Wie bewerte und behandle ich ein Risiko?
Kurzantwort
Abschnitt betitelt „Kurzantwort“Öffne Compliance → Risiken, klicke auf „Neues Risiko”, wähle das betroffene Asset, setze die Risikostufe (Niedrig, Mittel, Hoch, Kritisch) und bewerte Eintrittswahrscheinlichkeit und Auswirkung je auf einer Skala von 1 bis 5. Die Behandlung dokumentierst du über die Felder Maßnahme, Prüfdatum und Prüfer und schreibst sie später per Aktualisierung fort.
Voraussetzungen
Abschnitt betitelt „Voraussetzungen“Compliance ist ein Pro-Feature. Zusätzlich brauchst du ein bereits angelegtes Asset, denn jede Risikobewertung verweist über die Asset-ID auf ein konkretes Asset.
Anleitung
Abschnitt betitelt „Anleitung“-
Reiter „Risiken” öffnen. Wechsle im Modul Compliance auf den Reiter Risiken und klicke auf „Neues Risiko”.
Screenshot ausstehendcompliance-risiko-01Liste der Risikobewertungen mit Schaltfläche 'Neues Risiko'Die Risiko-Liste mit der Schaltfläche zum Anlegen. -
Bewertung erfassen. Fülle die Felder aus:
- Asset-ID: das betroffene Asset (UUID des zugehörigen Assets).
- Risikostufe:
Niedrig,Mittel,HochoderKritisch. - Eintrittswahrscheinlichkeit (1 bis 5) und Auswirkung (1 bis 5), die beiden Achsen der Risikomatrix.
- Optional zur Behandlung: Maßnahme (die geplante Gegenmaßnahme), Prüfdatum (wann das Risiko erneut geprüft wird) und Prüfer-ID.
Screenshot ausstehendcompliance-risiko-02Formular 'Neues Risiko' mit Asset-ID, Risikostufe, Eintrittswahrscheinlichkeit, Auswirkung und MaßnahmeDas Risiko-Formular. Pflicht sind Asset, Risikostufe, Wahrscheinlichkeit und Auswirkung. -
Speichern und behandeln. Nach dem Speichern erscheint die Bewertung in der Liste. Zur Behandlung aktualisierst du das Risiko später: ergänze die Maßnahme, setze ein Prüfdatum oder passe die Risikostufe an, wenn Gegenmaßnahmen greifen.
Ein Risiko anlegen: POST auf /api/v1/compliance/risks. Pflicht sind asset_id,
risk_level, likelihood und impact. Erlaubte risk_level-Werte: low, medium,
high, critical. likelihood und impact liegen jeweils zwischen 1 und 5.
curl -X POST https://demo.notory.io/api/v1/compliance/risks \ -H "Authorization: Bearer inv_dein_token" \ -H "Content-Type: application/json" \ -d '{ "asset_id": "a2f1c9e4-7b3d-4a11-9c2e-8f6b1d0a7e55", "risk_level": "high", "likelihood": 3, "impact": 4, "mitigation": "Festplatte verschlüsseln, MDM-Enrollment erzwingen.", "review_date": "2026-10-01", "reviewer_id": "b7c3f2a1-9d0e-4c33-a5b6-7e8f9a0b1c2d" }'Antwort HTTP 201 Created:
{ "id": "018f7c31-88a2-7bd1-9c04-5e6f7a8b9c0d", "tenant_id": "3d9b0c12-4e5a-4f88-b1c7-2a9e6d4f0011", "asset_id": "a2f1c9e4-7b3d-4a11-9c2e-8f6b1d0a7e55", "risk_level": "high", "likelihood": 3, "impact": 4, "mitigation": "Festplatte verschlüsseln, MDM-Enrollment erzwingen.", "review_date": "2026-10-01", "reviewer_id": "b7c3f2a1-9d0e-4c33-a5b6-7e8f9a0b1c2d", "created_at": "2026-07-08T09:25:00Z", "updated_at": "2026-07-08T09:25:00Z"}Die Behandlung fortschreiben, z. B. Risikostufe senken, nachdem Maßnahmen greifen,
per PUT:
curl -X PUT https://demo.notory.io/api/v1/compliance/risks/018f7c31-88a2-7bd1-9c04-5e6f7a8b9c0d \ -H "Authorization: Bearer inv_dein_token" \ -H "Content-Type: application/json" \ -d '{ "risk_level": "medium", "review_date": "2027-01-15" }'Mögliche Fehler: 401 (Token fehlt/ungültig), 403 (kein Schreibrecht oder
Compliance nicht im Tarif), 404 (Risiko nicht gefunden), 422 (Validierung, z. B.
likelihood außerhalb von 1 bis 5 oder unbekannte risk_level).
Was passiert dabei?
Abschnitt betitelt „Was passiert dabei?“- Skalen 1 bis 5:
likelihood(Eintrittswahrscheinlichkeit) undimpact(Auswirkung) müssen im Bereich 1 bis 5 liegen. Sie spannen die Risikomatrix auf. Werte außerhalb ergeben 422. - Risikostufe wird gesetzt, nicht berechnet: Notory speichert
risk_level,likelihoodundimpactunabhängig voneinander. Die Stufe wählst du bewusst. Sie wird nicht automatisch aus Wahrscheinlichkeit × Auswirkung abgeleitet. - Asset-Bindung:
asset_idverweist auf ein Asset deines Mandanten. Wird das Asset gelöscht, entfällt die zugehörige Bewertung mit (Datenbank-Kaskade). - Prüfzyklus: Prüfdatum und Prüfer dokumentieren die wiederkehrende Überprüfung, nützlich, um fällige Reviews zu finden (siehe Compliance-Status).
- Audit-Trail & Isolation: Ersteller/Bearbeiter mit Zeitstempel; strikt an deinen Mandanten gebunden.
Verwandte Themen
Abschnitt betitelt „Verwandte Themen“- Was deckt das Compliance-Modul ab?
- Richtlinie erfassen & bewerten
- Compliance-Status im Blick behalten
- Assets: Übersicht (hier findest du die Asset-ID)