Help Center
News
Help Center
News
Sign in
Dokumentieren
Dokumente und RichtlinienFragebögenTechnische- und Organisatorische Massnahmen (TOMs)BerichteVerzeichnis der AssetsFrameworksVerzeichnis der Verarbeitungstätigkeiten (VVT)Verzeichnis der Verarbeitungstätigkeiten als Excel-Datei exportierenLieferantenFolgenabschätzungenDokumentation Ihres berechtigten InteressesMeetings und AktivitätenAufbewahrungs- und Löschfristen Datenerhebungspunkte (DEP)Dokumente zu Lieferanten hinzufügen
Datenschutz-Folgenabschätzung (DPIA)
Assessments
Verarbeitungstätigkeiten (ROPA)
Assets
Internationale Standards & Rahmenwerke
TOMs & Kontrollen
Kategorien & Attribute
Datenerhebungspunkte
Rechtsgrundlage
Berechtigtes Interesse
Dokumente & Richtlinien
Aufbewahrung & Löschung
Datenfluss
Lieferanten
Fragebögen
Verwalten
Prozessrisiko ÜbersichtData flow
Dashboards
KI-Unterstützung & Automatisierung
Projekte
Aufgaben
Besprechungen & Aktivitäten
Workflows & Automatisierungen
Berichte
Reagieren & Lösen
AufgabenProjekteEreignisse und VorfälleBetroffenenrechte
Risikoszenarien & Behandlungen
Vorfälle & Datenpannen
Versionshinweise
Q2 2026
Q1 2026
Q4 2025
Q3 2025
Q2 2025
Q1 2025
Q4 2024
Q3 2024
Q2 2024
Q1 2024
Q4 2023
Q3 2023
Q2 2023
Q1 2023
Q4 2022
Q3 2022
Erste Schritte
Anleitung zum EinstiegFragebögenAufgabenProzessrisiko ÜbersichtIT Einstellungen FrameworksDas Risikomodell für Informationssicherheit / AssetsBetroffenenrechteDownload von ElementenDokumentation Ihres berechtigten InteressesZugang von Gruppen auf ElementeDokumente und RichtlinienTechnische- und Organisatorische Massnahmen (TOMs)Compliance EinstellungenErstellen von passenden Attributen für Ihre BrancheDokumentenliste für das OnboardingDas DatenschutzrisikomodellEreignisse und VorfälleProjekteGruppenverwaltungDokumente zu Lieferanten hinzufügenAnleitung zum Beantworten von Assessments (Fragebögen)Einrichtung der ersten Organisation oder des ersten UnternehmensDatenerhebungspunkte (DEP)Elemente erstellen mittels AIRisko Modelle in Allgemeinen EinstellungenTeilen von ElementenWie kann ein Benutzer die Sprache ändern?Data flowVerzeichnis der Verarbeitungstätigkeiten (VVT)Time machineAssessments erstellen und auswerten Company Widget FeatureVerzeichnis der AssetsLieferantenFolgenabschätzungenOrganisatorische Einheiten erstellenVerzeichnis der Verarbeitungstätigkeiten als Excel-Datei exportierenMeetings und AktivitätenBegriffe der rechtmässigen VerarbeitungAufbewahrungs- und Löschfristen Anlegen von neuen Benutzer:innen und Ändern des Passworts für die AnmeldungBerichteDas ReifegradmodellHinzufügen von Risikoszenarien zu Assets oder Asset-GruppenRelevante RiskoszenarienÜbersicht der Priverion GRC PlattformDokumentenliste für das OnboardingWie kann ein Benutzer die Sprache ändern?Einrichtung der ersten Organisation oder des ersten UnternehmensErstellen von passenden Attributen für Ihre Branche
Benutzerkonto
Teilen und Gruppenfunktionen
Features
Anleitungen & Tipps
Unterstützung erhalten
Einstellungen
Allgemeine Einstellungen
Compliance-Einstellungen
Identitäts- und Zugriffsverwaltung
IT Einstellungen
Risiko Einstellungen

Das Risikomodell für Informationssicherheit / Assets

Compliance-Beauftragte, Risikomanager und Datenschutzbeauftragte nutzen das Risikomodell für Informationssicherheit / Assets, um festzulegen, wie DPMS für jeden Asset im System einen Risikowert berechnet – von der Eintrittswahrscheinlichkeits-Skala und den finanziellen Schadensschwellen bis hin zu den farbcodierten Risikokategorien, die auf jedem Asset-Datensatz erscheinen.

