top of page
3einhalb-Logo

Asset und Risk Manager 

User Guide

1. Einleitung

Der Asset and Risk Manager (ARA) ist eine Jira-Cloud-App, die Organisationen dabei unterstützt, ein strukturiertes Asset- und Risikomanagement direkt in Jira durchzuführen. Die App wurde mit Blick auf die Anforderungen der ISO 27001 entwickelt und bietet dedizierte Vorgangstypen, konfigurierbare Risikobewertungen und eine interaktive Risikomatrix — alles innerhalb Ihrer Jira-Umgebung.

Was ARA bietet

  • Fünf spezialisierte Vorgangstypen: Asset, Risiko, Bedrohung, Maßnahme und Prozess.

  • Ein dediziertes Jira-Projekt mit vorkonfigurierten Bildschirmen, Feldlayouts und Workflows für Asset- und Risikomanagement.

  • Ein konfigurierbares Risikobewertungsfeld, das Auswirkung und Eintrittswahrscheinlichkeit erfasst und automatisch einen Kritikalitätswert berechnet.

  • Ein interaktives Risikomatrix-Dashboard mit farbcodierten Schwellenwerten und Detailansicht einzelner Vorgänge.

  • Projektkonfiguration, sodass jedes Team eigene Auswirkungsskalen, Wahrscheinlichkeitsskalen und Bewertungsschwellenwerte definieren kann.

Zielgruppe dieses Handbuchs

Dieses Handbuch richtet sich an Jira-Administratoren, die die App installieren und konfigurieren, sowie an Projektmitglieder, die täglich mit Risikobewertungen und dem Dashboard arbeiten.

2. Erste Schritte

Installation

Installieren Sie den Asset and Risk Manager über den Atlassian Marketplace. Sobald die App in Ihrer Jira-Cloud-Instanz installiert ist, startet der Einrichtungsprozess automatisch. Es sind keine manuellen Schritte erforderlich.

Automatische Einrichtung

Bei der Installation stellt ARA automatisch alle benötigten Elemente in Ihrer Jira-Instanz bereit:

  1. Die fünf ARA-Vorgangstypen (Asset, Risiko, Bedrohung, Maßnahme, Prozess).

  2. Die erforderlichen benutzerdefinierten Felder, Bildschirme und Feldlayouts für jeden Vorgangstyp.

  3. Ein sofort einsatzbereites Jira-Projekt namens „Asset and Risk Management" mit allen bereits angewendeten Konfigurationen.

Die Bereitstellung läuft im Hintergrund und ist in der Regel innerhalb weniger Sekunden abgeschlossen. Danach sind das ARA-Projekt und alle Vorgangstypen einsatzbereit.

Hinweis: Der Einrichtungsprozess ist idempotent. Wenn ARA feststellt, dass Elemente bereits vorhanden sind (z. B. nach einer Neuinstallation), werden diese automatisch übersprungen.

Deinstallation

Wenn die App über die Atlassian-Marketplace-Verwaltungsseite deinstalliert wird (Apps → Apps verwalten), entfernt ARA automatisch alle erstellten Elemente — Vorgangstypen, Bildschirme, Schemata, Feldkonfigurationen und das ARA-Projekt — und löscht den App-Speicher.

Hinweis: Die Deinstallation entfernt die Projektstruktur und -konfiguration. Vorgänge, die innerhalb des ARA-Projekts erstellt wurden, unterliegen dem Standardverhalten von Jira bei der Löschung.

3. Konfiguration der Risikobewertung

Die Risikobewertung von ARA ist pro Projekt vollständig konfigurierbar. Navigieren Sie dazu in Ihr ARA-Projekt und öffnen Sie Projekteinstellungen → ARA Configuration.

Die Konfigurationsseite besteht aus drei Bereichen: Auswirkungsoptionen, Wahrscheinlichkeitsoptionen und Bewertungsschwellenwerte.

Auswirkungsoptionen (Impact)

Die Auswirkungsoptionen definieren die möglichen Werte für die Dimension „Möglicher Schaden" einer Risikobewertung. Jede Option hat zwei Eigenschaften:

Bezeichnung – Der Anzeigename, der Benutzern bei der Risikobewertung angezeigt wird (z. B. „Vernachlässigbar", „Kritisch").

