Enterprise Risk Management Platform

Risiken kennen.
Sicherheit gestalten.

RiskRiver vereint Risikomanagement, Compliance, Datenschutz und BCM in einer intelligenten Plattform: Swiss-hosted, DSGVO-konform, vollständig integriert.

App starten
SSO & Rollenrechte
Audit-Log & Nachvollziehbarkeit
Cross-Modul-Graph
Share-Portal & Fragebögen
Dashboard
3 Kritisch
9 Total
Kritisch
3Kritische Risiken
Hoch
2Hohe Risiken
Offen
14Offene Massnahmen
68%
68%Erfüllungsgrad
Top Risiken
Alle →
IDRisikoScore%
R-001Datenverlust durch Cyberangriff25
30%
R-002Ausfall kritischer IT-Systeme20
55%
R-003Ransomware-Befall20
40%
R-005Lieferantenausfall (Single Source)16
38%
R-004Compliance-Verstoss DSGVO15
70%
Offene Massnahmen
Alle →
IDMassnahmeFälligStatus
M-012MFA für alle Admin-Konten⚠ 12.03.2026Überfällig
M-018Backup-Konzept überarbeiten28.04.2026Aktiv
M-023Phishing-Awareness-Training15.05.2026Offen
M-027Netzwerk-Segmentierung30.05.2026Aktiv
Brutto vs. Residual
Brutto
9Total
Kritisch
Hoch
Mittel
Tief
Residual
9Total
Handlungsbedarf
4 Einträge benötigen Ihre Aufmerksamkeit
Krisenfall P-004 Online-Shop Ausfall Seit 2d
Massnahme M-012 MFA für Admin-Konten Seit 35d
Risiko R-003 Ransomware-Befall: Review überfällig Seit 8d
Lieferant S-007 Cloud-Provider: Assessment fällig Seit 14d
Risikomanagement & Heatmap
Lieferantenmanagement
Datenschutz & DPIA
BCM & Business Continuity
ISMS & Frameworks
Zahlen die überzeugen

Eine Plattform.
Vollständiger Überblick.

8+
Integrierte Compliance-Frameworks
360°
Risiko- & Bedrohungsanalyse
100%
Swiss Hosted
Nutzerrollen & Rechte
Risikomanagement

Risk Register & interaktive Risiko-Heatmap

Ungesteuerte Risiken kosten Geld, Reputation und im Ernstfall die Betriebsfähigkeit. Wer Risiken nicht kennt, kann sie nicht priorisieren und nicht wirksam adressieren. Ein strukturiertes Risikomanagement schafft Transparenz, macht Entscheidungen nachvollziehbar und ist die Grundlage jeder ernstgemeinten Compliance.

Konfigurierbare Risikomatrix (Standard 5×5)
Brutto- & Residualbewertung
Massnahmen mit Fälligkeiten & Fortschritt
Verknüpfung zu Assets, Bedrohungen & Lieferanten
Risiko-Sharing für Team-Bearbeitung
Kommentare, Favoriten & Aktivitätsverlauf
Owner, Kategorien & Statusmodelle
Änderungshistorie & CSV-Export
Risiko-Heatmap
3 Kritisch
9 Total
Brutto Residual
← Schadensausmass →
Alle Risiken
Vernetzung & Analyse

Interaktive Vernetzungsansicht

In Excel-Listen bleiben Zusammenhänge unsichtbar. Dabei entstehen die grössten Risiken genau dort, wo mehrere Abhängigkeiten zusammentreffen: ein ausgefallener Lieferant, der einen kritischen Prozess blockiert, eine fehlende Massnahme, die gleich mehrere Risiken offen lässt. Die Vernetzungsansicht macht diese Zusammenhänge auf einen Blick sichtbar und hilft, die richtigen Schwerpunkte zu setzen.

