RiskNote
Leitfaden

So führen Sie eine Risikoanalyse

Vom leeren Blatt zu einem Risikoregister, das die Organisation steuert. Sieben Schritte auf Basis von ISO 31000 und ISO 27005, geschrieben für die Praxis.

By Kim Borg, Founder, RiskNote · Last updated

Warum die meisten Risikoanalysen schon vor dem Start scheitern

Alle wissen, dass eine Risikoanalyse existieren sollte. Das Problem ist selten mangelnder Wille. Es ist, dass der Schritt von ”wir sollten eine machen” zum tatsächlichen Vorhandensein einer solchen zu groß wirkt.

Es beginnt mit einem leeren Blatt. Was sollen wir bewerten? Welche Kategorien? Wie setzen wir Wahrscheinlichkeit und Auswirkung fest? Plötzlich sind drei Monate vergangen und das Blatt ist immer noch leer.

Dieser Leitfaden führt Sie vom Start zur fertigen Risikoanalyse. Auf Basis von ISO 31000 und ISO 27005, aber für die Praxis geschrieben, nicht für das Lehrbuch. Laden Sie die Excel-Vorlage herunter, wenn Sie beim Lesen in Ihrem eigenen Register mitlesen möchten.

Schritt 1 — Beginnen Sie mit den Schutzwerten

Bevor Sie auch nur ein Risiko identifizieren, müssen Sie wissen, was Sie eigentlich schützen. Hier gehen die meisten Risikoanalysen schief: Man fängt an, Bedrohungen zu listen, ohne zuerst zu verstehen, was schützenswert ist.

Schutzwerte sind das, worauf die Organisation nicht verzichten kann. Machen Sie eine kurze Inventur: Was passiert, wenn das verschwindet, gestört wird oder abfließt? Das wird Ihre priorisierte Liste.

  • Informationen

    Kundendaten, Geschäftsgeheimnisse, personenbezogene Daten.

  • Verfügbarkeit

    Kritische Systeme, Prozesse, Lieferungen.

  • Finanzielle Mittel

    Einnahmeströme, Vermögenswerte, Cashflow.

  • Marke und Vertrauen

    Ruf, Kundenbeziehungen, Marktposition.

  • Menschen

    Mitarbeiter, Kunden, Dritte.

  • Regulatorische Compliance

    Lizenzen, Genehmigungen, Rechtsstellung.

Schritt 2 — Scope festlegen

Eine häufige Falle: zu versuchen, das gesamte Unternehmen auf einmal zu analysieren. Das Ergebnis wird oberflächlich und unbrauchbar. Definieren Sie stattdessen klar, was enthalten ist, den Zeithorizont und welche Stakeholder betroffen sind.

  • Was ist im Scope?

    Die gesamte Organisation, ein bestimmter Prozess, ein System, eine Lieferkette? Eine abgegrenzte Analyse mit Tiefe ist immer mehr wert als eine breite ohne Substanz.

  • Welcher Zeithorizont?

    Die nächsten 12 Monate, eine Projektphase oder ein dreijähriger strategischer Horizont? Der Zeitrahmen bestimmt, wie Wahrscheinlichkeit bewertet wird.

  • Welche Stakeholder sind betroffen?

    Management, Mitarbeiter, Kunden, Aufsichtsbehörden? Unterschiedliche Stakeholder haben unterschiedliche Toleranzgrenzen.

Eine abgegrenzte Risikoanalyse mit Tiefe schlägt immer eine breite ohne Substanz. Sie können immer weitere machen.

Schritt 3 — Bedrohungen und Risiken identifizieren

Jetzt füllen Sie das Blatt. Trennen Sie die Begriffe: Eine Bedrohung ist das, was passieren kann (Ransomware, Lieferantenausfall). Eine Schwachstelle ist die Schwäche, die die Bedrohung ermöglicht (unsichere Backups, einziger Lieferant). Ein Risiko ist die Kombination aus Bedrohung, Schwachstelle und Auswirkung auf einen Schutzwert.

Arbeiten Sie systematisch. Ein paar bewährte Perspektiven:

  • Pro Schutzwert

    Was könnte die Kundendaten treffen? Was könnte die Verfügbarkeit ausschalten? Was bedroht die Marke?

  • Pro Bedrohungskategorie

    Cyber, physisch, Personal, Lieferant, Regulierung, Finanzen. Stellt breite Abdeckung sicher.

  • Pro Szenario

    Was passiert, wenn der Server ausfällt? Wenn die Schlüsselperson geht? Wenn ein Unterlieferant insolvent wird?

Beziehen Sie die richtigen Personen ein. IT weiß nicht alles über die Prozesse, das Business weiß nicht alles über die Bedrohungen. Ein Workshop mit einer funktionsübergreifenden Gruppe schlägt immer einen einsamen Analysten.