Gewichtung – Ein numerischer Wert zur Berechnung des Kritikalitätswerts. Höhere Werte bedeuten größere Auswirkung.

Klicken Sie auf Add, um eine neue Option zu erstellen. Bearbeiten Sie Bezeichnungen und Gewichtungen inline und klicken Sie anschließend auf Save changes am Ende der Seite.

Wahrscheinlichkeitsoptionen (Probability)

Die Wahrscheinlichkeitsoptionen funktionieren identisch zu den Auswirkungsoptionen, repräsentieren jedoch die Dimension „Eintrittswahrscheinlichkeit". Jede Option hat ebenfalls eine Bezeichnung und eine numerische Gewichtung.

Tipp: Definieren Sie Ihre Skalen passend zur Risikomethodik Ihrer Organisation. Ein gängiger Ansatz sind Skalen von 1–5 oder 1–10 für beide Dimensionen.

Bewertungsschwellenwerte (Evaluation Thresholds)

Die Bewertungsschwellenwerte definieren die Kritikalitätsstufen, die sich aus dem Risikowert ergeben. Jeder Schwellenwert hat folgende Eigenschaften:

Bezeichnung – Der Name der Kritikalitätsstufe (z. B. „Niedrig", „Hoch", „Kritisch").

Gewichtung – Der Mindestwert, ab dem dieser Schwellenwert gilt. Das System wählt den Schwellenwert mit der höchsten Gewichtung, die noch unter dem berechneten Wert liegt.

Rolle – Eine optionale Bezeichnung für die verantwortliche Rolle (z. B. „CISO", „Risikoeigner"). Wird neben der Bewertung angezeigt.

Benutzer – Ein optionaler Jira-Benutzer, der für Risiken dieser Kritikalitätsstufe verantwortlich ist.

Farbe – Ein Farbtoken zur Einfärbung der entsprechenden Zellen im Risikomatrix-Dashboard. Wählen Sie aus der vordefinierten Farbpalette.

Wie die Schwellenwert-Zuordnung funktioniert

Wenn ein Benutzer auf einem Vorgang eine Auswirkung und eine Wahrscheinlichkeit auswählt, berechnet die App den Kritikalitätswert:

Kritikalitätswert = Auswirkung (Gewichtung) × Wahrscheinlichkeit (Gewichtung)

Die App wählt dann den Schwellenwert, dessen Gewichtung der höchste Wert ist, der noch strikt unter dem berechneten Wert liegt. Beispiel: Wenn Ihre Schwellenwerte bei den Gewichtungen 1, 5, 10 und 20 liegen, wird bei einem Wert von 12 der Schwellenwert mit Gewichtung 10 ausgewählt.

Tipp: Ordnen Sie Ihre Schwellenwert-Gewichtungen von niedrig nach hoch an, entsprechend der Schweregrad-Abstufung Ihrer Kritikalitätsstufen.

Verfügbare Schwellenwert-Farben

Die folgenden Farben stehen für die Schwellenwert-Konfiguration zur Verfügung. Sie verwenden Atlassian-Design-System-Tokens und werden konsistent in hellen und dunklen Themes dargestellt:

  • 1 – Unkritisch: Neutral (grau)

  • 2 – Sehr niedrig: Blau

  • 3 – Niedrig: Türkis

  • 4 – Bewacht: Hellgrün

  • 5 – Mäßig: Grün

  • 6 – Erhöht: Limette

  • 7 – Erheblich: Gelb

  • 8 – Hoch: Orange

  • 9 – Sehr hoch: Hellrot

  • 10 – Kritisch: Kräftiges Rot

Änderungen speichern

Klicken Sie nach der Bearbeitung eines der drei Bereiche auf Save changes am Ende der Konfigurationsseite. Alle Änderungen werden sofort für neue Bewertungen wirksam. Bestehende Vorgangsbewertungen behalten ihre gespeicherten Werte; sie übernehmen aktualisierte Bezeichnungen und Schwellenwerte beim nächsten Aufruf.