Alle Objekte und ihre Beziehungen auf einer Fläche
Risiken, Massnahmen, Assets, Bedrohungen & Lieferanten
Filter pro Objekttyp mit einem Klick
Suche & Fokus auf einzelne Knoten
Zoom, Verschieben & Vollbildansicht
Klick auf Knoten öffnet Details
Vernetzungsansicht
14 Knoten
18 Kanten
Risiken (3) Massnahmen (3) Assets (4) Bedrohungen (2) Lieferanten (2)
⚠️ Datenverlust durch Cyberangriff R-001 ⚠️ Ausfall kritischer IT-Systeme R-002 🛡️ MFA Admin-Konten M-012 · 30% 🛡️ Backup-Konzept M-018 · 55% 🛡️ Phishing-Training M-023 · 65% 🖥️ Kundendatenbank A-003 💻 Laptop-Flotte A-008 🖥️ Produktions-Server A-001 ☁️ Cloud-Storage A-012 🕵️ Phishing-Kampagne T-004 · Hoch 🕵️ Ransomware T-007 · Kritisch 🏢 Cloud-Provider AG S-007 🏢 Rechenzentrum Zürich S-011
Notfall- und Krisenvorsorge

BCM Recovery-Topologie

Ein Ausfall kritischer Prozesse trifft meist nicht die IT, sondern zuerst Umsatz, Kunden und Aufsichtsbehörden. Trotzdem liegen Notfallpläne oft in statischen Dokumenten, die niemand mehr findet, wenn sie gebraucht werden. Business Continuity Management sorgt dafür, dass Sie die kritischen Prozesse kennen, die Wiederanlaufzeiten realistisch einschätzen und im Ernstfall wissen, wer was zu tun hat.

Prozesse mit RTO, RPO, MTPD & MBCO
BIA-Erhebung durch den Prozess-Owner
Recovery-Topologie: Prozess → Ressourcen → Assets
Fallback-Strategien pro Ressource
Incidents mit Timeline & ergriffenen Massnahmen
Öffentliches Lagebild für Stakeholder & Kunden
BCM-Cockpit mit Status, Tests & Kritikalitäten
BCM · Recovery-Topologie
● Live
Wiederanlaufkette · Prozess → Ressourcen / Technik → Assets
Prozess Ressource Lieferant Technik Asset Fallback
Prozess
Ressourcen3
Technik4
Assets3
SOC Operations P-014 · 24/7 Monitoring SOC-Analysten L1-L3 Team · 12 FTE · CISO-Office Incident Response Plan Runbook · v3.2 · 12.02.2026 Managed Detection AG MSSP · SLA 15min Splunk Enterprise SIEM · 2.4TB/Tag CrowdStrike Falcon EDR · 2'400 Endpoints SOAR Platform Playbook-Engine Entra ID + PAM Identity & Access Log-Hot-Index Asset · 90 Tage · 180 TB MISP / IOC-Feeds Asset · Threat-Intel DR-SOC Zürich-West Fallback · Hot-Standby
RTO
2h
Ziel erreicht
RPO
15min
max. Datenverlust
MTPD
4h
max. tolerierbar
MBCO
80%
Min. Betriebsleistung
Aktiver Incident
SIEM-Ingest degradiert
INC-2041 · seit 00:47h · L2 zugewiesen
Kontakt aufnehmen

Bereit für mehr Überblick?

Fordern Sie eine Demo an oder starten Sie direkt in der App. Unser Team begleitet Sie beim Onboarding.

App starten
Alle Module

Alles was Sie brauchen. In einer Plattform.

Risikomanagement, Datenschutz, Geschäftskontinuität, Informationssicherheit, Lieferantenmanagement und technische Sicherheitsprüfung auf einer gemeinsamen Datenbasis. Keine Silos, keine Exporte, keine doppelte Erfassung.

7Module
40+Funktionen
4Rahmenwerke
1 Datenmodell Alles verbunden
Wie alles zusammenspielt

Ein Datenmodell, das die Wirklichkeit abbildet.

