieb überführt werden (z. B. Integration in Ihr ISMS-Tool)
  • Empfehlungsleitfaden für regelmäßige Reviews und kontinuierliche Verbesserung Deliverables am Sprint-Ende
  • ISO 27001:2022-konformes Risk Register
  • Konsolidierter Risk & Threat Report
  • Risikomatrix & Risiko-Scorecard
  • Maßnahmen-Roadmap / Risk Treatment Plan
  • Auditfähige Dokumentation (Excel, PDF, integrationsfähige Vorlagen)
Hinweise
Jeder Workshop wird professionell moderiert und dokumentiert, sodass alle Ergebnisse nachvollziehbar festgehalten werden.
  • Different entries for tenants, branches or companies
  • Control user access of each workspace
  • Share Assets between workspaces

OPTIONAL

Optional buchbare Leistungen

Für noch tiefere Einblicke bieten wir ergänzende Leistungen, die den Sprint datengestützt untermauern oder regulatorisch erweitern.
 Ob technische Scans, Datenanalysen oder zusätzliche Compliance-Anforderungen – diese Module machen Ihre Risikoanalyse noch fundierter und zukunftssicher.
Show DetailsKontaktiere uns
Aktivität
Technische Untermauerung der Risikoanalyse: Schwachstellenscans und Datenanalyse
Bei Bedarf ergänzen wir die manuelle Risikoanalyse durch automatisierte Schwachstellenscans Ihrer IT-Landschaft bzw. durch die Auswertung bereits vorhandener Informationen. Ziel ist es, potenzielle Verwundbarkeiten in Systemen und Anwendungen frühzeitig zu erkennen und fundierte technische Befunde für die Workshops zu liefern.

Moderne Schwachstellenscanner durchsuchen Ihre Systeme nach bekannten Sicherheitslücken und priorisieren diese nach ihrem Schweregrad.

Optional: Mit Microsoft Purview gewinnen Sie strukturierte Einblicke in Datenklassifizierungen, -flüsse sowie potenzielle Datenschutz- und Compliance-Risiken – für einen schnellen Überblick über Ihre Angriffsfläche und gezielte Maßnahmen an kritischen Stellen.

Die Ergebnisse fließen direkt in den Risk & Threat Report ein und ergänzen die Einschätzungen aus den Workshops um datengestützte Fakten
Erweiterbar auf weitere Compliance-Anforderungen
Auf Wunsch lässt sich der Threat Modelling & Risk Assessment Sprint um zusätzliche regulatorische Anforderungen erweitern – z. B. an den BSI IT-Grundschutz, die EU-Richtlinie NIS2, DORA oder andere relevante Standards u. a.

Leistungs- und Preisübersicht

Transparente Leistungen zum Festpreis – ohne versteckte Kosten.
 Unser Readiness Check liefert fundierte Ergebnisse für Ihre nächsten ISMS-Schritte.

Leistung
Preis (zzgl. MwSt.)
Threat Modelling & Risk Assessment Sprint (Pauschalpreis)
  • Kick-off & Vorbereitung
  • Moderierte Workshops
  • Konsolidierter Risk & Threat Report
  • Erstellung Risiko-Scorecard
  • Priorisierte Maßnahmen-Roadmap
  • ISO/IEC 27001:2022-konformes Risk Register(optional erweiterbar um BSI IT-Grundschutz & NIS2)
  • Ergebnislieferung als Excel & Integration in ISMS-Tool
Einmaliger Pauschalpreis
16.970 €
Zusätzliche Sprint-Tage
Vertiefende Workshops, Deep-Dives, Follow-Up
1.250 €/Personentag
Sicherheitsscan einer Anwendung
  • Analysen oder erweiterte Scan-Runs von Anwendungen
  • Erkennung und Priorisierung kritischer Schwachstellen
Pauschalpreis pro
Scan pro Anwendung
1.750 €
Regelmäßige Scans im Abo
  • Vier standardisierte Wiederholungsscans pro Jahr
  • Trendanalyse
Jährlicher Pauschalpreis
pro Anwendung
5.950 €
Pauschalpreis
Enthält Vorbereitung, Durchführung und Dokumentation des 15-tägigen Risiko-Assessment-Sprints nach ISO 27001.
Optionale Zusatztage
Weiterführende Analysen oder Workshops sind flexibel zum vereinbarten Tagessatz buchbar – für mehr Tiefe bei Bedarf.
Einzelscan
Umfasst vollständige Vorbereitung, Durchführung und Ergebnisbericht mit konkreten Empfehlungen.
Abo-Modell
Dauerhafte Überwachung Ihrer Anwendungen – ohne Einmalkosten und mit kontinuierlicher Transparenz.
Analyseumfang
Abhängig von der vereinbarten Sprintdauer.
Bereit, den nächsten Schritt zu gehen?
Jetzt direkt hier ein unverbindliches Strategiegespräch buchen.
Kontaktiere uns

Enjoy Security without complicating it.

© 2025 Secobo GmbH.  All rights reserved.

HomeKontaktImpressumRechtliche Hinweise