Alle machen Risikoanalysen. Wenige machen sie richtig.
Risikoanalyse ist der Grundpfeiler des NIS2-Umsetzungsgesetzes, der ISO 27001 und praktisch jedes Sicherheitsrahmenwerks. Alle wissen, dass sie durchgeführt werden muss. Aber nachdem ich Hunderte von Risikomatrizen gesehen habe, kann ich feststellen: Die meisten geben ein exaktes Bild von völlig falschen Dingen.
Das Problem ist nicht, dass Organisationen die Risikoanalyse überspringen. Das Problem ist, dass sie sie auf eine Weise durchführen, die keine echte Entscheidungsgrundlage liefert. Das Ergebnis ist ein Dokument, das in einem Ordner professionell aussieht, aber niemals eine einzige Entscheidung beeinflusst.
Hier sind die fünf häufigsten Fehler — und wie Sie sie vermeiden.
Fehler 1: Fremde Risikoregister kopieren
Es ist verlockend, mit einer Vorlage zu beginnen. Das Risikoregister eines anderen, Beispielrisiken eines Branchenstandards oder eine vordefinierte Liste einer Beratungsfirma. Das Problem? Die Risiken anderer sind nicht Ihre Risiken.
Ein Fertigungsunternehmen und ein SaaS-Anbieter haben fundamental unterschiedliche Risikolandschaften. Selbst innerhalb derselben Branche variieren die Risiken je nach Größe, IT-Umgebung, Kundenstruktur und Reifegrad.
Richtiger Ansatz: Beginnen Sie mit Ihren eigenen Informationsflüssen. Welche Informationen verarbeiten Sie? Wo werden sie gespeichert? Wer hat Zugriff? Welche Prozesse sind davon abhängig? Ihre Risiken entstehen in der Lücke zwischen dem Wert der Informationen und den Bedrohungen, die Schwachstellen in Ihrem Umgang damit ausnutzen können.
Fehler 2: Inhärentes Risiko und Kontrollwirksamkeit vermischen
Dies ist der am weitesten verbreitete Fehler. Die Organisation bewertet ein Risiko als “niedrig” — aber es ist nur niedrig, weil bereits eine Kontrolle vorhanden ist. Was passiert, wenn die Kontrolle nicht mehr funktioniert? Wenn die Firewall-Regel geändert wird, wenn der Backup-Service eingestellt wird, wenn der erfahrene Mitarbeiter kündigt?
Wenn inhärentes Risiko und Kontrollwirksamkeit in derselben Bewertung vermischt werden, verlieren Sie die Fähigkeit zu verstehen, was die Kontrollen tatsächlich beitragen. Sie sehen nicht, wo Sie am verwundbarsten sind, wenn eine Kontrolle ausfällt.
Trennen Sie die Bewertung immer in zwei Schritte:
- Inhärentes Risiko — Wie schwerwiegend ist das Risiko ohne Kontrollen? Dies gibt Ihnen ein Bild der zugrunde liegenden Bedrohung.
- Kontrollwirksamkeit — Wie gut reduzieren bestehende Kontrollen das Risiko? Dies zeigt, wo Ihre Investitionen tatsächlich einen Unterschied machen.
Die Differenz ergibt Ihr Restrisiko — das Risiko, mit dem Sie heute tatsächlich leben. Das ist das, was mit Ihrer Risikobereitschaft verglichen werden sollte.
Fehler 3: Falsche Präzision mit mehrdimensionalen Skalen
Eine 5×5-Matrix mit Wahrscheinlichkeit und Auswirkung ergibt 25 mögliche Stufen. Das sieht exakt aus. Aber wenn die Bewerter nicht konsistent zwischen “Wahrscheinlichkeit 3” und “Wahrscheinlichkeit 4” unterscheiden können, haben Sie nur Rauschen zur Analyse hinzugefügt.
Schlimmer: Viele Organisationen verwenden Skalen, bei denen die Dimensionen nicht unabhängig sind. “Hohe Wahrscheinlichkeit und hohe Auswirkung” wird automatisch zu “kritischem Risiko” — aber was ist, wenn die Wahrscheinlichkeit gerade deshalb hoch ist, weil die Auswirkung niedrig ist (und die Organisation daher keinen Schutz priorisiert hat)?
Was besser funktioniert:
- Verwenden Sie weniger Stufen (3×3 reicht oft)
- Definieren Sie jede Stufe mit konkreten Beispielen, die für Ihr Unternehmen relevant sind
- Kalibrieren Sie durch gemeinsame Bewertung mehrerer Risiken, bevor Sie einzeln arbeiten
- Akzeptieren Sie, dass Risikobewertung eine qualifizierte Schätzung ist, keine exakte Wissenschaft
Fehler 4: Risiko ohne Verbindung zur Geschäftsauswirkung
“Das Risiko unbefugten Zugriffs auf das System wird als mittelhoch bewertet.” Ausgezeichnet. Und was bedeutet das für das Unternehmen? Nichts, wenn die Bewertung dort stehen bleibt.
Die Geschäftsführung will keine Wahrscheinlichkeitsstufen hören. Sie will wissen: Was kostet es, wenn es passiert? Wie lange sind wir außer Betrieb? Welche Kunden sind betroffen? Welche regulatorischen Konsequenzen werden ausgelöst?