Ein Risiko hängt an einem Schutzobjekt. Das Schutzobjekt gehört zu einem Prozess. Der Prozess benötigt Leistungen eines Lieferanten. Der Lieferant ist über einen Auftragsverarbeitungsvertrag eingebunden. Dieser Vertrag verweist auf eine Richtlinie, die Richtlinie erfüllt einen Control, und der Control wird durch eine konkrete Massnahme abgedeckt, welche wiederum das Risiko reduziert.

RiskRiver bildet diese Kette als zusammenhängenden Graphen ab, nicht als sieben getrennte Tabellen. Wird ein Knoten verändert, ist sofort sichtbar, was davon abhängt. Audit-Trails, Abhängigkeitsanalysen und Lückenprüfungen laufen modulübergreifend.

Datenmodell · Ein Graph
Aktiv
8 Knotentypen
Asset
Prozess
Bedrohung
Risiko
Lieferant
Massnahme
Richtlinie
Control
Kernmodul
Risikomanagement
Ein zentrales Register für alle wesentlichen Unternehmensrisiken: strategische, operative, finanzielle, rechtliche sowie Risiken aus Informationssicherheit und Lieferkette. Jedes Risiko erhält einen Eigentümer, eine Bewertung in Brutto und Residual sowie konkrete Massnahmen mit Fälligkeit. Die Geschäftsleitung sieht jederzeit, welche Risiken priorisiert sind und wie sie behandelt werden.
Enthält
Zentrales Risikoregister
Brutto- und Residualbewertung
Konfigurierbare Risikomatrix
Massnahmen mit Fälligkeit
Schutzobjekte und Assets
Bedrohungskatalog
Bearbeitung im Team
Änderungshistorie
Brutto / Residual Freigabetoken Audit-Log
Lieferanten und Dritte
Lieferantenmanagement
Ein zentrales Verzeichnis aller Lieferanten und Dienstleister mit Stammdaten, Ansprechpartnern, Zertifikaten, Verträgen und Risikoeinstufung. Fragebögen werden über einen Link versendet und vom Lieferanten in einem öffentlichen Portal beantwortet. Die Antworten fliessen direkt in die Risikobewertung. Kritische Abhängigkeiten und Auftragsverarbeitungsverträge sind transparent dokumentiert und mit den betroffenen Geschäftsprozessen verknüpft.
Enthält
Lieferantenverzeichnis
Lieferantendossier
Fragebogeneditor
Externes Portal
Kritikalitätseinstufung
Dokumentenanfragen
Link zum Hochladen
Verknüpfung zu Prozessen
ISO 27001 SOC 2 TISAX
Datenschutz
Datenschutzmanagement
Ein vollständiges Cockpit für die oder den Datenschutzbeauftragten: Verarbeitungsverzeichnis mit Rechtsgrundlagen, Auftragsverarbeitungsverträge mit Unterauftragsverarbeitern, Datenschutz-Folgenabschätzungen mit Notwendigkeits- und Verhältnismässigkeitsprüfung. Hinzu kommen ein Meldeverfahren für Datenschutzverletzungen, öffentliche Portale für Auskunfts- und Löschungsbegehren sowie versionierte Datenschutzrichtlinien. Der Stand der Compliance lässt sich auf Knopfdruck nachweisen.
Enthält
DSB-Cockpit
Verarbeitungsverzeichnis
AVV-Management
Folgenabschätzung (DSFA)
Datenschutzrichtlinien
Meldeportal für Verletzungen
Auskunft (SAR)
Löschung (RTBF)