Optionen entfernen

Wenn Sie versuchen, eine Auswirkungs- oder Wahrscheinlichkeitsoption zu entfernen, prüft die App automatisch, ob diese Option aktuell auf einem Vorgang verwendet wird. Falls ja, wird das Entfernen blockiert und eine Warnmeldung angezeigt. Dies verhindert versehentlichen Datenverlust.

4. Das Risikobewertungsfeld

Das Risikobewertungsfeld („Risikobewertung") erscheint auf Risiko-Vorgängen. Es ermöglicht Benutzern, ein Risiko anhand zweier Dimensionen zu bewerten: möglicher Schaden (Auswirkung) und Eintrittswahrscheinlichkeit.

Ein Risiko bewerten

  1. Öffnen Sie einen Risiko-Vorgang.

  2. Suchen Sie das Feld „Risikobewertung" in der Vorgangsansicht.

  3. Wählen Sie einen Wert aus dem Dropdown „Möglicher Schaden" (Auswirkung).

  4. Wählen Sie einen Wert aus dem Dropdown „Eintrittswahrscheinlichkeit".

  5. Der Kritikalitätswert und die zugeordnete Schwellenwertstufe werden automatisch unterhalb der Dropdowns angezeigt.

Änderungen werden sofort beim Auswählen gespeichert — es gibt keinen separaten Speicherschritt.

 
Was die Bewertung anzeigt

Sobald beide Dimensionen ausgewählt sind, zeigt das Feld an:

  • Kritikalitätswert: Das numerische Ergebnis aus Auswirkung (Gewichtung) × Wahrscheinlichkeit (Gewichtung).

  • Kritikalitätsstufe: Die Bezeichnung des zugeordneten Schwellenwerts (z. B. „Hoch", „Kritisch").

  • Verantwortliche Stelle: Falls ein Benutzer oder eine Rolle für den zugeordneten Schwellenwert konfiguriert ist, wird diese hier angezeigt.

Bewertung bei neuen Vorgängen

Beim Erstellen eines neuen Risiko-Vorgangs zeigt das Bewertungsfeld einen Hinweis, dass die Bewertung erst nach dem Erstellen des Vorgangs ausgefüllt werden kann. Erstellen Sie den Vorgang zunächst und öffnen Sie ihn anschließend, um die Bewertung durchzuführen.

5. Risikomatrix-Dashboard

Das ARA-Dashboard ist eine Projektseite, die alle bewerteten Risiken in einer interaktiven Matrix visualisiert. Zugriff erfolgt über die Projekt-Seitenleiste unter ARA Dashboard.

Die Matrix lesen

Die Matrix ist ein Raster, in dem die Zeilen die Auswirkungsstufen und die Spalten die Wahrscheinlichkeitsstufen darstellen. Jede Zelle zeigt die Anzahl der Risiko-Vorgänge, die mit dieser Kombination bewertet wurden.

Die Zellen sind gemäß den konfigurierten Bewertungsschwellenwerten farbcodiert. Die Farbe jeder Zelle entspricht dem Schwellenwert, der zum Wert der Zelle (Zeilen-Gewichtung × Spalten-Gewichtung) passt.

Detailansicht der Vorgänge

Klicken Sie auf eine beliebige Zelle in der Matrix, um die Liste der einzelnen Vorgänge in dieser Risikokategorie anzuzeigen. Die Detailtabelle zeigt den Vorgangsschlüssel (als anklickbaren Link), die Zusammenfassung, den Auswirkungswert und den Wahrscheinlichkeitswert.

Filtern mit JQL

Standardmäßig ist das Dashboard auf das aktuelle Projekt begrenzt. Sie können eine eigene JQL-Abfrage im Filterfeld eingeben, um einzugrenzen, welche Vorgänge in der Matrix erscheinen.

Tipp: Verwenden Sie Filter wie „assignee = currentUser()" oder „status != Done", um fokussierte Ansichten Ihrer Risikolandschaft zu erstellen.

