Zum Inhalt springen
DORA Art. 5/6 · MaRisk AT 4.3.1 · BSI 200-3 · ISO 27005 · EU AI Act 2024/1689

ICT-Risiken steuern – eine Methodik, ein Register, ein prüffähiger Bericht

Avalon Risikomanagement ist die zentrale Instanz für ICT- und Informationssicherheitsrisiken nach DORA (Art. 6 ff.) und führt sie aus allen relevanten Quellen in einem zentralen Register zusammen: asset-gebundene Brutto/Netto-Bewertung nach BSI 200-3 und ISO 27005, Vier-Augen-Freigabe nach DORA Art. 5 ohne Selbstfreigabe und ein Quartals-ICT-Risk-Report auf Knopfdruck – statt verteilter Tabellen. Die gesamtbankweite operationelle Risikosteuerung nach Basel II übernimmt das OpRisk-Modul.

Demo vereinbarenAlle Module ansehen
Im Kern

Drei Gründe für Avalon Risikomanagement

01

Ein Risiko, ein Prozess, eine Methodik – egal ob es aus ISMS-Lücken, dem Notfallmanagement, Vorfällen, Schwachstellen, dem Auslagerungsmanagement, der KI-Governance oder manueller Aufnahme stammt.

02

Vier-Augen-Freigabe je Score-Schwelle, ohne Selbstfreigabe – nachvollziehbar über ein manipulationssicher verkettetes Audit-Log (DORA Art. 6(4), MaRisk AT 4.3.1).

03

Quartals-ICT-Risk-Report als PDF und PowerPoint, mit KPIs, Vorquartals-Trend und Management-Narrativ – auf Gruppen- oder Einzelinstituts-Ebene.

Die Risiko-Sammelschiene

Acht Quellen, ein Register — eine Freigabe durch eine unabhängige Rolle

Risiken aus acht Quellen laufen in ein Register zusammen. Wer ein Risiko erfasst, kann es nicht selbst freigeben: Über der Score-Schwelle verlangt das Vier-Augen-Gate eine unabhängige Rolle — bis ein zweiter Freigeber zeichnet.

GEHALTEN — Ersteller = Freigeber → über der Schwelle zeichnet eine unabhängige Rolle (MaRisk AT 4.3.1 · DORA Art. 6(4))

OFFEN — zweiter Freigeber → Gate frei, Audit-Zeile verkettet, Q3-Report besiegelt

Belegt: ISO/IEC 27005 (Brutto/Netto, getrennter Behandlungs-Sign-Off) · DORA Art. 5 (Funktionstrennung, keine Selbstfreigabe) · DORA Art. 6 (dokumentiertes, mind. jährlich überprüftes ICT-Risikomanagement-Rahmenwerk) · MaRisk AT 4.3.1 (Freigabe-Workflow, lückenlos verkettetes Audit-Log). Unterstützt die Erfüllung; die Konformitätsverantwortung verbleibt beim Kunden.

Funktionsumfang

Was das Risikomanagement-Modul im Detail leistet

  • Alle Risikoquellen in einer Methodik

    Alle Risiken werden – unabhängig von ihrer Herkunft (ISMS, Notfall, Vorfälle, Schwachstellen, Auslagerungs- und KI-Governance oder manuell) – nach derselben Methodik bewertet und in einem zentralen Register geführt: eine vergleichbare Risikosicht statt parallel gepflegter Einzellisten.

  • Brutto/Netto nach BSI 200-3 und ISO 27005

    Asset-gebundene Risikoanalyse mit Brutto- und Netto-Bewertung je Bedrohung, methodikbasierten Likelihood-/Impact-Klassen und Scoring-Bändern aus einer versionierten Methodik. Sechs Behandlungsstrategien (mitigieren, akzeptieren, transferieren, vermeiden, zurückgestellt, in Prüfung) machen die Steuerung explizit.