DSGVO revDSG nDSG
Notfall- und Krisenvorsorge
Geschäftskontinuität (BCM)
Geschäftsprozesse, Ressourcen und kritische Abhängigkeiten in einer durchgängigen Topologie. Pro Prozess sind Wiederanlaufzeiten, akzeptable Datenverluste und Mindestbetriebsleistung hinterlegt. Eine integrierte Auswirkungsanalyse zeigt, was im Krisenfall zuerst wieder verfügbar sein muss. Im Ereignisfall führt das Cockpit durch Alarmierung, Krisenkommunikation und ein öffentliches Lagebild für Kunden, Behörden und Partner.
Enthält
BCM-Cockpit
Geschäftsprozesse
Auswirkungsanalyse
Wiederanlaufkette
Störungsereignisse
Krisenmanagement
Kritische Ressourcen
Öffentliches Lagebild
RTO · RPO RTA · MBCO Öffentl. Lagebild
Compliance und Rahmenwerke
ISMS und Rahmenwerke
Die gesamte Dokumentation Ihres Managementsystems an einem Ort, mit Versionierung, Eigentümern und PDF-Export. Die führenden Rahmenwerke ISO 27001, NIST CSF 2.0, SOC 2 und HIPAA sind vorinstalliert. Jeder Control wird mit Status, Umsetzungsgrad, Verantwortlichem und verknüpften Massnahmen geführt. So entsteht ein revisionssicherer Nachweis für interne Audits, externe Zertifizierungen und Anfragen aus dem Verwaltungsrat.
Enthält
ISMS-Dokumentation
Richtlinien
Versionierung
PDF-Export
ISO 27001
NIST CSF 2.0
SOC 2
HIPAA
ISO 27001 NIST SOC 2 HIPAA
Technische Sicherheitsprüfung
Live Recon und Sicherheitsprüfungen
Eine automatisierte technische Sicherheitsbewertung Ihrer Microsoft-365-Umgebung anstelle reiner Selbstauskunft. Zwei etablierte Scanner prüfen Ihre Umgebung gegen Microsoft Security Benchmarks und den CIS Foundations Benchmark. Die Ergebnisse erscheinen als priorisierte Befunde mit Schweregrad, Verlauf und manuellen Ausnahmen für bewusst akzeptierte Abweichungen. So entsteht eine objektive Faktenbasis für Audits und Berichte.
Enthält
MISA BPA Scan
CIS M365 v6.0.1
E3- und E5-Profile
Scanverlauf
Befundregister
Manuelle Ausnahmen
Hintergrundprozess
Azure-Anbindung
MISA BPA CIS Benchmark Microsoft Graph
Plattform
Plattform und Berichtswesen
Hinter allen Modulen steht eine gemeinsame Plattform, die Geschäftsleitung und Verantwortlichen jederzeit den Überblick verschafft. Berichte für Vorstand, Audits oder Aufsichtsbehörden entstehen auf Knopfdruck, ohne aufwändiges Zusammensuchen aus verschiedenen Werkzeugen. Jeder Mitarbeiter sieht in seinem persönlichen Cockpit genau die Aufgaben, die er zu verantworten hat. Die Anmeldung erfolgt über die bestehende Unternehmensidentität, Berechtigungen lassen sich fein nach Rollen vergeben, und jede Aktion ist revisionssicher dokumentiert.
Enthält
Übersichts-Kacheln
Berichtsgenerator
PDF-Export
Benutzer und Rollen
Entra ID Single-Sign-On
Zwei-Faktor-Auth
REST-API
Persönliches Cockpit
Entra ID SSO REST API Audit-Log
Alle Module · eine Anmeldung · eine Datenbank