Bevor auf einem Asset ein Risikowert erscheinen kann, muss DPMS die zugrundeliegende Berechnung kennen. Genau dafür ist der Bereich Risikomodell für Informationssicherheit / Assets zuständig. Sie legen zwei Eingabe-Skalen fest – wie wahrscheinlich ist ein Vorfall und wie schwerwiegend wäre der Schaden –, wählen, ob diese beiden Werte addiert oder multipliziert werden, ordnen die entstehenden Punktzahlen lesbaren Kategorien wie „Minimal" oder „Kritisch" zu und bestimmen, ab welchem Grenzwert ein Asset als ausreichend geschützt gilt. Solange diese Konfiguration nicht abgeschlossen und aktiviert ist, bleiben die Risikospalten im Asset-Register leer, die Berechnung des Restrisikos nach der Verknüpfung von Maßnahmen ist nicht möglich, und die KI-gestützte Risikovorschlagsfunktion auf den Asset-Detailseiten hat kein Modell zur Verfügung. Es handelt sich damit um einen der grundlegendsten Einrichtungsschritte im gesamten System.

Wo Sie den Bereich finden

Klicken Sie in der Hauptnavigation auf Einstellungen → öffnen Sie die Gruppe Standards → klicken Sie auf Modelle konfigurieren. Die angezeigte Seite ist die Indexansicht des Risikomodells für Informationssicherheit / Assets.

Sie benötigen mindestens die Berechtigung Risikoeinstellungen – Lesen, um diese Seite aufzurufen. Um Änderungen vorzunehmen, brauchen Sie zusätzlich die Berechtigung Asset-Risiko – Bearbeiten. Haben Sie nur Lesezugriff, ist alles sichtbar, aber die Schaltfläche Bearbeiten ist ausgegraut und zeigt beim Hovern einen Hinweis auf die fehlende Berechtigung.

Was Sie auf dem Bildschirm sehen

Die Seite gliedert sich in eine schmale Compliance-Einstellungen-Seitenleiste links und einen breiten Inhaltsbereich rechts. Die Seitenleiste hebt Ihre aktuelle Position hervor: Standards → Modelle konfigurieren.

Am oberen Rand des Inhaltsbereichs befindet sich eine Pill-Toolbar mit zwei Auswahlfeldern nebeneinander: Standard (z. B. „ISO 27001") und Modell („ADDITIV" oder „MULTIPLIKATIV"). Rechts daneben zeigt eine Statuspille den Aktivierungszustand an – apfelgrün mit der Aufschrift AKTIV, wenn das Modell aktiv ist, oder hellblau mit AKTIVIEREN, wenn das Modell vorhanden, aber noch nicht eingeschaltet ist. Neben dem Modelltitel befindet sich ein Stift-Symbol Bearbeiten, das das vollständige Konfigurationsformular öffnet.

Unterhalb der Toolbar zeigt der Hauptbereich drei schreibgeschützte Informationsbereiche: eine Wahrscheinlichkeitstabelle mit allen Wahrscheinlichkeitsstufen (Bezeichnung, Häufigkeits-Tag, numerischer Gewichtungswert), eine Schadenstabelle mit den finanziellen Schadensbändern und ihren Schwellenwerten sowie zwei horizontale Schieberegler – einen mehrfarbigen für die Risikokategoriengrenzen und einen einzelnen Schieberegler für den Minderungsschwellenwert.

So arbeiten Sie mit diesem Bereich

Risikomodell zum ersten Mal einrichten

Wenn Sie DPMS neu konfigurieren, zeigt die Statuspille AKTIVIEREN und beide Tabellen sind leer. Arbeiten Sie die folgenden Schritte der Reihe nach durch:

  • Bearbeitungsformular öffnen. Klicken Sie auf das Stift-Symbol Bearbeiten in der Titelleiste. Sie gelangen zum Konfigurationsformular unter /risk/settings/asset/edit/{id}.
  • Wahrscheinlichkeitsskala aufbauen. Das Formular öffnet sich mit einer leeren Zeile unter Eintrittshäufigkeit / Wahrscheinlichkeit. Geben Sie eine Bezeichnung ein, z. B. „Sehr unwahrscheinlich", wählen Sie die passende Häufigkeit aus dem Dropdown-Menü (verknüpft mit Ihren Compliance-Tags) und tragen Sie einen numerischen Gewichtungswert ein, z. B. 1. Sobald alle drei Felder ausgefüllt sind, erscheint ein +-Symbol; klicken Sie darauf, um die nächste Stufe hinzuzufügen. Eine typische fünfstufige Skala reicht von „Sehr unwahrscheinlich = 1" bis „Fast sicher = 5". Mit dem ×-Symbol entfernen Sie eine Zeile. Beachten Sie: Bei der multiplikativen Formel sind keine Nullwerte erlaubt.
  • Währung wählen und Schadensskala aufbauen. Wählen Sie die Währung, in der Ihre Organisation finanzielle Schwellenwerte ausdrückt (z. B. EUR). Füllen Sie anschließend die Zeilen unter Schadenshöhe aus – jede Zeile benötigt eine Bezeichnung (z. B. „Vernachlässigbar"), einen monetären Höchstwert (z. B. 10.000) und einen numerischen Gewichtungswert. Während Sie Beträge eintragen, aktualisiert sich ein kleines Balkendiagramm unterhalb der Zeilen und zeigt das Verhältnis der Bänder zueinander. Die oberste Schadenszeile zeigt stets „Über [Ihrem Maximalwert]" und kann nicht gelöscht werden.
  • Risikokategorien festlegen. Falls noch keine Kategorien definiert wurden, erscheint unterhalb des Formulars eine Schaltfläche Festlegen. Klicken Sie darauf – Sie gelangen auf eine kurze Einrichtungsseite, auf der Sie die Anzahl der Kategorien wählen (z. B. fünf: Minimal, Reduziert, Durchschnittlich, Erhöht, Kritisch). Speichern Sie dort und das System führt Sie zurück zum Bearbeitungsformular.
  • Kategorien benennen und einfärben. Tragen Sie in die erschienenen Textfelder die Bezeichnungen für jede Kategorie ein. Nutzen Sie den Sprachtoggle oberhalb der Liste, um Übersetzungen für weitere aktive Sprachen Ihrer Organisation einzugeben. Jede Kategoriezeile hat rechts ein Farbkreis-Symbol; klicken Sie darauf, um die Farbe anzupassen, die auf den Asset-Badges erscheint.
  • Schwellenschieberegler einstellen. Sobald Kategorien und Skalenwerte vorhanden sind, wird der farbcodierte Kategorien und Schwellenwerte-Schieberegler aktiv. Ziehen Sie die Grenzmarkierungen zwischen den Farbbändern, um die Punktzahlbereiche für jede Kategorie festzulegen – beispielsweise 2–4 = Minimal, 5–7 = Reduziert usw.
  • Minderungsschwellenwert festlegen. Unterhalb des Kategorienreglers befindet sich ein einfacher Einthumb-Schieberegler mit der Beschriftung Schwellenwert. Ziehen Sie ihn auf den Punktzahlwert, unterhalb dessen ein Risiko als ausreichend durch verknüpfte Maßnahmen gemindert gilt. Ein höherer Wert ist konservativer; ein niedrigerer ist permissiver.
  • Modell aktivieren. Klicken Sie auf die Pill AKTIVIEREN. Sie wird grün. Klicken Sie dann auf Speichern. Eine Erfolgsbestätigung erscheint und Sie kehren zur Indexansicht zurück, auf der die Pill nun AKTIV anzeigt.

Zwischen Standards und Formeltypen wechseln

Wenn Ihre Organisation mehrere internationale Standards aktiviert hat (z. B. ISO 27001 und DSGVO), kann jeder Standard ein eigenes, unabhängiges Risikomodell haben. Nutzen Sie das Standard-Dropdown in der Pill-Toolbar, um zwischen ihnen zu wechseln – Wahrscheinlichkeitstabelle, Schadenstabelle und Schieberegler aktualisieren sich sofort, ohne dass etwas gespeichert wird. So können Sie Einstellungen vergleichen oder vor einem Audit überprüfen, ob alle Modelle vollständig konfiguriert sind.

Das Modell-Dropdown lässt Sie zwischen Additiv (Wahrscheinlichkeit + Schaden) und Multiplikativ (Wahrscheinlichkeit × Schaden) wechseln. Additiv ist bei ISO 27001 am gebräuchlichsten. Das multiplikative Modell verstärkt die kombinierten Werte für Ereignisse mit hoher Wahrscheinlichkeit und großem Schadensausmaß deutlich stärker – manche Organisationen bevorzugen dies. Beachten Sie: Bei Datenschutz-Risikomodellen, die nicht der DSGVO zugeordnet sind, ist die multiplikative Option automatisch deaktiviert.

Beide Dropdowns speichern in der Indexansicht nichts – sie dienen ausschließlich der Ansicht.