Daten aktualisieren

Klicken Sie auf die Schaltfläche Refresh, um die Vorgangsdaten aus Jira neu zu laden. Das Dashboard ruft bis zu 100 Vorgänge pro Abfrage ab. Wenn Sie mehr bewertete Risiken haben, nutzen Sie JQL-Filter, um sich auf bestimmte Teilmengen zu konzentrieren.

6. Vorgangstypen und Felder

ARA erstellt fünf Vorgangstypen, die jeweils auf einen bestimmten Aspekt des Asset- und Risikomanagements zugeschnitten sind:

Asset – Erfassung von IT-Assets wie Hardware, Software und Dienste.

Risiko – Dokumentation und Bewertung identifizierter Risiken. Enthält das Risikobewertungsfeld, Schutzziele und Umgangsstrategie.

Bedrohung – Erfassung von Bedrohungsquellen und -szenarien, die Ihre Assets betreffen können.

Maßnahme – Definition von Kontrollen, Gegenmaßnahmen und Aktionen zur Risikominderung.

Prozess – Beschreibung von Geschäftsprozessen einschließlich Prozessart und Schutzzielen.

Von ARA bereitgestellte benutzerdefinierte Felder

Neben dem Risikobewertungsfeld stellt ARA folgende benutzerdefinierte Felder auf den entsprechenden Vorgangstypen bereit:

Risikobewertung (Risiko) – Strukturierte Bewertung mit Auswahl von Auswirkung/Wahrscheinlichkeit und automatischer Wertberechnung.

Schutzziel C – Vertraulichkeit (Risiko, Prozess) – Auswahl der Vertraulichkeits-Schutzzieleinstufung.

Schutzziel I – Integrität (Risiko, Prozess) – Auswahl der Integritäts-Schutzzieleinstufung.

Schutzziel A – Verfügbarkeit (Risiko, Prozess) – Auswahl der Verfügbarkeits-Schutzzieleinstufung.

Prozessart (Prozess) – Klassifizierung der Art des Geschäftsprozesses.

Umgangsstrategie (Risiko) – Auswahl der Risikobehandlungsstrategie (z. B. vermeiden, mindern, akzeptieren, übertragen).

7. Berechtigungen

Der Asset and Risk Manager benötigt die folgenden Berechtigungen. Jede Berechtigung ist notwendig, damit die App ihre Jira-Elemente bereitstellen und verwalten sowie Risikobewertungsdaten lesen und schreiben kann.

Lesen: Vorgangstypen, Felder, Bildschirme, Schemata, Projekte – Prüfung, welche Elemente bereits vor der Bereitstellung existieren; Lesen von Vorgangsdaten für das Risikomatrix-Dashboard.

Schreiben: Vorgangstypen, Felder, Bildschirme, Schemata, Projekte – Erstellen und Konfigurieren der ARA-Vorgangstypen, benutzerdefinierten Felder, Bildschirme, Bildschirmschemata und des ARA-Projekts während der Einrichtung.

Löschen: Vorgangstypen, Felder, Bildschirme, Schemata, Projekte – Entfernen der von ARA erstellten Elemente bei der Deinstallation.

Lesen/Schreiben: Jira-Arbeitselemente – Lesen von Risikobewertungsfeldwerten aus Vorgängen und Speichern aktualisierter Bewertungen.

Lesen: Jira-Benutzer – Auflösen von Benutzerkonten für Schwellenwertzuweisungen und Anzeige verantwortlicher Benutzer bei Bewertungen.

Verwalten: Jira-Projekt und -Konfiguration – Anwendung von Feldkonfigurationsschemata, Vorgangstyp-Bildschirmschemata und projektbezogenen Einstellungen während der Einrichtung.

App-Speicher – Speicherung der App-Konfiguration (Auswirkungsoptionen, Wahrscheinlichkeitsoptionen, Schwellenwerte) und Nachverfolgung bereitgestellter Element-IDs.

ARA arbeitet mit einer App-Identität (nicht als installierender Benutzer). Die App greift auf keine Daten zu, die außerhalb des Geltungsbereichs ihrer eigenen Konfiguration und der für die Risikomatrix benötigten Vorgänge liegen.

8. Daten und Datenschutz

Welche Daten speichert ARA?