Sieben Module, die nicht nur nebeneinander stehen.

Ein Risiko verweist auf einen Prozess. Der Prozess hängt an einem Lieferanten. Der Lieferant ist über einen Auftragsverarbeitungsvertrag eingebunden. Der Vertrag deckt einen Control ab. Der Control gehört zu einer Richtlinie. Wer an einer Stelle etwas ändert, sieht die Auswirkung überall. Das ist der Unterschied zu sieben getrennten Werkzeugen.

Preise ansehen Demo starten
Preise und Kontakt

Massgeschneidert. Persönlich.

Individuelle Angebote je nach Grösse und Anforderungen. Antwort innert 24 Stunden.

Unser Credo

Ein Preis. Alle Module.

Egal ob 10 oder 5'000 Mitarbeitende, Sie bekommen immer alle 7 Module und alle Funktionen. Der Preis skaliert nach Unternehmensgrösse, nicht durch Einschränkung einzelner Funktionen. Keine versteckten Module, keine in höheren Stufen vorbehaltenen Funktionen, keine Aufschläge für Anbindungen oder API-Zugriff.

Keine künstlichen Stufen
Risikomanagementinklusive
Lieferantenmanagementinklusive
Datenschutzmanagementinklusive
Geschäftskontinuität (BCM)inklusive
ISMS und Rahmenwerkeinklusive
Live Recon (MISA / CIS)inklusive
Übersicht, Berichte, APIinklusive
Der Unterschied

Bei uns ist alles drin. Bei anderen zahlen Sie pro Modul.

RiskRiver
Alles inklusive
Alle 7 Module von Tag 1 freigeschaltet
Alle Rahmenwerke (ISO, NIST, SOC 2, HIPAA)
REST-API und Live Recon inklusive
Unbegrenzte Benutzer und Rollen
Hosting in der Schweiz inklusive
Skalierung nach Unternehmensgrösse
Typische GRC-Anbieter
Modular und gestaffelt
Risiko-Modul kostenlos, BCM und ISMS gegen Aufpreis
Jedes Rahmenwerk separat lizenziert
API und Anbindungen nur in der höchsten Stufe
Preis pro Benutzer, mit Begrenzung der Plätze
EU-Hosting oft nur in der höchsten Stufe
Stufenwechsel zwingend für neue Module
Das Versprechen

Ob KMU oder Konzern: alle bekommen dasselbe.

Gleicher Funktionsumfang
Alle 7 Module, alle Rahmenwerke, alle Anbindungen sind für jeden Kunden ab dem ersten Tag verfügbar. Keine gesperrten Funktionen, keine Stufengrenzen, keine Aufforderungen zum Hochstufen in der Anwendung.
Gleiche Bedienung
Ein Unternehmen mit 20 Personen arbeitet in derselben Oberfläche wie ein Konzern mit 5'000 Mitarbeitenden. Gleiche Aktualisierungen, gleiche Geschwindigkeit, keine abgespeckten Versionen.
Gleiche Sicherheit
Hosting in der Schweiz, mandantengetrennte Datenhaltung, Audit-Log, Single-Sign-On und Verschlüsselung gelten für alle Kunden gleich, unabhängig von Unternehmensgrösse oder Vertragswert.
Kostenlose Demo
Persönliche Vorführung mit Fachperson
Swiss Hosted
Daten bleiben in der Schweiz
Partnernetzwerk
Spezialisten für Ihre Einführung
Standard-Support
Antwort innert Werktag
Der Ablauf

Was passiert nach Ihrer Anfrage?

1
Innert 24 Stunden
Erstkontakt
Wir melden uns per E-Mail und vereinbaren einen Termin für eine persönliche Vorführung.
2
In der Folgewoche
Vorführung und Beratung
30 bis 45 Minuten persönliche Vorführung, zugeschnitten auf Ihre Branche und Anforderungen.
3
Danach
Angebot und passender Partner
Sie erhalten ein transparentes Angebot von uns und, falls gewünscht, den passenden Einführungspartner aus unserem Netzwerk.
Kontakt aufnehmen

Wir freuen uns auf
Ihre Anfrage.

Erzählen Sie uns kurz, worum es geht, wir melden uns innert 24 Stunden. Keine automatischen Antworten, kein Lead-Scoring, keine Verkaufsgespräche unter Zeitdruck.

Direkt per E-Mail
[email protected]
Kontaktformular
Mit * gekennzeichnete Felder sind Pflicht.
Mit dem Absenden stimmen Sie unserer Datenschutzerklärung zu.
Häufige Fragen

Bevor Sie fragen.