Modell als Prüfer/Auditierenden einsehen

Haben Sie Lesezugriff, aber keine Bearbeitungsberechtigung, können Sie mit den Dropdowns Standard und Modell dennoch jedes konfigurierte Modell vollständig einsehen – Wahrscheinlichkeitsskalen, Schadensschwellen, Kategoriedefinitionen, Schwellenwertpositionen und den Minderungsschwellenwert. Die Bearbeiten-Schaltfläche ist sichtbar, aber deaktiviert und zeigt beim Hovern einen Hinweis auf die fehlende Berechtigung. Diese Ansicht ist typisch für Auditoren und lesende Datenschutzbeauftragte, die die Risikosystematik dokumentieren.

Neuen internationalen Standard hinzufügen

Damit ein neuer Standard im Standard-Dropdown verfügbar wird, navigieren Sie zum Unterabschnitt Aktive Standards in derselben Compliance-Einstellungen-Seitenleiste. Klicken Sie dort auf Bearbeiten und fügen Sie den Standard (z. B. NIS2) aus der Mehrfachauswahl-Liste hinzu, dann speichern. Nach dem Speichern erscheint der neue Standard im Dropdown auf der Seite „Modelle konfigurieren" und Sie können durch Klicken auf Bearbeiten ein Risikomodell dafür anlegen.

Feldreferenz

Bezeichnung Wahrscheinlichkeit — Kurzname für jede Wahrscheinlichkeitsstufe (z. B. „Sehr unwahrscheinlich"). Pflichtfeld. Unterstützt mehrsprachige Eingabe. Darf nicht leer oder nur aus Leerzeichen bestehen.

Häufigkeits-Tag — Eine Häufigkeitsbeschreibung aus Ihrer Compliance-Tag-Bibliothek (Typ: Eintrittshäufigkeit/Wahrscheinlichkeit). Pflichtfeld pro Zeile; verknüpft diese Wahrscheinlichkeitsstufe mit einem standardisierten Häufigkeitskonzept.

Numerischer Wert (Wahrscheinlichkeit) — Eine positive Zahl, die das Gewicht dieser Stufe in der Formel darstellt. Muss größer als null sein; im multiplikativen Modell wird der Wert null explizit abgelehnt. Maximum: 9.999.999.999.999.

Bezeichnung Schadenshöhe — Kurzname für jedes Schadensniveau (z. B. „Katastrophal"). Pflichtfeld. Unterstützt mehrsprachige Eingabe.

Monetärer Schwellenwert (Schaden) — Die Währungsobergrenze für dieses Band (z. B. 100.000 EUR). Das höchste Band zeigt immer „Über" dem eingetragenen Maximalwert und kann nicht manuell bearbeitet werden. Pflichtfeld; muss eine positive Zahl sein.

Numerischer Wert (Schaden) — Das Gewicht dieses Schadensbandes in der Formel. Gleiche Validierungsregeln wie für Wahrscheinlichkeitswerte.

Währung — Die Währung, in der alle monetären Schwellenwerte interpretiert werden. Standardwert: EUR. Ändern Sie dies, wenn die finanziellen Schwellen Ihrer Organisation in einer anderen Währung ausgedrückt sind.

Kategoriebezeichnungen — Je ein Textfeld pro Risikokategorie (z. B. „Minimal" bis „Kritisch"). Pflichtfeld, bevor das Modell aktiviert werden kann. Unterstützt mehrsprachige Eingabe.

Kategorien und Schwellenwerte (Schieberegler) — Ziehen Sie die Grenzmarkierungen, um die Punktzahlbereiche für jede Kategorie festzulegen. Der Schieberegler erscheint nur, wenn der kombinierte Punktzahlbereich (Maximum minus Minimum) breit genug ist, um alle Kategorien aufzunehmen.

Minderungsschwellenwert — Der Punktzahlwert, unterhalb dessen ein Restrisiko als gemindert gilt. Ziehen Sie den einzelnen Thumb auf den gewünschten Wert. Wenn Sie die Skalenwerte nachträglich ändern und der zuvor gespeicherte Schwellenwert außerhalb des neuen Bereichs liegt, wird er still auf den nächstgelegenen gültigen Wert begrenzt – prüfen Sie die Position des Thumbs nach jeder Änderung der Skalenwerte.