Schritt 4 — Wahrscheinlichkeit und Auswirkung bewerten

Hier werden Risiken von Worten zu Priorisierungsdaten. Verwenden Sie eine Skala, die zu Ihrem Unternehmen passt. Eine 5×5-Matrix funktioniert in den meisten Fällen am besten.

Definieren Sie die Skalen, bevor Sie mit der Bewertung beginnen. Was bedeutet eigentlich ”ernsthafte Auswirkung” in Euro, Ausfallzeit oder Kundenverlust? Ohne Definitionen werden Bewertungen willkürlich und sind nicht über die Zeit vergleichbar.

Wahrscheinlichkeit (1–5) — wie wahrscheinlich im Zeithorizont

  • 1. Unwahrscheinlich

    Schwer vorstellbar, wie es passieren sollte.

  • 2. Weniger wahrscheinlich

    Kann passieren, aber nicht erwartet.

  • 3. Möglich

    Kann durchaus eintreten.

  • 4. Wahrscheinlich

    Wird erwartet einzutreten.

  • 5. Sehr wahrscheinlich

    Tritt regelmäßig auf oder steht unmittelbar bevor.

Auswirkung (1–5) — wie gravierend wenn das Risiko eintritt

  • 1. Unerheblich

    Kaum spürbar.

  • 2. Begrenzt

    Handhabbare Störung.

  • 3. Merklich

    Erhebliche Auswirkung, aber handhabbar.

  • 4. Schwerwiegend

    Wesentlicher Schaden für das Unternehmen.

  • 5. Katastrophal

    Bedroht den Fortbestand des Unternehmens.

Schritt 5 — Maßnahmen priorisieren, nicht nur rote Zellen

Ein häufiges Missverständnis: das Endergebnis einer Risikoanalyse ist die Matrix mit roten Zellen. Ist es nicht. Das Endergebnis ist eine priorisierte Maßnahmenliste. Wählen Sie für jedes identifizierte Risiko eine Behandlungsstrategie.

Behandlungsstrategien

  • Reduzieren

    Wahrscheinlichkeit oder Auswirkung durch Kontrollen senken.

  • Übertragen

    Versicherung, Vertragsklauseln, Outsourcing.

  • Akzeptieren

    Bewusstes Risiko innerhalb der Toleranz, dokumentiert.

  • Vermeiden

    Die Aktivität entfernen, die das Risiko erzeugt.

Jede Maßnahme muss haben

  • Klaren Eigentümer

    Namentlich genannte Person mit Mandat, die Maßnahme voranzutreiben.

  • Deadline

    Konkretes Datum. Nicht ”bald” oder ”im Herbst”.

  • Messbares Ergebnis

    Woher wissen Sie, dass die Maßnahme funktioniert hat?

  • Bezug zum Risiko

    Welches Risiko wird adressiert und wie beeinflusst die Maßnahme W und A?

Priorisieren Sie Maßnahmen nach Wirkung pro Aufwand, nicht nur nach dem Risikoniveau. Ein mittleres Risiko mit einer einfachen Lösung kann wichtiger zu behandeln sein als ein hohes Risiko, das eine dreijährige Investition erfordert.

Schritt 6 — Die Analyse lebendig halten

Eine Risikoanalyse, die in einem Ordner abgelegt wird, ist am Tag danach tot. Die Realität verändert sich: neue Bedrohungen entstehen, das Unternehmen entwickelt sich, Maßnahmen werden umgesetzt, Regulierung verschärft sich.

Eine funktionierende Risikoanalyse ist ein lebendiger Prozess:

  • Regelmäßige Überprüfung

    Mindestens jährlich, öfter für kritische Bereiche.

  • Auslöserbasierte Updates

    Bei Vorfällen, Änderungen, neuen Systemen, neuen Lieferanten, neuen regulatorischen Anforderungen.

  • Kontinuierliche Nachverfolgung

    Der Wirksamkeit und des Status der Maßnahmen, nicht nur der Risikoliste.

  • Klarer Eigentümer

    Jemand, der tatsächlich dafür verantwortlich ist, sie aktuell zu halten.

Für Organisationen, die unter NIS2, ISO 27001 oder ähnliches fallen, ist eine lebendige Risikoanalyse nicht nur eine gute Idee. Sie ist eine Anforderung.

Schritt 7 — Mit Rahmenwerken und Vorschriften verknüpfen

Wenn Ihr Unternehmen bestimmten Anforderungen unterliegt, stellen Sie sicher, dass die Risikoanalyse diese erfüllt. Die häufigsten im europäischen Kontext:

  • ISO 31000

    Allgemeines Risikomanagement, Prinzipien und Rahmenwerk. Leitfaden zu ISO 31000 lesen.

  • ISO 27005

    Informationssicherheitsrisiken spezifisch.

