ID,Risikotitel,Beschreibung,Asset / Prozess,Bedrohung,Schwachstelle,Eigentümer,Eintrittswahrscheinlichkeit (1-5),Auswirkung Finanziell,Auswirkung Operativ,Auswirkung Reputation,Auswirkung Recht/Regulierung,Auswirkung Personen/Sicherheit,Maximale Auswirkung,Inhärenter Wert,Inhärentes Risikolevel,Vorhandene Kontrollen,Restwahrscheinlichkeit,Restmaximale Auswirkung,Restrisikowert,Restrisikolevel,Behandlungsentscheidung,Status
R-001,Ransomware auf Fileservern,Angreifer verschlüsseln zentralen Fileshare und Backup-Shares über kompromittiertes Admin-Konto,Fileserver FS-01 + zentraler SMB-Share,Ransomware,"Flaches Admin-Netz, geteilte Backup-Zugangsdaten",IT-Betriebsleitung,4,5,5,5,4,1,5,20,Kritisch,"EDR, MFA für Admin-Konten, Offline-Backups, Netzsegmentierung teilweise",2,4,8,Mittel,Mindern,Offen
R-002,Phishing mit Zugangsdatenkompromittierung,Mitarbeitende geben Zugangsdaten auf geklonter M365-Anmeldeseite ein,Alle Benutzerkonten,Phishing,"Awareness-Lücke, keine phishing-resistente MFA",ISB,4,4,3,4,3,1,4,16,Kritisch,"Mailfilter, Awareness-Training, Phishing-Simulationen, MFA (TOTP)",3,3,9,Mittel,Mindern,Offen
R-003,Insider-Datenabfluss über private E-Mail,Ausscheidende Mitarbeitende senden Kundenliste an private Gmail-Adresse,Kundendatenbank,Böswilliger Insider,"Schwacher DLP für ausgehende E-Mails, breiter CRM-Zugriff",HR-Leitung,2,3,2,4,4,1,4,8,Mittel,"Geheimhaltungsvereinbarung, rollenbasierte Zugriffskontrolle, Leaver-Prozess",2,3,6,Mittel,Mindern,Offen
R-004,Lieferantenausfall betrifft Logistikportal,Kritischer SaaS-Anbieter erleidet 8-h-Ausfall in Spitzenzeit,Logistikportal (SaaS),Lieferantenausfall,"Einziger Anbieter, kein Fallback-Prozess",IT-Betriebsleitung,3,4,4,3,2,1,4,12,Hoch,"SLA, Vorfallmonitoring, manuelle Fallback-Checkliste",3,3,9,Mittel,Mit Monitoring akzeptieren,Offen
R-005,DSGVO-Verletzung durch fehlkonfigurierten S3-Bucket,Öffentlicher Bucket legt 2000 Kundendatensätze offen,Marketing-Bucket s3://nwl-marketing,Fehlkonfiguration,"Kein IaC-Review, kein geplantes Bucket-Audit",DSB,3,3,2,5,5,1,5,15,Hoch,"Quartalsweises Konfig-Audit, Bucket-Policy-Vorlage",2,4,8,Mittel,Mindern,In Behandlung
R-006,Verlust historischer Marketing-Assets durch lokales Hardware-Versagen,Alte Kampagnen-Creatives auf einer einzelnen Workstation gehen bei Festplattendefekt verloren,Marketing-Workstation MW-07,Hardware-Ausfall,Keine automatisierte Sicherung des lokalen Creative-Ordners,Marketingleitung,2,2,1,2,1,1,2,4,Niedrig,Dateien älter als 12 Monate sind nicht geschäftskritisch und können neu erstellt oder bei Agenturpartnern wiederbeschafft werden,2,2,4,Niedrig,Akzeptieren,Akzeptiert
R-007,Speicherung von Kreditkartendaten im eigenen ERP,Speicherung vollständiger PANs im ERP würde das Unternehmen in den PCI-DSS-Scope bringen und hohe regulatorische sowie reputative Exposition erzeugen,ERP (AST-007),Unbefugte Offenlegung von Karteninhaberdaten,Keine Tokenisierung; keine PCI-konforme Segmentierung,CFO,3,5,2,5,5,1,5,15,Hoch,N/A — Risiko durch Design eliminiert,1,1,1,Niedrig,Vermeiden,"Vermieden — Zahlungsabwicklung an PCI-DSS-Level-1-Anbieter (Stripe) ausgelagert, PANs berühren eigene Systeme zu keinem Zeitpunkt"