ARA speichert zwei Kategorien von Daten, beide innerhalb der Atlassian-Forge-Plattform:

  • App-Konfiguration: Auswirkungsoptionen, Wahrscheinlichkeitsoptionen und Bewertungsschwellenwerte (einschließlich ggf. zugewiesener Atlassian-Benutzerkonten-IDs). Diese Daten werden im Forge App Storage gespeichert und sind auf Ihre Jira-Cloud-Instanz begrenzt.

  • Bereitstellungs-Metadaten: Die IDs und Namen der von ARA erstellten Jira-Elemente (Vorgangstypen, Bildschirme, Schemata usw.). Diese werden zur Verwaltung des App-Lebenszyklus (Installation/Deinstallation) verwendet und im Custom Entity Store von Forge gespeichert.

Welche Daten speichert ARA NICHT?

Risikobewertungswerte (die Auswirkungs- und Wahrscheinlichkeitsauswahl auf einzelnen Vorgängen) werden als reguläre benutzerdefinierte Jira-Feldwerte auf den Vorgängen selbst gespeichert — nicht in einer separaten App-Datenbank. ARA kopiert, exportiert oder überträgt keine Vorgangsdaten außerhalb Ihrer Jira-Cloud-Instanz.

Wo werden die Daten gespeichert?

Alle App-Daten werden innerhalb der Infrastruktur der Atlassian-Forge-Plattform gespeichert. ARA verwendet keine externen Server, Datenbanken oder Drittanbieterdienste. Es verlassen keine Daten die Atlassian-Cloud-Umgebung.

Personenbezogene Daten

Die einzigen personenbezogenen Daten, die ARA speichert, sind die Atlassian-Konten-IDs von Benutzern, die als verantwortliche Personen in Bewertungsschwellenwerten zugewiesen werden. Dies ist optional und wird explizit vom Administrator konfiguriert. Wenn eine Schwellenwert-Benutzerzuweisung entfernt wird, wird die Konten-ID aus dem App-Speicher gelöscht.

Datenlöschung

Bei der Deinstallation der App werden alle bereitgestellten Jira-Elemente automatisch entfernt und der gesamte App-Speicher gelöscht. Das Entfernen der App über die Atlassian-Marketplace-Verwaltung entfernt die Forge-App und ihren Speicher vollständig.

9. Fehlerbehebung

Risikobewertungsfeld zeigt „Die Bewertung kann erst nach dem Erstellen vorgenommen werden" Ursache: Sie befinden sich auf dem Erstellungsbildschirm. Lösung: Erstellen Sie den Vorgang zuerst und öffnen Sie ihn dann, um die Bewertung durchzuführen.

Keine Optionen in den Auswirkungs- oder Wahrscheinlichkeits-Dropdowns Ursache: Es wurden noch keine Optionen konfiguriert. Lösung: Gehen Sie zu Projekteinstellungen → ARA Configuration und fügen Sie Optionen hinzu.

Dashboard zeigt Warnung „Missing field context" Ursache: Die App konnte das Risikobewertungsfeld nicht identifizieren. Lösung: Versuchen Sie, die App über die Marketplace-Verwaltung (Apps → Apps verwalten) neu zu installieren.

Dashboard-Zellen haben keine Farbe Ursache: Bewertungsschwellenwerte sind nicht konfiguriert oder alle Gewichtungen sind 0. Lösung: Konfigurieren Sie Schwellenwerte mit aussagekräftigen Gewichtungen in der ARA Configuration.

Option kann nicht entfernt werden Ursache: Die Option wird aktuell auf einem oder mehreren Vorgängen verwendet. Lösung: Aktualisieren oder löschen Sie zunächst die Bewertung auf diesen Vorgängen und versuchen Sie es dann erneut.

10. Support und Kontakt

Wenn Sie auf Probleme stoßen oder Fragen zum Asset and Risk Manager haben, wenden Sie sich bitte an uns:​

Bitte geben Sie bei der Meldung eines Problems die URL Ihrer Jira-Cloud-Instanz, die ARA-App-Version und eine Beschreibung der Schritte zur Reproduktion des Problems an.

bottom of page