Sind wirklich alle Module bei jedem Kunden enthalten?+
Ja. Jeder Kunde erhält Zugang zu allen Modulen: Risikomanagement, Lieferantenmanagement, Datenschutzmanagement, Geschäftskontinuität, ISMS und Rahmenwerke, Live Recon sowie die Plattformfunktionen (Übersicht, Berichte, API). Sie entscheiden selbst, welche Module Sie aktiv nutzen, niemand wird künstlich ausgeschlossen.
Wie wird der Preis konkret berechnet?+
Wir kalkulieren individuell nach Unternehmensgrösse. Sprechen Sie uns an. Nach einem kurzen Gespräch erhalten Sie ein transparentes Angebot ohne Einrichtungsgebühren und ohne versteckte Kostenpositionen. Sie zahlen einen fairen Preis, der zu Ihrer Grösse passt, und erhalten dafür die vollständige Plattform.
Wo werden die Daten gespeichert?+
In der Schweiz, in einem ISO-zertifizierten Rechenzentrum. RiskRiver ist eine reine SaaS-Lösung: wir betreiben die Plattform, Sie nutzen sie über den Browser. Jede Kundenorganisation hat einen eigenen Mandanten, die Datenhaltung erfolgt DSGVO- und revDSG-konform.
Gibt es eine Mindestvertragslaufzeit?+
Die übliche Vertragslaufzeit beträgt 12 Monate. Bei mehrjährigen Verträgen bieten wir attraktive Konditionen an. Die genauen Vertragsbedingungen, inklusive Kündigungsfristen und Ausstiegsoptionen, klären wir im persönlichen Gespräch transparent mit Ihnen ab.
Können wir RiskRiver vor einem Kauf testen?+
Ja. Wir bieten eine kostenlose persönliche Vorführung an, in der wir die Plattform gemeinsam mit Ihnen anhand Ihrer konkreten Anwendungsfälle durchgehen. Auf Wunsch richten wir im Anschluss einen Testmandanten mit eigenen Daten ein, damit Sie die Plattform intern ausprobieren können.
Wie funktioniert die Migration aus unserem bestehenden Tool?+
Für die gängigen Datentypen (Risiken, Massnahmen, Assets, Lieferanten, Controls) unterstützt RiskRiver den Import aus Excel und CSV. Die eigentliche Migration und fachliche Einführung läuft über unser Partnernetzwerk: zertifizierte Beratungsunternehmen, die Sie bei der Datenaufbereitung, der Zuordnung Ihres Modells und der Einführung begleiten, mit eigenen Konditionen, direkt mit Ihnen abgestimmt.
Wer übernimmt die Einführung und Schulung?+
RiskRiver arbeitet mit einem Netzwerk aus spezialisierten Beratungspartnern zusammen. Diese übernehmen Implementierung, Anwenderschulung und fachliche Begleitung beim Aufbau Ihres GRC-Programms. Wir bringen Sie mit dem passenden Partner für Ihre Branche und Grösse zusammen. Die Zusammenarbeit und Offerte erfolgt dann direkt zwischen Ihnen und dem Partner.
Gibt es eine Begrenzung bei Benutzern oder API-Zugriffen?+
Benutzer sind im Rahmen Ihres Vertrags unbegrenzt. Sie können beliebig viele Kolleginnen und Kollegen einladen, auch mit unterschiedlichen Rollen und Berechtigungen. Die offene REST-API mit Token-Authentifizierung ist ebenfalls ohne Aufpreis enthalten.
Ressourcen

Einblicke und Praxisbeispiele.

Die zentralen Ansichten der Plattform im Überblick. So arbeiten die Module in der Praxis.

Module im Einsatz

Sehen was zählt.

Sechs reale Ansichten aus der Anwendung, die zeigen, wie RiskRiver im Alltag arbeitet. Keine geschönten Bilder, sondern Ausschnitte aus dem Produkt.

