Hochschulen haben sich in den vergangenen Jahren in die Abhängigkeit von Verfügbarkeit, Vertraulichkeit und Integrität der durch IT gestützten Prozesse begeben. Dennoch haben nur wenige Hochschulen die Grundwerte der Sicherheit institutionsweit definiert oder die eingegangenen Risiken konkret abgeschätzt und benannt. Das eigentliche Ziel: nur sehenden Auges definierte Risiken einzugehen, wird oftmals verfehlt. Dieser Beitrag zeigt einen Weg und dessen Vorteile auf, wie auf überschaubare Weise die Unsicherheit, welche Risiken überhaupt bestehen, maßgeblich verringert werden kann. Als Ergebnis einer verfahrensspezifischen Risikoanalyse entsteht jeweils ein priorisierter Plan von Maßnahmen. Dieses Verfahren kann darüber hinaus als ein essentieller Baustein dienen, eine Zertifizierungen nach ISO 27001 zu erreichen.