Verbindung zu anderen Bereichen in DPMS

Alles, was Sie hier konfigurieren, wirkt sich direkt auf das Asset-Register und die einzelnen Asset-Datensätze aus. Sobald das Modell auf AKTIV gesetzt ist:

  • Die Felder Eintrittswahrscheinlichkeit, Auswirkung, Inhärenter Risikowert, Restrisikobewertung und das Risikostufe-Badge auf jeder Asset-Detailseite werden anhand der Skalen und Kategoriengrenzen dieses Modells berechnet.
  • Der Tab Maßnahmen / TOMs auf jedem Asset nutzt den hier festgelegten Minderungsschwellenwert, um zu ermitteln, ob das Restrisiko – nach Anwendung aktiver Maßnahmen – unter der „ausreichend gemindert"-Linie liegt.
  • Der Risikostufe-Filter im Asset-Register-Index liest seine Kategoriebezeichnungen direkt aus diesem Modell. Sind Kategorien nicht benannt, zeigt der Filter leere Werte.
  • Die KI-gestützte Risikovorschlagsfunktion auf Asset-Detailseiten verwendet die Kategorien und Schwellenwerte dieses Modells, um Wahrscheinlichkeits- und Schadenseinschätzungen vorzuschlagen. Ohne aktives Modell können keine Vorschläge generiert werden.
  • Jede auf diesem Bildschirm gespeicherte Änderung – verschobene Schwellen, umbenannte Kategorien, Modelltypwechsel – wird im Aktivitätsprotokoll festgehalten, das über das Uhren-Symbol auf Objekt-Detailseiten zugänglich ist. So können Auditoren genau nachvollziehen, wann sich die Risikosystematik geändert hat und welche Auswirkungen das auf die Bewertungen hatte.

Nach dem Abschluss dieser Konfiguration empfiehlt es sich, einige Asset-Datensätze zu öffnen und zu prüfen, ob die Risikobewertungen und Badges korrekt angezeigt werden. Falls Werte fehlen, überprüfen Sie, ob die Statuspille auf AKTIV (grün) steht und ob dem jeweiligen Asset Wahrscheinlichkeits- und Schadenswerte zugewiesen wurden.

Tipps und häufige Stolpersteine

Achtung: Das Modell lässt sich erst aktivieren, wenn Risikokategorien definiert und der Schwellenschieberegler gültig ist. Klicken Sie zu früh auf AKTIVIEREN, passiert schlicht nichts. Achten Sie auf die Festlegen-Aufforderung und die Warnmeldung beim Schieberegler – sie zeigen Ihnen, dass die Einrichtung noch nicht vollständig ist.
Tipp: Im multiplikativen Modus darf kein Wahrscheinlichkeits- oder Schadenswert null sein. Wenn Sie beim Speichern eine rote Fehlermeldung erhalten, überprüfen Sie alle Zeilen manuell auf Nullwerte – das betreffende Feld wird nicht farblich hervorgehoben.
  • Nicht gespeicherte Eingaben gehen verloren, wenn Sie zu „Kategorien festlegen" navigieren. Wenn Sie bereits Wahrscheinlichkeits- oder Schadenswerte eingegeben haben und dann auf Festlegen klicken, erscheint eine Bestätigungsaufforderung. Lesen Sie diese sorgfältig und klicken Sie auf Bestätigen, um fortzufahren. Ein Klick neben die Meldung schließt sie, ohne zu navigieren – Sie müssen dann erneut auf Festlegen klicken.
  • Das Schadens-Balkendiagramm bleibt leer, bis Sie in der ersten Schadenszeile einen Betrag größer null eingeben. Falls der Diagrammbereich während der Einrichtung leer aussieht, ist das normal – tragen Sie Ihren ersten Betrag ein und das Diagramm erscheint.
  • Prüfen Sie den Minderungsschwellenwert immer erneut, nachdem Sie Skalenwerte geändert haben. Wenn Sie die Anzahl der Wahrscheinlichkeits- oder Schadensstufen verringern, sinkt die maximal mögliche Punktzahl. Der Schieberegler passt den Schwellenwert still an den neuen Maximalwert an – prüfen Sie die Thumbposition und speichern Sie ggf. erneut.
Tipp: Wenn Sie mehrere internationale Standards nutzen (ISO 27001, DSGVO, NIS2), benötigt jeder Standard eine vollständige eigene Modellkonfiguration – mit separaten Wahrscheinlichkeitsskalen, Schadenstabellen, Kategorien und Schwellenwerten. Wechseln Sie über das Standard-Dropdown zwischen den Modellen, um sicherzustellen, dass keines davon unkonfiguriert bleibt.
  • Ein laufender Hintergrund-Neuberechnungsjob blockiert das Speichern. Gelegentlich führt DPMS eine Hintergrundberechnung aller Asset-Risikowerte durch (z. B. nach einem Massenimport). Während dieser Zeit ist die Speichern-Schaltfläche im Bearbeitungsformular gesperrt und eine erklärende Meldung wird angezeigt. Warten Sie, bis der Job abgeschlossen ist, bevor Sie weitere Änderungen vornehmen.


Was this article helpful?

German
Powered by Product Fruits