Die Verbindung zwischen technischem Risiko und Geschäftsauswirkung ist das, was die Risikoanalyse zu einer Entscheidungsgrundlage anstatt zu einem IT-Dokument macht.
| Technische Bewertung | Geschäftssprache |
|---|---|
| ”Hohe Wahrscheinlichkeit für Ransomware" | "30% Risiko für 5 Tage Produktionsstopp, geschätzte Kosten 3–8 Mio. EUR" |
| "Mittleres Risiko für Datenleck" | "Potentielle DSGVO-Geldbuße und Verlust von 2–3 Schlüsselkunden" |
| "Niedriges Risiko für DDoS" | "Max. 4 Stunden Ausfallzeit, begrenzte Geschäftsauswirkung” |
Fehler 5: Einmalübung statt lebendiger Prozess
Der häufigste Zeitpunkt für eine Risikoanalyse? Kurz vor einer Revision, Zertifizierung oder Aufsichtskontrolle. Dann wird sie in einen Ordner gelegt bis zum nächsten Mal.
Eine Risikoanalyse, die seit ihrer Erstellung nicht aktualisiert wurde, spiegelt eine Bedrohungslandschaft wider, die nicht mehr existiert. Neue Systeme werden eingeführt, Lieferanten gewechselt, Bedrohungsakteure ändern Taktiken, die Organisation wird umstrukturiert. Eine statische Risikoanalyse ist wie eine Wettervorhersage vom letzten Monat — sie war korrekt, als sie gemacht wurde, aber sie steuert heute keine Entscheidungen.
Neue Systeme, Lieferanten, Prozesse oder Organisationsänderungen sollten eine Neubewertung betroffener Risiken auslösen. Es muss keine vollständige Überarbeitung sein — konzentrieren Sie sich auf das, was sich geändert hat.
Mindestens jährlich sollte das gesamte Risikoregister überprüft werden. Vierteljährliche Überprüfung der höchstpriorisierten Risiken bietet noch bessere Steuerung.
Jeder Vorfall sollte zu einer Neubewertung relevanter Risiken führen. Vorfälle geben Ihnen tatsächliche Daten über die Bedrohungslandschaft — nutzen Sie sie.
Ein Risikoregister, das nur der Risikoanalyst interpretieren kann, treibt keine Entscheidungen voran. Machen Sie es verständlich für diejenigen, die Entscheidungen treffen — die Geschäftsleitung.
Risikoanalyse, die Entscheidungen vorantreibt
Eine Risikomatrix ist kein Selbstzweck. Sie ist ein Werkzeug, um bessere Entscheidungen darüber zu treffen, wo die Organisation ihre begrenzten Ressourcen einsetzen soll. Wenn Ihre Risikoanalyse keine Prioritäten verändert, keine Budgetentscheidungen beeinflusst und nicht auf Führungsebene diskutiert wird — dann erfüllt sie keinen Zweck.
Fragen Sie sich: Wann hat ein Ergebnis der Risikoanalyse das letzte Mal tatsächlich zu einer Veränderung geführt? Wenn die Antwort “nie” oder “ich weiß nicht” ist — dann ist es Zeit, nicht nur die Risiken, sondern den Prozess zu überdenken.
Securapilots Risikomodul basiert auf ISO 27005 und trennt inhärentes Risiko von der Kontrollbewertung — damit Ihr Risikobild tatsächlich die Realität widerspiegelt und Ihnen die Entscheidungsgrundlage liefert, die Sie benötigen.
Häufig gestellte Fragen
Warum funktionieren Risikomatrizen nicht?
Risikomatrizen können funktionieren — wenn sie richtig verwendet werden. Probleme entstehen, wenn Organisationen generische Risikoregister kopieren, Risikoniveaus mit Kontrollstatus vermischen oder die Bewertung nie aktualisieren. Eine Risikomatrix soll Entscheidungsgrundlagen liefern, nicht nur ein farbkodiertes Bild.
Was ist der Unterschied zwischen inhärentem Risiko und Restrisiko?
Inhärentes Risiko ist das Risikoniveau vor Anwendung von Kontrollen. Restrisiko ist das Risiko, das nach Implementierung von Kontrollen verbleibt. Die Trennung beider gibt ein klares Bild davon, welche Kontrollen tatsächlich einen Unterschied machen.
Wie oft sollte die Risikoanalyse aktualisiert werden?
Mindestens jährlich, aber auch bei wesentlichen Änderungen in der Organisation, IT-Umgebung oder Bedrohungslage. Eine Risikoanalyse, die seit über einem Jahr nicht aktualisiert wurde, spiegelt wahrscheinlich nicht die Realität wider.
Wie verknüpft man Risikoanalyse mit Geschäftsentscheidungen?
Drücken Sie Risiken in Begriffen aus, die die Geschäftsführung versteht: potentielle wirtschaftliche Auswirkungen, Betriebsunterbrechungen in Stunden/Tagen und regulatorische Konsequenzen. Vermeiden Sie technischen Jargon und Wahrscheinlichkeitsprozente ohne Kontext.