Live Recon
CIS M365 Foundations Benchmark
Eine objektive Sicherheitsbewertung Ihrer Microsoft-365-Umgebung.
Microsoft 365 Admin Center
admin.microsoft.com · Abschnitt 1 · Verwaltung
3 1 1
1.1.2 Graph Ensure two emergency access accounts have been defined Bestanden
1.1.3 Graph Ensure that between two and four global admins are designated Bestanden
1.3.1 PowerShell Ensure the 'Password expiration policy' is set to 'Set passwords to never expire' Bestanden
1.3.3 PowerShell Ensure 'External sharing' of calendars is not available
Fehler
1.3.6 Manuell Ensure the customer lockbox feature is enabled
Warnung
Statt Selbstauskunft entsteht eine objektive Faktenlage: Ihre Microsoft-365-Umgebung wird automatisiert gegen den CIS-Benchmark geprüft, eine international anerkannte Vorgabe für Konfigurationssicherheit. Schwachstellen erscheinen mit Priorität, Behebungsanleitung und direkter Verknüpfung zum Risikomanagement. So sehen Sie auf einen Blick, wo Ihre Umgebung den anerkannten Standards entspricht und wo Handlungsbedarf besteht.
Lieferantenmanagement
Lieferantendossier
Ein zentrales Dossier für jeden Lieferanten, mit Risikoeinstufung.
☁️
SUP-0014 Hoch Aktiv ✓ ISO 27001 ✓ SOC 2
Nexavault AG
Cloud · Schweiz
Cloud-Security-Dienstleister für Infrastruktur-Monitoring, SIEM-Integration und Incident-Response-Retainer.
Kontakt
Sandra Wirth
+41 43 500 77 88
Hoch
58%
Risikostufe
Alles in Ordnung
0
Offene Vorfälle
Gut
72%
Beurteilung
Erhöht
52%
Einstufung
Jeder Lieferant und Dienstleister wird mit Stammdaten, Ansprechpartnern, Zertifikaten, Verträgen und einer Risikoeinstufung zentral geführt. Fragebögen gehen per Link an den Lieferanten und werden in einem öffentlichen Portal beantwortet, die Antworten fliessen automatisch in die Risikobewertung ein. Geschäftsleitung und Einkauf wissen jederzeit, welche Lieferanten ein erhöhtes Risiko darstellen und wo nachgefasst werden muss.
Risikomanagement
Risikoregister
Alle Risiken im Überblick, priorisiert und nachvollziehbar.
R-001 Kritisch In Behandlung Cyber 2
Ransomware-Befall kritischer Systeme
Verschlüsselung durch Ransomware-Angriff auf zentrale Produktionssysteme. Potentielle Verluste bei Kunden-, Finanz- und Personaldaten, mehrtägiger Betriebsunterbruch möglich.
Brutto-Risiko
20/25
Restrisiko
12/25
Erfüllungsgrad
60%
3 MA
Strategische, operative, finanzielle, rechtliche sowie Risiken aus Informationssicherheit und Lieferkette werden in einem zentralen Register geführt. Jeder Eintrag zeigt das Bruttorisiko, die laufenden Massnahmen und das verbleibende Restrisiko, mit klar zugewiesenem Eigentümer und Termin. Risiken lassen sich gezielt mit externen Beteiligten teilen, ohne dass diese einen eigenen Zugang benötigen. Die Geschäftsleitung sieht so jederzeit, welche Risiken priorisiert sind und wie weit ihre Behandlung fortgeschritten ist.
Plattform
Rollen und Berechtigungen
Jede Person sieht und bearbeitet genau das, wofür sie zuständig ist.
Benutzer
Berechtigungen
2FA
AM
Anna Müller
CISO
✎ Risks ✎ ME 👁 HM
SSO
TK
Thomas Keller
IT-Leiter
👁 Risks ✎ Assets ✎ ISO
2FA
SB
Sandra Berger
DSB
✎ Rep
Kontakt