  • Vier-Augen-Freigabe ohne Selbstfreigabe

    Eine konfigurierbare Policy ordnet jedem Netto-Score-Bucket die erforderliche Genehmiger-Rolle zu: über der Schwelle ein ICT-Risk-Manager, der Risk-Owner kann das eigene Risiko nicht selbst freigeben (Funktionstrennung nach MaRisk AT 4.3.1 und DORA Art. 6(4)).

  • Geführte Risikoerfassung in sechs Schritten

    Identität (Titel, Beschreibung, Asset) → Bedrohungen aus Katalog oder Individualgefährdung → Brutto-Bewertung → Maßnahmen aus dem Gap-Assessment des Assets → Netto-Bewertung → Owner und Freigabe. Jedes Risiko ist eine eigenständige Entität mit Titel, Owner und Status – nicht nur eine Menge von Bedrohungen.

  • Quartals-ICT-Risk-Report als PDF und PPTX

    Ein Bericht mit Executive-KPIs (Netto-/Brutto-Risiko in EUR, Schwellenüberschreitungen), Vorquartals-Trend, Kategorie-Übersicht und Top-10-Risiken – auf Gruppen-Ebene (mit Gesellschaftsvergleich) oder je Einzelinstitut, als PDF und PowerPoint.

  • Manipulationssicher verkettetes Audit-Log

    Jeder Schritt – von Anlegen und Einreichen über Freigeben und Behandlung bis Archivieren und Reaktivieren – wird in einem manipulationssicher verketteten Audit-Log mit Akteur-Auflösung festgehalten. Das adressiert die lückenlose Nachvollziehbarkeit nach MaRisk AT 4.3.1.

  • Methodik-Review-Zyklen und Akzeptanzschwellen

    Eine methodikbasierte Re-Review-Periode (Standard 12 Monate, konfigurierbar zwischen 6 und 36) belegt jedes Risiko mit einem Fälligkeitsdatum; Avalon erinnert die verantwortliche Person automatisch an die anstehende Re-Bewertung. Akzeptanzschwellen je Asset und Policy steuern, ab welchem Wert eine Freigabe nötig wird (DORA Art. 6(5)/(8)).

  • Externer Auditor-Zugang, zeitlich begrenzt und schreibgeschützt

    Für Prüfer lässt sich ein zeitlich begrenzter, schreibgeschützter Zugang erzeugen (Standard 90 Tage, optional auf einzelne Asset-Gruppen begrenzt). Der Zugang wird sicher gespeichert; der Prüfer sieht Audit-Trail und Auswertungen, kann aber nichts verändern.

  • Deterministische Auto-Akzeptanz – standardmäßig aus

    Risiken unterhalb der Akzeptanzschwelle können regelbasiert (ohne KI) als akzeptiert gesetzt werden – pro Mandant standardmäßig deaktiviert. Jede Auto-Akzeptanz erzeugt ein Audit-Ereignis mit Netto-Wert, Schwelle und Regel. Über der Schwelle bleibt der ICT-Risk-Manager Pflicht.