  • ISO 27001

    Erfordert dokumentierte Risikobewertung und Behandlungsplan. Leitfaden zu ISO 27001 ansehen.

  • NIS2

    Risikomanagementmaßnahmen für wesentliche und wichtige Einheiten. Über NIS2 lesen.

  • DSGVO (DSFA)

    Datenschutz-Folgenabschätzung bei Personendatenverarbeitung. DSGVO-Risikoanalyse ansehen.

  • MSBFS 2020:6

    Systematische Informationssicherheitsarbeit für schwedische Behörden.

  • DORA

    Operationale Resilienz für den Finanzsektor.

Dieselbe zugrundeliegende Risikoanalyse kann oft mehrere Rahmenwerke abdecken. Es geht meist darum, wie sie dokumentiert und berichtet wird.

Zusammenfassung — die sieben Schritte

  • 1. Mit Schutzwerten beginnen

    Wissen Sie, was Sie tatsächlich schützen.

  • 2. Scope festlegen

    Tiefe schlägt Breite.

  • 3. Bedrohungen und Risiken identifizieren

    Systematisch, funktionsübergreifend.

  • 4. Wahrscheinlichkeit und Auswirkung bewerten

    Mit definierten Skalen.

  • 5. Maßnahmen priorisieren

    Nicht rote Zellen, sondern Wirkung pro Aufwand.

  • 6. Die Analyse lebendig halten

    Regelmäßig und auslöserbasiert.

  • 7. Mit Rahmenwerken verknüpfen

    Wo erforderlich.

Häufig gestellte Fragen zur Risikoanalyse

Wie lange dauert eine Risikoanalyse?

Für ein KMU reicht ein halber Arbeitstag für die erste Runde: 2–4 Stunden für Identifikation und Bewertung plus 1–2 Stunden für den Maßnahmenplan. Größere Organisationen oder Bereiche, die Workshops erfordern: planen Sie insgesamt 2–5 Arbeitstage ein.

Was ist der Unterschied zwischen Risikoanalyse und Risikobewertung?

Risikoanalyse ist der gesamte Prozess: identifizieren, analysieren, bewerten, behandeln, überwachen. Risikobewertung ist meist eine Teilmenge, die eigentliche Bewertung von Wahrscheinlichkeit und Auswirkung. In der Praxis werden die Begriffe synonym verwendet, aber ISO 31000 trennt sie.

Müssen wir eine 5×5-Matrix verwenden?

Nein. ISO 31000 ist bezüglich der Matrixgröße agnostisch. 5×5 ist gängige Praxis, weil 3×3 zu grob ist (nur 9 Kombinationen) und 7×7 zu komplex. Manche Organisationen verwenden stattdessen qualitative Kategorien. Wichtig ist, dass die Skala konsistent und vorab definiert ist.

Müssen alle Analysen in einem Workshop erfolgen?

Nein, aber Einzelanalysen werden fast immer schmaler. Eine funktionsübergreifende Gruppe von 3–6 Personen fängt Risiken, die ein einzelner Analyst übersieht. Ein Workshop muss nicht ganztägig sein. 90 Minuten pro Runde reichen weit, wenn er gut vorbereitet ist.

Wie oft sollte die Risikoanalyse aktualisiert werden?

Operationelle Risiken quartalsweise, strategische jährlich. Projektrisiken aktualisieren sich pro Sprint oder Steuerungsmeeting. Bei Vorfällen, größeren Änderungen (neuer Lieferant, Systemwechsel, Regelungsänderung) immer eine neue Runde. NIS2 und ISO 27001 verlangen dokumentierte regelmäßige Überprüfung.

Wer sollte die Risikoanalyse verantworten?

Das Management verantwortet den Prozess und die Risikotoleranz. Ein benannter Risikoverantwortlicher (oft der CISO, CFO oder COO in kleineren Unternehmen) ist dafür verantwortlich, die Analyse lebendig zu halten. Jedes einzelne Risiko sollte einen namentlich genannten Eigentümer mit dem Mandat haben, Maßnahmen voranzutreiben.

More guides

How to do a risk analysis (2026)

Complete pillar guide: method, frameworks, template, tools.

Read guide

Risk assessment step-by-step

Build your first risk assessment in an afternoon.

Read guideBlog

A risk assessment in one afternoon

Companion to the full method, short version with examples.

Read article

Vom leeren Blatt zum Risikoregister in 20 Minuten

Genau dafür wurde RiskNote gebaut. Beschreiben Sie das Unternehmen, die KI schlägt relevante Risiken vor, und Sie haben ein strukturiertes Register mit 5×5-Matrix in der Zeit, die Sie für eine Tasse Kaffee brauchen. Danach verfeinern Sie es gemeinsam mit dem Unternehmen.

    Risikoanalyse in 7 Schritten: praxisnaher Leitfaden (ISO 31000) | RiskNote