Auf der Plattform werden Benutzer und Berechtigungen je Modul fein granular vergeben, damit sensible Informationen nur denjenigen zugänglich sind, die sie wirklich benötigen. Die Anmeldung erfolgt über die bestehende Unternehmensidentität, ergänzt um eine Zwei-Faktor-Authentifizierung. Externe Ansprechpartner können als Kontakt geführt werden, ohne aktiven Zugriff auf die Anwendung. So bleibt der Zugang nachvollziehbar steuerbar, ohne dass die IT bei jeder Anpassung eingreifen muss.
Datenschutz
Verzeichnis der Verarbeitungstätigkeiten
Ein vollständiges, aktuelles Verzeichnis, jederzeit prüfbereit.
VVT-018
Aktiv 🌍 Drittland
Mitarbeitende · Lohn- und Personalverwaltung
Verarbeitung von Lohndaten, Sozialversicherungsnummern und Bankverbindungen zur Lohnabrechnung und Personaladministration inkl. Meldung an Behörden.
⚖ Vertrag (Art. 6 Abs. 1 lit. b) 🗓 10 J. 👤 Sandra Berger
Datenschutzbehörden erwarten ein vollständiges, aktuelles Verzeichnis. RiskRiver führt es automatisch strukturiert, inklusive Rechtsgrundlage, Aufbewahrungsfristen, Drittlandtransfers und Verantwortlichen. Bei einer Prüfung haben Sie alles sofort parat, statt tagelang in Tabellen zu suchen.
Notfall- und Krisenvorsorge
Krisenmanagement · Öffentliches Lagebild
Im Ernstfall weiss jeder Beteiligte sofort, was zu tun ist.
BCM-P-004 Krisenfall aktiv Kritisch
Rechenzentrum-Ausfall Nord
Infrastruktur · Lukas Mäder
RTO
4h
RPO
1h
MTPD
72h
Ablauf
21.05.26
Team-Einchecken
Gib deinen Namen ein um Aktionen zu protokollieren.
Dein Name…
LM
Lukas Mäder eingecheckt
Auslöser
Stromausfall nach Blitzeinschlag, USV-Systeme überlastet. Primär-RZ nicht erreichbar, Backup-Verbindungen instabil. Automatisches Failover hat nicht ausgelöst.
Kritische Lieferanten
Swisscom Datacenter AG
Hosting · ↳ Failover: RZ Zürich-Süd
📞 044 200 11 22
NetGuard Solutions
Netzwerk · MPLS-Backup aktiv
📞 031 550 88 00
Prozessdetails
CodeBCM-P-004
RTO4h
RPO1h
MTPD72h
VerantwortlichLukas Mäder
1. Sofortmassnahmen
2 / 3
IT-Notfallteam alarmieren und Incident deklarieren
Lukas Mäder · 08:44
BCP aktivieren und Failover auf RZ Süd einleiten
Anna Berger · 08:51
Öffentliches Lagebild publizieren und Beteiligte informieren
2. Alarmierungskette
1 Lukas Mäder CISO 079 111 22 33
2 Sandra Berger CEO 079 222 33 44
3 Markus Huber IT-Leiter 079 333 44 55
3. Wiederanlaufschritte
0–30 min
Failover auf RZ Süd verifizieren, DNS-TTL auf 60s setzen
30–120 min
Backup-Restore aus letztem Snapshot (RPO 1h) anstoßen
2–4h
Vollständiger Systemcheck, Freigabe durch IT-Leiter und CISO
RiskRiver BCM · Vertraulich, nur für autorisierte Personen
Im Krisenfall wird ein öffentliches Lagebild bereitgestellt, das ohne Anmeldung erreichbar ist, auch wenn die eigenen Systeme gerade nicht funktionieren. Alarmierungskette, Sofortmassnahmen und Wiederanlaufschritte sind als interaktive Listen vorbereitet. Mitarbeiter melden sich am Lagebild an, dokumentieren ausgeführte Schritte und sehen den Stand der anderen Aufgaben. Die Geschäftsleitung behält in einer kritischen Situation die Übersicht, statt sich auf Telefonketten und Improvisation zu verlassen.