Regulatorik im Detail

Welche Rahmenwerke das Risikomanagement-Modul abbildet

  • DORA Art. 5/6
  • MaRisk AT 4.3.1
  • BSI 200-3
  • ISO 27005
  • EU AI Act 2024/1689
DORA (EU) 2022/2554 – Art. 5/6(4)
Governance des Leitungsorgans (Art. 5) und Funktionstrennung über eine unabhängige Kontrollfunktion (Art. 6(4)): Die Freigabe über der Score-Schwelle erfordert einen ICT-Risk-Manager, der Risk-Owner kann das eigene Risiko nicht selbst freigeben.
DORA (EU) 2022/2554 – Art. 6
Dokumentierte, nachvollziehbare Risiko-Identifikation und -Bewertung mit Methodik-Bindung; methodikbasierte Review-Zyklen (Standard 12 Monate) und per-Asset/Policy-Akzeptanzschwellen. Ein versioniertes, vom zuständigen Gremium genehmigtes ICT-Risk-Framework ist vorgesehen.
DORA (EU) 2022/2554 – Art. 17-19 (Incident-Reporting)
Schadensbeträge werden je Risiko erfasst. Der vollständige Incident-Lebenszyklus mit RTS-Klassifikation und Behörden-Export ist als eigenständiges Programm vorgesehen – heute extern dokumentiert, nicht als Vollabdeckung im Modul.
MaRisk AT 4.3.1 / AT 7.2
Definierter Status-Ablauf (Entwurf → in Prüfung → freigegeben) mit Funktionstrennung und lückenloser Nachvollziehbarkeit über das manipulationssicher verkettete Audit-Log (AT 4.3.1) sowie Asset-Bezug und Maßnahmen mit Owner und Frist (AT 7.2).
BSI IT-Grundschutz (BSI 200-3)
Die Risikoanalyse-Methodik – Brutto/Netto je Bedrohung, Behandlungsstrategien, Scoring-Bänder – folgt BSI 200-3 als Avalon-Standard.
ISO/IEC 27005
Risiko-Freigabe und Behandlungs-/Akzeptanz-Sign-Off sind als getrennte Konzepte abgebildet und in der Oberfläche klar voneinander getrennt.
EU AI Act 2024/1689
Die optionale Risiko-KI gilt in regulierten Mandanten regelmäßig als Hochrisiko-Anwendung (Annex III) und ist entsprechend mit Human-in-the-Loop, Abweisung von Abweichungen von der hinterlegten Methodik und vollständigem KI-Audit-Trail nach Art. 9-15 ausgelegt.

Avalon unterstützt die Umsetzung dieser Rahmenwerke. Die Konformität bleibt in der Verantwortung Ihrer Organisation.

KI-Plattform

KI als Berater, nie als Genehmiger

  • Human-in-the-Loop: jeder Vorschlag landet im Status „ausstehend“ und wird geprüft, übernommen, geändert oder abgelehnt – Ablehnung mit Pflichtbegründung.
  • Technisch erzwungene Grenze: KI-Funktionen können niemals selbst in Bewertungen oder Maßnahmen schreiben – die Letztentscheidung liegt immer beim Menschen.
  • Audit-Trail & Abweichungsschutz: jede KI-Aktion ist protokolliert; Vorschläge außerhalb Ihrer Methodik werden automatisch verworfen, auffällige Häufungen lösen einen Methodik-Review aus.
Wie KI mit Kontrolle bei Avalon funktioniert

Häufige Fragen zum Risikomanagement

Welche Risikoklassen werden abgedeckt?
Im Zentrum stehen ICT- und Informationssicherheitsrisiken nach DORA (Art. 6 ff.) – inklusive operationeller ICT-Risiken, regulatorischer und Drittparteirisiken mit ICT-Bezug. Bewertungslogik und Skalen sind an Ihre Methodik anpassbar. Die gesamtbankweite operationelle Risikosteuerung nach Basel II übernimmt das eigenständige OpRisk-Modul.
Wie sind Risiken mit Maßnahmen verbunden?
Maßnahmen werden Risiken direkt zugeordnet, mit Status, verantwortlicher Person und Termin. Wirksamkeit ist nachvollziehbar dokumentiert und wiederkehrend prüfbar.
Wie funktioniert das Reporting nach DORA?
Vorgefertigte Templates für ICT Risk Reports lassen sich auf Knopfdruck erzeugen – inklusive der DORA-relevanten Kennzahlen, Vergleichsperioden und Schwellwertüberwachung.
Können wir eigene Bewertungsskalen verwenden?
Ja. Skalen für Eintrittswahrscheinlichkeit und Schadensausmaß sind konfigurierbar und können über mehrere Gesellschaften hinweg vereinheitlicht werden.
Module

Welches Modul passt zu Ihrem nächsten Schritt?

Wir zeigen Ihnen Avalon entlang Ihrer aktuellen Fragestellung – konkret, in Ihrem Kontext, ohne Standard-Sales-Demo.

  • On-Premise
  • Human-in-the-Loop
  • EU-AI-Act-konform by Design
Kostenlosen Demo-Termin vereinbarenAngebot anfragen

On-Premise · Ihre Daten verlassen das Haus nicht